PaloAlto下代防火墙网络安全解决方案.ppt

1、Click to edit Master title style,2011 Palo Alto Networks.Proprietary and Confidential.,Page,*,|,Click to edit Master text styles,Second level,Third level,PaloAlto下代防火墙网络安全解决方案,题目,背景介绍,产品特点介绍,解决方案,案例及总结,2,2011 Palo Alto Networks.Proprietary and Confidential.,背景介绍,关于,Palo Alto Networks,Palo Alto Netwo

2、rks,专业网络安全公司,具,有,安全和网络经验,世界级的团队,成立在,2005,下一代防火墙的领导者并支持上千种应用的识别和控制,恢复防火墙在企业网安全核心位置,创新技术,:,App-ID,User-ID,Content-ID,是硅谷著名的公司，很多大公司全球范围部署我们,产品,，,全球,100,多,个,国家,5400+,个客户，用户包括半数以上,的全球,500,强企业,被,Gartner,评为最具远见厂商,the many enterprises that have deployed more than$1M,4,2010 Gartner,企业防火墙市场魔力四象限,Palo,Alto,Ne

3、tworks,Check Point Software Technologies,Juniper Networks,Cisco,Fortinet,McAfee,Stonesoft,SonicWALL,WatchGuard,NETASQ,Astaro,phion,3Com/H3C,completeness of vision,visionaries,ability to execute,As of March 2010,niche players,Source:Gartner,2011 Gartner,企业防火墙市场魔力四象限,Palo Alto Networks,公司的下一代防火墙正在领导着市

4、场技术方向,Gartner,指出,:,“,Palo Alto Networks,公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对手改变产品路线和销售策略。,”,Gartner,的建议：在下次升级防火墙，,IPS,，或者两者兼而有之可以迁移到下一代防火墙,Gartner,的预测到,2014,年：,35%,防火墙或被下一代防火墙替代,60%,新采购的防火墙将是下一代防火墙,Source:Gartner,December 14,2011,网络安全变化,端口,应用,IP,地址,使用者,威胁,漏洞,需要恢复在防火墙对应用可视性和控制,当今的网络安全基于过时的假设，但是看到现

5、实就是：,Port 135,Port 137,RPC,SMS,SQL,SharePoint,SMB,Port 80,Port 139,应用中采用动态的，随机的，频繁使用常用端口,-,从根本上打破基于端口的网络安全,Port 443,NetBIOS,*,加上众多的高位随机端口,7,2011 Palo Alto Networks.Proprietary and Confidential,1.,识别应用无论采用任何端口，协议，逃逸方法或,SSL,2.,不管,IP,地址是何，能够识别用户,3.,实时阻止应用程序中携带的威胁,对应用程序访问,/,功能，能够实现细粒度的可视性和,策略控制,5.,高性能,i

6、n-line,部署没有性能的下降,答案,?,这些都是防火墙需要做的事情！,8,2011 Palo Alto Networks.Proprietary and Confidential.,产品特色综述,创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：,IP,地址控制,=,用户控制,端口控制,=,应用控制,独有的硬件系统架构，解决了传统安全方案的性能问题：,-,功能（,IPS,、,AV,、,QoS.,）启用的多寡不会影响性能,-,策略（,Rule,）配置的数量与性能无关,业界领先的统一系统平台，极大地简化了传统的结构和管理：,-,传统多个独立安全系统的组合简化为单个系

7、统,-,错综复杂的安全策略体系简化为逻辑简单清晰的单一体系,强大的应用识别与控制（超过,1400,个应用识别）能力，,在威胁防范上具有强大优势填补了传统安全系统在,应用控制方面的短板。,Customer Count,2011,9,2011 Palo Alto Networks.Proprietary and Confidential.,产品特点介绍,新的识别技术,App-ID,应用识别,User-ID,识别用户,Content-ID,内容的扫描,端口,应用,IP,地址,使用者,多重威胁,漏洞,11,2011 Palo Alto Networks.Proprietary and Confiden

8、tial.,App-ID:,综合型应用可视性,对,5,大类,25,个子类的,1200,多种应用程序实施基于策略的控制,平衡控制各种业务、互联网与网络应用程序以及网络协议,每周都会新增,3-5,种应用程序,应用程序覆盖（,App override,）与自定义,HTTP,应用程序可帮助追踪内部应用程序地址,2009 Palo Alto Networks.Proprietary and Confidential3.0-a,2009 Palo Alto Networks.Proprietary and Confidential3.0-a,2009 Palo Alto Networks.Propriet

9、ary and Confidential3.0-a,应用统计,Proxy 42,种,远程访问应用,64,种,Risk,等级在,4-5,的应用（高危险应用）,453,种,Web mail,应用,62,种,brower-base,应用,534,种,IM,应用,136,种，其中,39,种是高危应用 基于,brower-base,的,IM,应用,53,种,文件共享类应用,172,种,采用动态端口,234,应用统计,by,威胁因素,高风险应用导致的业务风险,应用程序文件传输会导致数据泄漏；,逃逸,或,传递其他应用程序的能力可导致合规性的风险；,高带宽消耗相当于增加运营成本，,而易受恶意软件和漏洞攻击的应

10、用程序可引入业务连续性风险。,Data Lost,数据泄露,:,文件传输可导致数据泄露,Compliance,合规,:,逃避检测或传递其他应用导致合规风险,Operational Cost,运营成本,:,高带宽消耗等于增加成本,Productivity(,生产力,):,社区网络和媒体应用导致降低生产力,Business Continuity,业务连续性,:,容易受到恶意软件和漏洞,攻击的应用导致的业务连续性风险,风险最高的已用应用程序,（排名风险,4,和,5,）,19,2011 Palo Alto Networks.Proprietary and Confidential,使用,HTTP,的应

11、用程序,20,2011 Palo Alto Networks.Proprietary and Confidential,Content-ID:,实时内容扫描,基于串流、而非文件的实时扫描性能,统一签名引擎可扫描单通道内的各种威胁,漏洞攻击,(IPS),、病毒、及间谍软件,(,下载内容及,phone-home),按类型阻止敏感数据与文件传输,查找,CC#,与,SSN,模式,查看文件内部内容，确定其类型,-,而非基于扩展,通过完全集成式,URL,数据库，启用网络过滤功能,本地,20M URL,数据库,(76,类,),可最大化性能,(1,000,个,URL/,秒,),动态数据库适于本地、区域、行业专

12、用浏览模式,探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览,Security Profiles,Security Profiles,查找的是被允许流量当中恶意的软件,Security Policies,在被允许的流量中定义的,滥用倾向,传递其他应用程序,具有已知的漏洞,传输文件,被恶意软件利用,具有规避性（逃逸）,2010 Palo Alto Networks.Proprietary and Confidential 2.1v1.0,将各类,威胁,清楚呈现？,对,威胁,具备高度的分析能力与全新的管理思维,23,2010 Palo Alto Networks.Propriet

13、ary and Confidential.,全球知名,IPS,认证机构,NSS Lab,认证,NSS Labs,性能测试,2010,公认的行业领导者的,IPS,测试,测试是基于公认的,NSS IPS,测试方法,测试是在真实环境下使用了,1179,个现存的攻击进行的,标准,结果,综合评级,被推荐,IPS,识别率,93.4%(2.3 Gbps),性能,2.3 Gbps(,是我们标称性能的,115%)*,IPS,逃避,100%,识别阻止,简单的调节和管理,“,通过策略调整只有三个设置”,NSS,报告,Group Test Q4 2009,Standalone TestQ3 2010,Read the

14、 full Palo Alto Networks Report,here,more information on the 2009 Group Test,here,2011 Palo Alto Networks.Proprietary and Confidential.,现代恶意行为策略发生变化,Infection,Escalation,Remote Control,恶意软件具有针对性，具有隐蔽性特点，持续攻击,未知的威胁,NGFW,分类已知的流量,客户化应用签名对于专有应用,任何“未知”的流量，可以跟踪和调查,Botnet,行为报告,自动关联最终用户的行为，发现有可能感染了BOT,NET,的

15、客户,未知的,TCP,和,UDP,，动态,DNS,，重复文件下载,/,尝试，最近注册的域名等联系,2010 Palo Alto Networks.Proprietary and Confidential.,Page,27,|,10.1.1.56,10.1.1.34,10.1.1.277,192.168.1.4,192.168.1.47,10.1.1.101,10.0.0.24,192.168.1.5,10.1.1.16,192.168.124.5,Find specific users that are potentially compromised by a bot,Jeff.Martin,

16、2010 Palo Alto Networks.Proprietary and Confidential,Botnet,行为检测分析,从流量、威胁、,URL,日志中收集识别疑似的被,botnet,感染的主机,生成分析报告,被感染主机列表,描述,(,主机被感染的理由,),可配置的参数用户检测,botnets,未知,TCP/UDP,IRC,HTTP traffic(,恶意网站，最近注册，,IP,域，动态域名,),客户配置查询特定的域名,WildFire,架构提供应对未知威胁,Unknown Files,来自互联网,比较是否是已知的威胁,自动在沙箱环境下运行,签名的生成,服务入口看到列表,设备提交此

17、文件到,WildFire,云中,同时新的签名库通过正常的威胁更新到所有用户中,.,29,2011 Palo Alto Networks.Proprietary and Confidential.,现代入侵防御的最佳实践,Gartners,推荐,:,“,在下次升级可以迁移到下一代防火墙,-,无论是防火墙，,IPS,，或者两者兼而有之,.,”,Read the full Gartner report,here,为了切实保护网络，企业需要超越传统,IPS,解决方案提供的功能,2011 Palo Alto Networks.Proprietary and Confidential.,传播途径控制是根本

18、控制威胁,+,控制传播途径,传统,IPS,忽略了威胁传播途径,2011 Palo Alto Networks.Proprietary and Confidential.,威胁和传播途径覆盖面不断变化,威胁控制,威胁类型,Palo Alto,Networks,Traditional IPS,Vulnerability Exploits,Malware URLs,Viruses,Botnets,传播,途径,Palo Alto,Networks,Traditional IPS,SSL and Encryption,Compressed Content,Tunnels,and Proxies,Out

19、bound PhoneHome,传播途径控制,2011 Palo Alto Networks.Proprietary and Confidential.,User-ID:,企业目录集成,用户再无需仅靠定义,IP,地址防范威胁,利用现有活动目录（,Active Directory,）架构，无需复杂代理转出,识别,Citrix,用户并将策略应用与用户及群组，而非仅靠,IP,地址识别,根据实际,AD,用户名而非仅是,IP,，了解用户应用与威胁行为,根据用户及,/,或,AD,群组管理与实施策略,调查安全事件，编制自定义报告,用户信息的使用,在日志文件中,通过,User/Group,排序,通过,User

20、过滤日志,在,Security Policy,中,通过,user/Group,控制应用使用,34,2010 Palo Alto Networks.Proprietary and Confidential3.1-b,后台获取用户和,IP,信息,Active Directory,使用代理程序链接,Domain,获得,Users,Groups,和,Group membership,信息,使用代理程序维护这种映射关系,Domain Controllers,35,2010 Palo Alto Networks.Proprietary and Confidential3.1-b,单通道,&,并行处理,(

21、SP3),系统架构,单通道处理,数据包一次操作,流量分类,（应用识别,),用户,/,组,对应,内容扫描,威胁,URLs,敏感信息,而且仅仅执行单一策略,并行处理技术,特定功能,的并行处理硬件,引擎,独立的数据,/,控制平面,高达,20Gbps,(,App-ID,),低延时,36,2011 Palo Alto Networks.Proprietary and Confidential.,Content Scanning HW Engine,Palo Alto Networks uniform signatures,Multiple memory banks memory bandwidth sc

22、ales performance,Multi-Core Security Processor,High density processing for flexible security functionality,Hardware-acceleration for standardized complex functions(SSL,IPSec,decompression),Dedicated Control Plane,Highly available mgmt,High speed logging and route updates,10Gbps,Content Scanning,Engi

23、ne,RAM,RAM,RAM,RAM,Dual-core,CPU,RAM,RAM,HDD,10 Gig Network Processor,Front-end network processing offloads security processors,Hardware accelerated QoS,route lookup,MAC lookup and NAT,CPU,16,.,SSL,IPSec,De-Compression,CPU,1,CPU,2,10Gbps,Control Plane,Data Plane,RAM,RAM,CPU,3,QoS,Route,ARP,MAC looku

24、p,NAT,全新设计硬件架构,强化性能,配置,在过去，当联机数或流量异常暴增时也一并影响了,安全,设备的管理功能,37,2008 Palo Alto Networks.Proprietary and Confidential.,为什么可视性和控制，必须在防火墙完成,Port PolicyDecision,App Ctrl PolicyDecision,作为一个附加功能的应用控制,基于端口控制,FW+,应用控制,(IPS)=2,套处理策略,仅仅阻止你,明确寻找的应用程序,的,威胁,结果,网络（端口）访问,的决定没有任何信息依据,不能安全的启用应用,IPS,Applications,Firewal

25、l,Port,Traffic,Firewall,IPS,App Ctrl PolicyDecision,Scan Applicationfor Threats,Applications,Application,Traffic,NGFW,应用控制,应用控制在防火墙完成,=,单策略,可视性基于所有端口,所有流量,随时,结果,网络访问的决定基于应用识别,安全的启用,应用,38,2011 Palo Alto Networks.Proprietary and Confidential.,你可以看到,基于端口,FW+,附加应用控制问题,39,2011 Palo Alto Networks.Propriet

26、ary and Confidential.,真正下一代防火墙能看到的,40,2011 Palo Alto Networks.Proprietary and Confidential.,基于应用和用户,限制允许,的商业应用的流量,减少攻击的数量级,无盲点完整的威胁库,双向检查,SSL,扫描,扫描压缩文件,扫描隧道和代理内容,给予客户端适当的行为规范,进一步针对所允许的数据流进行相关,安全,检查,下一代防火墙的控制,掌握您所管理的网络数据流,41,2010 Palo Alto Networks.Proprietary and Confidential.,PAN-OS,兼容传统防火墙功能,强大的网络

27、功能基础,动态路由,(BGP,OSPF,RIPv2),Tap,模式,连接,SPAN,端口,虚拟线,(“Layer 1”),用于透明部署,L2/L3,交换,策略转发,-,Policy-based forwarding,VPN,Site-to-site IPSec VPN,SSL VPN,QoS,流量整形,最大,/,保障和优先级,基于用户,应用,接口,安全域,等,实时带宽监控,基于安全域架构,所有接口赋予安全域用于策略实施,高可用,Active/active,active/passive,Configuration,和,session,同步,Path,link,及,HA,监控,虚拟系统,建立多个虚

28、拟防火墙在单设备中,(PA-5000,PA-4000,和,PA-2000 Series),简单，灵活管理,CLI,Web,Panorama,SNMP,Syslog,对应用、用户、内容的可视性和控制补充了核心防火墙的功能,PA-500,PA-2020,PA-2050,PA-4020,PA-4050,PA-4060,PA-5060,PA-5050,PA-5020,PA-200,42,2011 Palo Alto Networks.Proprietary and Confidential.,硬件,+,软件系列概述,43,2009 Palo Alto Networks.Proprietary and

29、Confidential3.0-a,对数据流具备高度的分析能力与全新的管理思维,-,内置综合的可视性分析,Enterprise 2.0,WEB 2.0,App-ID,User-ID,Content-ID,有,哪,些,应用,被使用,谁在用这些,应用,文件,及其内容关键信息传输过滤,入侵防御、病毒、恶意软件检测,Cloud computing,如何,将,各类数据流,流,清楚呈现？,可视性分析,2008 Palo Alto Networks.Proprietary and Confidential.,实施,更具,灵活性,、,直观,与精确的,安全策略,默认支持客户端环境常见,的,应用程序（,1400+

30、并进行分类,在安全策略,定义时,使用,可依据客户端个人或群组直接进行,安全策略,定义,大幅提升,安全策略,精确度（,By User-ID&AP-ID,）并立即了解相关触发事件记录,举例,:,允许商业及网络应用,允许,IM,但是阻止文件传输,阻止,P2P,只读,facebook,精确地对客户端、群组及其网络行为进行规范,45,2008 Palo Alto Networks.Proprietary and Confidential.,谁在访问,哪些应用,哪里,使用哪些安全策略,哪些威胁,快速,完成各类事件的搜寻与分析,在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉分析以进行,梳理,

31、各种网络问题的原因？,46,2008 Palo Alto Networks.Proprietary and Confidential.,解决方案,灵活的部署选项,可视性,透明串行,更换防火墙,具有应用程序、用户与内容的可视性，无需串行部署,具有,全面,应用程序,可视性与控制性,的威胁防护,集成了,威胁防护,&URL,过滤,用对应用程序的可视性与控制特性替代防火墙,防火墙,+,威胁防护,防火墙,+,威胁防护,+URL,过滤,NAT Mode,Internet,服务器群,客户端,/,分支子网,SPAN Mode,VWire Mode,有效扩大,安全,防御纵深、广度并维持高度的管理效率！,极具弹性与

32、高效益的布署模式,下一代防火墙保护范围,同样的下一代防火墙,产生不同的收益,边界,识别和控制应用、用户和内容,积极的启用,数据中心,基于用户和应用网络分割,高性能威胁防护,分布式企业,分支办公室,远程用户,延伸统一的安全到所有用户和地点,可视化对于应用、用户和内容,边界防御,互联网,混乱的管理不是正确方案,管理复杂,购买与维护成本高昂,防火墙,“,助手,”,对流量的查看有限,最终仍无法解决问题,不同设备太多的日志需要存储和分析,如何找到不同日志之间关联性,不能迅速找到问题根源,互联网,UTM,同样混乱,.,结果也只是导致处理速度更慢,无法解决问题,防火墙,“,助手,”,功能对流量的查看有限,启

33、动流量查看功能，却又会影响性能,传统的多通道架构速度缓慢,基于端口,/,协议的,ID,L2/L3,网络、高可用性（,HA,）、配置管理、报告,基于端口,/,协议的,ID,HTTP,解码器,L2/L3,网络、高可用性（,HA,）、配置管理、报告,URL,过滤策略,基于端口,/,协议的,ID,IPS,签名,L2/L3,网络、高可用性（,HA,）、配置管理、报告,IPS,策略,基于端口,/,协议的,ID,防病毒签名,L2/L3,网络、高可用性（,HA,）、配置管理、报告,防病毒策略,防火墙策略,IPS,解码器,防病毒解码器,&,代理,安全方案,-1IT,系统的安全边界,-,控制及威胁保护,应用的可视

34、性和控制,对放行的流量进行精细化威胁防护检查,统一的基于应用、用户、内容的策略,PA200,，,500,2000,4000,5000,威胁防护许可,URL,过滤许可,安全方案,-2,总部,/,分支的安全互连,建立,IPsec,，,SSL VPN,在,VPN Tunnel,中应用,的可视性和控制,对,放行的流量进行精细化威胁防护检查,统一,的基于应用、用户、内容的策略,PA500,2000,4000,5000,威胁防护许可,URL,过滤许可,通过异构能够实现和传统解决方案共存实例,同样的下一代防火墙,产生不同的收益,边界,识别和控制应用、用户和内容,积极的启用,互联网,互联网,边界延伸,边界延伸

35、Global-protect,分布式企业,分支办公室,远程用户,延伸统一的安全到所有用户和地点,可视化对于应用、用户和内容,GlobalProtect,无论在何处不会离网,所有,NGFW,协同工作提供私有云安全,工作流程,:,安装客户端代理软件能够判断所在网络位置,(,在企业还是离开企业网络,),如果离开会自动连接最近的,NGFW,通过,SSL VPN,内置代理软件提供主机信息,(patch level,disk encryption,等,),到网关,网关能够执行安全策略通过,App-ID,User-ID,Content-ID,以及主机信息策略,60,2011 Palo Alto Netw

36、orks.Proprietary and Confidential.,企业网安全的架构,建立逻辑边界，不受物理范围限制,对内对外实现同样深度的保护,通过专用防火墙执行安全动作,而不是终端,统一的可视性报告、合规及报告,61,2011 Palo Alto Networks.Proprietary and Confidential.,数据中心,Changes In The Data Center,Attacks,Virtualization,Compliance,Green,Performance,Resiliency,63,2011 Palo Alto Networks.Proprietary

37、and Confidential.,符合数据中心的要求越来越难,数据中心,安全,=,折中,性能 还是 安全,多功能 还是 简单,效率 还是可视性,并且,不是所有的数据中心需求都是一样的,64,2011 Palo Alto Networks.Proprietary and Confidential.,传统,安全,设备,对于服务主机的防护缺陷,WAN and Internet,Users,Domain,Users,Development Servers,InfrastructureServers,Exchange OWA,Servers,没有用户识别,/,应用控制功能,仅仅是,Layer 4,控制

38、策略,很难满足对相关规范支持,（,ISO 27001,PCI,）,允许所有,PORT 80,443,的流量到服务主机，但利用这些端口的攻击或异常行为却不胜枚举！,65,2010 Palo Alto Networks.Proprietary and Confidential.,企业数据中心,更好，更有效的安全,有效安全,应用,用户,内容扫描,灵活的方式,L1/L2/L3/,混合模式,VLAN trunking,链路聚合,举例,:,网络分割,(PCI),举例,:,保障安全,开发人员使用,SQL,应用任何端口,仅仅,Oracle,SQL Server,MySQL,和,DB/2,流量允许通过数据库的网

39、段,66,2011 Palo Alto Networks.Proprietary and Confidential.,企业数据中心举例,:PCI,只有金融的,AD,用户可以访问持卡人区,(rule 1),Oracle,是唯一被允许的应用,(rule 1),阻止进入流量的威胁,(rule 1),监控,/,阻止持卡人数据的出去流量,(rule 1),阻止和记录其他流量,(rule 2),67,2011 Palo Alto Networks.Proprietary and Confidential.,Palo Alto Networks,在,Internet Data Center,作用,没有硬件妥

40、协,基于策略性能和安全的平衡,速度,安全,解码和检测,内容威胁扫描,简化设计,可视性,什么是正在使用的，什么是被攻击,可靠性,68,2011 Palo Alto Networks.Proprietary and Confidential.,Internet Data Center:,保护,+,性能,优秀的威胁防护,NSS:93.4%,阻断,100%,防止,逃逸,115%,性能,唯一,能够识别非标准端口,IPS,配置,DDoS,保护,阻止已知,DoS,扫描,双向,SSL(decrypt),和压缩流量,确保只有被授权的,应用使用,网络资源,允许,SSH,RDP,被授权人员使用,69,2011 Pa

41、lo Alto Networks.Proprietary and Confidential.,NGFW:,强大的网络性能和灵活性,70,2011 Palo Alto Networks.Proprietary and Confidential.,NGFW:,强大的网络性能和灵活性,强大的网络功能基础,动态路由,(BGP,OSPF,RIPv2),Tap,模式,连接,SPAN,端口,虚拟线,(“Layer 1”),用于透明部署,L2/L3,交换,混合部署模式,策略转发,-,Policy-based forwarding,简单，灵活管理日志报告,CLI,Web,Panorama,SNMP,Syslog

42、内置流量、威胁、,URL,、数据过滤分析快速定位问题,提供,REST-XML-API,第三方管理接口,快速和现有系统结合,基于安全域架构,所有接口赋予安全域用于策略实施,高可用,控制,+,管理平面分离,Active/active,active/passive,Configuration,和,session,同步,Path,link,及,HA,监控,虚拟系统,建立多个虚拟防火墙在单设备中,(PA-5000,PA-4000,和,PA-2000 Series),PA-200,71,2011 Palo Alto Networks.Proprietary and Confidential.,PA-50

43、00,系列用于数据中心,80 Gbps switch fabric interconnect,20 Gbps QoS engine,Signature Match HW Engine,Stream-based uniform sig.match,Vulnerability exploits(IPS),virus,spyware,CC#,SSN,and more,Security Processors,High density parallel processing for flexible security functionality,Hardware-acceleration for sta

44、ndardized complex functions(SSL,IPSec,decompression),Highly available mgmt,High speed logging and route update,Dual,solid-state,drives,20Gbps,Network Processor,20 Gbps front-end network processing,Hardware accelerated per-packet route lookup,MAC lookup and NAT,10Gbps,Control Plane,Data Plane,Switch

45、Fabric,10Gbps,.,.,.,QoS,Flow,control,Route,ARP,MAC lookup,NAT,Switch,Fabric,Signature Match,Signature Match,SSL,IPSec,De-Compress.,SSL,IPSec,De-Compress.,SSL,IPSec,De-Compress.,Quad-core,CPU,CPU,12,CPU,1,CPU,2,CPU,12,CPU,1,CPU,2,CPU,12,CPU,1,CPU,2,RAM,RAM,SS,D,SS,D,RAM,RAM,RAM,RAM,RAM,RAM,RAM,RAM,RA

46、M,RAM,RAM,RAM,RAM,RAM,40+processors,30+GB of RAM,Separate high speed data and control planes,20 Gbps,firewall,(,app-id),throughput,10 Gbps threat prevention throughput,4 Million concurrent sessions,72,2011 Palo Alto Networks.Proprietary and Confidential.,案例及总结,Next-Generation Firewalls,74,2011 Palo

47、Alto Networks.Proprietary and Confidential.,客户案例,:PSA,公司,“,我们所使用的传统防火墙无法达到性能或检测要求。而,PaloAlto-4000,系列产品则可轻松的满足我们的要求，并实现了检测与控制功能，即：将其转化成可实际执行及认可的使用策略。,”,.,Chris Poe,CIO,问题,需要低成本高效率的办公安全解决方案,需要一个综合性三机式解决方案,解决方案,目前在法国总部部署了两台,PA-4050,防火墙，在法国和中国之间分别部署了两台,PA-4020,防火墙，并在法国的研发实验室部署了两台,PA-500,防火墙。即将在俄罗斯、阿根廷和巴

48、西部署。,PAN,目前作为第二防火墙解决方案，今后会完全替换目前的,Juniper FW,。,结果,完整覆盖,-,防火墙、应用程序控制、威胁防范,-,一机式,易于远程管理,-,一个用户界面,在多个地点进行跨国部署,行业,:,轻型商用汽车 制造业,统计,:150,个国家、,21,万名员工、营业额达,500,多亿欧元,客户案例,:,开心网,开心网是目前国内最为火爆和上升极其迅速的一个,SNS,网站，中国领先的社区平台服务提供商，团队的使命是打造中国最大的在线社区服务平台。,问题,无法应对各种采用逃避技术的应用流量带来的安全威胁,无法控制流出网络的数据,各种安全设备太多,解决方案,在两个,IDC,机

49、房各部署了一台,PA-4000,系列，对应用程序与威胁进行检测与控制,结果,实现检测、控制，并对,50,多个后台数据库进行防护,高效并简化了安全架构,解决三个关键的业务问题,识别和控制应用程序,对于,1400+,应用的识别,无论采用何种端口,协议,加密,逃逸行为,对应用颗粒化的控制,(allow,deny,limit,scan,shape),解决传统防火墙基础设施的关键缺陷,防止威胁,停止各种威胁,-,漏洞，病毒，间谍软件,阻止信息泄露,(e.g.,credit card#,social security#,file/type),流扫描引擎确保高性能,执行颗粒化的使用策略对于网站浏览,简化安全

50、架构,部署下一代防火墙在网络安全架构的中心,降低架构和运营的复杂度,77,2011 Palo Alto Networks.Proprietary and Confidential.,NGFWs,消除数据中心妥协,威胁防护,阻止更广泛的威胁，对所有被允许的流量进行检测,经过验证的质量,(NSS,测试和推荐,),通过策略设置安全，而不是通过连接线部署,遵从和划分,节省时间和费用用于网络分割,通过用户,/,组，应用进行分割,简化,最高,20Gbps,防火墙性能,集成了高性能威胁防护,简单容易的部署,通过减少网络安全机架空间需求，降低,TCO,（电源，空调，订阅，维护）,78,2011 Palo Al