回首頁 | HiNet企業上網優勢 | 線上申請 | 全國營運窗口

Palo Alto Networks為「新世代防火牆」(Next-Generation Firewall)的領導品牌,對於資安政策及應用控管具有優異穩定的效能表現,完全符合現行網路所需之 「應用程式識別」、「使用者身分識別」、「整合入侵偵測系統及防毒牆」及 「資安事件關聯式分析」能力。因應現今網路行為所帶來的資安風險,完全吻合Gartner Inc. 對新世代防火牆的各種特色要求。

 

HiNet資安艦隊「客製版」導入Palo Alto Networks一系列完整產品線,同時可提供Panorama中央管理設備。從導入評估階段開始,都將由原廠或客戶指定的專業SI負責,並提供設備安裝、設定,及後續的到場維運。

 

HiNet資安艦隊「客製版」將配合客戶資安需求,進行寬頻、網路端資安及Palo Alto Networks資安解決方案的高度客製化服務包裝,同時提供Palo Alto Networks資安設備一次性賣斷,或是與上網費用綑綁等多樣化出帳模式,提供大型企業申辦本方案所需之最大彈性。

 

2017年初Palo Alto Networks推出了一系列新款機種,包含內建40G甚至100G光纖接頭的PA-5200系列,以及新一代中階效能的PA-800系列,針對流量較低的各分公司、外地據點,可以選擇PA-220。 HiNet資安艦隊「客製版」均可提供上述機種。

 

如希望更了解Palo Alto Networks資安解決方案,請參閱以下的網頁說明。如貴公司擬導入Palo Alto Networks NGFW,歡迎即刻聯絡服務貴公司的中華電信業務經理,或電洽HiNet企業客服專線「0800-080-365」並提供聯絡資料,HiNet將會儘速與貴公司聯絡。

 
獨步全球的技術能力:App-ID、User-ID、Content-ID

1.全方位的應用程式識別 (App-ID)

現今有許多應用程式是以網頁應用服務方式呈現的,所使用的通訊埠是80或443。此外,許多軟體開發人員已經懂得在開發應用程時透過這些通訊埠,以規避傳統防火牆的阻擋。傳統防火牆把透過這兩個通訊埠傳輸的服務都當成網頁服務(HTTP或SSL),因此無法了解並控制在網路上使用的應用程式。為了改進防火牆,讓防火牆具備這樣的管控能力,Palo Alto Networks發展出App-ID的技術,App-ID可以準確的識別應用程式,無論這應用程式是否透過網頁服務、SSL加密或其他規避技術。這讓防火牆的政策建立可以依據應用程式,而不像傳統防火牆只可以針對遠端伺服器的通訊埠來控管。這是新一代防火牆的核心功能,而不是在防火牆上面再堆疊其它控制引擎。

 

要特別說明,App-ID不像其它proxy-based防火牆需要改寫封包內容,因此,Palo Alto Networks的新世代防火牆也沒有對應用服務封包修改的問題,當然也沒有常見於proxy功能防火牆的效能問題。此外,Palo Alto Networks的新世代防火牆也不像proxy-based防火牆,需要去修改使用者之瀏覽器設定。

 

「應用程式」沒有工業標準的定義,因此有必要對它進行說明。在Palo Alto Networks的新世代防火牆的文義中,應用程式是一個能夠被偵測、監控或控制的特定程式或程式的一部分。例如,臉書(Facebook)是一種應用程式,臉書交談(Face Chat)也是一種應用程式。對Palo Alto Networks新世代防火牆來說,這些應用程式能獨立地被偵測、監控或控制,是基本也是防火牆的核心功能,但在傳統防火牆而言,這兩者都是同一個HTTP 會話。

 

iGoogle網頁服務是另外一個很好的例子,可以用來說明使用App-ID技術的Palo Alto Networks新世代防火牆與傳統port-based防火牆之差異。依據使用者於個人iGoogle的首頁增加哪個工具集(如:Gmail)而定,此首頁可以啟動多個"應用程式",對傳統Firewall, proxy, web filtering設備而言,看見的是單一網頁的會話,但Palo Alto Networks新世代防火牆將之視為多個應用程式。

 

Palo Alto Networks新世代防火牆採用核心的App-ID技術所能達到的功能,舉例如下:

  • 允許使用WebEx視訊會議功能,但不允許使用者分享他們的電腦桌面
  • 允許使用臉書(Facebook),但不允許使用臉書的應用程式(如:開心農場)、交談、電子郵件
  • 允許存取推特(Twitter),但只能看跟他們公司相關的內容或更新的訊息
  • 允許連上YouTube,但是只能看具有特定標籤(類別)的影片
  • 允許使用即時通訊軟體(Instant Messenger,如MSN),但不允許檔案傳輸
  • 提供ACC(Application Command Center)工具,可以檢視應用程式的使用情形,例如頻寬、會話(Session)數量、連結來源(使用者名稱與/或IP位址)、連結目的(使用者名稱與/或IP位址)、連結來源/目的國家等
  • 可識別與阻擋一些透過80和443這兩個通訊埠做為匿名存取網際網路或規避傳統防火牆的應用程式,如Ultrasurf(無界), tor, cgiproxy
  • 以每支應用程式為基礎實施QoS,在網路繁忙時得以確保關鍵應用程式的執行效能
 

2.知道你是誰的使用者識別 (User-ID)

Palo Alto Networks的User-ID技術,提供一個使用者層級的可視性與控制,這是傳統防火牆所欠缺的。 透過整合Microsoft AD,Palo Alto Networks新世代防火牆的管理者可針對網域使用者與/或使用者群組進行政策制定。此外,透過與AD的無縫隙整合,IP位址與使用者/群組資訊之間可以動態對應,因此系統日誌、報表、ACC(應用程式命令中心)均包含使用者資訊。

 

在Citrix與終端機服務環境,User-ID技術可以把各別使用者與他們的網路活動進行關聯,這解決了使用 者透過遠端桌面連線至終端機伺服器的問題,實務上這個應用很普及,例如,把終端機服務伺服器當做 "跳板",如此一來,可以防止IT人員辨識連線的真正來源端是誰,因為所有連線均顯示來自終端機伺服 器的IP位址。由於可以辨識使用者的網路活動,企業可以依據使用者及群組別進行監看與控制應用程式 及內容。

 

Palo Alto Networks新世代防火牆採用User-ID技術所能達到的功能,舉例如下:

  • 只允許AD的“資訊安全"群組成員可以透過SSH存取內部管理的網路
  • 只允許AD的“管理階層"群組成員在非關鍵任務的網段可以連接Hulu觀賞影片
  • 只允許AD的“Linux管理者"群組成員使用BT下載軟體,因為他們需要下載Linux的ISO檔
  • 可識別P2P應用程式的前100名使用者
  • 可識別連到特定國家(如中國)的使用者
  • 可識別中了Conficker病毒的使用者
  • 可識別帳號為John Smith的使用者透過遠端桌面登入Windows主機時使用過的應用程式及網站,即使有其他使用者同時也登入相同主機(來自單一來源IP位址)
  • 針對特定使用者,產出使用者活動報表,包含所有執行過的應用程式、連結過的網站及網站類別、特定的網址
  • 整合AD網域進行使用者帳號與IP位址的對應時,網域控制器或使用者電腦不需要任何修改
 
3. 無所遁形的內容識別 (Content-ID)
準確識別與控制應用程式只部分的解決來自可視性及控制的挑戰,下一個大挑戰:被允用的應用程式資 訊流進行檢測,則是透過Content-ID技術的元件:威脅防禦、網址過濾、資料過濾加以解決。
  • 威脅防禦:威脅防禦引擎提供入侵防禦/偵測、防毒、防間諜程式之功能。 在資訊流一次性通過引擎時,透過一種統一格式特徵碼,以非常高的執行效能同時完成此三種威脅的檢測。
  • 網址過濾:PAN防火牆設備內提供一個涵蓋76種類別,超過2000萬筆資料, 高度整合、可客製化的網址過濾資料庫。為了增加過濾資料庫,可針對每個規則,啟用雲端查找技術,如此可在機器快取內增加額外的100萬筆資料。
  • 檔案與資料過濾:利用App-ID、Content-ID引擎的深入分析,管理者可以設定資料的過濾政策,減少未被授權的檔案或資料傳輸之風險。檔案依據格式(不贊成只檢查副檔名)與機密資料特徵碼(信用卡卡號、社會安全碼等)能夠依據政策進行偵測與阻擋。此外,也支援以應用程式為單位,更細緻的檔案與資料過濾控制。

 

Palo Alto防火牆採用Content-ID技術所能達到的功能,舉例如下:

  • 可識別會導致病毒碼下載的網址存取,列舉包含病毒碼的檔案名稱,以及下載的使用者
  • 透過Gmail與Yahoo Mail寄件之附加檔案進行阻擋,但允許Outlook Web Access寄件附加檔案
  • 可識別哪個使用者嘗試利用FTP上傳一個經過zip壓縮,內含社會安全碼的檔案
  • 檢測使用SSL加密瀏覽器連上部落格網站的流量,除非它們是來自行銷、法務單位之成員
  • 產製某特定使用者前一日所執行的所有應用程式、瀏覽過的網站類別、瀏覽過的網站名稱及網頁
 
不可思議的效能與穩定性:「單通道平行處理」架構

長久以來,於單一設備上啟動多種安全功能,執行效能一直都被質疑。這些設備通常被歸類為"統一威脅管理"(UTM)平台。這主要問題是因為UTM設備真的把很多安全引擎放在一起,而不是依照使用目的由底層設計而起,結果是每個資訊流在每個不同的安全引擎進行分解、執行解碼、狀態復原等,這些非常消耗系統資源,因此當啟用全部功能時,效能降低90%以上不足為奇。UTP產品很難由基礎設計變更以解決效能的問題。

 

Palo Alto Networks的創辦人理解了這種效能低落的問題在下一代防火牆應該要被解決,因此他們設計了「單通道平行處理 (Single-Pass Parallel Processing, SP3) 」架構。這個獨一無二的設計,整合軟體與硬體,簡化管理的工作,提供一個流暢的運作程序與最佳的效能。單通道軟體在資訊流通過時,一次性的執行政策的查找、應用程式的識別及解碼、使用者的對應,以及內容掃描(病毒、間諜程式、入侵防禦)。此軟體與平行處理架構硬體平台緊密結合,硬體平台使用特殊功能的處理器執行聯網、安全、威脅防禦與管理,達到最大的效能與最小的延遲。。

 

採用控制單元(Control Plane)與資料流處理單元(Data Plane)資源配置分離架構,互不影響其運作效能(如資料流異常或超載時,仍可順利進入控制單元進行資料分析與政策制定)可有效避免一般防火牆在遭受超過本身承載處理能力時,被迫發生無法更改設定或是無法確認SYSLOG的問題,尤其在面對DOS或是DDOS攻擊時最能展現出防火牆快速應變與處理的能力。

 

 

 

天羅地網般的資安威脅防護:WildFire 讓進APT(階持續性滲透)攻擊,就此止步

Palo Alto Networks 新世代防火牆,特別推出精心設計的WildFire 防護機制,藉由獨到的運作架構, 讓您在面對新型態惡意程式攻擊,亦即所謂的APT (Advanced Persistent Threat) 攻擊時,能藉由WildFire 防護機制的運作,輕鬆掌握內部的各種APT 攻擊資訊,從而制定更加完善的資安防護政策。

 

WildFire 具有極富創意的雲端沙箱環境,讓您的Palo Alto Networks 新世代防火牆,能輕鬆的分析惡意程式,而且絲毫不會降低設備處理效能。當Palo Alto Networks 新世代防火牆發現網路上傳遞的檔案( 例如:Office 文件、PDF、可執行檔及Android APk 等) 時,便會利用WildFire 雲端沙箱環境執行動態行為分析,透過惡意行為分析模組來分析是否包含惡意的攻擊行為。雲端沙箱環境的設計,讓您不必擔心惡意攻擊行為被引爆於您的網路中,同時,還能明確得知可執行檔案的安全與否且不受惡意檔案刻意更換其特徵。 (例如:更改檔名及傳輸途徑等)來干擾分析效率。雲端沙箱技術,簡單,卻一點也不簡單!

 
 
令人激賞的佈署能力
提供企業網路同時兼具旁接、透通模式及路由模式的佈署能力,支援多樣性網路基礎,可依據客戶現行網路架構作為既有防火牆與UTM的補充或取代。
  • 旁接模式(TAP Mode、SPAN Mode) :
    可以隨時對發生問題的網路進行監聽,馬上就能知道發生甚麼問題,協助企業故障排除與資訊安全的重要把關。
  • 透通模式(Transparent Mode) :
    除了常見的L2 Transparent透通模式之外,還有進階版的Virtual Wire模式,讓企業不用修改任何現有設定,也不用改變網路架構就能輕鬆佈署。
  • 路由模式(Route Mode、NAT Mode) :
    利用路由與轉址等工作模式,讓NGFW作為企業網路對外的閘道,提供內部網路完善的防護。
 
更簡單的資安政策管理
設定資安政策最複雜的地方,就是必須面對一堆無關聯性的網路IP位址,而且還要能夠依照部門與使用者,給予不同的使用權限與政策。新世代防火牆擁有的網頁管理介面讓企業IT人員快速熟悉操作與管理,輕鬆完成資安政策。無論是用戶的權限、網路的行為管控、駭客入侵、病毒、間諜軟體的防護,都能在設定頁面中輕鬆完成。
  • 結合使用者資料庫,可以輕鬆的依照用戶身分與部門別,做到差異化的權限控管。
    例如:允許業務與行銷部門使用Facebook,而會計與法務部門不能使用。
  • 拒絕應用程式的使用。
    例如:Peer-to-Peer(P2P) 或 穿牆軟體 ( 無界瀏覽、自由門等)。
  • 深入應用程式中,檢查是否有病毒、間諜軟體和可被入侵的弱點。
    例如:用戶瀏覽網頁時不慎瀏覽到惡意網頁,而被植入木馬程式、殭屍病毒等間諜軟體,都能被Palo Alto Networks 新世代防火牆偵測到並且立即阻擋。
  • 保護您的個資與機密檔案。
    利用網路可以輕易的將檔案外洩,像是:免費郵件服務、免費網路硬碟、即時通訊傳檔及P2P 傳輸,這些途徑往往被忽略而沒有加以管制。Palo Alto Networks 新世代防火牆能封鎖這些管道,並且留下行為記錄,讓您保護機密資料更萬無一失。

圖形化的操作介面,讓您輕鬆依據使用者及應用程式,制定控管方式

 
令人讚嘆的關聯式分析能力

Palo Alto Networks 全新打造的革命性分析引擎 (ACC – Application Command Center),以符合網路管理及問題檢測所需,而完全擺脫傳統必須自行解讀資安日誌 (Security Log) 的限制。無論您是要了解整體網路行為或是迫切的要排除資安威脅,都會覺得格外輕鬆,因為複雜的分析工作,將由ACC分析引擎為您完成,並且恰如其分的呈現給您,讓您大事小情,分秒動向都知道。

 

想知道是「誰」在公司使用「Yahoo-Mail」將什麼「檔案外洩」嗎?現在,您可以利用ACC 分析引擎輕鬆找出來,不費吹灰之力。

 

整合用戶身分確認機制,誰在使用 Yahoo-Mail,衍生什麼資安威脅,就是這麼一清二楚。

 

利用Yahoo-Mail 傳送什麼檔案,通通有跡可查。

 

貼心的讓您知道,是哪些資安政策讓Yahoo-Mail 流量通過,讓您不用再費心檢視。

 
令人傾心的多樣化報表

就算您從未接觸過Palo Alto Networks 新世代防火牆,只要試過一次,就一定會被它豐富的報表所感動。內建多達30 餘種的報表,已經足以應付各種工作上的需求。不僅如此,它還提供完善的自定報表功能,讓您能製作更多的專業報表,卻不用再多花一毛錢。

 

強大的報表工具,讓您的管理報告格外優異,而且更具說服力。

 
知所進出的流量地圖

精心設計的流量地圖 (Traffic Map),使用最直覺的方式將所有流量呈現在世界地圖上,讓您能清楚掌握內部用戶是否有與其他國家交流。要是想禁止用戶連結到特定國家,只需要在資安政策中,設定國家別的存取控管機制,就能輕鬆搞定,不用假手他人。

 

流量地圖讓所有網路行為,躍然圖上,一切清晰可見。

 

想了解連結到個別國家的行為,僅需點擊流量地圖中該國家的圓圈,就會顯示出應用程式名稱、使用者名稱及傳輸量等資訊,鉅細靡遺。

 
易於操作的日誌檢視

想查什麼,馬上查到什麼。在Palo Alto Networks 新世代防火牆中要查找各種系統日誌,就是這麼容易。 只要在您想篩選的欄位上點一下,必要時修改要篩選的關鍵字,就能設定好篩選條件,接著就自動將篩選 好的日誌呈現給你,如此簡單、一點也不難。

 

不需要撰寫複雜指令,就能輕鬆進行資料的篩選與搜尋,而且立即清楚呈現。

 
歷歷在目的設定檔版本管理

資安政策隨著實際需求,修修改改,再正常不過。但是,使用一段時間後或是有人員交接時,要弄清楚這 些不同版本的政策,修改了哪些地方,就變成令人困擾的事情。

 

Palo Alto Networks 新世代防火牆,會自動幫您儲存所有的設定檔,讓您隨時都能掌握不同版本的差異, 更難能可貴的是,它還能讓您將設定檔回復到您指定的版本。這樣一來,就算設定錯誤也不擔心,因為您 知道自己可以隨時從頭來過。

 

增加了什麼、修改了什麼,就是這麼清楚明白。