作为全球首先提出下一代防火墙概念的公司,Palo Alto Networks目前在业界也仍是最具行业标杆代表性的防火墙提供者。近日,Palo Alto Networks在中国正式发布了自主研发的下一代安全平台“Palo Alto Networks PAN-OS 8.0版”。
攻击防御需从四方面做起 众所周知,传统的防火墙就是基于端口防护的。随着技术的发展和应用的发展,仅通过网络端口防御已经远远不够。现在,需要在七层里防护能够做的更完备,无论是针对已知的威胁还是未知的威胁。面对日益严峻的网络威胁,要想进行有效的威胁防御,需要从可视化、减少攻击面、防御已知威胁和未知威胁四个方面进行防护,减少攻击成功率。 基于以上四个层面, PAN-OS 8.0版实现了云安全、多元威胁防御、凭证盗窃防御、规范化管理、全新硬件的五大创新升级。 云安全:PAN-OS 8.0版最重要的创新就在云安全,它提供了AWS、Azure、NSX、ESXi、Hyper-V、KVM等多种云服务,能够为企业在各个环节提供一致的安全防御级别。Palo Alto Networks 大中华区技术总监耿强表示,为了能够更好的帮助客户在云上更好的运维,防御威胁入侵,Palo Alto Networks实现了云上扩展并支持自动化安全防御。在VM虚拟化的应用上,提供最佳性能和覆盖范围。在公有云上,平台良好的扩展性可与AWS和Azure服务的完美集成。其中,在 Azure拓展方面,可与App Gateway和 Load Balancer 实现集成;在AWS拓展方面,与Auto Scaling 和 ELB/ALB实现集成,可实现安全的动态扩展,且与工作负载无关,无缝支持CloudWatch。同时,针对SaaS应用,新版本对SaaS使用情况有了更深度的理解,能够生成更详细的报告,为用户提供准确和及时的安全信息。 多元威胁防御:谈到安全防御问题,耿强先向记者解释了关于虚拟逃逸的问题,当黑客将恶意软件放进虚拟环境后,他会尝试分析企业的系统和硬件,然后进行渗透尝试入侵动作。但是,如果他发现这是一个开源沙箱环境时,恶意软件将会放弃攻击行为。因为,黑客知道安全厂商都会用沙箱技术。但是,虽然没有发起攻击,但是恶意软件仍然存在。那么,我们该如何针对这种逃逸的恶意软件进行进一步的防御呢?2016年年终,Palo Alto Networks曾推出PAN-OS 7.1版,采用静态分析的方式,对已知渗透入侵、恶意软件及其最新变种进行检测;在未知威胁方面,采用动态分析的方式对零日攻击和恶意软件快速显示。此次新版本的发布,Palo Alto Networks独立开发的一套虚拟环境,在动态分析方面实现了100%定制型反逃逸恶意软件分析环境,并且通过启发式引擎将高逃逸性可以文件动态导向裸机;然后进行裸机分析,在纯化硬件环境下诱发恶意软件,检测出全部虚机感知型恶意软件。 凭证盗窃防御:凭证盗窃是网络攻击者威胁和操纵企业以获取宝贵资产的常见手段之一。传统用来阻止凭证钓鱼的方法都是最基本的、需要人工手动并且数量极其有限,主要依赖培训员工在遇到钓鱼网站时能对其进行识别。Palo Alto Networks现推出业内首个多元化、可扩展和自动化技术,可有效防止基于凭证的攻击发生。PAN-OS 8.0版主要实现了自动识别和阻截钓鱼网站、阻止用户提交凭证到钓鱼网站、防止使用被盗凭证的凭证防盗功能。目前,Palo Alto Networks下一代防火墙就可防止凭证被盗和滥用,辅助其他恶意软件及威胁防护产品,保障应用程序的启用功能,从而扩展企业客户防御网络攻击的能力。 规范化智能管理: PAN-OS 8.0通过中央管理,将7000系列和端点的日志整合到中央管理上,当WildFire、威胁日志发现链接(客户端IP)警报,可对应现有策略做精细的日志过滤、NGFW自动操作等自动安全操作,这就说明这个IP是一个感染的,这样的用户出现这样的问题的时候,就强制他做双重认证的动作。同样这样的日志和关联不仅在我们的中央系统,也可以在其他方面来做。 全新硬件:云端部署和高流量对硬件提出了更高的性能要求,为此, Palo Alto Networks共发布了6款全新硬件平台,包括三款高端PA—5200,两款中端PA—800,以及一款入门级PA—220。在性能上,实现了高达10倍的性能和容量提升,最多可增加35倍的SSL会话容量。在加密流量的解密上,实现了高达10倍的解密性能提升,更高的端口密度,灵活的I/O和硬件弹性,前端到后端冷却设计升级。 | 
发表于 2017-4-17 09:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级