PALO ALTO NETWORKS 的新一代防火墙如何保护企业安全

轻松采用创新技术、阻止网络攻击得逞并专注更重要的工作

IT 的快速发展已改变网络边界的面貌。数据无处不在,用户可随时随地从各类设备访问这些数据。同时,IT 团队正在采用云、分析和自动化来加速新应用的交付以及推动业务发展。这些根本性的转变带来了新的威胁形势,使旧有安全技术的弱点暴露无遗,例如基于端口的网络安全,或未经原生集成的不同工具和技术。这些安全工具并非针对自动化而设计,需要分析人员在操作之前手动将诸多来自互不相关来源的资讯整合在一起。

我们需要一种不同的方法:该方法首先将 Palo Alto Networks® 新一代防火墙作为集成平台的基石。我们的新一代防火墙提供防御型架构,这种架构易于部署和操作,采用自动化方式来减少手动工作,让您的安全团队能够专注更重要的工作,帮助您轻松采用全新创新技术。

Security Operating Platform 的基础
我们的新一代防火墙可以检查所有流量,包括所有应用、威胁和内容,然后将流量与用户绑定,不论其位置或设备类型如何。用户、应用和内容这三项推动业务开展的要素构成了企业安全策略中不可或缺的部分。因此,您可以使安全与业务策略保持一致,并编写出易于理解和维护的规则。

在这里插入图片描述

作为 Security Operating Platform 的一部分,我们的新一代防火墙让各组织能够:

  • 通过对所有流量进行分类,可以安全地启用包括软件即服务(SaaS) 的应用、用户和内容,无论使用什么端口。
  • 通过使用主动实施模型(即通过允许全部所需的应用并阻截所有其他应用),降低攻击风险。
  • 应用安全策略来阻截已知的漏洞利用、病毒、勒索软件、防间谍软件、僵尸网络,以及其他未知恶意软件,例如高级持续性威胁。
  • 通过对数据和应用进行分段以及实施零信任原则,保护包括虚拟数据中心在内的数据中心。
  • 在本地和云环境中保持一致的安全性。
  • 将 Security Operating Platform 扩展到用户和设备,不受其地理位置的限制,带来安全的移动计算。
  • 获得集中可视性,简化网络安全,提供海量可操作的数据,以便您能够阻止网络攻击得逞。

我们的新一代防火墙能够安全地推动业务发展,下面介绍该防火墙的关键功能。

零信任
传统的安全模型认为组织网络内部的所有内容全部可信,这种基础假设显然已经过时。传统的安全模型注重外围防护,而侵入网络内部的威胁会被忽视,从而任意破坏敏感、宝贵的业务数据。在数字化世界中,信任便是一种漏洞。

零信任是一种以数据为中心的网络安全最佳实践,这种实践移除了对信任的假设,为提供安全性打下了可靠的基础。在零信任世界中,没有任何受信任的设备、系统和人员。您可以识别需要保护的资产和数据;确定需要通过知情权、最低特权访问模型来访问特定数据的对象;制定反映业务策略的安全规则;以及检查和记录所有流量。

我们的新一代防火墙可帮助完成所有这些步骤,包括为所有位置的用户启用安全访问;检查所有流量;实施最低特权访问控制策略;以及检测和阻止高级威胁。这样可显著减少攻击者访问您的关键资产的途径,无论这些攻击者是否在贵组织内。

识别用户,保护用户身份
通过 User-ID™ 技术,我们的新一代防火墙能够识别所有位置的用户,无论他们使用什么类型的设备或操作系统。根据用户和群组(而非 IP 地址)掌握对应用活动的可视性后,通过让应用使用情况与业务要求保持一致,可安全启用应用。此外,您还可以根据用户或用户组定义应用访问策略。例如,您可以仅允许 IT 管理员使用 Secure Shell、Telnet 和文件传输协议等工具。无论用户身处何地(总部、分支机构或家中),使用何种设备,策略将始终适用于用户。另外,您可以使用自定义或预定义报告选项生成用户活动的信息性报告。

不过,用户身份的问题不仅局限于基于用户的策略和报告。保护用户身份同样重要。根据 Verizon® 发布的《2017 年数据泄露调查报告》显示,81% 与黑客相关的数据泄露都利用了弱凭证和/或窃取的凭证。1 攻击者使用窃取的凭证访问组织网络,他们会在这些网络中查找可窃取的宝贵应用和数据。为阻止基于凭证的攻击,我们的新一代防火墙:

  • 使用每五分钟更新一次的最新全球威胁情报,通过 PAN-DB URL Filtering 阻止对已知网络钓鱼站点的访问,保护用户免遭窃取其凭证的尝试。
  • 阻止用户向未知站点提交企业凭证,保护他们免遭有针对性的攻击,这些攻击会使用新的未知网络钓鱼站点来规避检测。
  • 允许您对您认为敏感的任何应用实施多重身份验证 (MFA),包括不太适合行 MFA 的旧有应用。这可在攻击者已经处理窃取的凭证的情况下为您提供保护,因为您需要实施额外的身份验证机制才能控制对关键系统的访问。您可以对所选的身份供应商使用此功能,包括 Ping Identity®、Okta®、RSA® 和 Duo Security,这样无论用户访问什么应用,他们都可获得一致的 MFA 体验。

安全启用应用
用户会访问各种类型的应用,包括软件即服务 (SaaS) 应用。某些应用需得到贵组织的批准,某些会被接受,但不必开展业务;其余的应用由于会增加风险而被禁止。新一代防火墙采用的 App-ID  技术可准确识别流经网络的所有流量中的应用,包括伪装成授权流量、使用动态端口或试图隐藏在加密面纱下的应用。App-ID 可以让您了解并控制应用及其功能,例如视频流与聊天、上传与下载、屏幕共享与远程设备控制等。

通过 SaaS 应用特征,您可以清楚了解应用的使用情况。例如,您可以确定从组织访问的哪些 SaaS 应用缺少所需的认证或有数据泄露历史。您可以允许访问 Microsoft® Office 365® 等 SaaS 应用上经批准的企业帐户,并阻止访问未经批准的帐户,包括个人/消费者帐户。

不侵犯隐私的安全加密流量
用户将超过 80% 的时间都花在了加密网站和应用上。但遗憾的是,攻击者仍能够利用加密来隐藏安全设备中的威胁。

我们的新一代防火墙采用基于策略的解密技术,让安全专业人员可以解密恶意流量,从而防御威胁,保护用户隐私并保持可预测的性能。通过灵活控制,您可以使敏感流量处于加密状态,例如与购物、军事、医疗保健或政府网站相关联的流量。您可以阻止用户访问使用自签名、不受信任或过期证书的网站。此外,您也可以阻止访问使用不安全的 TLS 版本或弱加密套件的网站。为保护用户隐私,您可以通过策略定义解密排除情况,让用户能够选择不对可能包含个人数据的特定事务进行解密。其余流量便可以解密并得到保护。

在硬件安全模块的支持下,您可以安全地管理数字密钥。完全正向保密可确保一个加密会话受到影响时不会影响多个加密会话。

在这里插入图片描述

检测和阻止高级威胁
今天,大多数新式恶意软件都会利用包括勒索软件变种在内的先进技术,通过网络安全设备和工具来传输攻击或漏洞利用。Palo Alto Networks 新一代防火墙可通过多种手段识别规避技术并自动加以处置:

  • Content-ID™技术基于对所有允许流量的全面分析,使用单个统一引擎中的多种高级威胁防御技术,提供一种创新的方法。
  • Palo Alto Networks Threat Prevention 服务结合新一代防火墙使用后,可提供入侵防御系统功能,从而阻止漏洞利用、缓冲区溢出和端口扫描,并防范攻击者采用的入侵和混淆方法,同时还提供网络反恶意软件及命令和控制防护措施。
  • 除了降低与未授权的文件和数据传输相关的风险外,我们的 URL Filtering 服务还可阻止访问已知恶意软件和网络钓鱼下载站点。
  • WildFire® 恶意软件防御服务使用多种分析方法来检测未知威胁,包括采用机器学习的静态分析、动态分析和裸机分析。其基于云的架构支持在网络、端点和云中进行大规模威胁检测和预防,以阻止已知和未知的威胁。

共享威胁情报
组织依靠多种威胁情报来源以确保尽可能广泛地了解未知威胁,但他们很难汇总、关联、验证和共享这些信息,以便在网络中实施防护措施。通过结合使用 Security Operating Platform 的其他组件,新一代防火墙可提供更进一步的情境和更全面的防护。WildFire 利用全球社区的数据来检测未知威胁,并自动阻截这些威胁;AutoFocus™ 情境威胁情报服务提供情境、聚合和归因信息,以便安全团队能够更快速地作出响应;Magnifier™ 行为分析检测内部威胁,并与 WildFire 协调这些信息。

另外,WildFire 支持新一代防火墙评估流量,只需短短五分钟即可分析未知威胁,并在网络、移动设备和云中实施高精度自动化防护措施。

在这里插入图片描述
单通道架构
要预防不断演变的威胁形势,通常需要引入新的安全功能。Palo Alto Networks 新一代防火墙基于单通道架构而构建,可在新一代防火墙中增添新功能,以便与其他功能原生集成。这一集成方法可提高安全性和易用性,而通过在仍基于 IP 地址、端口和协议工作的旧有架构上添加新功能,无法实现这种安全性和易用性。我们的新一代防火墙执行完整堆栈,以单通道方式检查所有端口上的全部流量,从而提供了有关应用、关联内容和用户身份的全面情境信息,以此为基础来做出安全策略决策。该防火墙的架构允许我们轻松添加创新的全新功能,就像我们对 WildFire 以及最近的 Magnifier 执行的操作一样。

灵活部署
我们的新一代防火墙可通过多种形式来部署:

  • 硬件:强大、智能、简洁与多功能性的完美结合,可有效保护企业和服务提供商在总部、数据中心和分支机构的部署。
  • VM-Series:这款虚拟化新一代防火墙,通过将应用分段实施威胁防御,保护您的私有云及公有云部署的安全。
  • GlobalProtect cloud service:我们的新一代防火墙可通过面向端点的GlobalProtect™ 网络安全防护,在全球范围内从云平台提供高效运营的安全性。

您可以选择以上部署形式之一或部署组合满足不同位置的要求,并通过 Panorama™ 网络安全管理集中管理所有部署。

网络安全管理
IT 团队正在不断挑战极限,对当今日益复杂的安全部署进行有效的管理。Security Operating Platform 通过轻松实现安全性管理以及数据虚拟化和交互,提供了很大的帮助。个人防火墙可通过功能完备的、基于浏览器的界面进行管理。对于大规模部署,您可以使用 Panorama 获得集中可视性,编辑安全策略,自动执行所有形式的防火墙的操作。两种界面的外观完全相同。Panorama Interconnect 插件可根据需要链接多个 Panorama 节点,以便集中化配置管理,将您的统一视图扩展到成千上万个防火墙。

Panorama 基于角色的访问控制与前导规则和后续规则的结合,使您可以在集中监控与本地策略编辑和设备配置灵活性之间实现平衡。应用命令中心和日志管理功能创建了单一管理平台,可提供对跨多个设备的可操作的可视性,无论设备部署在何处。对简单网络管理协议等标准工具以及基于 REST 的 API 的额外支持,使您可以轻松地与第三方管理工具集成。

报告和日志记录
为识别、调查和响应安全事件,Security Operating Platform 提供了以下功能:

  • 日志记录:Palo Alto Networks 突破了处理和列明事件时所采用的传统方式。您可以通过多种有效方式查看日志,包括图形、地图、趋势图等,以便解读网络数据。该自动关联引擎可消除手动关联任务,并发现因干扰而被忽视的威胁。此外,您也可以使用任何过滤条件转发日志,创建可在我们的 Security Operating Platform 或第三方系统内自动执行操作的工作流程。您可以灵活选择在本地或基于云的 Logging Service 中聚合日志。
  • 报告:您可以使用我们的标准报告或创建自定义版本来显示数据,以满足特定要求。所有报告可以导出为 CSV 或 PDF 格式,并按照计划执行和通过电子邮件发送。
  • 威胁追踪:AutoFocus 利用从全球几千家企业、服务提供商和政府收集的信息,针对未知威胁提供前所未有的可视性。在 PAN-OS® 中集成 AutoFocus 可加速威胁分析和追踪工作流程,而无需额外的专业化资源。

为何选择 Palo Alto Networks 新一代防火墙?
采用我们的新一代防火墙,您的用户可以根据业务要求访问数据和应用,保护您免遭基于凭证的攻击,阻止已知和之前未知的威胁,包括在加密流量中的威胁。自动化可为您节省创建安全规则所需的时间,这些规则完全符合业务策略,并且易于维护,能够适应动态环境并触发基于策略的自动化操作。我们的新一代防火墙可采用物理、虚拟化或基于云的部署形式,通过 Panorama 得到一致的管理。作为 Security Operating Platform 的一部分,Palo Alto Networks 新一代防火墙帮助组织快速采用 WildFire 和Magnifier 等原生集成的安全创新技术,同时跨端点和云共享数据和情报。

目前有 150 多个国家/地区的 54,000 余名客户已经采用我们的防御型架构。我们已经连续七次被 Gartner 魔力象限评为企业网络防火墙的领导者,并获得了 NSS 实验室的“推荐”评级——NSS 实验室授予的最高评级。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/42785.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

11 简单的Thymeleaf语法

11.1 spring-boot环境准备 重要依赖&#xff1a; <!--thymeleaf--> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> 11.2 转发消息不转义 就是如…

Vue3状态管理库Pinia——核心概念(Store、State、Getter、Action)

个人简介 &#x1f440;个人主页&#xff1a; 前端杂货铺 &#x1f64b;‍♂️学习方向&#xff1a; 主攻前端方向&#xff0c;正逐渐往全干发展 &#x1f4c3;个人状态&#xff1a; 研发工程师&#xff0c;现效力于中国工业软件事业 &#x1f680;人生格言&#xff1a; 积跬步…

iClient3D for CesiumWebGL入门之使用vscode以服务方式运行调试

作者&#xff1a;超图研究院技术支持中心-于丁 iClient3D for Cesium&WebGL入门之使用vscode以服务方式运行调试 相信大家第一次使用SuperMap iClient3D for Cesium或SuperMap iClient3D for WebGL的时候&#xff0c;都遇到过和我一样的事情&#xff1a; 在文件夹中直接打…

Android Studio 提示 Failed to initialize editor问题的解决

Android Studio 从2018的版本升级到2021年的版本后&#xff0c;无法预览xml。我查了很久&#xff0c;最后发现是Gradle的版本和工具不匹配&#xff0c;按照开发工具的提示&#xff0c;升级版本即可&#xff0c;我的是从3.2.1升级到了4.2.2

生产者消费者模型

生产者消费者模型 文章目录 生产者消费者模型概念原则优点 基于BlockingQueue的生产者消费者模型BlockingQueue模拟实现单生产者消费者模型基于计算任务和存储任务的生产者消费者模型 概念 生产者消费者模式就是通过一个容器来解决生产者和消费者的强耦合问题生产者和消费者彼…

C++ 单例模式(介绍+实现)

文章目录 一. 设计模式二. 单例模式三. 饿汉模式四. 懒汉模式结束语 一. 设计模式 单例模式是一种设计模式 设计模式(Design Pattern)是一套被反复使用&#xff0c;多数人知晓的&#xff0c;经过分类的&#xff0c;代码设计经验的总结。 为什么要有设计模式 就像人类历史发展会…

python机器学习(三)特征预处理、鸢尾花案例--分类、线性回归、代价函数、梯度下降法、使用numpy、sklearn实现一元线性回归

K-近邻算法(K-Nearest Neighboor) 特征预处理 数据预处理的过程。数据存在不同的量纲、数据中存在离群值&#xff0c;需要稳定的转换数据&#xff0c;处理好的数据才能更好的去训练模型&#xff0c;减少误差的出现。 标准化 数据集的标准化对scikit-learn中实现的大多数机器…

遥感目标检测(3)-DAL(Dynamic Anchor Learning for Object Detection)

目录 一、概述 二、背景 三、建议 1、旋转RetinaNet 2、动态锚框分布 3、匹配敏感损失 四、实验 一、概述 由于选择正样本锚框进行回归&#xff0c;不一定能够定位真实的GT&#xff0c;而部分负样本回归甚至可以回归到真实的GT&#xff0c;说明相当多的负样本锚框有着准…

【自启动配置】Ubuntu 设置开机自启动脚本

Ubuntu 开机运行的脚本和当前操作系统运行的级别有关&#xff0c;OS 的运行级别大概分为七个 目录 1、查看 OS 运行级别 2、创建自启动脚本 3、添加软链接 1、查看 OS 运行级别 输入命令 runlevel 查看当前系统运行级别。当前系统的运行级别为 5 2、创建自启动脚本 在 /et…

ZooKeeper原理剖析

1.ZooKeeper简介 ZooKeeper是一个分布式、高可用性的协调服务。在大数据产品中主要提供两个功能&#xff1a; 帮助系统避免单点故障&#xff0c;建立可靠的应用程序。提供分布式协作服务和维护配置信息。 2.ZooKeeper结构 ZooKeeper集群中的节点分为三种角色&#xff1a;Le…

多线程(JavaEE初阶系列2)

目录 前言&#xff1a; 1.什么是线程 2.为什么要有线程 3.进程与线程的区别与联系 4.Java的线程和操作系统线程的关系 5.多线程编程示例 6.创建线程 6.1继承Thread类 6.2实现Runnable接口 6.3继承Thread&#xff0c;使用匿名内部类 6.4实现Runnable接口&#xff0c;使…

html2Canvas+JsPDF 导出pdf 无法显示网络图片

html2CanvasJsPDF 导出pdf 问题&#xff1a;类似于下面着这种网络图片使用img导出的时候是空白的 https://gimg3.baidu.com/search/srchttp%3A%2F%2Fpics4.baidu.com%2Ffeed%2F7e3e6709c93d70cf827fb2fda054500cb8a12bc9.jpeg%40f_auto%3Ftoken%3Dd97d3f0fd06e680e592584f8c7a2…

深度学习——LSTM解决分类问题

RNN基本介绍 概述 循环神经网络&#xff08;Recurrent Neural Network&#xff0c;RNN&#xff09;是一种深度学习模型&#xff0c;主要用于处理序列数据&#xff0c;如文本、语音、时间序列等具有时序关系的数据。 核心思想 RNN的关键思想是引入了循环结构&#xff0c;允许…

分布式 - 消息队列Kafka:Kafka分区常见问题总结

文章目录 01. Kafka 的分区是什么&#xff1f;02. Kafka 为什么需要分区&#xff1f;03. Kafka 分区有什么作用&#xff1f;03. Kafka 为什么使用分区的概念而不是直接使用多个主题呢&#xff1f;04. Kafka 分区的数量有什么限制&#xff1f;05. Kafka 分区的副本有什么作用&am…

动态内存管理基础详解

目录 1、为什么存在动态内存分配 2、动态内存函数的介绍 2.1 malloc和free 功能&#xff1a; 参数和返回值&#xff1a; 注意事项&#xff1a; tip: 2.2 calloc 2.3 realloc函数 功能&#xff1a; 参数和返回值&#xff1a; realloc开辟空间的两种情况 realloc会顺…

Rust操作MySQL

查询 本部分是对 「Rust入门系列」Rust 中使用 MySQL[1]的学习与记录 经常使用的时间处理库&#xff1a; chrono 流式查询使用&#xff1a; query_iter 输出到Vec使用&#xff1a; query 映射到结构体使用&#xff1a; query_map 获取单条数据使用&#xff1a; query_first 命名…

Hadoop简介以及集群搭建详细过程

Hadoop简介以及集群搭建详细过程 hadoop集群简介hadoop部署模式Hadoop集群安装1.集群角色规划2.服务器基础环境准备3.上传安装包hadoop安装包目录结构5.编辑hadoop配置文件6.分发安装包7.配置hadoop环境变量8.NameNode format(格式化操作) hadoop集群启动关闭-手动逐个进程启停…

漏洞复现-yapi远程执行命令漏洞复现

目录 漏洞原理漏洞发现漏洞描述影响范围 yapi学习漏洞复现环境搭建exp 入侵检测与防御参考 漏洞原理 漏洞发现 查看issue2229 漏洞描述 网站开放注册功能时可随意注册&#xff0c;设置全局mock脚本可执行任意代码。 影响范围 Yapi < 1.9.2 yapi学习 YApi 是高效、易…

vue3前端分页,全选翻页状态保持

直接贴代码&#xff0c;代码中有注释 <template><div class"viewer-container" id"viewer-container"><!-- 表格 --><el-table:row-key"getRowKeys":data"data.tableDataCopy"style"width: 100%"ref&…

Spring详解(学习总结)

目录 一、Spring概述 &#xff08;一&#xff09;、Spring是什么&#xff1f; &#xff08;二&#xff09;、Spring框架发展历程 &#xff08;三&#xff09;、Spring框架的优势 &#xff08;四&#xff09;、Spring的体系结构 二、程序耦合与解耦合 &#xff08;一&…