Palo Alto 新世代 AP 防火牆

防火牆是企業網路安全性的中心，也是強化安全性原則的理想位置。不過因為傳統防火牆仰賴連接埠和通訊協定來分類傳輸流量，今日的網際網路應用程式可以輕易繞過它們；在連接埠間轉換、使用 SSL 、暗中跨過連接埠 80 或使用通常會保持開啟的非標準連接埠。失去應用程式控制的結果讓企業暴露在商業風險之下，包括網路斷線時間、增加營運費用以及未經授權傳輸資料造成的資料流失。

新一代的防火牆為今日的企業恢復應用程式的可見度和控制，同時掃描應用程式內容偵測威脅，讓組織能夠更有效地管理風險。企業需要能夠滿足下列關鍵需求的新一代防火牆：

• 無論使用哪一種通訊協定、 SSL 加密或規避戰術，都能識別跨越所有連接埠的應用程式。
• 針對內嵌於應用程式傳輸流量中的攻擊和惡意軟體進行即時防護。
• 使用強大的視覺化工具和統合原則編輯器，簡化原則的管理。
• 內置部署時，在不降低效能之下提供數 GB 的輸送量。

Palo Alto Networks TM 新一代的防火牆，解決了會造成狀態檢測傳統防火牆漏洞的主要缺點，提供 IT 部門對應用程式、使用者和內容應有的策略性可視度和控制。

識別技術： Palo Alto Networks 新世代防火牆背後的強大能力

Palo Alto Networks 的新一代防火牆系列，使用三種獨特的識別技術對應用程式、使用者和內容提供原則式可見度和控制，這三種技術是： App-ID 、 User-ID 和 Content-ID 。

App-ID

是一項專利申請中的傳輸流量分類技術，此技術使用高達四種不同的辨識技術，可以確認哪個應用程式在網路上周遊。然後使用應用程式識別碼為基礎，進行所有原則決策，包括適當的用途和內容檢查等。

• 應用程式通訊協定偵測與解密： App-ID 憑藉深厚的應用程式通訊協定知識，可以識別正在使用的通訊協定以及是否使用 SSL 加密。解密已加密的傳輸流量，根據原則進行檢查，再重新加密並傳送往目的地。
• 應用程式通訊協定解碼： 通訊協定解碼器會判斷應用程式是否使用通訊協定做為一般應用程式傳輸或是混淆的技術，它們會協助盡量縮小應用程式的範圍，並在套用簽章時提供有價值的內容。解碼器也會識別應該掃描威脅或敏感資料的檔案和其他內容。
• 應用程式簽章： 內容式簽章會尋找獨特的應用程式屬性以及相關的交易特性，無論正在使用哪一種通訊協定及連接埠的情形下，都能正確地識別應用程式。
• 啟發學習法： 啟發學習法或行為分析會依照需要結合其他 App-ID 識別技巧，以識別某些規避應用程式，特別是使用所有權加密的應用程式。

User-ID

緊密地整合 Palo Alto Networks 新一代防火牆與 Active Directory ，動態地將 IP 位址連結至使用者和群組資訊。藉由對使用者活動的可見度，企業可以根據儲存在使用者存放庫內的使用者和群組資訊，監視和控制在網路上周遊的應用程式和內容。

Content-ID

結合即時威脅防範引擎與廣泛的 URL 資料庫和應用程式識別碼元素，以限制未經授權的檔案傳輸，偵測並封鎖廣大的威脅範圍以及控制非工作相關的網路瀏覽。單通道架構使用串流式掃描與一致簽章格式的組合，檢查傳輸流量。 Content-ID 搭配 App-ID 運作，利用應用程式識別碼，使內容檢查程序更有效率。

一組豐富的網路功能， IPSec VPN 和管理功能結合 App-ID 、 User-ID 和 Content-ID 做為 PAN-OS 的主要功能， PAN-OS 是控制 Palo Alto Networks 新一代防火牆的安全性特定作業系統。 PAN-OS 加入自訂硬體平台系列，這是專為管理企業網路傳輸流量設計，針對網路功能、安全性、威脅防護與管理使用功能特定處理程序。

Palo Alto AP Firewall 以 APP-ID、User-ID 及 Content-ID 三種獨特的識別技術, 提供以 Role Base 方式對使用者/群組、應用程式及內容，做完善的存取管控、安全管理及頻寬控制。此創新的技術建構於 “單通道平行處理(SP3)”架構下，展現低延遲及高效率的特性。得以解決現有FW/UTM層層應用堆疊後效能不佳的現況。

強大的視覺化工具

一組強大的視覺化工具，向管理員呈現在網路上周遊應用程式的廣泛資料點、應用程式的使用者，以及潛在的安全性影響。「應用程式指揮中心」、記錄檢視器以及可完全自訂的報告是網路介面的主要元件，提供管理員對網路上周遊之應用程式、使用者和內容無與倫比的可見度。

應用程式指揮中心 (ACC)

ACC 以圖形化的方式顯示在網路上周遊的應用程式、 URL 、威脅和資料 ( 檔案和模式 ) 。 ACC 不像其他解決方案會隱密難以理解的格式顯示資料，它提供管理員以數種量身訂做的方式檢視目前的活動。

• 您可以依照風險、類別、子類別或基礎技術檢視應用程式資料。
• 您可以根據最常造訪或封鎖的 URL 或 URL 類型來顯示網路活動。
• 資料篩選會顯示在網路上周遊的檔案和敏感資料模式 ( 信用卡號碼和身分證號碼 ) 。
• 您可以根據間諜軟體、可入侵的弱點和病毒檢視威脅活動。

若要深入了解在網路上穿梭的應用程式、 URL 、資料和威脅，管理員可以藉由新增或移除篩選器採礦 ACC 資料，找出想要的結果。例如，選取特定應用程式會顯示應用程式名稱、使用者、流量傳輸的目的以及來源 / 目的國家 ( 地區 ) 等詳細資料。您可以增加其他篩選器，以深入了解個別使用者行為、傳送 / 接收流量的安全性區域、潛在威脅以及傳輸的檔案或資料類型。資料採擷 ACC 提供的可見度可讓管理員深入了解網路活動，在充分的資訊之下執行原則決策或更快速地回應潛在威脅。在 ACC 顯示立即警告、深入分析的事件中，管理者可以按一下滑鼠立即進入符合目前 ACC 內容的相對應記錄。

應用程式指揮中心 - 以清楚、容易閱讀的格式，檢視目前的應用程式、 URL 、資料篩選和威脅活動。新增 / 移除篩選器，以瀏覽特定資料的任何深度。

報告與記錄

記錄檢視器可以使用即時篩選和一般運算式，正式調查在網路上穿梭的每個工作階段。可以完全自訂和排程的報告，提供您網路上應用程式、使用者和威脅的詳細檢視。

內容檢查

利用 App-ID 正確的識別應用程式，只能解決今日 IT 部門面對網際網路集中環境的一部分可見度和控制挑戰。檢查許可的應用程式傳輸流量成為下一個顯著的挑戰，其中一項挑戰已經透過 Content-ID 內的威脅防護、 URL 篩選和資料篩選元素解決。

URL 篩選

76 種類別超過 2 千萬個 URL 的完全整合 URL 篩選資料庫，讓管理員套用精細的網路瀏覽原則，補足應用程式可見度和控制原則以及保護企業避免全面的法律、規定、生產與資源風險。除了黑清單 / 白清單選項之外，管理員可以使用可自訂的封鎖頁面、啟用密碼的存取以及使用者覆寫，啟用既有彈性又可強制的網路活動原則。

傳輸流量地圖 - 網路上流入與流出的傳輸流量與威脅的地圖

威脅防護

透過 Palo Alto Networks 的單通道架構，提供即時效能的威脅防護引擎，執行偵測並封鎖廣泛的威脅，包括病毒、間諜軟體、應用程式可入侵的弱點。威脅防護引擎結合一致的簽章格式和串流式掃描，只要檢查一次輸送流量，就能在單通道中同時偵測和封鎖所有惡意軟體的行為。單通道架構消除威脅檢查之前緩衝或代理檔案的需求，改善的輸送量並降低延遲。

檔案與資料篩選

利用由 App-ID 以及單通道架構執行的深入應用程式檢查，管理員可以執行一些不同的原則類型，降低與未經授權的檔案和資料傳輸的相關風險。

• 依照類型封鎖檔案： 藉由深入查看裝載內容，識別檔案類型 ( 與僅查看檔案副檔名相反 ) ，控制廣泛流通的檔案類型。
• 資料篩選： 識別並控制敏感資料模式的傳輸，例如應用程式內容或附件中的信用卡和身分證號碼。
• 檔案傳輸功能控制： 在個別應用程式之內控制檔案傳輸功能，在允許使用應用程式之下又能避免不想要的內送或外送檔案傳輸。

應用程式瀏覽器 - 深入了解在網路上穿梭的應用程式並立即將結果轉換成安全性原則。

原則式控制

增加對 App-ID 、 User-ID 和 Content-ID 產生之網路活動的可見度，這表示安全小組可以快速分析有哪些應用程式在網路上穿梭，誰在使用這些應用程式，潛在的安全性風險，然後輕鬆地轉譯成防火牆原則。使用應用程式瀏覽器啟用以應用程式為基礎的原則控制，應用程式瀏覽器是原則編輯器不可或缺的元件，它可以向管理員呈現豐富的相關資訊，以便決定如何對待應用程式。原則編輯器具有熟悉的外觀和感覺，讓有經驗的防火牆管理員可以快速地建立防火牆原則，例如：

• 拒絕特定類型應用程式存取網路，例如點對點或包圍和代理服務。
• 將 Saleforce.com 和 Oracle 指派給銷售和行銷群組，如 Active Directory 中所定義。定義應用程式群組，例如 SSH 、 Telnet 、 MS-RDP ，並只允許 IT 群組使用者些應用程式。
• 定義並強制公司原則，支配應該使用哪個網路郵件和即時訊息應用程式，檢查是否有病毒、間諜軟體和可入侵的弱點，全都在單一原則規則中。
• 不論是使用文字或檔案格式，都能識別敏感性資訊的傳輸，例如信用卡號碼或身分證號碼，並封鎖、允許或傳送誰正在傳輸資料的警告。
• 定義多等級 URL 篩選原則，封鎖存取明顯非工作相關網站，監視有問題的網站，並「指導」存取其他網站，提供使用者初次警告之後的執行能力。
• 建立混合傳統內送和外送連接埠式防火牆規則與應用程式為基礎的規則，以流暢地轉換至 Palo Alto Networks 新一代防火牆。

富彈性的部署選項 - 豐富的網路功能基礎可以當做補充或取代現有防火牆進行部署。

網路功能

富有彈性的網路功能架構，包括動態路由、交換、高可用性與 IPSec VPN 支援，幾乎可以部署至任何網路環境。

• 虛擬線路： 虛擬線路邏輯上繫結兩個連接埠，並在不需要任何交換或路由之下，將所有傳輸流量轉到其他連接埠，可以進行完全檢查和控制並且不影響週遭的裝置。您可以設定多個虛擬線路配對，支援多個網路區隔。
• 交換與路由： 網路功能基礎與 L2/L3 架構非常相似，但是具有強制的區域式安全性，以便部署至 L2/L3 網路。對 L2/L3 提供動態路由通訊協定 (OSPF 和 RIP) 結合完整的 802.1Q VLAN 支援，所以可以啟用所有的服務而不需要干擾現有的路由或 VLAN 架構。
• 高可用性： 支援主動 / 被動高可用性，其中主動裝置持續與其設定同步，而工作階段資訊則與被動裝置同步。
• 網站間 VPN ： 標準式 IPSec VPN 連線結合應用程式可見度和控制，讓兩個以上的 Palo Alto Networks 裝置或另一家廠商的 IPSec VPN 裝置之間的通訊受到保護。

管理功能

若要適應網路安全性的動態性質以及各種管理類型和角色，每位管理員可能必須有可以控制所有 Palo Alto Networks 防火牆的命令列介面 (Command Line Interface ， CLI) 、網路式介面或集中式管理解決方案 (Panorama) 搭配量身訂做的角色，只針對每位管理者的必要管理功能提供存取。從一個管理介面轉移到另一個並不會妨礙管理工作，因為永遠都會使用目前大部分的設定，因此減少設定不同步的可能。 Panorama 和網路介面有相同的外觀和感覺，因此減少通常與個別裝置管理介面轉移到集中式介面相關的學習曲線。完成的管理介面是標準式 Syslog 和 SNMP 介面。

報告與記錄

容易存取的報告和記錄，可以分析安全性事件、應用程式用途和傳輸流量模式。

• 自訂報告： 從頭建立自訂報告，從任何記錄資料庫取出資料或修改一份預先定義的報告。
• 匯出報告： 將任何預先定義或自訂的報告匯出至 CSV 或 PDF 。任何 PDF 報告可以依照排定的時間使用電子郵件傳送。
• 摘要報告： 從任何預先定義或自訂報告取出資料可以產生自訂的單頁摘要，並可以依照排定的時間以電子郵件傳送。
• 記錄檢視器： 只要按一下儲存格的值和 ( 或 ) 使用運算式建立器定義篩選條件，就能透過動態篩選能力檢視應用程式、威脅和使用者活動。
• 匯出記錄： 將任何符合目前篩選的記錄匯出至 CSV 檔案，以供離線封存或其他分析。