PaloAlto新一代信息安全防護解決方案

新一代網(wǎng)絡(luò)安全防護建議書PaloaltoNetworksInc.2013-2目錄第1章背景介紹 3第2章安全需求分析 42.1安全防護目標 42.2面臨問題及風險 4第3章企業(yè)網(wǎng)絡(luò)安全方案 53.1PAN的產(chǎn)品及網(wǎng)絡(luò)部署 53.1.1部署方式 53.1.2中央管理平臺實現(xiàn)集中管理 63.2PAN方案功能 73.2.1應用程序、用戶和內(nèi)容的可視化 73.2.2報告和日志記錄 103.2.3帶寬監(jiān)視和控制 113.2.4精細的網(wǎng)絡(luò)、應用策略控制 123.2.5一體化綜合的威脅防范能力 133.2.6網(wǎng)絡(luò)部署的靈活性 15第4章PaloAlto解決方案特色 164.1下一代安全防火墻的領(lǐng)先者-PaloAlto 164.2提供網(wǎng)絡(luò)高可視性與控制能力 184.3更加靈活的轉(zhuǎn)址功能(NAT) 194.4用戶行為控制 204.5提供SSL加密傳輸及穿墻軟件分析控管能力 224.6提供服務(wù)質(zhì)量（QoS）管理能力 224.7網(wǎng)絡(luò)用戶身份認證 234.8新一代軟硬件架構(gòu)確保執(zhí)行威脅防護時系統(tǒng)高效運行 244.9全新管理思維，提供靈活的安全策略 264.10強大的事件跟蹤、分析工具，多樣化的報表 274.11流量地圖功能 304.12靈活的工作部署模式與其它特色 314.13內(nèi)置設(shè)備故障應變機制 32第5章同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢 335.1應用程序識別、可視性及控制(App-ID) 335.2使用者識別(User-ID) 355.3內(nèi)容識別(Content-ID) 365.4單通道架構(gòu)(SP3) 375.5結(jié)論 39背景介紹近年來，隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而，伴隨著互聯(lián)網(wǎng)的正常應用流量，網(wǎng)絡(luò)上形形色色的異常流量也隨之而來，影響到互聯(lián)網(wǎng)的正常運行，威脅用戶及企業(yè)主機的安全和正常使用。同樣，隨著企業(yè)信息化的迅速發(fā)展，基于網(wǎng)絡(luò)的應用越來越廣泛，特別是企業(yè)內(nèi)部專網(wǎng)系統(tǒng)信息化的發(fā)展日新月異—如：網(wǎng)絡(luò)規(guī)模在不斷擴大、信息的內(nèi)容和信息量在不斷增長，網(wǎng)絡(luò)應用和規(guī)模的快速發(fā)展同時帶來了更大程度的安全問題，這些安全威脅以不同的技術(shù)形式同步地在迅速更新，并且以簡單的傳播方式泛濫，使得網(wǎng)絡(luò)維護者不得不對潛在的威脅進行防御及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，多種威脅技術(shù)的變化發(fā)展及威脅對企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求。安全需求分析網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)通信的重中之重，需通過網(wǎng)段隔離、安全防御、訪問控制等手段專網(wǎng)安全、網(wǎng)絡(luò)通暢，確保核心數(shù)據(jù)的傳輸。同時，也需要抵御黑客、病毒、惡意代碼等通過各種形式對網(wǎng)絡(luò)發(fā)起的惡意破壞和攻擊，特別是能夠抵御Ddos攻擊，防止由此導致網(wǎng)絡(luò)中斷。平臺安全除網(wǎng)絡(luò)應用安全隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入本專網(wǎng)的應用系統(tǒng)越來越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。數(shù)據(jù)安全面臨問題及風險隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入本專網(wǎng)的應用系統(tǒng)越來越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多。對整個系統(tǒng)和專網(wǎng)的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。而另一方面，Internet技術(shù)已得到廣泛使用，E-mail、Web2.0和終端PC的應用也日益普及，但同時病毒和黑客也日益猖獗，系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個非常緊迫的問題。企業(yè)網(wǎng)絡(luò)安全方案PAN的產(chǎn)品及網(wǎng)絡(luò)部署部署方式PaloAltoNetworks新一代安全防護網(wǎng)關(guān)，采用全新設(shè)計的軟/硬件架構(gòu)，可在不影響任何服務(wù)的前提下，以旁接模式接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中，協(xié)助網(wǎng)管人員進行環(huán)境狀態(tài)分析，并能將分析過程中各類信息進行整理后生成針對整體環(huán)境的「應用程序使用狀態(tài)及風險分析報表」（AVRReport）。在AVR報表中可清楚呈現(xiàn)所有客戶端行為與網(wǎng)絡(luò)資源使用狀態(tài)，更能進一步發(fā)現(xiàn)潛在安全風險，作為先行預防可能面臨的各種網(wǎng)絡(luò)威脅與安全策略調(diào)整的依據(jù)。 PaloAltoNetworks新一代安全防護網(wǎng)關(guān)也支持以透明模式運行，以便在不影響現(xiàn)有路由、地址轉(zhuǎn)換架構(gòu)下進行布署，還能做到協(xié)助原有安全設(shè)備（F/W,IDP,Proxy…）分析過去無法掌握的網(wǎng)絡(luò)使用行為、威脅攻擊等信息，使其逐步成為安全控管中心，方便IT部門重新評估現(xiàn)有安全設(shè)備效益從而進行架構(gòu)的調(diào)整，降低整體持有成本（TCO）。PaloAltoNetworks新一代安全防護網(wǎng)關(guān)，能支持路由、地址轉(zhuǎn)換等工作模式，主要用于首次或升級部署安全網(wǎng)關(guān)的環(huán)境。IT部門可于完成初期數(shù)據(jù)流內(nèi)容、行為模式分析及用戶數(shù)據(jù)庫整合后，依據(jù)分析的結(jié)果進行安全策略布署。 中央管理平臺實現(xiàn)集中管理在國家企業(yè)中心部署集中管理平臺，集中對國家及各個分支企業(yè)的PA設(shè)備進行統(tǒng)一的管理和集中的數(shù)據(jù)挖掘分析。PaloAltoNetworks下一代安全防護網(wǎng)關(guān)，除了內(nèi)建的Web管理接口、命令接口(CommandLineInterface,CLI)之外，總部還能額外建立中央管理系統(tǒng)-Panorama。Panorama具備與PA下一代安全網(wǎng)關(guān)設(shè)備內(nèi)建的Web管理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時的學習曲線。另外，Panorama具備管理者分權(quán)管理的功能，對于不同角色設(shè)定不同的管理權(quán)限，例如：分支企業(yè)管理者僅能針對被授權(quán)管理的設(shè)備或安全策略條目，執(zhí)行必要的管理功能，而總部管理部門則可集中制定整個企業(yè)的政策，并強制所有分支或下屬部門切實遵循。PaloAlto中央管理平臺Panorama，可提供全網(wǎng)完整的日志儲存與報表分析功能。PAN方案功能 Paloalto的下一代安全網(wǎng)關(guān)突破了傳統(tǒng)的防火墻和UTM的缺陷，從硬件設(shè)計和軟件設(shè)計上進一步強化了網(wǎng)絡(luò)及應用的安全性和可視性的同時保持應用層線速的特性。在網(wǎng)絡(luò)的應用可是想方面能夠?qū)崿F(xiàn)：應用程序、用戶和內(nèi)容的可視化管理員與對技術(shù)的了解程度日益增加的用戶和技術(shù)更先進且易于使用的應用程序之間正在進行一場你追我趕的競賽。由于管理員現(xiàn)有的工具無法為其提供有關(guān)網(wǎng)絡(luò)活動的最新信息，因而使得這場競賽的難度更大。利用PaloAlto新一代防火墻，管理員可使用一組功能強大的可視化工具來快速查看穿越網(wǎng)絡(luò)的應用程序、這些應用程序的使用者以及可能造成的安全影響。應用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定義的報告功能所提供的可視化功能使管理員能夠?qū)崿F(xiàn)更多與業(yè)務(wù)相關(guān)的安全策略。?應用程序命令中心(ACC)：這是一項無需執(zhí)行任何配置工作的標準功能，ACC以圖形方式顯示有關(guān)當前網(wǎng)絡(luò)活動（包括應用程序、URL類別、威脅和數(shù)據(jù)）的大量信息。如果ACC中出現(xiàn)一個新的應用程序，則單擊一次即可顯示該應用程序的描述、主要功能、行為特征、使用者以及使用該應用程序應遵循的安全規(guī)則。也可以添加更多的過濾器，從而了解有關(guān)單個用戶對應用程序的使用情況以及在應用程序通信中檢測到的威脅的詳細信息。只需短短幾分鐘時間的時間，ACC就可以為管理員提供所需的數(shù)據(jù)，供其做出更為合理的安全策略決定。?App-Scope：作為ACC提供的應用程序和內(nèi)容的實時視圖的補充，App-scope提供有關(guān)隨時間的推移而發(fā)生的應用程序、通信和威脅活動的用戶可自定義的動態(tài)視圖。?管理：為了適應不同的管理風格、要求和人員配備，管理員可以使用基于Web的界面、完全的命令行界面(CLI)或集中式管理解決方案(Panorama)來控制PaloAltoNetworks防火墻的各個方面。對于各類員工需要具有訪問管理界面的不同權(quán)限級別的環(huán)境，在所有這三種管理機制中均可通過使用基于角色的管理，將不同的管理職能委派給合適的個人。利用基于標準的Syslog和SNMP接口，可實現(xiàn)與第三方管理工具的集成。?日志記錄和報告：實時過濾功能可加快對穿越網(wǎng)絡(luò)的每個會話進行取證調(diào)查的速度?？赏耆远x和安排的預定義報告提供了有關(guān)網(wǎng)絡(luò)上的應用程序、用戶和威脅的詳細視圖。PAN產(chǎn)品以清楚易懂的形式查看應用程序活動。添加和刪除過濾器可了解有關(guān)應用程序、應用程序的功能以及應用程序的使用者的詳細信息。內(nèi)容和威脅可視化：以清楚易懂的形式查看URL、威脅和文件/數(shù)據(jù)傳輸活動。添加和刪除過濾器可了解有關(guān)各個元素的詳細信息。報告和日志記錄利用強大的報告和日志記錄功能，可以分析安全事件、應用程序使用情況以及通信流模式。?報告：既可以按原樣使用預定義報告，也可以對預定義報告進行自定義或組合為一個報告來滿足特定的要求。詳細的活動報告會顯示已使用的應用程序、訪問過的URL類別和網(wǎng)站以及給定用戶在指定期間內(nèi)訪問的所有URL的詳細報告。所有報告均可作為CSV或PDF格式導出，并且還可以按照計劃的時間通過電子郵件發(fā)送。?日志記錄：管理員只需單擊某個單元格值并/或使用表達式構(gòu)建器定義過濾條件，即可通過動態(tài)過濾功能來查看應用程序、威脅和用戶活動?？梢詫⑷罩具^濾結(jié)果導出到CSV文件中或發(fā)送到系統(tǒng)日志服務(wù)器，以供脫機歸檔或其他分析之用。?跟蹤會話工具：通過對與單個會話相關(guān)的通信、威脅、URL和應用程序的所有日志使用集中式關(guān)聯(lián)視圖，可加快取證調(diào)查或事件調(diào)查的速度。帶寬監(jiān)視和控制面對各式各樣的網(wǎng)絡(luò)應用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量控制管理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級的傳輸優(yōu)先權(quán)，并進行帶寬控管，用來確保重要應用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保障諸如語音通話服務(wù)質(zhì)量等主要應用，可獲得顯著用戶體驗。PaloAltoNetworks安全防護網(wǎng)關(guān)，支持多達八種的服務(wù)質(zhì)量控制分類，可依據(jù)網(wǎng)絡(luò)應用服務(wù)的重要性，予以劃分等級，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)瀏覽給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保障具有實時和主要的應用優(yōu)先被處理，而其余應用依然可以提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗。PaloAltoNetworks安全防護網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機制，還能顯示實時帶寬使用情況圖表，提供IT人員所需管理信息面對各式各樣具備建立加密通道的應用程序所帶來的安全威脅，PaloAlto安全防護網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬不斷增加，網(wǎng)絡(luò)架構(gòu)不斷擴充并復雜化，各種網(wǎng)絡(luò)應用的興起也逐漸取代過去人們習慣，性能管理加強了網(wǎng)絡(luò)的可視性與可靠性。異常流量?服務(wù)質(zhì)量(QoS)：通信流定型功能擴展了積極實現(xiàn)策略控制的功能，使管理員能夠允許占用大量帶寬的應用程序（如流媒體）運行，同時又保持業(yè)務(wù)應用程序的性能?？梢曰趹贸绦颉⒂脩?、時間表等強制實施通信流定型策略（保證、最大化和優(yōu)先級）。同時還支持Diffserv標記功能，允許下游或上游設(shè)備控制應用程序通信流。?實時帶寬監(jiān)視器：選定QoS類中的應用程序和用戶對帶寬和會話的使用量的實時圖形化視圖。精細的網(wǎng)絡(luò)、應用策略控制通過完整的可視性分析，可以啟用適當?shù)膽贸绦蚴褂貌呗酝ㄟ^即時了解穿越網(wǎng)絡(luò)的應用程序、這些應用程序的使用者和潛在的安全風險，管理員能夠輕松而迅速地做出適當?shù)捻憫獩Q定。利用這些數(shù)據(jù)點，管理員可以應用具有各種比允許或拒絕更為精細的響應的策略。策略控制響應包括：?允許或拒絕?允許，但會進行掃描以檢測病毒和其他威脅?允許（基于時間表、用戶或組）?解密和檢查?通過QoS應用通信流定型?應用基于策略的轉(zhuǎn)發(fā)?允許特定的應用程序功能?上述各項的任意組合通過使用具有熟悉的界面外觀和操作方式的策略編輯器，經(jīng)驗豐富的防火墻管理員可以快速創(chuàng)建靈活的防火墻策略，例如：?利用ActiveDirectory集成功能為銷售和市場營銷部門指定S和Oracle訪問權(quán)。?僅允許IT部門使用一組固定的管理應用程序，如SSH、Telnet和RDP。?阻止惡意應用程序，例如，P2P文件共享、繞道訪問和外部代理。?定義并強制使用企業(yè)策略，以允許和檢查特定的網(wǎng)絡(luò)郵件和即時消息用法。?使用基于策略的轉(zhuǎn)發(fā)強制Facebook應用程序通信通過特定路由傳遞。?控制單個應用程序內(nèi)的文件傳輸功能，從而允許使用應用程序但禁止傳輸文件。?識別文本形式或文件形式的敏感信息（如信用卡號或身份證號）的傳輸。?部署URL過濾策略，阻止訪問明顯與工作無關(guān)的網(wǎng)站，監(jiān)控可能存在問題的網(wǎng)站并“指導”如何訪問其他網(wǎng)站。?實施QoS策略以允許媒體和其他占用大量帶寬的應用程序，但限制這些應用程序?qū)I(yè)務(wù)關(guān)鍵應用程序的影響。通過使用PaloAltoNetworks的新一代防火墻，客戶可以部署積極的強制實施模型策略，以阻止惡意應用程序、掃描業(yè)務(wù)應用程序以檢測威脅并促進安全使用最終用戶應用程序。相比之下，基于IPS的解決方案只具有兩個選項（即允許或拒絕），這將限制以積極、可控且安全的方式使用應用程序的能力。策略創(chuàng)建：通過使用熟悉的界面外觀和操作方式，可以快速地創(chuàng)建和部署用于控制應用程序、用戶和內(nèi)容的策略。一體化綜合的威脅防范能力 對于置身于當今的以Internet為中心的網(wǎng)絡(luò)環(huán)境的IT部門而言，重新獲得對應用程序通信的可視化和控制只是解決了他們所面臨的部分網(wǎng)絡(luò)安全難題。對允許的應用程序通信進行檢測成為了下一個大的難題。這一難題可通過與防火墻無縫集成的威脅預防引擎來解決，該引擎將統(tǒng)一的簽名格式與基于流的掃描組合在一起，以單通道方式阻止漏洞攻擊、病毒和間諜軟件。入侵防御系統(tǒng)(IPS)：漏洞保護功能集成了一組豐富的入侵防御系統(tǒng)(IPS)功能，可阻止已知和未知的網(wǎng)絡(luò)層和應用程序?qū)勇┒垂簟⒕彌_ 區(qū)溢出、DoS攻擊及端口掃描危害和破壞企業(yè)信息資源。IPS機制包括： ?協(xié)議解碼器分析 ?狀態(tài)模式匹配 ?協(xié)議異常檢測 ?啟發(fā)式分析 ?統(tǒng)計數(shù)據(jù)異常檢測 ?IP合并和TCP重組 ?阻止無效的或錯誤格式的數(shù)據(jù)包 ?自定義漏洞簽名網(wǎng)絡(luò)防病毒：內(nèi)聯(lián)的防病毒保護功能將在網(wǎng)關(guān)處檢測和阻止大多數(shù)類型的惡意軟件。防病毒保護功能利用統(tǒng)一的簽名格式和基于流的引擎來保護企業(yè)免受數(shù)百萬種的惡意軟件的侵擾。基于流的掃描可幫助保護網(wǎng)絡(luò)，而不會造成顯著的延遲。使用依賴于基于代理的掃描的其他網(wǎng)絡(luò)AV技術(shù)會出現(xiàn)此問題。此外，基于流的引擎可執(zhí)行內(nèi)聯(lián)解壓縮，從而使企業(yè)可防范經(jīng)過壓縮的威脅。而且，由于PaloAltoNetworks新一代防火墻能夠按策略對SSL進行解密，還可以讓組織防范通過受感染的SSL加密的應用程序傳播的惡意軟件。URL過濾：完全集成且可自定義的URL過濾數(shù)據(jù)庫收集了76個類別的2000多萬個URL，管理員可以利用它應用精細的網(wǎng)絡(luò)瀏覽策略，同時配合應用 程序可視化和控制策略，幫助企業(yè)防范各種法律、法規(guī)和生產(chǎn)風險?？?以創(chuàng)建自定義策略，以便對原始URL過濾數(shù)據(jù)庫進行補充并滿足獨特 的客戶需求。為了適應本地用戶社區(qū)的通信模式，還可以利用一個收集 有一百萬個URL的單獨的動態(tài)緩存數(shù)據(jù)庫（從一個收集有一億八千萬 個URL的托管數(shù)據(jù)庫生成）來擴充原始的過濾數(shù)據(jù)庫。數(shù)據(jù)過濾：利用數(shù)據(jù)過濾功能，管理員能夠?qū)嵤┮恍┎呗砸越档团c傳輸基于類型的未經(jīng)授權(quán)的文件（與僅查看文件擴展名相對）和機密數(shù)據(jù)模式（信用卡號和身份證號）相關(guān)的風險。網(wǎng)絡(luò)部署的靈活性靈活的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括動態(tài)路由、交換、高可用性和VPN支持，使得幾乎可以在任何網(wǎng)絡(luò)環(huán)境下進行部署。?交換和路由：結(jié)合基于區(qū)域的安全性的L2、L3和混合模式支持使得可以在各種網(wǎng)絡(luò)環(huán)境中進行部署。對于L2和L3，支持使用動態(tài)路由協(xié)議（BGP、OSPF和RIP）和完全802.1QVLAN。?虛擬連接：在邏輯上將兩個端口綁定到一起，不通過任何交換或路由而將一個端口的所有通信流傳遞到另一個端口，這樣可以在不影響周邊設(shè)備的情況下，實現(xiàn)全面的檢查和控制。?基于策略的轉(zhuǎn)發(fā)：基于應用程序定義的策略、源區(qū)域/界面、源/目標地址、源用戶/組和服務(wù)轉(zhuǎn)發(fā)通信。?虛擬系統(tǒng)：作為一種向特定部門或客戶提供支持的方式，在單個設(shè)備中創(chuàng)建多個虛擬“防火墻”。每個虛擬系統(tǒng)均可以包含專用的管理帳戶、界面、網(wǎng)絡(luò)配置、安全區(qū)域和針對關(guān)聯(lián)網(wǎng)絡(luò)通信的策略。?主動/被動高可用性：完全支持配置和會話同步的毫秒故障轉(zhuǎn)移。?IPv6:對于使用IPv6的應用程序，支持完全的應用程序可視化、控制、檢查、監(jiān)控和日志記錄功能（僅限虛擬連接模式）。?巨型幀（僅PA-4000系列）：支持巨型幀（最多9,216個字節(jié)）。PaloAlto解決方案特色下一代安全防火墻的領(lǐng)先者-PaloAltoPaloAlto成立于2005年，具有世界級團隊，有來自業(yè)內(nèi)的安全和網(wǎng)絡(luò)界精英成立的公司，目前在全球有50多個國家為上千家大型客戶提供7*24小時的專業(yè)服務(wù)。防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強化網(wǎng)絡(luò)的安全性，是實施安全策略的最有效位置。不過，傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，這樣導致精心設(shè)計的應用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過它們；例如，可以利用跳端口技術(shù)、使用SSL、利用80端口秘密侵入或者使用非標準端口來繞過這些防火墻。由此帶來的可視化和控制喪失會使管理員處于不利地位，失去應用控制的結(jié)果會讓企業(yè)暴露在商業(yè)風險之下，并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運營維護成本增加和可能丟失數(shù)據(jù)等風險。用于恢復可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進程）的不足，均無法解決可視化和控制問題。現(xiàn)在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻正是我們所需的。Gartner早在2009的研究報告中通過對目前市場的分析，說明對于需要規(guī)劃和升級傳統(tǒng)FW/IPS/UTM的用戶提出明確的建議，建議用戶應采用或更新為”新一代防火墻”(NextGenerationFirewall,NGFW)架構(gòu)，理由很簡單傳統(tǒng)的防火墻遠遠不能適合現(xiàn)在IT變遷的新的形勢：傳統(tǒng)的防火墻+IPS不能解決應用的可視性和精細控制的問題傳統(tǒng)的防火墻+UTM會帶來性能的瓶頸問題而權(quán)衡新一代防火墻必須五大要素： ? 識別應用程序而非端口。準確識別應用程序身份，檢測所有端口，而 且不論應用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應用程 序的身份構(gòu)成所有安全策略的基礎(chǔ)。（識別七層或七層以上應用） ?識別用戶，而不僅僅識別IP地址。利用企業(yè)目錄中存儲的信息來執(zhí) 行可視化、策略創(chuàng)建、報告和取證調(diào)查等操作。 ?實時檢查內(nèi)容。幫助網(wǎng)絡(luò)防御在應用程序通信流中嵌入的攻擊行為和 惡意軟件，并且實現(xiàn)低延遲和高吞吐速度。 ?簡化策略管理。通過易用的圖形化工具和策略編輯器（可通過統(tǒng)一的 方式將應用程序、用戶和內(nèi)容結(jié)合在一起）來恢復可視化和控制。 ?提供數(shù)千兆位的數(shù)據(jù)吞吐量。在一個專門構(gòu)建的平臺上結(jié)合高性能硬 件和軟件來實現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能（在啟用所有 服務(wù)的情況下）。PaloAlto應用防火墻完全符合Gartner對下一代防火墻的定義；以APP-ID、User-ID及Content-ID三種獨特的識別技術(shù)，提供以統(tǒng)一策略方式對使用者/群組、應用程序及內(nèi)容，做到完善的訪問控制、安全管理及帶寬控制。此創(chuàng)新的技術(shù)建構(gòu)于“單通道平行處理(SP3)”先進的硬件+軟件系統(tǒng)架構(gòu)下，實現(xiàn)低延遲及高效率的特性，解決傳統(tǒng)FW+IPS+UTM對應用處理效能不佳的現(xiàn)況。PaloAltoNetworks新一代安全網(wǎng)關(guān)實現(xiàn)了對應用程序和內(nèi)容的前所未有的可視化和控制（按用戶而不僅僅是按IP地址），并且速度可以高達10Gbps。PaloAltoNetworks的新一代防火墻基于正在申請專利的App-ID?技術(shù)，可以精確地識別應用程序（而不論應用程序使用何種端口、協(xié)議、規(guī)避策略或SSL加密）并掃描內(nèi)容來阻止威脅和防止數(shù)據(jù)泄露。通過使用PaloAltoNetworks，企業(yè)第一次可以擁有新一代應用程序并從中受益，同時維持完全的可視化和控制。新一代防火墻為今日的企業(yè)提供應用程序的可見度和控制，同時掃描應用程序內(nèi)容檢測潛在的威脅，讓企業(yè)能夠更有效地管理風險。企業(yè)需要能夠滿足下列關(guān)鍵需求的新一代防火墻：*無論使用哪一種通訊協(xié)議、SSL加密或規(guī)避戰(zhàn)術(shù)，都能識別跨越所有連接端口的應用程序。*針對內(nèi)嵌于應用程序傳輸流量中的攻擊和惡意軟件進行實時防護。*使用強大的可視化工具和統(tǒng)合原則編輯器，簡化原則的管理。*部署時，在不降低性能的情況下，提供數(shù)GB的數(shù)據(jù)傳輸。PaloAltoNetworks新一代防火墻解決了狀態(tài)檢測傳統(tǒng)防火墻漏洞的主要“缺陷”，提供IT部門對應用程序、使用者和內(nèi)容應有的策略性、可視度和控制。提供網(wǎng)絡(luò)高可視性與控制能力PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護網(wǎng)關(guān)可以對網(wǎng)絡(luò)中傳輸?shù)膽贸绦蚝陀脩暨M行深度識別并進行內(nèi)容的分析，提供完整的可視度和控制能力，針對客戶端常見IM（MSN/Yahoo/QQ…）、P2P（Foxy/Bit-Torrent/eMule…）與社區(qū)社群工具（Facebook）等各種行為的控制管理與記錄審計PaloAltoNetworks新一代網(wǎng)絡(luò)安全防護網(wǎng)關(guān)，以APP-ID、User-ID及Content-ID三種獨特的識別技術(shù),提供對用戶/群組、應用程序及內(nèi)容的高速全面的訪問控制、安全管理及帶寬控制。應用程序識別（App-ID）無論使用什么連接端口、通訊協(xié)議、SSL加密或具備多種隱藏手段的特性，能夠識別超過1,100種以上客戶端常見應用程序。圖形化可視性工具可以容易并直接檢測和透視應用程序的傳輸流量。細顆粒化控制可以封鎖不良的應用程序并控制良好的應用程序。用戶身份識別（User-ID）通過與常見用戶數(shù)據(jù)庫緊密整合(AD、Radius等)，有效配合安全策略進行各項精確管理通過網(wǎng)絡(luò)準入認證，控制客戶端訪問權(quán)限內(nèi)容識別（Content-ID）病毒、間諜軟件和系統(tǒng)可被攻擊的弱點的防護，限制未經(jīng)授權(quán)的文件傳輸和敏感性數(shù)據(jù)傳輸(如：信用卡號碼、個人身份信息)，并控制與工作無關(guān)的網(wǎng)絡(luò)瀏覽更加靈活的轉(zhuǎn)址功能(NAT)PaloAltoNetworks網(wǎng)絡(luò)安全防護網(wǎng)關(guān)，提供完整的IP地址轉(zhuǎn)址，除可依據(jù)來源、目的IP地址做轉(zhuǎn)址外，更能依據(jù)使用之傳輸協(xié)議，提供端口轉(zhuǎn)換(PAT)功能，可輕易解決目前IP地址不足的情況。傳統(tǒng)NAT服務(wù)，僅能利用單一或少數(shù)外部IP地址，提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用，其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過少，當內(nèi)部有不當使用行為發(fā)生，致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后，將造成內(nèi)部網(wǎng)絡(luò)用戶無法存取因特網(wǎng)資源。PaloAltoNetworks安全防護網(wǎng)關(guān)，特別針對此類情形，提供具有多對多（Many-To-Many）特性的地址轉(zhuǎn)換服務(wù)功能，讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換，避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng)，再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。PaloAltoNetworks安全防護網(wǎng)關(guān)提供多樣化NAT轉(zhuǎn)址功能用戶行為控制PaloAltoNetworks安全防護網(wǎng)關(guān)，具備多達1,100種以上應用程序識別能力，并且每周持續(xù)發(fā)布新增與更新的應用程序識別簽名碼，并針對每種應用程序提供豐富的說明信息，有助于在管理者使用時，制定更為嚴謹有效的安全策略。PaloAltoNetworks安全防護網(wǎng)關(guān)廣泛應用程序識別能力，還可將無法控制管理的無線網(wǎng)絡(luò)用戶，納入集中的控制管理。無線網(wǎng)絡(luò)，主要著眼于提供特殊便捷的訪問服務(wù)，也提供來訪賓客可隨時上網(wǎng)查詢數(shù)據(jù)之用，對于各種濫用資源的應用行為（如：P2P、在線視頻、上傳文件到網(wǎng)絡(luò)硬盤），可以進行阻斷并產(chǎn)生安全事件日志記錄。徹底杜絕現(xiàn)行各種資源濫用行為，可以對無線網(wǎng)絡(luò)使用情況，提供最為詳細豐富的用戶使用數(shù)據(jù)。PaloAltoNetworks防護網(wǎng)關(guān)已可識別1,100余種應用程序現(xiàn)有無線或LAN網(wǎng)絡(luò)控制設(shè)備，連接至PaloAltoNetworks安全防護網(wǎng)關(guān)，利用完善的安全控管機制，可針對所有無線或LAN網(wǎng)絡(luò)用戶，做到限制P2P文件傳輸、免費網(wǎng)絡(luò)硬盤存取、在線視頻的使用，大幅改善無線網(wǎng)絡(luò)頻寬不足的瓶頸，并提升無線網(wǎng)絡(luò)安全等級提供SSL加密傳輸及穿墻軟件分析控管能力面對各式各樣具備建立加密通道的應用程序所帶來的安全威脅，PaloAlto安全防護網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。同時支持雙向（Inbound/Outbound）加密數(shù)據(jù)分析提供服務(wù)質(zhì)量（QoS）管理能力面對各式各樣的網(wǎng)絡(luò)應用服務(wù)及語音通話服務(wù)的需求，PaloAltoNetworks安全防護網(wǎng)關(guān)具備優(yōu)異的服務(wù)質(zhì)量控制管理能力，可依據(jù)網(wǎng)絡(luò)服務(wù)的類型制定不同等級的傳輸優(yōu)先權(quán)，并進行帶寬控管，用來確保重要應用服務(wù)享有較高傳輸優(yōu)先權(quán)與最佳的傳輸帶寬，從而保障諸如語音通話服務(wù)質(zhì)量等主要應用，可獲得顯著用戶體驗。PaloAltoNetworks安全防護網(wǎng)關(guān)，支持多達八種的服務(wù)質(zhì)量控制分類，可依據(jù)網(wǎng)絡(luò)應用服務(wù)的重要性，予以劃分等級，例如：語音通話服務(wù)，劃分享有最高優(yōu)先權(quán)分類、網(wǎng)頁數(shù)據(jù)瀏覽給予次高優(yōu)先權(quán)分類、至于電子郵件傳輸則可給予最低優(yōu)先權(quán)分類，從而保障具有實時和主要的應用優(yōu)先被處理，而其余應用依然可以提供良好服務(wù)，從而提升用戶的上網(wǎng)體驗。PaloAltoNetworks安全防護網(wǎng)關(guān)，可提供優(yōu)異的QoS控管機制，還能顯示實時帶寬使用情況圖表，提供IT人員所需管理信息面對各式各樣具備建立加密通道的應用程序所帶來的安全威脅，PaloAlto安全防護網(wǎng)關(guān)，內(nèi)置高效硬件芯片用于分析加密通道的內(nèi)容及行為，并且絲毫不影響設(shè)備整體性能。隨著網(wǎng)絡(luò)的帶寬不斷增加，網(wǎng)絡(luò)架構(gòu)不斷擴充并復雜化，各種網(wǎng)絡(luò)應用的興起也逐漸取代過去人們習慣，性能管理加強了網(wǎng)絡(luò)的可視性與可靠性。異常流量網(wǎng)絡(luò)用戶身份認證管理龐大網(wǎng)絡(luò)，最沉重的負擔在于使用者身份的確認和身份的不可否認性，目前對于無線網(wǎng)絡(luò)用戶，采取強制認證方式，以辨別使用者身分并予以記錄，然而對于龐大的LAN有線網(wǎng)絡(luò)使用者，納入身份確認機制體系。PaloAltoNetworks安全防護網(wǎng)關(guān)，本身即支持與RADIUS、LDAP與AD等使用者身份確認機制，所有用戶上網(wǎng)需通過本安全網(wǎng)關(guān)傳送所有使用流量，因此，利用其內(nèi)置的網(wǎng)頁認證機制，提供可行方案。PaloAltoNetworks安全防護網(wǎng)關(guān)，可利用現(xiàn)有郵件服務(wù)器賬號，做為認證的身份賬號，使用者僅需輸入郵件賬號之密碼，即可輕松完成認證過程。由于提供了優(yōu)異的應用程序識別、入侵偵測防御及病毒攻擊防護能力，可提供截然不同于以往的網(wǎng)絡(luò)使用感受，提升使用者的上網(wǎng)體驗。PaloAltoNetworks安全防護網(wǎng)關(guān)，可啟用強制網(wǎng)頁身份認證機制，讓LAN網(wǎng)絡(luò)用戶，一樣必須經(jīng)過身分認證后，才能存取內(nèi)外的網(wǎng)絡(luò)資源LAN網(wǎng)絡(luò)用戶通過認證后，依然受到安全策略。同時安全政策也能依照使用者名稱來制定，而非傳統(tǒng)的IP地址新一代軟硬件架構(gòu)確保執(zhí)行威脅防護時系統(tǒng)高效運行采用全新設(shè)計的分離式硬件架構(gòu)，將控制接口與數(shù)據(jù)傳輸接口區(qū)分開來，另外，所有威脅防御掃描引擎皆為PaloAltoNetworks自行開發(fā)，確保整體效能可維持在高水平的要求，徹底解決過去傳統(tǒng)UTM性能差的問題。安全威脅防護概述透過PaloAltoNetworks的單通道架構(gòu)，采用自行開發(fā)的硬件掃描引擎，從而保障系統(tǒng)高效運行，避免了其它廠家面臨威脅防護效率及性能低的問題，威脅防護包含了執(zhí)行檢測并封鎖病毒、間諜軟件、惡意程序、應用程序與系統(tǒng)可入侵的弱點等。威脅防護引擎結(jié)合一致的簽名庫和串流式掃描，只要檢查一次輸送流量，就能在單通道中同時檢測和封鎖所有惡意軟件的行為。安全威脅防護-入侵防御功能說明PaloAltoNetworks的入侵檢測防御機制，安全領(lǐng)域頂尖研究人才設(shè)計和研究成果，在產(chǎn)品上市至今已獲得市場認同。Microsoft系統(tǒng)安全記錄全球知名IPS認證機構(gòu)NSSLab指名肯定針對常見攻擊手法阻擋率高達93.4%全球排名第一安全威脅防護-病毒、惡意程序掃描功能說明不同于過去傳統(tǒng)安全設(shè)備，使用第三方（外部技術(shù)）掃描引擎，因成本昂貴、更新速度過慢，導致對于各種病毒之變形后的行為，難以檢測、阻擋及啟用后性能低等問題，PaloAltoNetworks自行開發(fā)高效能硬件掃描引擎，并使用新一代單通道并行處理技術(shù)，其性能遠高于其它防毒設(shè)備，尤其是當所有檢查功能開啟時更能明顯分辨效能之差異。NetworkWorld針對各大廠牌設(shè)備進行效能測試全新管理思維，提供靈活的安全策略除具備原有設(shè)定參數(shù)外（Layer3~4），更進一步提供針對特定使用者、群組、應用程序等參數(shù)進行設(shè)定，以提升安全策略精確度，同時也符合相關(guān)合規(guī)（ISO27001,PCI…對于使用者及應用程序的安全管理）。安全策略數(shù)量可望減少（以往進行應用程序控制管理可能要設(shè)定多條安全策略）安全策略維護工作大幅降低（應用程序數(shù)據(jù)庫自動定期更新）提供安全審計工具，以利快速分析設(shè)備安全政策使用狀態(tài)，提升管理效率全面提升安全策略精確度、彈性、和配置的簡易型，同時降低維護成本強大的事件跟蹤、分析工具，多樣化的報表事件分析、分析工具PaloAltoNetworks安全防護網(wǎng)關(guān)，內(nèi)建強大的可視化工具，可提供IT人員目前網(wǎng)絡(luò)上的應用程序、使用者，以及應用程序造成的潛在安全威脅。應用程序指揮中心(ACC)ACC以圖形化的方式顯示在網(wǎng)絡(luò)上運行的應用程序、安全威脅等信息。ACC不像其它解決方案用難以理解的格式顯示數(shù)據(jù)，它提供IT人員數(shù)種量身訂做的方式，檢視目前的活動，以達成上網(wǎng)行為記錄和過濾的目的。可根據(jù)下列常見需求進行資料搜尋與分析：? 依據(jù)風險、類別、子類別或基礎(chǔ)技術(shù)展示應用程序數(shù)據(jù)? 根據(jù)間諜軟件、可入侵的弱點和病毒展示威脅活動? 數(shù)據(jù)篩選功能會顯示在網(wǎng)絡(luò)上傳輸?shù)奈募?shù)據(jù)若要深入了解在網(wǎng)絡(luò)傳輸?shù)膽贸绦蚝桶踩{，IT人員可以通過新增或刪除篩選條件來過濾ACC數(shù)據(jù)，找出想要的結(jié)果。例如：選取特定應用程序會顯示應用程序名稱、使用者、傳輸數(shù)據(jù)量、來源與目的IP地址、以及來源/目的國家等詳細數(shù)據(jù)。您可以增加其它篩選條件，以深入了解個別使用者行為、傳送/接收傳輸數(shù)據(jù)量、潛在安全威脅以及傳輸?shù)奈募驍?shù)據(jù)類型。集中化的事件分析界面（ACC）強大的查詢與分析能力事件記錄與報表PaloAltoNetworks安全防護網(wǎng)關(guān)內(nèi)建提供30種以上分析報表，并可依據(jù)需求進行下列動作：—定制報告：建立定制報告，從任何記錄數(shù)據(jù)庫取出數(shù)據(jù)或修改一份預先定義（約30種預設(shè)報表）的報告。—導出報告：將任何預先定義或自訂的報告匯出至CSV或PDF。任何PDF報告可以依照排定的時間使用電子郵件傳送?！獔蟾妫簭娜魏晤A先定義或定制報告取出數(shù)據(jù)可以產(chǎn)生定制的單頁摘要，并可以依照排定的時間以電子郵件傳送。—導出記錄：將任何符合目前篩選的記錄匯出至CSV檔案，以供離線保存或其它分析。中央管理平臺PanoramaPaloAltoNetworks安全防護網(wǎng)關(guān)本身即具有160GB硬盤儲存空間，另外還能選購中央管理系統(tǒng)Panorama，來集中管理配置安全防護網(wǎng)關(guān)，并且能做為集中儲存所有安全防護網(wǎng)關(guān)上的安全事件日志，其支持儲存容量高達2TB。Panorama具備與設(shè)備內(nèi)建的Web管理接口相同的外觀與操作方式，可減少IT人員在轉(zhuǎn)換操作接口時的學習復雜性。除了相同的外觀與操作方式，Panorama同樣提供了上述內(nèi)建的30余種報表及各種安全事件分析能力，IT人員需透過Panorama，即能完成各項管理與分析工作。另外，Panorama更具備管理者分權(quán)管理功能，可給予不同管理者設(shè)定不同的權(quán)限，例如：分支機構(gòu)管理者僅能管理被授權(quán)管理的設(shè)備或安全策略項，執(zhí)行必要的管理功能，而總部IT人員，則可集中制定整體的安全策略，并強制派送安全策略到所有分支，確保安全策略被切實遵循。中央管理平臺Panorama，可提供更為完整的Log儲存與報表分析功能，而且操作的用戶接口一致，無須額外學習流量地圖功能利用內(nèi)建全世界公共IP記錄屬地功能，提供更直覺的數(shù)據(jù)流向分析；并與連結(jié)ACC分析工具以簡化管理工作。流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面靈活的工作部署模式與其它特色PaloAltoNetworks安全防護網(wǎng)關(guān)，嶄新的軟/硬件設(shè)計架構(gòu)，可同時支持旁聽、透通模式與Layer3模式等三種工作模式，IT人可在不造成網(wǎng)絡(luò)中斷的前提下，進行網(wǎng)絡(luò)狀況分析，大幅縮短故障檢測時間。彈性布署能力，可擴大網(wǎng)絡(luò)防御縱深與廣度管理功能為了適應網(wǎng)絡(luò)安全性的動態(tài)性質(zhì)以及各種管理類型和角色，每位管理員必須有可以控制所有PaloAltoNetworks安全防護網(wǎng)關(guān)的命令列接口(CommandLineInterface,CLI)、GUI網(wǎng)絡(luò)接口或集中式管理解決方案(Panorama)。搭配量身訂做的角色，只針對每位管理者的必要管理功能提供存取。Panorama和網(wǎng)關(guān)本身擁有相同的外觀和操作方式，因此可減少通常與個別裝置管理接口轉(zhuǎn)移到集中式接口相關(guān)的學習復雜性?；楣δ馨踩呗跃邆浠楣芾砉δ埽芎Y選出未被使用的安全策略，供IT人員評估是否進行刪除或停用等處理，以提升管理效率。設(shè)備預設(shè)可儲存100份以上歷史配置，搭配版本控制概念進行管理，同時提供差異分析以利于管理、稽核人員執(zhí)行定期維護工作。內(nèi)置設(shè)備故障應變機制硬件式旁路By-pass處理裝置（HardwareByPassSwitch）PaloAltoNetworks安全防護網(wǎng)關(guān)，做為連接網(wǎng)絡(luò)出口端的網(wǎng)關(guān)設(shè)備，采用硬件式旁路處理裝置，確保本校網(wǎng)絡(luò)服務(wù)最高可用性。硬件旁路處理裝置，會自動監(jiān)測所連接的PaloAltoNetworks安全防護網(wǎng)關(guān)連結(jié)狀況，一旦發(fā)現(xiàn)連結(jié)出現(xiàn)異常，將自動把所有網(wǎng)絡(luò)流量經(jīng)由旁接線路進行傳送，不再通過PaloAltoNetworks安全防護網(wǎng)關(guān)。同傳統(tǒng)防火墻以及UTM產(chǎn)品的優(yōu)勢PaloAlto新一代防火墻(NGFW)讓企業(yè)能真正識別和控制各種應用程序、使用者對內(nèi)容的訪問，而不僅僅是IP地址、通訊端口、和封包。PaloAlto使用三種獨特的識別技術(shù)：App-ID、UserID與Content-ID；這幾種識別技術(shù)讓企業(yè)真正可以依據(jù)商務(wù)應用需求設(shè)定信息安全政策，可以針對特定部門或組織開放某些應用服務(wù)，而不是像傳統(tǒng)防火墻或Proxy，只能針對通訊端口全部開放或是全部阻擋。在許多客戶應用案例上，PaloAlto新一代防火墻這些創(chuàng)新的技術(shù)，讓客戶可以不用再堆疊使用一些＂防火墻的輔助系統(tǒng)＂，像是URLfilter、AV、ProxyServer。傳統(tǒng)防火墻為了滿足企業(yè)的需求，需要搭配部署其它設(shè)備，PaloAlto新一代防火墻可以很簡單地修正傳統(tǒng)防火墻的缺點，符合現(xiàn)今網(wǎng)絡(luò)應用的需求。應用程序識別、可視性及控制(App-ID)現(xiàn)今有許多應用程序是以網(wǎng)頁應用服務(wù)方式呈現(xiàn)的，所使用的通訊端口是80或443。此外，許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應用程序時透過這些通訊端口，以規(guī)避傳統(tǒng)防火墻的阻擋。傳統(tǒng)防火墻把透過這兩個通訊端口傳輸?shù)姆?wù)都當成網(wǎng)頁服務(wù)(HTTP或SSL)，因此無法了解并控制在網(wǎng)路上使用的應用程序。為了改進防火墻，讓防火墻具備這樣的訪問控制能力，PaloAlto發(fā)展出App-ID的技術(shù)，App-ID可以準確的識別應用程序，無論這應用程序是否透過網(wǎng)頁服務(wù)、SSL加密或其它規(guī)避技術(shù)。這讓防火墻的策略建立可以依據(jù)應用程序，而不像傳統(tǒng)防火墻只可以針對遠程服務(wù)器的通訊端口來控制。這是新一代防火墻的核心功能，而不是在防火墻上面再疊加堆棧其它控制引擎。要特別說明，App-ID不像其它proxy-based防火墻需要改寫封包內(nèi)容，因此，PaloAlto防火墻也沒有對應用服務(wù)封包修改的問題，當然也沒有常見于proxy功能防火墻的性能問題。此外，PaloAlto防火墻也不像proxy-based防火墻，需要去修改使用者之瀏覽器設(shè)定?！皯贸绦颍]有工業(yè)標準的定義，因此有必要對它進行說明。在PaloAlto防火墻的文義中，應用程序是一個能夠被偵測、監(jiān)控或控制的特定程序或程序的一部分。例如，F(xiàn)acebook是一種應用程序，交談(FaceChat)也是一種應用程序。對PaloAlto防火墻而言，這些應用程序能獨立地被偵測、監(jiān)控或控制，是此也是防火墻的核心功能，但在傳統(tǒng)防火墻而言，這二者同一個HTTP會話。iGoogle網(wǎng)頁服務(wù)是另外一個很好的例子，可以用來說明使用App-ID技術(shù)的PaloAlto防火墻與傳統(tǒng)port-based防火墻之區(qū)別。依據(jù)使用者于個人iGoogle的首頁增加哪個工具集(如：Gmail)而定，此首頁可以啟動多個“應用程序＂，對傳統(tǒng)Firewall,proxy,webfiltering設(shè)備而言，看見的是單一網(wǎng)頁的會話，但PaloAlto防火墻將之視為多個應用程序。PaloAlto防火墻采用核心的App-ID技術(shù)所能達到的功能，舉例如下：允許使用WebEx視訊會議功能，但不允許使用者分享他們的計算機桌面允許使用Facebook，但不允許使用其的應用程序(如：開心農(nóng)場)、交談、電子郵件允許存取推特(Twitter)，但只能看跟他們公司相關(guān)的內(nèi)容或更新的訊息允許連上YouTube，但是只能看具有特定標簽(類別)的影片允許使用實時通訊軟件(InstantMessenger，如MSN)，但不允許文件傳輸提供ACC(ApplicationCommandCenter)工具，可以檢視應用程序的使用狀態(tài)，例如帶寬、會話(Session)數(shù)量、連接來源(使用者名稱與/或IP地址)、連接目的(使用者名稱與/或IP地址)、連接來源／目的國家等可識別與阻擋一些透過80和443這兩個通訊端口匿名存取互聯(lián)網(wǎng)或規(guī)避傳統(tǒng)防火墻的“跳墻”應用程序，如Ultrasurf(無界),tor,cgiproxy以應用程序為基礎(chǔ)實施QoS，在網(wǎng)路繁忙時得以確保關(guān)鍵應用程序的執(zhí)行效率使用者識別(User-ID) PaloAltoNetworks的User-ID技術(shù)，提供一個使用者層面的可視性與控制，這是傳統(tǒng)防火墻所欠缺的。透過整合MicrosoftAD等認證系統(tǒng)，PAN防火墻的管理者可針對域使用者與/或使用者群組進行策略制定。此外，通過與AD的無縫整合，IP地址與使用者／群組信息之間可以動態(tài)對應，因此系統(tǒng)日志、報表、ACC均包含使用者信息。 在Citrix與終端機服務(wù)環(huán)境，User-ID技術(shù)可以把各別使用者與他們的網(wǎng)絡(luò)活動進行關(guān)聯(lián)，這解決了使用者通過遠程桌面連接到終端機服務(wù)器的問題，實際上這個應用很普及，例如，把終端機服務(wù)服務(wù)器當做“跳板＂，如此一來，可以幫助IT人員識別連接的真正來源端是誰，因為所有連線均顯示來自終端機服務(wù)器的IP地址。由于可以識別使用者的網(wǎng)路活動，企業(yè)可以依據(jù)使用者及用戶組進行監(jiān)看與控制應用程序及內(nèi)容。 PaloAlto防火墻采用User-ID技術(shù)所能達到的功能，舉例如下：只允許AD的“信息安全＂群組成員可以通過SSH存取內(nèi)部管理的網(wǎng)路只允許AD的“管理階層＂群組成員在非關(guān)鍵任務(wù)的網(wǎng)段可以連接觀賞影片只允許AD的“Linux管理者＂群組成員使用BT下載軟件，因為他們需要下載Linux的ISO文件可識別統(tǒng)計P2P應用程序的前100名使用者可識別連接特定國家(如中國)的使用者可識別感染Conficker病毒的使用者可識別賬號為“張三”的使用者透過遠程桌面登入Windows主機時使用過的應用程序及網(wǎng)站，即使有其它使用者同時也登入相同主機(來自單一來源IP地址)針對特定使用者，生成使用者活動報表，包含所有執(zhí)行過的應用程序、連接訪問過的網(wǎng)站及網(wǎng)站分類、特定的網(wǎng)址整合AD網(wǎng)域進行使用者賬號與IP地址的對應時