PALO ALTO NETWORKS 的新一代防火墙如何保护企业安全

news2024/11/27 10:29:21

轻松采用创新技术、阻止网络攻击得逞并专注更重要的工作

IT 的快速发展已改变网络边界的面貌。数据无处不在,用户可随时随地从各类设备访问这些数据。同时,IT 团队正在采用云、分析和自动化来加速新应用的交付以及推动业务发展。这些根本性的转变带来了新的威胁形势,使旧有安全技术的弱点暴露无遗,例如基于端口的网络安全,或未经原生集成的不同工具和技术。这些安全工具并非针对自动化而设计,需要分析人员在操作之前手动将诸多来自互不相关来源的资讯整合在一起。

我们需要一种不同的方法:该方法首先将 Palo Alto Networks® 新一代防火墙作为集成平台的基石。我们的新一代防火墙提供防御型架构,这种架构易于部署和操作,采用自动化方式来减少手动工作,让您的安全团队能够专注更重要的工作,帮助您轻松采用全新创新技术。

Security Operating Platform 的基础
我们的新一代防火墙可以检查所有流量,包括所有应用、威胁和内容,然后将流量与用户绑定,不论其位置或设备类型如何。用户、应用和内容这三项推动业务开展的要素构成了企业安全策略中不可或缺的部分。因此,您可以使安全与业务策略保持一致,并编写出易于理解和维护的规则。

在这里插入图片描述

作为 Security Operating Platform 的一部分,我们的新一代防火墙让各组织能够:

  • 通过对所有流量进行分类,可以安全地启用包括软件即服务(SaaS) 的应用、用户和内容,无论使用什么端口。
  • 通过使用主动实施模型(即通过允许全部所需的应用并阻截所有其他应用),降低攻击风险。
  • 应用安全策略来阻截已知的漏洞利用、病毒、勒索软件、防间谍软件、僵尸网络,以及其他未知恶意软件,例如高级持续性威胁。
  • 通过对数据和应用进行分段以及实施零信任原则,保护包括虚拟数据中心在内的数据中心。
  • 在本地和云环境中保持一致的安全性。
  • 将 Security Operating Platform 扩展到用户和设备,不受其地理位置的限制,带来安全的移动计算。
  • 获得集中可视性,简化网络安全,提供海量可操作的数据,以便您能够阻止网络攻击得逞。

我们的新一代防火墙能够安全地推动业务发展,下面介绍该防火墙的关键功能。

零信任
传统的安全模型认为组织网络内部的所有内容全部可信,这种基础假设显然已经过时。传统的安全模型注重外围防护,而侵入网络内部的威胁会被忽视,从而任意破坏敏感、宝贵的业务数据。在数字化世界中,信任便是一种漏洞。

零信任是一种以数据为中心的网络安全最佳实践,这种实践移除了对信任的假设,为提供安全性打下了可靠的基础。在零信任世界中,没有任何受信任的设备、系统和人员。您可以识别需要保护的资产和数据;确定需要通过知情权、最低特权访问模型来访问特定数据的对象;制定反映业务策略的安全规则;以及检查和记录所有流量。

我们的新一代防火墙可帮助完成所有这些步骤,包括为所有位置的用户启用安全访问;检查所有流量;实施最低特权访问控制策略;以及检测和阻止高级威胁。这样可显著减少攻击者访问您的关键资产的途径,无论这些攻击者是否在贵组织内。

识别用户,保护用户身份
通过 User-ID™ 技术,我们的新一代防火墙能够识别所有位置的用户,无论他们使用什么类型的设备或操作系统。根据用户和群组(而非 IP 地址)掌握对应用活动的可视性后,通过让应用使用情况与业务要求保持一致,可安全启用应用。此外,您还可以根据用户或用户组定义应用访问策略。例如,您可以仅允许 IT 管理员使用 Secure Shell、Telnet 和文件传输协议等工具。无论用户身处何地(总部、分支机构或家中),使用何种设备,策略将始终适用于用户。另外,您可以使用自定义或预定义报告选项生成用户活动的信息性报告。

不过,用户身份的问题不仅局限于基于用户的策略和报告。保护用户身份同样重要。根据 Verizon® 发布的《2017 年数据泄露调查报告》显示,81% 与黑客相关的数据泄露都利用了弱凭证和/或窃取的凭证。1 攻击者使用窃取的凭证访问组织网络,他们会在这些网络中查找可窃取的宝贵应用和数据。为阻止基于凭证的攻击,我们的新一代防火墙:

  • 使用每五分钟更新一次的最新全球威胁情报,通过 PAN-DB URL Filtering 阻止对已知网络钓鱼站点的访问,保护用户免遭窃取其凭证的尝试。
  • 阻止用户向未知站点提交企业凭证,保护他们免遭有针对性的攻击,这些攻击会使用新的未知网络钓鱼站点来规避检测。
  • 允许您对您认为敏感的任何应用实施多重身份验证 (MFA),包括不太适合行 MFA 的旧有应用。这可在攻击者已经处理窃取的凭证的情况下为您提供保护,因为您需要实施额外的身份验证机制才能控制对关键系统的访问。您可以对所选的身份供应商使用此功能,包括 Ping Identity®、Okta®、RSA® 和 Duo Security,这样无论用户访问什么应用,他们都可获得一致的 MFA 体验。

安全启用应用
用户会访问各种类型的应用,包括软件即服务 (SaaS) 应用。某些应用需得到贵组织的批准,某些会被接受,但不必开展业务;其余的应用由于会增加风险而被禁止。新一代防火墙采用的 App-ID  技术可准确识别流经网络的所有流量中的应用,包括伪装成授权流量、使用动态端口或试图隐藏在加密面纱下的应用。App-ID 可以让您了解并控制应用及其功能,例如视频流与聊天、上传与下载、屏幕共享与远程设备控制等。

通过 SaaS 应用特征,您可以清楚了解应用的使用情况。例如,您可以确定从组织访问的哪些 SaaS 应用缺少所需的认证或有数据泄露历史。您可以允许访问 Microsoft® Office 365® 等 SaaS 应用上经批准的企业帐户,并阻止访问未经批准的帐户,包括个人/消费者帐户。

不侵犯隐私的安全加密流量
用户将超过 80% 的时间都花在了加密网站和应用上。但遗憾的是,攻击者仍能够利用加密来隐藏安全设备中的威胁。

我们的新一代防火墙采用基于策略的解密技术,让安全专业人员可以解密恶意流量,从而防御威胁,保护用户隐私并保持可预测的性能。通过灵活控制,您可以使敏感流量处于加密状态,例如与购物、军事、医疗保健或政府网站相关联的流量。您可以阻止用户访问使用自签名、不受信任或过期证书的网站。此外,您也可以阻止访问使用不安全的 TLS 版本或弱加密套件的网站。为保护用户隐私,您可以通过策略定义解密排除情况,让用户能够选择不对可能包含个人数据的特定事务进行解密。其余流量便可以解密并得到保护。

在硬件安全模块的支持下,您可以安全地管理数字密钥。完全正向保密可确保一个加密会话受到影响时不会影响多个加密会话。

在这里插入图片描述

检测和阻止高级威胁
今天,大多数新式恶意软件都会利用包括勒索软件变种在内的先进技术,通过网络安全设备和工具来传输攻击或漏洞利用。Palo Alto Networks 新一代防火墙可通过多种手段识别规避技术并自动加以处置:

  • Content-ID™技术基于对所有允许流量的全面分析,使用单个统一引擎中的多种高级威胁防御技术,提供一种创新的方法。
  • Palo Alto Networks Threat Prevention 服务结合新一代防火墙使用后,可提供入侵防御系统功能,从而阻止漏洞利用、缓冲区溢出和端口扫描,并防范攻击者采用的入侵和混淆方法,同时还提供网络反恶意软件及命令和控制防护措施。
  • 除了降低与未授权的文件和数据传输相关的风险外,我们的 URL Filtering 服务还可阻止访问已知恶意软件和网络钓鱼下载站点。
  • WildFire® 恶意软件防御服务使用多种分析方法来检测未知威胁,包括采用机器学习的静态分析、动态分析和裸机分析。其基于云的架构支持在网络、端点和云中进行大规模威胁检测和预防,以阻止已知和未知的威胁。

共享威胁情报
组织依靠多种威胁情报来源以确保尽可能广泛地了解未知威胁,但他们很难汇总、关联、验证和共享这些信息,以便在网络中实施防护措施。通过结合使用 Security Operating Platform 的其他组件,新一代防火墙可提供更进一步的情境和更全面的防护。WildFire 利用全球社区的数据来检测未知威胁,并自动阻截这些威胁;AutoFocus™ 情境威胁情报服务提供情境、聚合和归因信息,以便安全团队能够更快速地作出响应;Magnifier™ 行为分析检测内部威胁,并与 WildFire 协调这些信息。

另外,WildFire 支持新一代防火墙评估流量,只需短短五分钟即可分析未知威胁,并在网络、移动设备和云中实施高精度自动化防护措施。

在这里插入图片描述
单通道架构
要预防不断演变的威胁形势,通常需要引入新的安全功能。Palo Alto Networks 新一代防火墙基于单通道架构而构建,可在新一代防火墙中增添新功能,以便与其他功能原生集成。这一集成方法可提高安全性和易用性,而通过在仍基于 IP 地址、端口和协议工作的旧有架构上添加新功能,无法实现这种安全性和易用性。我们的新一代防火墙执行完整堆栈,以单通道方式检查所有端口上的全部流量,从而提供了有关应用、关联内容和用户身份的全面情境信息,以此为基础来做出安全策略决策。该防火墙的架构允许我们轻松添加创新的全新功能,就像我们对 WildFire 以及最近的 Magnifier 执行的操作一样。

灵活部署
我们的新一代防火墙可通过多种形式来部署:

  • 硬件:强大、智能、简洁与多功能性的完美结合,可有效保护企业和服务提供商在总部、数据中心和分支机构的部署。
  • VM-Series:这款虚拟化新一代防火墙,通过将应用分段实施威胁防御,保护您的私有云及公有云部署的安全。
  • GlobalProtect cloud service:我们的新一代防火墙可通过面向端点的GlobalProtect™ 网络安全防护,在全球范围内从云平台提供高效运营的安全性。

您可以选择以上部署形式之一或部署组合满足不同位置的要求,并通过 Panorama™ 网络安全管理集中管理所有部署。

网络安全管理
IT 团队正在不断挑战极限,对当今日益复杂的安全部署进行有效的管理。Security Operating Platform 通过轻松实现安全性管理以及数据虚拟化和交互,提供了很大的帮助。个人防火墙可通过功能完备的、基于浏览器的界面进行管理。对于大规模部署,您可以使用 Panorama 获得集中可视性,编辑安全策略,自动执行所有形式的防火墙的操作。两种界面的外观完全相同。Panorama Interconnect 插件可根据需要链接多个 Panorama 节点,以便集中化配置管理,将您的统一视图扩展到成千上万个防火墙。

Panorama 基于角色的访问控制与前导规则和后续规则的结合,使您可以在集中监控与本地策略编辑和设备配置灵活性之间实现平衡。应用命令中心和日志管理功能创建了单一管理平台,可提供对跨多个设备的可操作的可视性,无论设备部署在何处。对简单网络管理协议等标准工具以及基于 REST 的 API 的额外支持,使您可以轻松地与第三方管理工具集成。

报告和日志记录
为识别、调查和响应安全事件,Security Operating Platform 提供了以下功能:

  • 日志记录:Palo Alto Networks 突破了处理和列明事件时所采用的传统方式。您可以通过多种有效方式查看日志,包括图形、地图、趋势图等,以便解读网络数据。该自动关联引擎可消除手动关联任务,并发现因干扰而被忽视的威胁。此外,您也可以使用任何过滤条件转发日志,创建可在我们的 Security Operating Platform 或第三方系统内自动执行操作的工作流程。您可以灵活选择在本地或基于云的 Logging Service 中聚合日志。
  • 报告:您可以使用我们的标准报告或创建自定义版本来显示数据,以满足特定要求。所有报告可以导出为 CSV 或 PDF 格式,并按照计划执行和通过电子邮件发送。
  • 威胁追踪:AutoFocus 利用从全球几千家企业、服务提供商和政府收集的信息,针对未知威胁提供前所未有的可视性。在 PAN-OS® 中集成 AutoFocus 可加速威胁分析和追踪工作流程,而无需额外的专业化资源。

为何选择 Palo Alto Networks 新一代防火墙?
采用我们的新一代防火墙,您的用户可以根据业务要求访问数据和应用,保护您免遭基于凭证的攻击,阻止已知和之前未知的威胁,包括在加密流量中的威胁。自动化可为您节省创建安全规则所需的时间,这些规则完全符合业务策略,并且易于维护,能够适应动态环境并触发基于策略的自动化操作。我们的新一代防火墙可采用物理、虚拟化或基于云的部署形式,通过 Panorama 得到一致的管理。作为 Security Operating Platform 的一部分,Palo Alto Networks 新一代防火墙帮助组织快速采用 WildFire 和Magnifier 等原生集成的安全创新技术,同时跨端点和云共享数据和情报。

目前有 150 多个国家/地区的 54,000 余名客户已经采用我们的防御型架构。我们已经连续七次被 Gartner 魔力象限评为企业网络防火墙的领导者,并获得了 NSS 实验室的“推荐”评级——NSS 实验室授予的最高评级。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/769820.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kakfa - 多副本架构

文章目录 基本架构Kafka 多副本架构概念优点缺点 图解多副本架构小结 基本架构 Kafka 多副本架构 概念 Kafka 是一个高性能、分布式的消息系统,被广泛应用于各种场景中。在 Kafka 中,多副本架构是保证数据可靠性的重要手段之一。 多副本架构指的是将同…

【动手学深度学习】--12.深度卷积神经网络AlexNet

文章目录 深度卷积神经网络AlexNet1.AlexNet2.模型设计3.激活函数4.模型实现5.读取数据集6.训练AlexNet 深度卷积神经网络AlexNet 学习视频:深度卷积神经网络 AlexNet【动手学深度学习v2】 官方笔记:深度卷积神经网络(AlexNet) …

Qt的三大优势,打造高效工业软件开发:

强大的跨平台特性:Qt拥有优良的跨平台支持,可以在众多操作系统上运行,包括Microsoft Windows、Linux、Solaris、HP-UX、FreeBSD、QNX等等。这使得开发者可以轻松地将应用程序部署到不同的平台上,提高开发效率和覆盖范围。 面向对…

基于R语言的水文、水环境模型优化技术及快速率定方法与多模型案例实践

在水利、环境、生态、机械以及航天等领域中,数学模型已经成为一种常用的技术手段。同时,为了提高模型的性能,减小模型误用带来的风险;模型的优化技术也被广泛用于模型的使用过程。模型参数的快速优化技术不但涉及到优化本身而且涉…

linux之Ubuntu系列(七)用户管理 终端命令 su 切换用户

# 切换用户 zenxx:su - sup # 录入sup 密码 supxx:$ 切换root用户

Bard:Google AI开始支持中文对话和看图说话了

说起时下火爆的生成式AI,并不是只有ChatGPT。Bard也是一个很优秀的产品,并且刚刚发布的很多有趣的新功能。文末告诉你如何访问Bard。 Google AI在最近的更新中发布了Bard,一个新的语言模型。Bard支持多种语言,包括中文&#xff0…

linux之Ubuntu系列(五)用户管理、查看用户信息 终端命令

创建用户 、删除用户、修改其他用户密码的终端命令都需要通过 sudo 执行 创建用户 设置密码 删除用户 sudo useradd -m -g 组名 新建用户名 添加新用户 -m:自动建立用户 家目录 -g:指定用户所在的组。否则会建立一个和用户同名的组 设置新增用户的密码&…

7、PHP语法要点2

1、or 和 ||,&& 和 and 都是逻辑运算符,效果一样,但是其优先级却不一样。&&、||的优先级在赋值运算符之前,or和and在赋值运算符之后。 2、字符串变量及数组可以在echo输出时双引号内、双引号外均可引用&#xff…

Android Studio Flutter 开发配置

近来比较闲,就研究下Flutter 开发,在此记录下studio 配置过程,时间是2023.7.19 在 Windows 操作系统上安装和配置 Flutter 开发环境 1.首先下载 Flutter SDKhttps://storage.flutter-io.cn/flutter_infra_release/releases/stable/windows/…

【极简,亲测,解决】Too many levels of symbolic links

前言(与内容无关) 帖子看多了,让我产生一种错觉,就是生产这些帖子的人都是机器人吗?是活着的吗?乱七八糟的转载和明显错误的结论太多了。 原因 原因是 链接的层数过多,已经产生了回路。 大概…

【案例教程】基于Python机器学习、深度学习技术提升气象、海洋、水文领域实践应用能力

Python是功能强大、免费、开源,实现面向对象的编程语言,能够在不同操作系统和平台使用,简洁的语法和解释性语言使其成为理想的脚本语言。除了标准库,还有丰富的第三方库,Python在数据处理、科学计算、数学建模、数据挖…

C++:const修饰指针

const修饰符常常需要在c中使用到&#xff0c;需要注意到他对于指针修饰的时候的不同区别。 #include<iostream> using namespace std; int main() {//1.const修饰指针int a 10;int b 10;const int* p &a;//指针指向的值不可以改&#xff0c;指针的指向可以改// …

麒麟系统开发笔记(十二):在国产麒麟系统上编译GDAL库、搭建基础开发环境和基础Demo

若该文为原创文章&#xff0c;转载请注明原文出处 本文章博客地址&#xff1a;https://hpzwl.blog.csdn.net/article/details/131805718 红胖子网络科技博文大全&#xff1a;开发技术集合&#xff08;包含Qt实用技术、树莓派、三维、OpenCV、OpenGL、ffmpeg、OSG、单片机、软硬…

ifconfig不是eth0(eth1/2/3/4其他网卡)的解决办法

1. 编辑你网卡的配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0&#xff0c;更改eth0中HWADDR 更改为eth1网卡的信息&#xff08;这里是16位的mac地址&#xff09; 2. 编辑配置文件 vi /etc/udev/rules.d/70-persistent-net.rules 打开该文件&#xff0c;这时你会发现&…

思政课程,如何提升学习体验?

学校思政课程是中国高等教育中的一门重要课程&#xff0c;旨在培养学生的马克思主义理论素养、思想道德素质和社会责任感。 学校思政课程的开展&#xff0c;对于培养学生的全面发展和提升社会主义核心价值观具有重要意义。它不仅帮助学生理解和把握社会历史发展规律&#xff0c…

切面+注解方式实现sql注入,实现数据权限控制

前言&#xff1a;诸君谨记&#xff0c;你知道的越多&#xff0c;你就知道越少&#xff0c;良好的代码前篇一律&#xff0c;靠谱的架构&#xff0c;可以让程序开发效率提高&#xff0c;且运行稳如老狗&#xff0c;哈哈&#xff0c;言归正传 话说面试官问你&#xff0c;你对系统数…

VideoPipe可视化视频结构化框架更新总结

新增实例分割相关支持 增加了基于mask-rcnn的实例分割插件和相关sample。 1 #include "VP.h"2 3 #include "../nodes/vp_file_src_node.h"4 #include "../nodes/infers/vp_mask_rcnn_detector_node.h"5 #include "../nodes/track/vp_sort_…

vite 引入局部组件 必须带.vue

11:03:47 AM [vite] Internal server error: Failed to resolve import “./components/layoutsHeader” from “src/views/layouts/layouts.vue”. Does the file exist? 在这里插入图片描述

Apple Logic Pro 10.7.9 - 音频编辑

Apple Logic Pro 10.7.9 - 音频编辑 Logic Pro 10.7.9 MainStage 3.6.4 (Universal) 请访问原文链接&#xff1a;https://sysin.org/blog/apple-logic-pro/&#xff0c;查看最新版。原创作品&#xff0c;转载请保留出处。 作者主页&#xff1a;sysin.org Logic Pro X 10.3&…

Hive概述

Hive 一 Hive基本概念 1 Hive简介 学习目标 - 了解什么是Hive - 了解为什么使用Hive####1.1 什么是 Hive Hive 由 Facebook 实现并开源&#xff0c;是基于 Hadoop 的一个数据仓库工具&#xff0c;可以将结构化的数据映射为一张数据库表&#xff0c;并提供 HQL(Hive SQL)查询…