Palo Alto Networks. Межсетевые экраны нового поколения © 2009 Palo Alto Networks. Proprietary and Confidential. Page 2 | Тенденции развития современных.

Презентация:



Advertisements
Похожие презентации
Новый социальный интернет и новые угрозы Риски и преимущества Enterprise 2.0.
Advertisements

Межсетевые экраны нового поколения Palo Alto Networks.
Интернет Контроль Сервер Интернет Контроль Сервер (ИКС) - это готовый программный Интернет шлюз с огромным набором функций для решения всех задач взаимодействия.
СЛУЖБЫ СОЕДИНЕНИЙ Лекция # 2. Виды серверов Web Mail DB Proxy DHCP DNS Котроллер домена Сервер глобального каталога.
Если вы хотите: Сократить расходы на использование Интернет в вашей организации Контролировать использование Интернет трафика Ограничивать доступ к различным.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
Smart-Soft Traffic Inspector. Основные возможности Traffic Inspector: комплексное решение для подключения сети или персонального компьютера к сети Интернет.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Настройка маршрутизаторов Cisco с интегрированными услугами.
Kaspersky Anti-Hacker 1.8 Обзор продукта Глумов Юрий, Менеджер по развитию продуктов.
Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Безопасность в Internet и intranet 1. Основы безопасности 2. Шифрование 3. Протоколы и продукты 4. Виртуальные частные сети.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Маршрутизаторы с интегрированными услугами (ISR) класса.
Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
Межсетевые экраны. Межсетевой экран Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Организация Интернет Сети и системы телекоммуникаций Созыкин А.В.
Межсетевой экран Межсетевой экран (англ. -firewall; нем. - Brandmauer) – средство разграничения доступа клиентов из одного множества систем к информации,
Решения ALTELL1 новые горизонты Комплексный подход к обеспечению безопасности сетевых подключений Францев Викентий Вячеславович, Директор ООО «АльтЭль»
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Транксрипт:

Palo Alto Networks

Межсетевые экраны нового поколения © 2009 Palo Alto Networks. Proprietary and Confidential. Page 2 | Тенденции развития современных сетевых приложений Современные требования к межсетевым экранам Межсетевые экраны нового поколения Уникальные технологии Palo Alto Межсетевые экраны Palo Alto

Межсетевые экраны © 2009 Palo Alto Networks. Proprietary and Confidential. Page 3 | Web DNS POP3 SMTP MySQL Петров И.С. Бухгалтерия Admin

Приложения изменились

TCP 80: бизнес приложения

TCP 80: другие приложения

Тактика обхода систем безопасности

© 2010 Palo Alto Networks. Proprietary and Confidential3.1-a Page 8 | Skype Порты закрыты Порты 80/443 открыты PingFU - Proxy BitTorrent Client Порт 6681 Закрыт Тактика обхода систем безопасности. Пример

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 9 | Вывод: Приложения изменились, а файерволы - нет Файервол должен восстановить контроль над сетью Политики файерволов базируются на контроле портов, протоколов и IP адресов… … а должны контролировать приложения, пользователей и передаваемые данные

«Помощники» файервола не помогают! © 2009 Palo Alto Networks. Proprietary and Confidential. Page 10 | Увеличивается сложность и стоимость Производительность ухудшается Сеть так и не становится прозрачной и контролируемой Internet

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 11 | Увеличивается сложность и стоимость Производительность ухудшается Сеть так и не становится прозрачной и контролируемой «Помощники» файервола не помогают! UTM (Unified Threat Management)

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 12 | Что должен уметь файервол нового поколения? Контроль на уровне приложений Должна быть возможность запретить приложение (вне зависимости от порта) Полностью интегрированные Дополнительные функции не должны влиять на производительность Функции для определения пользователей Интеграция со службами каталогов (Active Directory и т.д.) Функции обычных файерволов Фильтрация пакетов, NAT, динамическая маршрутизация и т.д.. Должен легко устанавливаться в сеть Легкая прозрачная установка в работающую сеть Gartner: Требования к файерволу нового поколения

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 13 | Устройства UTM (Unified Threat Management) это НЕ файерволы нового поколения DLP (Data Leak Prevention) это НЕ файерволы нового поколения Web шлюзы это НЕ файерволы нового поколения шлюзы это НЕ файерволы нового поколения Что должен уметь файервол нового поколения? Gartner: Не являются файерволами нового поколения:

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 14 | Функции: 1. Определение приложений вне зависимости от порта и шифрования SSL 2. Определение пользователей вне зависимости от IP адреса 3. Применение политик к приложениям и функционалу этих приложений 4. Интегрированная защита от сетевых атак 5. Производительность до 10 Гбит/с Файервол нового поколения

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 15 | Уникальные технологии изменили файервол App-ID Идентификация приложений User-ID Идентификация пользователей Content-ID Контроль данных

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 16 | «Однопроходная» архитектура Один проход Одна операция на пакет - Классификация трафика (App- ID) - Определение пользователей/групп - Сканирование данных – угрозы, URLы, конфиденциальные данные Единая политика - Политика применяется к приложению, IP адресу, пользователю и т.д. Параллельная обработка Специализированное аппаратное обеспечение Разделение контрольной платы от платы данных Производительность до 10 Гбит/с, маленькая задержка

© 2008 Palo Alto Networks. Proprietary and Confidential. Page 17 | Специализированная архитектура (PA-4000) Сигнатурный движок Сигнатуры Palo Alto Балансировка ресурсов (памяти) Многоядерный процессор Многопроцессорная обработка для обеспечения высокой производительности Аппаратная обработка сложных, но стандартизованных функций (SSL, IPSec) Контрольная плата Высокопроизводительное управление Высокоскоростное логирование 10Gbps Flash Matching Engine RAM Dual-core CPU RAM HDD 10 Гбит/с сетевой процессор Сетевой процессор разгружает основные процессор Аппаратно реализованный QoS, маршрутизация, коммутация и NAT CPU 16. SSLIPSec De- Compression CPU 1 CPU 2 10Gbps Контрольная плата Плата данных RAM CPU 3 QoS Route, ARP, MAC lookup NAT

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 18 | App-ID tcp/443 Распознавание приложений (1000+): Дешифрация (SSL) Распознавание/ декодирование протоколов 7 уровня Сигнатурный анализ Эвристический анализ (коммуникации) stateful inspection

User–ID: Active Directory © 2010 Palo Alto Networks. Proprietary and Confidential3.1-b Page 19 | Агент подключается к контроллеру домена Считываются данные о пользователях и группах AD Строится таблица соответствия Пользователь - IP Контроллер домена Агент один!

Использование App-ID и User-ID В логах Сортировка по приложениям/ пользователям Фильтрация по приложениям/ пользователям В политиках Применение к приложениям Применение к пользователям и группам © 2010 Palo Alto Networks. Proprietary and Confidential3.1-b Page 20 |

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 21 | Content-ID Потоковое (не файловое!) сканирование на широкий спектр угроз - Сигнатурный движок сканирует на вирусы, бот-неты, шпионское ПО и т.д. - Интегрированная защита от уязвимостей (IPS) Защищает от утечек конфиденциальной информации - Блокирование передачи файлов определенного типа (в различных приложениях) - Блокирование по маске (например, номера кредитных карт, по грифу «Конфиденциально») Фильтрация по URL - Локальная база URL (20М, 76 категорий, 1000 URL/сек) - Динамическая база (с кэшированием)

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 22 | Интерфейс Application Command Center (ACC) - Мониторинг приложений, URL, угроз, фильтрации данных Графики ACC, добавление/удаление фильтров Фильтр на Skype Убрать Skype и посмотреть все приложению O. Harris Фильтр для Skype и пользователя O. Harris

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 23 | © 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 | © 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 | Система отчетов Построение отчетов по пользователям, приложениям (по конкретному или top) Отчет по URL, посещенным пользователем (все или top) Отслеживание изменений трафика в сети Карта распределения трафика Отчет по сетевым атакам Настраиваемые (custom) отчеты Сводный отчет AVR Оформление в PDF Настройка рассылки по времени

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 24 | PAN-OS (Palo Alto Networks Operating System) Сетевые функции - Динамическая маршрутизация (OSPF, RIPv2, BGP) - Удаленные доступ SSL VPN - Подключение к SPAN - Прозрачный in-line режим (Layer 1) - Режим L2/L3 Зоновый подход - Все интерфейсы могут быть помещены в зоны безопасности Резервирование - Активный / пассивный - Синхронизация конфигураций QoS шейпинг - Приоритезация - Применение политик к конкретным приложениям, пользователям, зонам и т.д. Виртуальные системы - Несколько виртуальных файерволов на одном устройстве Простое, гибкое управление - CLI, Web, Panorama, SNMP, Syslog Функции ОС: PA-500 PA-2020 PA-2050 PA-4020 PA-4050 PA-4060

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 25 | Семейство платформ Производительность Удаленные офисы/ Средние корпорации Большие корпорации PA-2000 Series 1Gbps; 500Mbps threat prevention PA-4000 Series 500Mbps; 200Mbps threat prevention 2Gbps; 2Gbps threat prevention 10Gbps; 5Gbps threat prevention 10Gbps; 5Gbps threat prevention (XFP interfaces) PA Mbps; 100Mbps threat prevention

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 26 | Способы установки в сеть Мониторинг Прозрачный In-Line Firewall Мониторинг без вмешательства в работу сети Функции защиты от угроз IPS + AV + URL фильтрации Вместо Firewall Firewall + IPS + AV + URL фильтрация

© 2009 Palo Alto Networks. Proprietary and Confidential Page 27 | Palo Alto в data-центре Cisco 6513/6509, Cisco Nessus с VmWare or Xen PA-4060 с Threat Prevention Palo Alto: Интерфейсы 10G Производительность до 10 Гбит/с Сканирование на все угрозы до 5 Гбит/с Одновременное сканирование на 3 млн. сигнатур Защита от bot-net Написание собственных приложений Отказоустойчивость Движок DLP Централизованное управление

Итог © 2009 Palo Alto Networks. Proprietary and Confidential. Page 28 | Применение политик к приложениям, а не к портам Применение политик к пользователям, а не к IP адресам Контроль передаваемых данных Защита от вирусов, уязвимостей, шпионского ПО, bot-net Контроль передаваемых файлов по типам Контроль передаваемых данных по маске

© 2009 Palo Alto Networks. Proprietary and Confidential. Page 29 | Тестирование независимой лабораторией: Тестирование Демонстрационное тестирование на вашей площадке: PA-2050 Полный функционал 1-2 недели Итоговый отчет AVR

Спасибо Дополнительная информация на