Palo Alto Networks www.paloaltonetworks.com.ua Контроля приложений нет. Исследование: Что происходит в современной сети? - 57% приложений (бизнес и пользовательских) для работы используют порты 80 и 443 или динамические порты - Приложения, помогающие обойти политики безопасности, доступны каждому (бесплатные прокси – 81%, удаленный доступ к рабочему столу 95%, SSL туннели) - Очень широко распространены файлообменные сети (P2P -92% и браузерный) Риски использования таких приложений: непрерывность бизнеса, потери данных, продуктивность, финансовые затраты Page 2 | © 2009 Palo Alto Networks. Proprietary and Confidential. Вывод: Приложения изменились, а файерволы - нет Политики файерволов базируются на контроле портов, протоколов и IP адресов… •… а должны контролировать приложения, пользователей и передаваемые данные Page 3 | Файервол должен восстановить контроль над сетью © 2009 Palo Alto Networks. Proprietary and Confidential. «Помощники» файервола не помогают! Internet • Увеличивается сложность и стоимость • Производительность ухудшается • Сеть так и не становится прозрачной и контролируемой Page 4 | © 2009 Palo Alto Networks. Proprietary and Confidential. www.paloaltonetworks.com.ua Что делать? Page 5 | © 2009 Palo Alto Networks. Proprietary and Confidential. Что должен уметь файервол нового поколения? Gartner: Требования к файерволу нового поколения Контроль на уровне приложений Должна быть возможность запретить приложение (вне зависимости от порта) Полностью интегрированные Дополнительные функции не должны влиять на производительность Функции для определения пользователей Интеграция со службами каталогов (Active Directory и т.д.) Функции обычных файерволов Фильтрация пакетов, NAT, IPSec, SSL VPN и т.д.. Должен легко устанавливаться в сеть Легкая прозрачная установка в работающую сеть Page 6 | © 2009 Palo Alto Networks. Proprietary and Confidential. Что должен уметь файервол нового поколения? Gartner: Не являются файерволами нового поколения: Устройства UTM (Unified Threat Management) это НЕ файерволы нового поколения DLP (Data Leak Prevention) это НЕ файерволы нового поколения Web шлюзы это НЕ файерволы нового поколения E-mail шлюзы это НЕ файерволы нового поколения Page 7 | © 2009 Palo Alto Networks. Proprietary and Confidential. Файервол нового поколения Функции: 1. Определение приложений вне зависимости от порта и шифрования SSL 2. Определение пользователей вне зависимости от IP адреса 3. Применение политик к приложениям и функционалу этих приложений 4. Интегрированная защита от сетевых атак 5. Производительность до 10 Гбит/с Page 8 | © 2009 Palo Alto Networks. Proprietary and Confidential. Уникальные технологии изменили файервол App-ID Идентификация приложений User-ID Идентификация пользователей Content-ID Контроль данных Page 9 | © 2009 Palo Alto Networks. Proprietary and Confidential. «Однопроходная» архитектура Один проход • Одна операция на пакет - Классификация трафика (AppID) - Определение пользователей/групп - Сканирование данных – угрозы, URLы, конфиденциальные данные • Единая политика - Политика применяется к приложению, IP адресу, пользователю и т.д. Параллельная обработка • Специализированное аппаратное обеспечение • Разделение контрольной Производительность до 10 Гбит/с, маленькая задержка Page 10 | © 2009 Palo Alto Networks. Proprietary and Confidential. платы от платы данных Специализированная архитектура (PA-4000) RAM Flash Matching Engine Контрольная плата • Высокопроизводительное управление • Высокоскоростное логирование RAM RAM Сигнатурный движок • Сигнатуры Palo Alto • Балансировка ресурсов (памяти) RAM 10Gbps RAM Dual-core CPU CPU 1 CPU 2 CPU 3 .. RAM CPU 16 RAM RAM HDD SSL IPSec DeCompression 10Gbps QoS Контрольная плата Page 11 | © 2008 Palo Alto Networks. Proprietary and Confidential. Route, ARP, MAC lookup NAT Многоядерный процессор • Многопроцессорная обработка для обеспечения высокой производительности • Аппаратная обработка сложных, но стандартизованных функций (SSL, IPSec) 10 Гбит/с сетевой процессор • Сетевой процессор разгружает основные процессор • Аппаратно реализованный QoS, маршрутизация, коммутация и NAT Плата данных Графическое отображение Page 12 | © 2008 2009 Palo Alto Networks. Proprietary and Confidential. Контроль приложений, пользователей, данных • Application Command Center (ACC) - Мониторинг приложений, URL, угроз, фильтрации данных • Графики ACC, добавление/удаление фильтров Фильтр на Skype Page 13 | Фильтр для Skype и пользователя O. Harris © 2009 Palo Alto Networks. Proprietary and Confidential. Убрать Skype и посмотреть все приложению O. Harris PAN-OS (Palo Alto Networks Operating System) Функции ОС: • Сетевые функции - - Динамическая маршрутизация (OSPF, RIPv2) Site-to-site IPSec VPN Удаленные доступ SSL VPN Подключение к SPAN Прозрачный in-line режим (“Layer 1”) Режим L2/L3 • Зоновый подход - Все интерфейсы могут быть помещены в зоны безопасности • Резервирование - Активный / пассивный Синхронизация конфигураций • QoS шейпинг - Приоритезация Применение политик к конкретным приложениям, пользователям, зонам и т.д. PA-4060 PA-4050 PA-4020 • Виртуальные системы - Несколько виртуальных файерволов на одном устройстве (только PA-4000) • Простое, гибкое управление - PA-2050 PA-2020 CLI, Web, Panorama, SNMP, Syslog PA-500 Page 14 | © 2009 Palo Alto Networks. Proprietary and Confidential. Способы установки в сеть Мониторинг • Мониторинг без вмешательства в работу сети Page 15 | Прозрачный In-Line • Функции защиты от угроз • IPS + AV + URL фильтрации © 2009 Palo Alto Networks. Proprietary and Confidential. Firewall • Вместо Firewall • Firewall + IPS + AV + URL фильтрация Семейство платформ 10Gbps; 5Gbps threat prevention (XFP interfaces) Производительность 10Gbps; 5Gbps threat prevention 2Gbps; 2Gbps threat prevention •PA-4000 Series •1Gbps; 500Mbps threat prevention •500Mbps; 200Mbps threat prevention •250Mbps; 100Mbps threat prevention Удаленные офисы/ Средние корпорации Page 16 | © 2009 Palo Alto Networks. Proprietary and Confidential. •PA-2000 Series •PA-500 Большие корпорации Выгода Замена нескольких устройств • Firewall, IPS, антивирус, URL фильтрация - Экономия до 80% Поддержка • Техническая поддержка Подписки на антивирусы и URL фильтрацию Экономия электроэнергии - Интеграция • - Page 17 | Единая мощная система обеспечения безопасности © 2009 Palo Alto Networks. Proprietary and Confidential. Экономия до 65% Спасибо Дополнительная информация на www.paloaltonetworks.com.ua Официальный представитель в Украине Компания IT Business solutions 04655, Киев, ул.Новоконстантиновская 4а, оф.307 т. +380 44 597 10 90 Ф. +380 44 501 53 25 www.itbiz.com.ua [email protected]