执 行 摘 要 理 论 上, 数 据 中 心 网 络 安 全 非 常 简 单, 即 预 防 威 胁 遵 守 法 规 和 企 业 策 略, 并 且 在 不 妨 碍 业 务 的 情 况 下 执 行 此 类 操 作 但 实 际 上, 随 着 应 用 程 序 可 用 性 和 性 能 需 求 的 日 益 增

数 据 中 心 中 的 Palo Alto Networks: 消 除 折 衷 性 方 案 2011 年 5 月

执 行 摘 要 理 论 上, 数 据 中 心 网 络 安 全 非 常 简 单, 即 预 防 威 胁 遵 守 法 规 和 企 业 策 略, 并 且 在 不 妨 碍 业 务 的 情 况 下 执 行 此 类 操 作 但 实 际 上, 随 着 应 用 程 序 可 用 性 和 性 能 需 求 的 日 益 增 加, 威 胁 范 围 的 不 断 扩 大, 以 及 需 要 从 安 全 角 度 了 解 应 用 程 序 出 现 的 情 况, 使 得 表 面 上 相 当 简 单 的 数 据 中 心 网 络 安 全 需 求 更 加 难 以 满 足 事 实 上, 大 多 数 组 织 都 被 迫 接 受 重 大 折 衷 性 方 案, 即 贸 易 安 全 功 能 性 能 可 见 性 简 单 性 和 效 率 的 折 衷 在 综 合 分 析 这 些 问 题 时, 并 非 所 有 数 据 中 心 都 相 同, 内 部 企 业 数 据 中 心 与 面 向 Internet 的 数 据 中 心 在 任 务 和 安 全 要 求 方 面 大 不 相 同 这 两 种 类 型 的 数 据 中 心 之 间 的 应 用 程 序 和 用 户 特 征 法 规 要 求 以 及 附 加 的 特 有 安 全 问 题 完 全 不 同 对 于 企 业 数 据 中 心, 能 够 将 网 络 安 全 集 成 到 各 种 网 络 体 系 结 构 中 根 据 与 业 务 相 关 的 项 ( 例 如 应 用 程 序 和 用 户 ) 对 网 络 分 段, 以 及 与 应 用 程 序 开 发 人 员 同 步 是 网 络 安 全 基 础 结 构 的 重 要 具 体 要 求 相 反, 面 向 Internet 的 数 据 中 心 的 管 理 员 发 现, 他 们 需 要 更 高 的 灵 活 性 更 好 的 可 见 性 更 全 面 更 简 单 的 综 合 威 胁 预 防, 甚 至 更 可 靠 的 操 作 Palo Alto Networks 是 唯 一 能 够 同 时 在 这 两 种 类 型 的 数 据 中 心 环 境 中 满 足 网 络 安 全 要 求 的 提 供 商 Palo Alto Networks 下 一 代 防 火 墙 建 立 在 依 托 于 创 新 技 术 (App-ID User-ID 和 Content-ID) 构 建 的 体 系 结 构 基 础 之 上, 这 种 体 系 结 构 可 以 满 足 数 据 中 心 的 性 能 和 可 靠 性 该 防 火 墙 为 组 织 提 供 了 一 种 数 据 中 心 网 络 安 全 解 决 方 案, 可 消 除 数 据 中 心 网 络 安 全 以 前 特 有 的 许 多 无 法 接 受 的 折 衷 性 方 案 数 据 中 心 网 络 安 全 = 预 防 威 胁 遵 从 法 规 执 行 美 国 臭 名 昭 著 的 银 行 抢 劫 犯 威 利 萨 顿 (Willie Sutton) 在 被 问 及 为 何 抢 劫 银 行 时, 说 了 一 句 非 常 著 名 的 话 : 因 为 那 里 有 钱 依 照 萨 顿 的 意 思 ( 虽 然 这 种 说 法 有 点 荒 谬 ), 数 据 中 心 会 吸 引 犯 罪 者 也 是 基 于 相 同 的 原 因 因 为 那 里 有 数 据 ( 数 据 相 当 于 钱 或 同 样 贵 重 的 东 西 ) 从 概 念 上 来 讲, 数 据 中 心 网 络 安 全 非 常 简 单 在 与 企 业 客 户 交 流 时, 我 们 发 现 主 流 数 据 中 心 网 络 安 全 有 三 个 主 要 需 求 : n 预 防 威 胁 n 遵 从 法 规 和 区 别 化 n 维 护 应 用 程 序 性 能 和 可 用 性 第 一 个 要 素 预 防 威 胁 在 过 去 几 年 中 被 普 遍 认 为 难 度 更 大 基 础 结 构 的 基 本 攻 击 已 被 应 用 程 序 携 带 的 多 重 矢 量 复 杂 攻 击 所 代 替, 后 者 非 常 隐 蔽, 受 利 益 驱 动, 无 意 中 会 得 到 企 业 用 户 的 帮 助, 而 且 在 很 多 情 况 下 具 有 多 态 性 随 着 这 些 威 胁 的 不 断 扩 大, 相 关 联 的 组 织 级 别 的 提 升 也 是 史 无 前 例 的 第 二 个 要 求 遵 从 法 规 仍 然 是 数 据 中 心 体 系 结 构 和 网 络 安 全 中 的 主 要 影 响 因 素 不 论 是 PCI 美 国 卫 生 保 健 条 例 还 是 欧 洲 隐 私 法, 都 有 重 要 的 规 章 和 遵 从 要 求, 这 些 要 求 通 常 在 组 织 中 更 深 入 地 贯 彻 网 络 分 段 理 念, 尤 其 是 在 数 据 中 心 中 最 后, 维 护 性 能 和 可 用 性 是 两 个 合 为 一 体 的 要 求, 其 中 一 个 通 常 体 现 为 简 单 性 复 杂 性 通 常 意 味 着 更 多 集 成 问 题, 更 多 中 断 次 数 以 及 更 长 的 延 迟 保 持 简 单 非 常 有 必 要 另 一 个 要 求 是 速 度, 即 需 要 进 行 快 速 处 理, 不 会 造 成 业 务 延 迟 如 果 安 全 解 决 方 案 无 法 跟 上 步 伐, 那 么 在 数 据 中 心 中 也 即 将 面 临 淘 汰 第 2 页

数 据 中 心 网 络 安 全 充 满 无 法 接 受 的 折 衷 性 方 案 数 据 中 心 网 络 安 全 在 传 统 上 落 后 于 边 界 网 络 安 全, 这 有 合 理 的 原 因 : 应 用 程 序 的 可 用 性 和 性 能 胜 过 安 全 如 果 数 据 中 心 中 托 管 的 应 用 程 序 对 用 户 不 可 用 或 无 法 响 应, 组 织 通 常 会 失 去 收 入 机 会 因 此, 非 常 频 繁 地 造 成 延 迟 和 中 断 的 网 络 安 全 控 制 通 常 会 得 到 简 化 当 企 业 使 用 状 态 检 查 构 建 边 界 网 络 安 全 基 础 结 构 时, 数 据 中 心 网 络 安 全 通 过 在 路 由 器 上 使 用 ACL 来 实 现 后 来, 当 企 业 边 界 网 络 安 全 基 础 结 构 采 用 IPS 代 理 DLP 和 其 他 设 备 时, 某 些 数 据 中 心 刚 刚 开 始 采 用 状 态 检 查 技 术 这 一 历 史 发 展 例 证 了 数 据 中 心 网 络 安 全 中 普 遍 存 在 的 重 要 权 衡 : n 性 能 或 安 全 n 简 单 性 或 功 能 n 效 率 或 可 见 性 这 些 折 衷 性 方 案 通 常 难 以 取 得 平 衡 例 如, 具 有 面 向 Internet 的 数 据 中 心 的 组 织 在 进 行 设 备 选 择 时, 必 须 在 性 能 或 安 全 之 间 选 择 : 可 以 选 择 具 有 充 足 性 能 容 量 但 不 重 视 安 全 的 服 务 提 供 商 类 防 火 墙, 或 者 可 以 选 择 具 有 充 足 安 全 功 能 但 不 重 视 性 能 和 某 些 必 需 可 靠 性 功 能 的 边 界 类 防 火 墙 问 题 是, 一 旦 组 织 做 出 选 择, 以 后 将 会 比 较 棘 手, 因 为 如 果 要 变 更 安 全 和 性 能 之 间 的 平 衡, 则 需 要 实 施 新 设 计 和 新 产 品 并 非 所 有 数 据 中 心 在 创 建 初 期 都 是 相 同 的 了 解 下 托 管 保 险 公 司 的 内 部 索 赔 处 理 应 用 程 序 的 数 据 中 心 与 托 管 零 售 网 站 的 数 据 中 心, 就 很 容 易 看 出 重 大 的 差 别 这 些 差 别 包 括 应 用 程 序 的 性 质 和 数 量 用 户 的 质 量 和 数 量, 以 及 特 定 安 全 控 制 的 优 先 级 和 可 能 性 本 白 皮 书 将 在 下 文 讨 论 两 种 不 同 类 型 的 主 要 数 据 中 心 的 不 同 网 络 安 全 特 征 和 需 求 : n 企 业 / 内 部 数 据 中 心 n 面 向 Internet 的 数 据 中 心 通 过 Palo Alto Networks 下 一 代 防 火 墙, 组 织 可 以 在 两 种 类 型 的 数 据 中 心 中 实 现 主 要 的 数 据 中 心 网 络 安 全 要 素, 但 是 由 于 具 体 情 况 千 差 万 别, 对 Palo Alto Networks 提 供 的 创 新 技 术 ( 参 见 附 录 ) 的 应 用 将 有 所 不 同 第 3 页

企 业 / 内 部 数 据 中 心 相 对 来 说, 企 业 数 据 中 心 托 管 的 应 用 程 序 更 多, 但 具 有 的 用 户 更 少 应 用 程 序 的 来 源 多 种 多 样, 应 用 程 序 可 能 经 过 打 包 由 企 业 自 己 生 产 或 者 是 自 定 义 的 应 用 程 序 可 能 基 于 浏 览 器, 也 可 能 基 于 客 户 端 / 服 务 器 应 用 程 序 可 能 基 于 终 端, 也 可 能 经 过 虚 拟 化 用 户 通 常 都 是 已 知 的, 一 般 是 员 工 订 约 人 或 合 作 伙 伴 请 参 见 图 1 图 1 : 企 业 数 据 中 心 企 业 数 据 中 心 特 有 的 网 络 安 全 问 题 包 括 网 络 分 段 的 需 求 ( 通 常 受 遵 从 性 的 要 求 ) 与 应 用 程 序 开 发 人 员 同 步 的 需 求, 以 及 网 络 安 全 适 合 众 多 数 据 中 心 设 计 的 要 求 对 于 企 业 数 据 中 心, 企 业 日 益 关 注 的 另 一 个 问 题 是 涌 入 拙 劣 应 用 程 序 不 论 是 拙 劣 的 SharePoint 安 装, 还 是 管 理 员 在 非 标 准 端 口 上 使 用 SSH, 都 需 要 在 数 据 中 心 网 络 中 确 定 并 控 制 这 些 应 用 程 序 企 业 数 据 中 心 中 的 Palo Alto Networks 如 上 所 述, 企 业 数 据 中 心 中 的 网 络 安 全 通 常 与 网 络 分 段 有 关 虽 然 任 何 防 火 墙 都 可 以 执 行 网 络 分 段, 但 是 基 于 端 口 和 IP 地 址 的 分 段 在 数 据 中 心 中 与 在 边 界 网 络 中 一 样 都 毫 无 意 义, 这 也 就 是 说, 在 应 用 程 序 以 及 威 胁 攻 击 可 以 使 用 任 何 开 放 端 口 ( 就 绝 大 部 分 而 言 ) 的 情 况 下, 实 际 上 并 没 有 什 么 价 值 而 且, 按 IP 地 址 或 IP 地 址 池 控 制 访 问 对 于 用 户 来 说 是 一 种 相 当 拙 劣 的 方 式 针 对 是 否 遵 守 法 规 和 其 他 外 部 要 求 ( 例 如 PCI 附 录 F), 企 业 寻 求 的 目 标 就 是 按 用 户 和 应 用 程 序 进 行 网 络 分 段 因 此, 举 例 来 说, 组 织 可 以 对 包 含 持 卡 人 数 据 的 服 务 器 进 行 分 段, 仅 允 许 使 用 付 款 应 用 程 序 的 财 务 用 户 访 问 该 分 段, 这 样 可 以 包 含 和 限 制 访 问 权 限, 并 且 维 护 人 员 问 责 制 度 这 种 级 别 的 控 制 以 及 审 计 能 力 ( 可 能 最 为 重 要 ) 已 被 证 明 对 许 多 大 型 企 业 是 不 可 或 缺 的 企 业 数 据 中 心 的 另 一 个 关 键 特 征 是 体 系 结 构 的 多 样 性 其 中 部 分 是 因 为, 在 某 些 组 织 中, 内 部 数 据 中 心 不 一 定 是 单 个 位 置 这 意 味 着, 在 广 泛 使 用 VLAN 和 分 布 式 应 用 程 序 组 件 时, 常 用 的 路 由 器 核 心 交 换 机 接 入 交 换 机 以 及 其 他 网 络 资 源 的 堆 栈 看 上 去 有 点 不 同 这 是 另 一 套 强 大 的 Palo Alto Networks 下 一 代 防 火 墙, 这 些 防 火 墙 能 够 在 L1( 虚 拟 连 接 ) L2 和 L3 集 成, 甚 至 可 以 在 混 合 模 式 下 在 端 口 密 集 的 设 备 上 运 行 而 且, 这 些 下 一 代 防 火 墙 能 够 在 安 全 区 域 和 虚 拟 防 火 墙 之 间 中 继 VLAN 聚 合 端 口 以 及 执 行 基 于 角 色 的 管 理, 使 得 组 织 可 以 将 它 们 集 成 到 任 何 体 系 结 构 和 运 行 模 型 请 参 见 图 2, 其 中 展 示 融 合 VLAN 和 L2 集 成 的 单 臂 防 火 墙 设 计, 该 集 成 仍 是 内 联 集 成, 但 灵 活 的 集 成 使 企 业 客 户 能 够 使 用 其 首 选 网 络 体 系 结 构 第 4 页

APP/Web 图 2 :L2 中 结 合 使 用 VLAN 和 Palo Alto Networks 的 企 业 数 据 中 心 设 计 最 后,Palo Alto Networks 下 一 代 防 火 墙 在 企 业 数 据 中 心 中 的 其 他 关 键 应 用 之 一 是 控 制 拙 劣 应 用 程 序 已 在 客 户 部 署 中 发 现 拙 劣 且 配 置 错 误 的 SharePoint 部 署 在 非 标 准 端 口 上 对 SSH 的 未 授 权 使 用 甚 至 P2P 文 件 共 享 的 情 况, 并 且 已 对 这 些 情 况 进 行 了 控 制 另 一 个 示 例 更 加 关 注 具 体 的 操 作 为 大 家 所 熟 知 的 是, 应 用 程 序 开 发 人 员 会 在 任 何 方 便 的 端 口 上 实 施 数 据 库 和 其 他 应 用 程 序 组 件 应 该 控 制 应 用 程 序, 而 不 是 尝 试 控 制 应 用 程 序 开 发 人 员 这 意 味 着, 如 果 MySQL 是 经 过 批 准 在 安 全 区 域 之 间 运 行 的 应 用 程 序, 则 无 论 该 应 用 程 序 位 于 哪 个 端 口 上, 都 允 许 运 行 这 极 大 地 简 化 了 与 开 发 人 员 的 同 步, 并 且 可 以 安 全 地 使 用 关 键 应 用 程 序 而 不 会 增 大 攻 击 面 面 向 Internet 的 数 据 中 心 相 反 地, 在 面 向 Internet 的 数 据 中 心 中, 应 用 程 序 通 常 相 对 较 少, 而 且 通 常 是 Web( 例 如 基 于 浏 览 器 的 ) 应 用 程 序 通 常, 这 些 应 用 程 序 将 使 用 某 个 常 见 Web 基 础 结 构 堆 栈 ( 例 如,IBM LAMP Microsoft Oracle) 用 户 非 常 多, 但 通 常 都 是 未 知 / 不 受 信 任 的 请 参 见 图 3 图 3 : 面 向 Internet 的 数 据 中 心 面 向 Internet 的 数 据 中 心 必 须 处 理 的 特 有 网 络 安 全 问 题 包 括 设 计 ( 例 如, 防 火 墙 内 嵌 在 容 错 且 吞 吐 量 高 的 部 署 中, 但 是 如 果 IPS 性 能 出 现 常 见 问 题, 则 将 IPS 置 于 何 处?) 上 文 提 到 的 难 以 取 得 平 衡 的 折 衷 性 方 案 以 及 可 见 性 ( 例 如, 要 使 用 的 对 象, 正 在 受 到 攻 击 的 对 象 ) 第 5 页

Internet 数 据 中 心 中 的 Palo Alto Networks 在 面 向 Internet 的 数 据 中 心 中,Palo Alto Networks 下 一 代 防 火 墙 提 供 了 一 个 重 要 优 势 灵 活 性 企 业 现 在 可 以 选 择 一 种 网 络 安 全 基 础 结 构, 它 不 会 强 制 在 性 能 和 安 全 之 间 做 出 非 此 即 彼 的 选 择 要 更 改 安 全 级 别, 可 进 行 策 略 设 置, 包 括 从 完 全 内 容 扫 描 到 应 用 程 序 和 用 户 特 定 的 防 火 墙 策 略, 再 到 基 本 防 火 墙 策 略 设 计 灵 活 性 所 带 来 的 是 另 外 一 个 重 要 优 势 简 单 性 请 参 见 图 4 数 据 中 心 网 络 架 构 师 不 再 需 要 解 决 如 何 合 并 IPS 这 一 历 史 难 题 NSS 已 针 对 IPS 对 Palo Alto Networks 下 一 代 防 火 墙 进 行 测 试,Palo Alto Networks 下 一 代 防 火 墙 不 仅 可 以 实 现 高 阻 止 率 (93.4%, 且 100% 防 止 逃 逸 ), 而 且 性 能 高 于 产 品 规 格 ( 达 到 额 定 吞 吐 量 的 115%) 因 此, 数 据 中 心 网 络 架 构 师 可 以 轻 松 利 落 地 完 成 设 计 最 后, 在 一 个 位 置 提 供 可 见 性 具 有 非 常 重 要 的 优 势 通 常, 可 见 性 意 味 着 查 看 多 个 日 志 文 件, 这 有 点 像 APP WEB 图 4: 部 署 Palo Alto Networks 的 Internet 数 据 中 心 大 海 捞 针 但 Palo Alto Networks 数 据 中 心 客 户 发 现 将 应 用 程 序 可 见 性 流 量 可 见 性 与 入 站 URL 及 威 胁 日 志 相 结 合 ( 所 有 这 些 都 在 一 个 用 户 界 面 中 提 供 ), 可 以 避 免 在 可 见 性 和 效 率 之 间 进 行 非 此 即 彼 的 选 择 下 一 代 防 火 墙 彻 底 改 变 数 据 中 心 网 络 安 全 由 于 融 合 众 多 创 新 技 术 (App-ID User-ID Content-ID 和 单 通 道 并 行 处 理 体 系 结 构 请 参 见 附 录 以 了 解 详 细 信 息 ), Palo Alto Networks 下 一 代 防 火 墙 消 除 了 企 业 一 直 以 来 致 力 解 决 的 许 多 传 统 数 据 中 心 网 络 安 全 折 衷 性 方 案 组 织 第 一 次 可 以 : n 预 防 威 胁 n 遵 从 法 规 和 区 别 化 n 维 护 应 用 程 序 性 能 和 可 用 性 在 实 现 性 能 简 单 性 和 效 率 的 同 时, 可 以 保 证 安 全 功 能 和 可 见 性 第 6 页

附 录 Palo Alto Networks 独 有 技 术 Palo Alto Networks 拥 有 四 项 独 有 技 术, 可 以 帮 助 客 户 满 足 两 种 类 型 数 据 中 心 的 网 络 安 全 要 求, 同 时 可 以 避 免 在 安 全 功 能 以 及 性 能 简 单 性 和 效 率 方 面 进 行 折 衷 n App-ID n User-ID n Content-ID n 单 通 道 并 行 处 理 体 系 结 构 App-ID 是 主 要 分 类 机 制 将 流 量 精 确 分 类 是 任 何 防 火 墙 最 重 要 的 工 作, 而 其 成 果 正 是 安 全 策 略 的 基 础 传 统 防 火 墙 根 据 端 口 和 协 议 对 流 量 进 行 分 类, 这 在 过 去 是 理 想 的 数 据 中 心 防 护 机 制 但 是, 现 今 的 应 用 程 序 和 威 胁 攻 击 通 过 端 口 转 换 使 用 SSL 和 SSH 秘 密 地 穿 过 80 端 口 或 使 用 非 标 准 端 口, 可 以 轻 易 地 穿 越 端 口 防 火 墙 App-ID 是 一 项 正 在 申 请 专 利 的 流 量 分 类 机 制, 是 Palo Alto Networks 所 特 有 的 它 可 以 在 设 备 监 测 到 流 量 之 后, 对 流 量 串 使 用 多 种 分 类 机 制, 判 断 在 网 络 中 传 输 数 据 的 确 切 应 用 程 序 身 份 不 论 是 标 准 应 用 程 序 打 包 的 应 用 程 序 还 是 自 定 义 应 用 程 序, 从 而 解 决 一 直 以 来 困 扰 传 统 防 火 墙 的 流 量 分 类 限 制 问 题 User-ID 将 目 录 用 户 / 组 集 成 到 网 络 安 全 策 略 User-ID 技 术 是 每 个 Palo Alto Networks 防 火 墙 平 台 上 的 一 项 标 准 功 能, 可 将 IP 地 址 链 接 到 特 定 的 用 户 身 份, 实 现 每 个 用 户 的 网 络 活 动 的 可 见 性 和 控 制 Palo Alto Networks 用 户 识 别 代 理 程 序 通 过 两 种 方 式 支 持 与 Microsoft Active Directory (AD) 和 其 他 LDAP 目 录 紧 密 集 成 这 一 目 标 首 先, 它 结 合 使 用 登 录 监 控 终 端 站 轮 询 和 Captive Portal 技 术, 定 期 验 证 和 维 护 用 户 到 IP 地 址 的 关 系 其 次, 它 与 AD 域 控 制 器 进 行 通 信 以 获 取 相 关 用 户 信 息, 例 如 角 色 和 组 分 配 使 用 这 些 详 细 信 息 可 以 : n 获 得 专 门 负 责 网 络 上 的 所 有 应 用 程 序 内 容 和 威 胁 流 量 的 人 员 的 可 见 性 ( 审 计 能 力 ); n 允 许 将 用 户 身 份 用 作 为 访 问 控 制 策 略 中 的 变 量 ; 以 及 n 加 快 故 障 排 除 / 意 外 事 件 响 应 速 度 并 且 在 报 告 中 使 用 使 用 User-ID,IT 部 门 可 以 获 得 另 一 种 功 能 强 大 的 机 制, 以 智 能 的 方 式 帮 助 控 制 对 应 用 程 序 的 使 用 例 如, 对 于 拥 有 受 监 管 数 据 的 应 用 程 序, 可 以 允 许 具 有 合 法 使 用 需 求 的 个 人 或 组 进 行 访 问, 但 需 对 使 用 情 况 进 行 审 查 以 减 轻 风 险, 并 记 录 访 问 信 息 以 遵 循 审 计 和 保 留 要 求 Content-ID 扫 描 允 许 的 流 量 中 是 否 有 威 胁 与 各 种 对 等 技 术 一 样,Content-ID 在 Palo Alto Networks 下 一 代 防 火 墙 中 注 入 了 企 业 防 火 墙 中 以 前 从 未 听 说 过 的 功 能 使 用 该 技 术, 可 以 实 时 预 防 允 许 的 应 用 程 序 流 量 中 的 威 胁, 提 供 Web 应 用 程 序 使 用 情 况 的 细 粒 度 可 见 性, 并 且 可 以 实 现 文 件 和 数 据 筛 选 威 胁 预 防 Content-ID 的 这 个 组 件 利 用 多 种 创 新 功 能 来 防 止 间 谍 软 件 病 毒 和 应 用 程 序 漏 洞 随 应 用 程 序 流 量 渗 透 到 网 络 中, 而 不 论 应 用 程 序 流 量 的 类 型 如 何 ( 旧 流 量 或 新 流 量 ) 第 7 页

n 应 用 程 序 解 码 器 Content-ID 利 用 这 个 App-ID 组 件, 对 数 据 流 进 行 预 处 理, 随 后 检 查 其 中 是 否 存 在 特 定 威 胁 标 识 符 n 统 一 的 威 胁 签 名 格 式 由 于 无 需 对 每 种 类 型 的 威 胁 使 用 单 独 的 扫 描 引 擎, 进 一 步 增 强 了 性 能 病 毒 间 谍 软 件 和 漏 洞 攻 击 都 可 以 在 单 通 道 中 检 测 到 n 漏 洞 攻 击 保 护 (IPS) 协 议 异 常 行 为 异 常 和 启 发 式 检 测 机 制 将 用 于 流 量 标 准 化 和 合 并 的 强 大 例 行 程 序 结 合 在 一 起, 以 在 最 广 泛 的 范 围 内 提 供 对 已 知 和 未 知 威 胁 的 全 面 保 护 n 集 成 URL 日 志 记 录 了 解 数 据 中 心 的 Web 应 用 程 序 中 的 哪 些 元 素 正 在 使 用 或 受 到 攻 击 文 件 和 数 据 筛 选 这 组 功 能 充 分 利 用 App-ID 所 执 行 的 深 度 应 用 程 序 检 查, 可 以 实 施 用 于 减 少 未 经 授 权 的 文 件 和 数 据 传 输 所 带 来 的 风 险 的 策 略 特 定 功 能 包 括 按 文 件 的 实 际 类 型 ( 即, 不 只 是 根 据 文 件 扩 展 名 ) 阻 止 文 件, 以 及 控 制 敏 感 数 据 模 式 ( 例 如 信 用 卡 号 和 身 份 证 号 ) 的 传 输 实 质 上, 使 用 Content-ID,IT 部 门 能 够 阻 止 已 知 和 未 知 的 威 胁 增 加 可 见 性 并 确 保 适 当 的 使 用 方 式, 所 有 这 些 都 不 会 影 响 到 性 能 简 单 性 或 效 率 单 通 道 并 行 处 理 体 系 结 构 构 成 高 性 能 的 基 础 首 先, 必 须 执 行 数 据 中 心 网 络 安 全 基 础 结 构 如 上 文 所 述, 如 果 不 执 行 就 不 会 安 装 到 数 据 中 心 为 了 实 现 真 正 的 下 一 代 防 火 墙,Palo Alto Networks 需 要 开 发 以 线 速 执 行 计 算 密 集 型 功 能 ( 例 如 应 用 程 序 识 别 ) 的 新 体 系 结 构 Palo Alto Networks 下 一 代 防 火 墙 使 用 单 通 道 并 行 处 理 (SP3) 体 系 结 构 以 高 达 20 Gbps 的 速 度 保 护 数 据 中 心 环 境 构 成 SP3 体 系 结 构 的 两 个 关 键 要 素 是 单 通 道 软 件 体 系 结 构 和 自 定 义 构 建 的 硬 件 平 台 Palo Alto Networks SP3 体 系 结 构 是 一 种 独 特 的 硬 件 和 软 件 集 成 方 法, 可 以 简 化 管 理 使 处 理 流 程 化 并 且 最 大 程 度 地 提 高 性 能 单 通 道 软 件 Palo Alto Networks 单 通 道 软 件 设 计 用 于 在 Palo Alto Networks 下 一 代 防 火 墙 中 实 现 两 个 关 键 功 能 首 先, 单 通 道 软 件 对 每 个 数 据 包 执 行 一 次 操 作 在 处 理 数 据 包 时, 单 通 道 软 件 可 以 同 时 执 行 联 网 功 能 策 略 查 找 应 用 程 序 识 别 和 解 码, 以 及 任 意 和 全 部 威 胁 和 内 容 的 签 名 匹 配 这 显 著 减 少 了 在 一 个 安 全 设 备 中 执 行 多 项 功 能 所 需 的 处 理 开 销 量 其 次,Palo Alto Networks 单 通 道 软 件 中 的 内 容 扫 描 步 骤 是 基 于 流 的, 并 使 用 统 一 签 名 匹 配 来 检 测 和 阻 止 威 胁 不 使 用 单 独 的 引 擎 和 签 名 集 ( 需 要 多 通 道 扫 描 ), 也 不 使 用 文 件 代 理 ( 需 要 先 下 载 文 件 才 能 扫 描 ), 我 们 的 下 一 代 防 火 墙 中 的 单 通 道 软 件 可 以 一 次 性 扫 描 内 容 并 以 基 于 流 的 方 式 避 免 产 生 延 迟 第 8 页

这 种 单 通 道 流 量 处 理 可 提 供 非 常 高 的 吞 吐 量 和 低 延 迟, 同 时 保 持 所 有 安 全 功 能 都 处 于 活 动 状 态 它 还 提 供 单 个 完 全 集 成 策 略 的 附 加 优 势, 支 持 对 企 业 网 络 安 全 的 简 化 管 理 并 行 处 理 硬 件 Palo Alto Networks SP3 体 系 结 构 的 另 一 个 关 键 部 分 是 硬 件 Palo Alto Networks 下 一 代 防 火 墙 使 用 多 组 功 能 特 定 的 处 理 机 制, 它 们 并 行 运 行, 确 保 单 通 道 软 件 的 运 行 效 率 尽 可 能 达 到 最 高 n 联 网 : 路 由 流 查 找 统 计 信 息 收 集 NAT 和 类 似 功 能 在 网 络 特 定 的 处 理 器 上 执 行 n 安 全 :User-ID App-ID 和 策 略 查 找 都 在 安 全 特 定 的 多 核 处 理 引 擎 上 执 行, 并 且 具 备 加 密 解 密 和 解 压 缩 的 加 速 功 能 n 威 胁 预 防 :Content-ID 使 用 专 用 的 内 容 扫 描 处 理 器 来 分 析 各 种 恶 意 软 件 的 内 容 n 管 理 : 专 用 的 管 理 处 理 器 有 助 于 提 供 配 置 管 理 日 志 记 录 和 报 告, 而 无 需 涉 及 数 据 处 理 硬 件 体 系 结 构 的 最 后 一 个 要 素 与 内 置 弹 性 有 关, 这 通 过 将 数 据 面 和 控 制 面 进 行 物 理 分 离 来 实 现 这 种 分 离 意 味 着 过 多 使 用 其 中 一 个 面 不 会 对 另 一 个 造 成 不 良 影 响 例 如, 由 于 数 据 面 和 控 制 面 的 分 离, 管 理 员 在 运 行 处 理 器 非 常 密 集 的 报 告 时, 处 理 数 据 包 的 能 力 完 全 不 受 影 响 3300 Olcott Street Santa Clara, CA 95054 主 机 电 话 : +1.408.573.4000 销 售 电 话 : +1.866.320.4788 支 持 电 话 : +1.866.898.9087 www.paloaltonetworks.com 版 权 所 有 2011,Palo Alto Networks, Inc. 保 留 所 有 权 利 Palo Alto Networks Palo Alto Networks 徽 标 PAN-OS App-ID 和 Panorama 是 Palo Alto Networks, Inc. 的 商 标 文 档 中 提 到 的 所 有 规 格 可 能 会 发 生 更 改, 恕 不 另 行 通 知 Palo Alto Networks 对 于 本 文 档 的 不 准 确 之 处 不 承 担 任 何 责 任, 并 且 对 于 本 文 档 的 信 息 更 新 不 承 担 任 何 义 务 Palo Alto Networks 保 留 在 不 通 知 的 情 况 下 更 改 修 改 转 让 或 者 以 任 何 方 式 对 本 出 版 物 进 行 修 订 的 权 利 PAN_WP_DC_051811