Palo Alto Networks в Украине

реклама
Palo Alto Networks
www.paloaltonetworks.com.ua
Контроля приложений нет.
Исследование: Что происходит в современной сети?
-
57% приложений (бизнес и пользовательских) для работы используют порты 80 и 443 или
динамические порты
-
Приложения, помогающие обойти политики безопасности, доступны каждому
(бесплатные прокси – 81%, удаленный доступ к рабочему столу 95%, SSL туннели)
-
Очень широко распространены файлообменные сети (P2P -92% и браузерный)
Риски использования таких приложений:
непрерывность бизнеса, потери данных,
продуктивность, финансовые затраты
Page 2 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Вывод:
Приложения изменились, а файерволы - нет
Политики файерволов
базируются на контроле
портов, протоколов и IP
адресов…
•… а должны контролировать
приложения, пользователей и
передаваемые данные
Page 3 |
Файервол должен восстановить контроль над сетью
© 2009 Palo Alto Networks. Proprietary and Confidential.
«Помощники» файервола не помогают!
Internet
• Увеличивается сложность и стоимость
• Производительность ухудшается
• Сеть так и не становится прозрачной и контролируемой
Page 4 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
www.paloaltonetworks.com.ua
Что делать?
Page 5 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Что должен уметь файервол нового поколения?
Gartner: Требования к файерволу нового поколения
 Контроль на уровне приложений
Должна быть возможность запретить приложение (вне
зависимости от порта)
 Полностью интегрированные
Дополнительные функции не должны влиять на
производительность
 Функции для определения пользователей
Интеграция со службами каталогов (Active Directory и т.д.)
 Функции обычных файерволов
Фильтрация пакетов, NAT, IPSec, SSL VPN и т.д..
 Должен легко устанавливаться в сеть
Легкая прозрачная установка в работающую сеть
Page 6 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Что должен уметь файервол нового поколения?
Gartner: Не являются файерволами нового поколения:
 Устройства UTM (Unified Threat Management)
это НЕ файерволы нового поколения
 DLP (Data Leak Prevention) это НЕ файерволы нового
поколения
 Web шлюзы это НЕ файерволы нового поколения
 E-mail шлюзы это НЕ файерволы нового поколения
Page 7 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Файервол нового поколения
Функции:
1. Определение приложений вне
зависимости от порта и шифрования SSL
2. Определение пользователей вне
зависимости от IP адреса
3. Применение политик к приложениям и
функционалу этих приложений
4. Интегрированная защита от сетевых
атак
5. Производительность до 10 Гбит/с
Page 8 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Уникальные технологии изменили файервол
App-ID
Идентификация
приложений
User-ID
Идентификация
пользователей
Content-ID
Контроль данных
Page 9 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
«Однопроходная» архитектура
Один проход
• Одна операция на пакет
-
Классификация трафика (AppID)
-
Определение
пользователей/групп
-
Сканирование данных – угрозы,
URLы, конфиденциальные
данные
• Единая политика
-
Политика применяется к
приложению, IP адресу,
пользователю и т.д.
Параллельная обработка
• Специализированное
аппаратное обеспечение
• Разделение контрольной
Производительность до 10 Гбит/с,
маленькая задержка
Page 10 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
платы от платы данных
Специализированная архитектура (PA-4000)
RAM
Flash
Matching
Engine
Контрольная плата
• Высокопроизводительное
управление
• Высокоскоростное
логирование
RAM
RAM
Сигнатурный движок
• Сигнатуры Palo Alto
• Балансировка ресурсов (памяти)
RAM
10Gbps
RAM
Dual-core
CPU
CPU
1
CPU
2
CPU
3
..
RAM
CPU
16
RAM
RAM
HDD
SSL
IPSec
DeCompression
10Gbps
QoS
Контрольная плата
Page 11 |
© 2008 Palo Alto Networks. Proprietary and Confidential.
Route,
ARP,
MAC
lookup
NAT
Многоядерный процессор
• Многопроцессорная обработка для
обеспечения высокой
производительности
• Аппаратная обработка сложных, но
стандартизованных функций (SSL,
IPSec)
10 Гбит/с сетевой процессор
• Сетевой процессор разгружает
основные процессор
• Аппаратно реализованный QoS,
маршрутизация, коммутация и NAT
Плата данных
Графическое отображение
Page 12 |
© 2008
2009 Palo Alto Networks. Proprietary and Confidential.
Контроль приложений, пользователей, данных
• Application Command Center (ACC)
-
Мониторинг приложений, URL, угроз,
фильтрации данных
• Графики ACC, добавление/удаление
фильтров
Фильтр на Skype
Page 13 |
Фильтр для Skype и
пользователя O. Harris
© 2009 Palo Alto Networks. Proprietary and Confidential.
Убрать Skype и
посмотреть все
приложению O. Harris
PAN-OS (Palo Alto Networks Operating System)
Функции ОС:
• Сетевые функции
-
-
Динамическая
маршрутизация (OSPF,
RIPv2)
Site-to-site IPSec VPN
Удаленные доступ SSL VPN
Подключение к SPAN
Прозрачный in-line режим
(“Layer 1”)
Режим L2/L3
• Зоновый подход
-
Все интерфейсы могут быть
помещены в зоны
безопасности
• Резервирование
-
Активный / пассивный
Синхронизация конфигураций
• QoS шейпинг
-
Приоритезация
Применение политик к конкретным
приложениям, пользователям,
зонам и т.д.
PA-4060
PA-4050
PA-4020
• Виртуальные системы
-
Несколько виртуальных
файерволов на одном устройстве
(только PA-4000)
• Простое, гибкое управление
-
PA-2050
PA-2020
CLI, Web, Panorama, SNMP, Syslog
PA-500
Page 14 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
Способы установки в сеть
Мониторинг
• Мониторинг без
вмешательства в работу
сети
Page 15 |
Прозрачный In-Line
• Функции защиты от угроз
• IPS + AV + URL фильтрации
© 2009 Palo Alto Networks. Proprietary and Confidential.
Firewall
• Вместо Firewall
• Firewall + IPS + AV + URL
фильтрация
Семейство платформ
10Gbps; 5Gbps threat
prevention (XFP interfaces)
Производительность
10Gbps; 5Gbps threat
prevention
2Gbps; 2Gbps threat
prevention
•PA-4000 Series
•1Gbps; 500Mbps threat
prevention
•500Mbps; 200Mbps
threat prevention
•250Mbps; 100Mbps
threat prevention
Удаленные офисы/
Средние корпорации
Page 16 |
© 2009 Palo Alto Networks. Proprietary and Confidential.
•PA-2000 Series
•PA-500
Большие корпорации
Выгода
Замена нескольких устройств
•
Firewall, IPS, антивирус, URL фильтрация
-
Экономия до
80%
Поддержка
•
Техническая поддержка
Подписки на антивирусы и URL фильтрацию
Экономия электроэнергии
-
Интеграция
•
-
Page 17 |
Единая мощная система обеспечения
безопасности
© 2009 Palo Alto Networks. Proprietary and Confidential.
Экономия до
65%
Спасибо
Дополнительная информация на
www.paloaltonetworks.com.ua
Официальный представитель в Украине
Компания IT Business solutions
04655, Киев, ул.Новоконстантиновская 4а, оф.307
т. +380 44 597 10 90
Ф. +380 44 501 53 25
www.itbiz.com.ua
[email protected]
Скачать