Palo Alto

新一代Palo Alto防火墙为在整个企业网路上传输的应用程式、使用者和内容提供史无前例的可视度和控制。

防火墙是企业最重要的网路安全基础架构元件，可以检测所有通讯流。因此，防火墙是实施安全政策的理想位置。传统防火墙的技术仰赖连接埠(port)、通讯协定(protocol)进行通讯流的分频，如此将导致精心设计的应用程式及技术高超的使用者可以轻松地规避它们，例如：在连接埠间转换、使用SSL、暗中跨过连接埠80，或使用通常会保持开启的非标准连接埠。

缺乏对应用程式可视性与控制的结果，将导致企业暴露在包括：网路服务中断、违反法令遵循、增加营运成本，及资料外泄的安全风险。为解决此问题，传统方法要求在防火墙后面部署其他“辅助防火墙”。这种高成本的作法由于通信流的低可视性、繁琐的管理程序，及包括多层扫描的软体设计、低执行效能而导致的延迟，因此并非解决问题最佳方式。

Palo Alto Networks新一代防火墙系列产品，回复原属于防火墙应该具备的高效能，以及以政策为基础，对应用程式、使用者与通讯内容的可视性和控制能力。

Palo Alto Networks新一代防火墙的基础是一种单通道平行处理架构(SP3; Single Pass Parallel Processing Architecture)，它采用一种独特的软体和硬体整合方法，可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流，单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映，与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上，平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务，从而获得最大执行效能，并将延迟时间减至最少。Palo Alto应用防火墙的安全处理过程为：解包——安全检测1——安全检测2——封包。整个流程中，只需要一次解包与封包的过程，这样大大降低了CPU的负担。此外，Palo Alto应用防火墙中多核+多CPU的硬件也保障了系统的性能。

独特的识别技术实现了可视性和控制

单通道平行处理架构实现对应用程式、使用者与内容的可视性及控制，包含三个关键要素，分别是：

• App-IDTM
• User-ID
• Content-ID
•  

这些独特的识别技术可帮助IT管理者精准判断网路中有哪些应用程式，如此便可让管理员能够做出更为合理的政策决定，并改善其安全状况。

App-ID

通过使用多达四种不同的通讯流分频机制，App-IDTM可准确识别网路上正在运行的应用程式，而不论这些应用程式使用哪个连接埠、通讯协定、SSL加密技术，或部署规避技术。 App-IDTM 提升管理者关于应用程式实际身份的可视性，这使得管理者可以针对入站和出站通讯流部署非常完善的应用程式使用控管政策。Palo Alto的应用防火墙可以智能识别网络上正在运行的应用，并且可以很方便的对其进行控制，在应用策略上，对5大类25个子类的950多种应用程序实施基于策略的控制，我们很惊奇的发现，从来没有正式进入中国的Palo Alto，竟然支持国内一些非常流行的应用，比如迅雷、QQ等，有些策略甚至非常细致，比如对QQ聊天、QQ游戏、QQ旋风下载等都可以被单独识别和控制。

Content-ID

是一个stream-based 扫描引擎，它使用统一的威胁特征格式检测与阻断大量的安全威胁，并限制未经授权的档案及敏感资料的传输，同时采用完整的的URL资料库，可针对非工作相关的网路浏览进行控制。Palo Alto的应用防护墙将探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览。企业可以自定义多种方式的过滤，比如，通过传统的文件类型的过滤，或者URL过滤，抑或是通过文件签名来过滤，多种手段能够让企业更方便的配置好自己的网络安全。

User-ID

透过与Microsoft Active Directory紧密地整合，可将IP 位址连结至特定的使用者与群组资讯，从使IT 部门能够根据Active Directory存储的员工资讯，监控应用程式及相关内容。 User-ID允许管理者透过使用者与群组资料执行应用程式可视性、政策制定、日志记录与报表。这样的方式可以更精准的定位用户，并且对用户进行分组，对每个组采用不同的安全策略

Palo Alto 云沙箱防火墙产品，可以实时通过网络中的反恶意软件定义来分析已知和未知的威胁，防火墙将把可疑内容(包括DLL和EXE)提交到一个虚拟的云环境中，用70个行为配置文件样本做判断，以便检测出文件是否有恶意，防止网络内部被恶意软件所感染。