Paloalto下一代防火墙技术解决方案.pptVIP

39 23 23 23 直观与灵活的管理方案 CLI,、Web及Panorama中央管理应用程序 SNMP, Syslog Panorama中央管理应用程序 Panorama 是一种中央管理应用程序设备，可集中对Palo Alto Networks设备进行管理、日志记录、及监控。 与设备保持一致的网络界面，简化学习曲线，且客户无需安装软件。 提供整个网络的 ACC/监控查看、日志采集与报告。 所有管理界面都基于必威体育精装版配置，避免因多层管理导致的不能同步的问题 自动更新 自动安装或分级更新 App-ID签名 威胁签名 发布软件维护更新 发布签名与维护更新时实现零停机时间升级 * 传统的单机式IPS作用有限 传统的单机式IPS无法阻止采取加密与混淆技术的应用流量 在许多部署中，为确保不影响性能，无法扫描任何服务器至客户端的流量，因此只能任由所有这些基于用户的应用流量自由出入，无法扫描。 * UTM 也一样，虽然UTM将多种技术集成到一台设备中。 记忆功能却影响了其各种引擎工作。 同样，各种设备数据包还需通过各类引擎。 而这一过程必然会延长延时性及增加处理器成本。 不知道有多少用户会在UTM产品中有过此类经验。 即，当用户启动全部功能时，吞吐量会降低80%左右。 同时，UTM依然对应用程序的可视性极小，甚至没有这项功能。 * 应用程序、用户与内容的可视性 应用命令中心（ACC） 查看应用程序、URL、威胁及数据过滤活动 挖掘ACC数据、并因要获得所需结果而增加/拆除过滤器 删除Skype ，进一步查看hzielinski活动 对Skype程序 及用户hzielinski过滤 对Skype程序进行过滤 Page 19 | ? 2008 Palo Alto Networks. Proprietary and Confidential. Page 19 | ? 2008 Palo Alto Networks. Proprietary and Confidential. Page 19 | 使用应用程序、用户与内容的可视性 灵活的策略控制响应 直观式策略编辑器可利用灵活策略响应执行适当的使用策略 允许或拒绝个别应用程序的使用 允许但应用IPS策略，进行病毒与间谍软件扫描 根据类、子类、技术或特性控制应用程序 应用流量整形（保障型、优先型与最高整形能力） 解密并检查SSL 允许AD中的某类用户或群组 允许或阻止某类应用功能 控制过多网络浏览 根据调度允许流量通过 查看、警惕或阻止文件或数据传输 内置IPSEC VPN和SSL VPN 安全连接 基于标准的site-to-site IPSec VPN 采用SSL VPN进行远程访问 对应用程序、用户及内容的所有VPN流量实施基于策略的可视性与控制 均集成在PAN-OS系统特性中，无需另外付费 Site-to-site VPN 连接 远程用户连接 流量整形扩展了策略控制方案 流量整形策略可确保业务应用程序不会遭遇带宽瓶颈 具有保障型及最高带宽设置 灵活的优先级分配、硬件加速队列 对应用、用户、源、目的地、接口、IPSec VPN通道及其它内容执行基于策略的流量整形 可以更高效的方式部署适当应用程序使用策略 均集成在PAN-OS系统特性中，无需另外付费 单通道平行处理(SP3) 架构 单通道 对各数据包仅执行一次扫描 流量分类（应用程序识别） 用户/群组映射 内容扫描 – 威胁、URL及必威体育官网网址数据 单一策略 平行处理 特定功能硬件引擎 独立的数据/控制平面 高达10Gbps吞吐量、低延时 专用架构： PA-4000 系列 内容扫描硬件引擎 Palo Alto Networks的统一签名 多内存条 – 内存带宽可扩展设备性能 多核安全处理器 灵活的安全功能，具有高密度处理能力 硬件加速实现了标准化的复杂功能(SSL, IPSec, 解压缩) 专用控制平面 高可用管理性 高速日志与路由更新 10Gbps 内容扫描 引擎 RAM RAM RAM RAM 双核 CPU RAM RAM HDD 10 Gig 网络处理器 前端网络处理可分担安全处理器的负荷 硬件加速 QoS、路由查找、 MAC查找与NAT CPU 16 . . SSL IPSec 解压缩 CPU 1 CPU 2 10Gbps 控制平面 数据平面 RAM RAM CPU 3 QoS （服务质量） 路由、ARP、MAC查找 NAT 网络环境性能测试 供应商 产品 初速度 IPS-服务器 IPS-客户 防病毒 AV+IPS-服务器 AV+IPS-客户 Astaro ASG 425a 243 180 166 69 21 17.2 检查点 UTM-1 2050 754 221 40 98 95 38 Cisc