PaloAlto下一代防火墙网络安全解决方案.ppt-道客多多

资源描述

1、PaloAlto Networks 安全解决方案,2012-2 金志勇,题目,背景介绍产品特点介绍解决方案案例及总结, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 2 |,背景介绍,关于 Palo Alto Networks,Palo Alto Networks 专业网络安全公司具有安全和网络经验世界级的团队成立在 2005 下一代防火墙的领导者并支持上千种应用的识别和控制恢复防火墙在企业网安全核心位置创新技术: App-ID, User-ID, Content-ID 是硅谷著名的公司，很多大公司全球范围

2、部署我们产品，全球100多个国家5400+个客户，用户包括半数以上的全球500强企业被Gartner 评为最具远见厂商,the many enterprises that have deployed more than $1M,Page 4 |,2010 Gartner 企业防火墙市场魔力四象限,Source: Gartner,2011 Gartner 企业防火墙市场魔力四象限,Palo Alto Networks公司的下一代防火墙正在领导着市场技术方向 Gartner指出: “Palo Alto Networks公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对

3、手改变产品路线和销售策略。” Gartner的建议：在下次升级防火墙，IPS，或者两者兼而有之可以迁移到下一代防火墙 Gartner的预测到2014年： 35% 防火墙或被下一代防火墙替代 60% 新采购的防火墙将是下一代防火墙,Source: Gartner, December 14, 2011, 2011 Palo Alto Networks. Proprietary and Confidential,Page 7 |,网络安全变化,端口应用 IP 地址使用者威胁漏洞,需要恢复在防火墙对应用可视性和控制,当今的网络安全基于过时的假设，但是看到现实就是：,Port 135,Port

4、137,RPC,SMS,SQL,SharePoint,SMB,Port 80,Port 139,应用中采用动态的，随机的，频繁使用常用端口 - 从根本上打破基于端口的网络安全,Port 443,NetBIOS,*加上众多的高位随机端口, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 8 |,答案? 这些都是防火墙需要做的事情！,产品特色综述, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 9 |,创新的安全防护和应用控制方法论及革新性技术手段，突

5、破了传统安全思维方式的束缚：IP地址控制 = 用户控制端口控制 = 应用控制独有的硬件系统架构，解决了传统安全方案的性能问题：- 功能（IPS、AV、QoS.）启用的多寡不会影响性能- 策略（Rule）配置的数量与性能无关业界领先的统一系统平台，极大地简化了传统的结构和管理：- 传统多个独立安全系统的组合简化为单个系统 - 错综复杂的安全策略体系简化为逻辑简单清晰的单一体系强大的应用识别与控制（超过1400个应用识别）能力，在威胁防范上具有强大优势填补了传统安全系统在应用控制方面的短板。,Customer Count,2011,产品特点介绍,新的识别技术, 2011 Palo Alto

6、 Networks. Proprietary and Confidential.,Page 11 |,App-ID 应用识别,User-ID 识别用户,Content-ID 内容的扫描,端口应用,IP 地址使用者,多重威胁漏洞,App-ID: 综合型应用可视性,对5大类25个子类的1200多种应用程序实施基于策略的控制平衡控制各种业务、互联网与网络应用程序以及网络协议每周都会新增3-5种应用程序应用程序覆盖（App override）与自定义HTTP应用程序可帮助追踪内部应用程序地址,http:/ 2009 Palo Alto Networks. Proprietary and C

7、onfidential 3.0-a,Page 13 |,http:/ 2009 Palo Alto Networks. Proprietary and Confidential 3.0-a,Page 14 |,滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用消耗带宽具有规避性（逃逸）普遍使用,http:/ 2009 Palo Alto Networks. Proprietary and Confidential 3.0-a,Page 15 |,应用统计,Proxy 42 种远程访问应用 64种 Risk等级在4-5的应用（高危险应用）453种 Web mail 应用

8、62种brower-base 应用 534种 IM应用136种，其中39种是高危应用基于brower-base的IM应用 53种文件共享类应用 172种采用动态端口234,应用统计 by 威胁因素,高风险应用导致的业务风险,应用程序文件传输会导致数据泄漏；逃逸或传递其他应用程序的能力可导致合规性的风险；高带宽消耗相当于增加运营成本，而易受恶意软件和漏洞攻击的应用程序可引入业务连续性风险。,Data Lost数据泄露: 文件传输可导致数据泄露 Compliance 合规: 逃避检测或传递其他应用导致合规风险 Operational Cost运营成本: 高带宽消耗等于增加成本 Prod

9、uctivity(生产力): 社区网络和媒体应用导致降低生产力 Business Continuity 业务连续性: 容易受到恶意软件和漏洞攻击的应用导致的业务连续性风险, 2011 Palo Alto Networks. Proprietary and Confidential,Page 19 |,风险最高的已用应用程序（排名风险4和5）, 2011 Palo Alto Networks. Proprietary and Confidential,Page 20 |,使用 HTTP 的应用程序,Content-ID: 实时内容扫描,基于串流、而非文件的实时扫描性能统一签名引擎可扫描单通道

10、内的各种威胁漏洞攻击(IPS)、病毒、及间谍软件 (下载内容及phone-home) 按类型阻止敏感数据与文件传输查找CC # 与SSN模式查看文件内部内容，确定其类型-而非基于扩展通过完全集成式URL数据库，启用网络过滤功能本地 20M URL数据库 (76 类)可最大化性能(1,000个URL/秒) 动态数据库适于本地、区域、行业专用浏览模式,探测与阻止各种威胁，限制未授权文件传输以及控制与工作无关的网络浏览,Security Profiles,Security Profiles 查找的是被允许流量当中恶意的软件 Security Policies 在被允许的流量中定义的, 20

11、10 Palo Alto Networks. Proprietary and Confidential 2.1v1.0,滥用倾向传递其他应用程序具有已知的漏洞传输文件被恶意软件利用具有规避性（逃逸）,将各类威胁清楚呈现？, 2010 Palo Alto Networks. Proprietary and Confidential.,Page 23 |,对威胁具备高度的分析能力与全新的管理思维,全球知名IPS认证机构 NSS Lab 认证,NSS Labs性能测试, 2010 公认的行业领导者的IPS测试测试是基于公认的 NSS IPS 测试方法测试是在真实环境下使用了1179个现

12、存的攻击进行的,NSS 报告http:/ 93.4% 全球排名第一,NSS 报告结果汇总,NSS Group Test Q4 2009, 2011 Palo Alto Networks. Proprietary and Confidential.,Standalone Test Q3 2010,Read the full Palo Alto Networks Report here http:/ more information on the 2009 Group Test here http:/ Control,恶意软件具有针对性，具有隐蔽性特点，持续攻击,未知的威胁,NGFW 分类已知的流

13、量客户化应用签名对于专有应用任何 “未知”的流量，可以跟踪和调查 Botnet行为报告自动关联最终用户的行为，发现有可能感染了BOTNET的客户未知的TCP和UDP，动态DNS，重复文件下载/尝试，最近注册的域名等联系, 2010 Palo Alto Networks. Proprietary and Confidential.,Page 27 |,10.1.1.56 10.1.1.34 10.1.1.277 192.168.1.4 192.168.1.47,10.1.1.101 10.0.0.24 192.168.1.5 10.1.1.16 192.168.124.5,Find sp

14、ecific users that are potentially compromised by a bot,Jeff.Martin, 2010 Palo Alto Networks. Proprietary and Confidential,Botnet 行为检测分析,从流量、威胁、URL日志中收集识别疑似的被botnet感染的主机生成分析报告被感染主机列表, 描述 ( 主机被感染的理由) 可配置的参数用户检测botnets 未知TCP/UDP IRC HTTP traffic (恶意网站，最近注册，IP域，动态域名)客户配置查询特定的域名,WildFire 架构提供应对未知威胁, 201

15、1 Palo Alto Networks. Proprietary and Confidential.,Page 29 |,Unknown Files 来自互联网,比较是否是已知的威胁,自动在沙箱环境下运行,签名的生成,服务入口看到列表,设备提交此文件到 WildFire 云中,同时新的签名库通过正常的威胁更新到所有用户中.,现代入侵防御的最佳实践, 2011 Palo Alto Networks. Proprietary and Confidential.,Gartners 推荐: “在下次升级可以迁移到下一代防火墙-无论是防火墙，IPS，或者两者兼而有之.” Read the full G

16、artner report here,为了切实保护网络，企业需要超越传统 IPS解决方案提供的功能,http:/ 2011 Palo Alto Networks. Proprietary and Confidential.,控制威胁+控制传播途径, 传统 IPS 忽略了威胁传播途径,威胁和传播途径覆盖面不断变化, 2011 Palo Alto Networks. Proprietary and Confidential.,威胁控制,传播途径控制,User-ID: 企业目录集成,用户再无需仅靠定义IP地址防范威胁利用现有活动目录（Active Directory ）架构，无需复杂代理转出识别

17、Citrix用户并将策略应用与用户及群组，而非仅靠IP地址识别根据实际AD用户名而非仅是IP，了解用户应用与威胁行为根据用户及/或AD群组管理与实施策略调查安全事件，编制自定义报告,用户信息的使用,在日志文件中,通过User / Group 排序通过User过滤日志,在Security Policy中,通过user/Group控制应用使用, 2010 Palo Alto Networks. Proprietary and Confidential 3.1-b,Page 34 |,后台获取用户和IP信息 Active Directory, 2010 Palo Alto Networks.

18、 Proprietary and Confidential 3.1-b,Page 35 |,使用代理程序链接Domain 获得Users, Groups 和 Group membership信息使用代理程序维护这种映射关系,Domain Controllers,单通道&并行处理 (SP3) 系统架构, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 36 |,单通道处理数据包一次操作流量分类（应用识别) 用户/组对应内容扫描威胁, URLs, 敏感信息而且仅仅执行单一策略并行处理技术特定功能的并行处理硬

19、件引擎独立的数据/控制平面,高达20Gbps(App-ID), 低延时, 2008 Palo Alto Networks. Proprietary and Confidential.,Page 37 |,Content Scanning HW Engine Palo Alto Networks uniform signatures Multiple memory banks memory bandwidth scales performance,Multi-Core Security Processor High density processing for flexible securit

20、y functionality Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression),Dedicated Control Plane Highly available mgmt High speed logging and route updates,10Gbps,Dual-core CPU,RAM,RAM,HDD,10 Gig Network Processor Front-end network processing offloads security processors

21、Hardware accelerated QoS, route lookup, MAC lookup and NAT,CPU 16,. .,SSL,IPSec,De-Compression,CPU 1,CPU 2,10Gbps,Control Plane,Data Plane,RAM,RAM,CPU 3,QoS,Route, ARP, MAC lookup,NAT,全新设计硬件架构强化性能配置,在过去，当联机数或流量异常暴增时也一并影响了安全设备的管理功能,为什么可视性和控制，必须在防火墙完成, 2011 Palo Alto Networks. Proprietary and Confiden

22、tial.,Page 38 |,Port Policy Decision,App Ctrl Policy Decision,作为一个附加功能的应用控制基于端口控制FW + 应用控制 (IPS) = 2套处理策略仅仅阻止你明确寻找的应用程序的威胁结果网络（端口）访问的决定没有任何信息依据不能安全的启用应用,Port,Traffic,你可以看到基于端口 FW + 附加应用控制问题, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 39 |,真正下一代防火墙能看到的, 2011 Palo Alto Networks.

23、Proprietary and Confidential.,Page 40 |,基于应用和用户限制允许的商业应用的流量减少攻击的数量级,无盲点完整的威胁库双向检查 SSL扫描扫描压缩文件扫描隧道和代理内容, 2010 Palo Alto Networks. Proprietary and Confidential.,Page 41 |,给予客户端适当的行为规范,进一步针对所允许的数据流进行相关安全检查,下一代防火墙的控制,掌握您所管理的网络数据流, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 42 |,PAN-

24、OS 兼容传统防火墙功能,强大的网络功能基础动态路由 (BGP, OSPF, RIPv2) Tap 模式连接SPAN端口虚拟线 (“Layer 1”) 用于透明部署 L2/L3 交换策略转发-Policy-based forwarding VPN Site-to-site IPSec VPN SSL VPN QoS 流量整形最大/保障和优先级基于用户,应用, 接口, 安全域, 等实时带宽监控,基于安全域架构所有接口赋予安全域用于策略实施高可用 Active/active, active/passive Configuration 和 session 同步 Path, link

25、, 及HA 监控虚拟系统建立多个虚拟防火墙在单设备中 (PA-5000, PA-4000, 和PA-2000 Series) 简单，灵活管理 CLI, Web, Panorama, SNMP, Syslog,对应用、用户、内容的可视性和控制补充了核心防火墙的功能,PA-500,PA-2020,PA-2050,PA-4020,PA-4050,PA-4060,PA-5060,PA-5050,PA-5020,PA-200,硬件+软件系列概述, 2009 Palo Alto Networks. Proprietary and Confidential 3.0-a,Page 43 |, 2008 P

26、alo Alto Networks. Proprietary and Confidential.,对数据流具备高度的分析能力与全新的管理思维 -内置综合的可视性分析,Enterprise 2.0,WEB 2.0,App-ID,User-ID,Content-ID,有哪些应用被使用 ,谁在用这些应用 ,文件及其内容关键信息传输过滤入侵防御、病毒、恶意软件检测,Cloud computing,如何将各类数据流流清楚呈现？可视性分析, 2008 Palo Alto Networks. Proprietary and Confidential.,Page 45 |,实施更具灵活性、直观与精确的安全策

27、略,默认支持客户端环境常见的应用程序（1400+）并进行分类在安全策略定义时使用可依据客户端个人或群组直接进行安全策略定义大幅提升安全策略精确度（By User-ID & AP-ID）并立即了解相关触发事件记录举例: 允许商业及网络应用允许 IM 但是阻止文件传输阻止P2P 只读facebook,精确地对客户端、群组及其网络行为进行规范, 2008 Palo Alto Networks. Proprietary and Confidential.,Page 46 |,谁在访问,哪些应用,哪些威胁,快速完成各类事件的搜寻与分析,在过去您需要花多少时间去进行各类事件的统计、横向整合与交叉

28、分析以进行梳理各种网络问题的原因？,解决方案,灵活的部署选项,可视性,透明串行,更换防火墙,具有应用程序、用户与内容的可视性，无需串行部署,具有全面应用程序可视性与控制性的威胁防护集成了威胁防护 & URL 过滤,用对应用程序的可视性与控制特性替代防火墙防火墙+ 威胁防护防火墙+ 威胁防护 + URL 过滤,多种工作模式可同时并存,NAT Mode,Internet,服务器群,客户端 / 分支子网,SPAN Mode,VWire Mode,有效扩大安全防御纵深、广度并维持高度的管理效率！,极具弹性与高效益的布署模式,下一代防火墙保护范围,同样的下一代防火墙, 产生不同的收益,边界,识别

29、和控制应用、用户和内容积极的启用,数据中心,基于用户和应用网络分割高性能威胁防护,分布式企业,分支办公室,远程用户,延伸统一的安全到所有用户和地点可视化对于应用、用户和内容,边界防御,互联网,混乱的管理不是正确方案,管理复杂购买与维护成本高昂防火墙“助手”对流量的查看有限最终仍无法解决问题,不同设备太多的日志需要存储和分析如何找到不同日志之间关联性不能迅速找到问题根源,互联网,UTM同样混乱.结果也只是导致处理速度更慢,无法解决问题防火墙“助手”功能对流量的查看有限启动流量查看功能，却又会影响性能,传统的多通道架构速度缓慢,基于端口/协议的ID,L2/L3网络、高可用性（H

30、A）、配置管理、报告,基于端口/协议的ID,HTTP解码器,L2/L3网络、高可用性（HA）、配置管理、报告,URL过滤策略,基于端口/协议的ID,IPS签名,L2/L3网络、高可用性（HA）、配置管理、报告,IPS策略,基于端口/协议的ID,防病毒签名,L2/L3网络、高可用性（HA）、配置管理、报告,防病毒策略,防火墙策略,IPS解码器,防病毒解码器&代理,安全方案-1IT系统的安全边界-控制及威胁保护,应用的可视性和控制对放行的流量进行精细化威胁防护检查统一的基于应用、用户、内容的策略,安全方案-2总部/分支的安全互连,建立IPsec，SSL VPN在VPN Tunnel中应用的可视

31、性和控制对放行的流量进行精细化威胁防护检查统一的基于应用、用户、内容的策略,通过异构能够实现和传统解决方案共存实例,同样的下一代防火墙, 产生不同的收益,边界,识别和控制应用、用户和内容积极的启用,互联网,互联网,边界延伸,边界延伸-Global-protect,分布式企业,分支办公室,远程用户,延伸统一的安全到所有用户和地点可视化对于应用、用户和内容,GlobalProtect, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 60 |,无论在何处不会离网所有NGFW协同工作提供私有云安全,工作流程: 安装客户端代

32、理软件能够判断所在网络位置 (在企业还是离开企业网络) 如果离开会自动连接最近的NGFW通过SSL VPN 内置代理软件提供主机信息 (patch level, disk encryption, 等) 到网关网关能够执行安全策略通过 App-ID, User-ID, Content-ID 以及主机信息策略,企业网安全的架构, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 61 |,建立逻辑边界，不受物理范围限制对内对外实现同样深度的保护通过专用防火墙执行安全动作, 而不是终端统一的可视性报告、合规及报告,数据中心

33、,Changes In The Data Center,Attacks Virtualization Compliance Green Performance Resiliency, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 63 |,符合数据中心的要求越来越难,数据中心安全 = 折中性能还是安全多功能还是简单效率还是可视性, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 64 |,并且, 不是所有的数据中心需求都是一样的,

34、2010 Palo Alto Networks. Proprietary and Confidential.,Page 65 |,传统安全设备对于服务主机的防护缺陷,没有用户识别/ 应用控制功能仅仅是Layer 4 控制策略很难满足对相关规范支持（ISO 27001, PCI）,允许所有 PORT 80,443的流量到服务主机，但利用这些端口的攻击或异常行为却不胜枚举！,企业数据中心更好，更有效的安全, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 66 |,有效安全应用用户内容扫描灵活的方式L1/L2/L

35、3/混合模式VLAN trunking, 链路聚合,举例: 网络分割 (PCI),举例: 保障安全开发人员使用SQL应用任何端口仅仅 Oracle, SQL Server, MySQL, 和 DB/2 流量允许通过数据库的网段,企业数据中心举例: PCI,只有金融的AD用户可以访问持卡人区(rule 1) Oracle 是唯一被允许的应用 (rule 1) 阻止进入流量的威胁 (rule 1) 监控/阻止持卡人数据的出去流量 (rule 1) 阻止和记录其他流量 (rule 2), 2011 Palo Alto Networks. Proprietary and Confidential.,P

36、age 67 |,Palo Alto Networks 在 Internet Data Center作用, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 68 |,没有硬件妥协基于策略性能和安全的平衡速度安全解码和检测内容威胁扫描简化设计可视性什么是正在使用的，什么是被攻击可靠性,Internet Data Center: 保护+性能, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 69 |,优秀的威胁防护 NSS: 93.4%

37、阻断, 100% 防止逃逸, 115% 性能唯一能够识别非标准端口IPS 配置 DDoS 保护, 阻止已知 DoS 扫描双向 SSL (decrypt) 和压缩流量确保只有被授权的应用使用网络资源允许 SSH,RDP 被授权人员使用, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 70 |,NGFW: 强大的网络性能和灵活性, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 71 |,NGFW: 强大的网络性能和灵活性,强大的网络功能基础动

38、态路由 (BGP, OSPF, RIPv2) Tap 模式连接SPAN端口虚拟线 (“Layer 1”) 用于透明部署 L2/L3 交换混合部署模式策略转发-Policy-based forwarding 简单，灵活管理日志报告 CLI, Web, Panorama, SNMP, Syslog 内置流量、威胁、URL、数据过滤分析快速定位问题提供REST-XML-API第三方管理接口,快速和现有系统结合,基于安全域架构所有接口赋予安全域用于策略实施高可用控制+管理平面分离 Active/active, active/passive Configuration 和 session

39、同步 Path, link, 及HA 监控虚拟系统建立多个虚拟防火墙在单设备中 (PA-5000, PA-4000, 和PA-2000 Series),PA-200, 2011 Palo Alto Networks. Proprietary and Confidential.,PA-5000 系列用于数据中心,.,.,.,Page 72 |,案例及总结,Next-Generation Firewalls, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 74 |,客户案例: PSA 公司,“我们所使用的传统防火墙无法

40、达到性能或检测要求。而PaloAlto-4000 系列产品则可轻松的满足我们的要求，并实现了检测与控制功能，即：将其转化成可实际执行及认可的使用策略。” . Chris Poe CIO,问题需要低成本高效率的办公安全解决方案需要一个综合性三机式解决方案解决方案目前在法国总部部署了两台PA-4050防火墙，在法国和中国之间分别部署了两台PA-4020防火墙，并在法国的研发实验室部署了两台PA-500防火墙。即将在俄罗斯、阿根廷和巴西部署。 PAN目前作为第二防火墙解决方案，今后会完全替换目前的Juniper FW。结果完整覆盖- 防火墙、应用程序控制、威胁防范-一机式易于远程管理-

41、一个用户界面在多个地点进行跨国部署,行业: 轻型商用汽车制造业统计: 150个国家、21万名员工、营业额达500多亿欧元,客户案例: 开心网,开心网是目前国内最为火爆和上升极其迅速的一个SNS网站，中国领先的社区平台服务提供商，团队的使命是打造中国最大的在线社区服务平台。,问题无法应对各种采用逃避技术的应用流量带来的安全威胁无法控制流出网络的数据各种安全设备太多解决方案在两个IDC机房各部署了一台PA-4000系列，对应用程序与威胁进行检测与控制结果实现检测、控制，并对50多个后台数据库进行防护高效并简化了安全架构,解决三个关键的业务问题,识别和控制应用程序对于1400

42、+应用的识别, 无论采用何种端口, 协议, 加密, 逃逸行为对应用颗粒化的控制 (allow, deny, limit, scan, shape) 解决传统防火墙基础设施的关键缺陷防止威胁停止各种威胁 - 漏洞，病毒，间谍软件阻止信息泄露 (e.g., credit card #, social security #, file/type) 流扫描引擎确保高性能执行颗粒化的使用策略对于网站浏览简化安全架构部署下一代防火墙在网络安全架构的中心降低架构和运营的复杂度, 2011 Palo Alto Networks. Proprietary and Confidential.,Pa

43、ge 77 |,NGFWs消除数据中心妥协,威胁防护阻止更广泛的威胁，对所有被允许的流量进行检测经过验证的质量 (NSS 测试和推荐) 通过策略设置安全，而不是通过连接线部署遵从和划分节省时间和费用用于网络分割通过用户/组，应用进行分割简化最高20Gbps 防火墙性能, 集成了高性能威胁防护简单容易的部署通过减少网络安全机架空间需求，降低TCO（电源，空调，订阅，维护）, 2011 Palo Alto Networks. Proprietary and Confidential.,Page 78 |,产品特色综述, 2011 Palo Alto Networks. Propr

44、ietary and Confidential.,Page 79 |,创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：IP地址控制 = 用户控制端口控制 = 应用控制独有的硬件系统架构，解决了传统安全方案的性能问题：- 功能（IPS、AV、QoS.）启用的多寡不会影响性能- 策略（Rule）配置的数量与性能无关业界领先的统一系统平台，极大地简化了传统的结构和管理：- 传统多个独立安全系统的组合简化为单个系统 - 错综复杂的安全策略体系简化为逻辑简单清晰的单一体系强大的应用识别与控制（超过1400个应用识别）能力，在威胁防范上具有强大优势填补了传统安全系统在

45、应用控制方面的短板。,Customer Count,2011,产品特色综述,创新的安全防护和应用控制方法论及革新性技术手段，突破了传统安全思维方式的束缚：IP地址控制 = 用户控制端口控制 = 应用控制独有的硬件系统架构，解决了传统安全方案的性能问题：- 功能（IPS、AV、QoS.）启用的多寡不会影响性能- 策略（Rule）配置的数量与性能无关业界领先的统一系统平台，极大地简化了传统的结构和管理：- 传统多个独立安全系统的组合简化为单个系统 - 错综复杂的安全策略体系简化为逻辑简单清晰的单一体系强大的应用识别与控制（超过1400个应用识别）能力，在威胁防范上具有强大优势填补了传统安全系统在应用控制方面的短板。,Thank You, 2010 Palo Alto Networks. Proprietary and Confidential.,Page 81 |,

展开阅读全文