Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń.

Podobne prezentacje


Prezentacja na temat: "Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń."— Zapis prezentacji:

1 Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń.

2 ISO9001:2001 Sieci działają dynamicznie - Port Aplikacja - Adres IP Użytkownik Większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Zabezpieczenia sieci identyfikują aplikacje Web (80, 443-tcp), a w rzeczywistości działają tam setki innych aplikacji - P2P, IM, Skype, Gry online, file sharing, poczta, itd. - Dane pakietu Treść (np. zaszyfrowane)

3 ISO9001:2001 Fundamentalna zasada bezpieczeństwa "Least Privilege" mówi, iż zabezpieczenia sieci powinny BLOKOWAĆ WSZYSTKO za wyjątkiem usług jednoznacznie określonych, jako DOZWOLONE. Potrzebne są zabezpieczenia, które właściwe rozpoznają i w polityce kontroli dostępu (firewall) jednoznacznie ustalają wszystkie dozwolone aplikacje, a pozostałe są zablokowane. Next Generation Firewall

4 ISO9001:2001 Dlaczego Widzialność & Kontrola musi być w Firewall Port Policy Decision App Ctrl Policy Decision Application Control as an Add- on Port-based FW + App Ctrl (IPS) = two policies Applications are threats; only block what you expressly look for Implications Network access decision is made with no information Cannot safely enable applications IPS Applications Firewall PortTraffic Firewall IPS App Ctrl Policy Decision Scan Application for Threats Applications Application Traffic NGFW Application Control Application control is in the firewall = single policy Visibility across all ports, for all traffic, all the time Implications Network access decision is made based on application identity Safely enable application usage

5 ISO9001:2001 To co widać w Port-Based FW + App Control Add-on

6 ISO9001:2001 To co widać w prawdziwych Next-Generation Firewall

7 ISO9001:2001 Kontrola w Port-based Firewall Add-on

8 ISO9001:2001 Skuteczna identyfikacja i kontrola aplikacji Tradycyjny firewall nie rozpoznaje większości aplikacji. Blokowanie pewnych aplikacji i serwerów może wykonywać IPS poprzez sygnatury ataków Potrzebne są zabezpieczenia Firewall, gdzie w polityce zostaną określone dozwolone aplikacje, a wszystkie inne zostaną zablokowane. Potrzebne są zabezpieczenia Firewall, gdzie w polityce zostaną określone dozwolone aplikacje, a wszystkie inne zostaną zablokowane. Ponad 60% aplikacji jest ukryta dla Firewalli sieciowych

9 ISO9001:2001 Skuteczna identyfikacja i kontrola aplikacji Rozwiązanie Palo Alto Networks Polityka Firewall określa dozwolone aplikacje. Polityka Firewall określa dozwolone aplikacje. Profile aktywują funkcje inspekcji AV, IPS, WF, itd. oraz zarządzania pasmem (QoS) Profile aktywują funkcje inspekcji AV, IPS, WF, itd. oraz zarządzania pasmem (QoS)

10 ISO9001:2001 App-ID: Identyfikacja aplikacji Identyfikacja ponad 1300 aplikacji, podzielonych na kategorie Identyfikacja ponad 1300 aplikacji, podzielonych na kategorie Definiowane własnych aplikacji Definiowane własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki ~ nowych aplikacji tygodniowo

11 ISO9001:2001 Skuteczna identyfikacja i kontrola aplikacji Profile ochrony wykrywają złośliwe wykorzystanie dozwolonych aplikacji. Firewall chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). Data Filtering - zatrzymuje wrażliwe informacje (m.in. SSN, CC#) przed opuszczeniem zaufanego obszaru. Obiekty danych definiowane jako wyrażenia regularne (regex). File Filtering - identyfikacja i filtrowanie określonych plików przesyłanych przez aplikacje. Identyfikacja na podstawie typu MIME i nagłówka pliku (nie rozszerzenia).

12 ISO9001:2001 Kontrola aplikacji bez degradacji wydajności Inspekcja ruchu aplikacyjnego dokonywana na wielu modułach inspekcji (IPS, AV, itd.), które wzajemnie przekazują sobie dane powoduje duże obniżenie wydajności. Potrzebne są zabezpieczenia, które w jednym module inspekcji z wydajnością wielo-gigabitową wykonują identyfikację i pełną kontrolę ruchu aplikacyjnego. Potrzebne są zabezpieczenia, które w jednym module inspekcji z wydajnością wielo-gigabitową wykonują identyfikację i pełną kontrolę ruchu aplikacyjnego. Inspekcja aplikacji w tradycyjnym UTM powoduje degradację wydajności FW module WF module IPS module AV module

13 ISO9001:2001 Content-ID: Skanowanie zawartości w urządzeniach PAN Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti- Virus, Anti-Spyware, itd. Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti- Virus, Anti-Spyware, itd. Web Filtering - baza URL dostarczana przez BrightCloud. Web Filtering - baza URL dostarczana przez BrightCloud. Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku. File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku. Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web

14 ISO9001:2001 Rozwiązanie Palo Alto Networks Kontrola aplikacji bez degradacji wydajności Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli zawartości. Dedykowana konstrukcja sprzętowa: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe, L2/L3 Networking, HA, Config Management, Reporting App-ID Content-ID Policy Engine Application Protocol Detection and Decryption Application Protocol Decoding Heuristics Application Signatures URL Filtering Threat Prevention Data Filtering User-ID

15 ISO9001:2001 Viruses Spyware Files SpywarePhone Home Vulnerability Exploits Worms(Future) Stream-Based Matching Uniform Signature Format Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. Wykrywanie wszystkich kategorii zagrożeń w pojedynczym procesie inspekcji Kontrola aplikacji bez degradacji wydajności

16 ISO9001:2001 Nowość - WildFire Identyfikacja nieznanego malware poprzez bezpośrednią obserwację zachowania w wirtualnym środowisku typu sandbox (w chmurze) - Wykrywanie ponad 70 podejrzanych aktywności plików wykonywalnych i dll Automatyczne generowanie sygnatur dla nowo wykrytego malware - Dystrybucja sygnatur do wszytskich urządzeń w ramach regularnych uaktualnień

17 ISO9001:2001 Architektura WildFire Nieznane pliki z niezaufanych stref Porównanie z bazą plików Środowisko sandbox Generator sygnatur Portal administracyjny Urządzenie wysyła zaszyfrowany certyfikatem plik do usługi WildFire Nowe sygnatury dostarczone do urządzeń

18 ISO9001:2001 User-ID: Identyfikacja użytkowników Korelacja adresów IP z użytkownikami aplikacji. Korelacja adresów IP z użytkownikami aplikacji. Polityki Firewall operują na nazwach/grupach użytkowników. Polityki Firewall operują na nazwach/grupach użytkowników. Incydenty przypisane do konkretnych użytkowników. Incydenty przypisane do konkretnych użytkowników. Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. Obsługa Citrix i MS TS agent. Obsługa Citrix i MS TS agent. Dla gości Captive Portal (Web i NTLM). Dla gości Captive Portal (Web i NTLM).

19 ISO9001:2001 Skuteczna identyfikacja i kontrola użytkowników Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. Firewall transparentnie weryfikuje tożsamość użytkowników sieci (integracja z Active Directory, Citrix i MS Terminal Services). Firewall transparentnie weryfikuje tożsamość użytkowników sieci (integracja z Active Directory, Citrix i MS Terminal Services).

20 ISO9001:2001 Inspekcja zawartości ruchu szyfrowanego Zabezpieczenia (Firewall, IPS, itd.) nie potrafią analizować ruchu szyfrowanego HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci wewnętrznych. Potrzebne są zabezpieczenia, które deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Potrzebne są zabezpieczenia, które deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Ruch szyfrowany stanowi poważne zagrożenie

21 ISO9001:2001 Inspekcja zawartości ruchu szyfrowanego Rozwiązanie Palo Alto Networks Certyfikat PAN Certyfikat serwera Serwer usług Inspekcja zawartości SSL Firewall chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Firewall chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Inspekcja zawartości szyfrowanego ruchu SSL - wychodzącego do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub podrzędny względem firmowego CA). Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np. Finanase-and-investment, Shopping) lub adresów znanych serwerów.

22 ISO9001:2001 Analiza, monitorowanie i raportowanie © 2008 Palo Alto Networks. Proprietary and Confidential. Page 22 |

23 ISO9001:2001 Wgląd w aplikacje, użytkowników i zawartość Dedykowane graficzne narzędzia do wizualizacji ruchu - aplikacje, użytkownicy i zawartość Monitorowanie i raportowanie w czasie rzeczywistym Szczegółowa analiza działań użytkownika

24 ISO9001:2001 Global Protect botnets Bezpieczeństwo korporacyjne Polityki oparte na najlepszych praktykach Pełna kontrola dostępu i kontrola zawartości Brak bezpieczeństwa sieciowego Bezpieczeństwo oparte o dobre chęci Zagrożenia bezpieczeństwa, niewłaściwe wykorzystanie aplikacji, itp.. W tradycyjnych rozwiązaniach bezpieczeństwo zależy od lokalizacji

25 ISO9001:2001 Zastosowanie GlobalProtect Użytkownicy nigdy nie pozostają poza siecią firmową niezależnie od fizycznej lokalizacji, Wszystkie firewalle w organizacji pracują wspólnie dla zapewnienia bezpieczeństwa w chmurze, Jak to działa: - Cienki klient rozpoznaje położenie użytkownika (wew. sieci korporacyjnej czy poza) - Jeśli poza siecią, agent natyczmiast zestawia tunel SSL VPN do najbliższego FW - Agent dostarcza informacje o stanie bezpieczeństwa i konfiguracji komputera użytkownika - FW wymusza korporacyjne polityki bezpieczeństwa w zakresie kontroli aplikacji, kontroli zawartości w zależności od informacji uzyskanych od agenta

26 ISO9001:2001 Nowoczesna architektura bezpieczeństwa korporacyjnego w oparciu o Global Protect Ustanawia logiczne granice sieci niezależnie od fizycznej lokalizacji Użytkownicy uzyskują tą samą jakość zabezpieczeń niezależnie od lokalizacji Funkcje bezpieczeństwa realizowane przez specjalizowane urządzenia, a nie laptopy użytkowników Zunifikowany wgląd w ruch aplikacyjny, spójne monitorowanie i raportowanie malware botnets exploits

27 ISO9001:2001 Elastyczność pracy zabezpieczeń Właściwa ochrona systemów IT wymaga aby zabezpieczenia były dostosowane do zmian w sieci i nowych zagrożeń. Urządzenia zabezpieczeń powinny posiadać wiele interfejsów sieciowych, które w zależności pod potrzeb mogą pracować w różnych trybach (L2, L3, Tap). Urządzenia zabezpieczeń powinny posiadać wiele interfejsów sieciowych, które w zależności pod potrzeb mogą pracować w różnych trybach (L2, L3, Tap). Efektywność kosztowa wymaga wirtualizacji zabezpieczeń - interfejsy VLAN, wirtualne rutery, wirtualne systemy. Efektywność kosztowa wymaga wirtualizacji zabezpieczeń - interfejsy VLAN, wirtualne rutery, wirtualne systemy. Sieci i zagrożenia ulegają zmianom

28 ISO9001:2001 Rozwiązanie Palo Alto Networks Elastyczność pracy zabezpieczeń L2 – VLAN 10 L2 – VLAN 20 L3 – DMZ L3 – Internet Vwire Wiele trybów pracy - Tap Mode, Virtual Wire, Layer 2, Layer 3 z obsługą dynamicznego rutingu. Tryb prac zabezpieczeń dostosowany do potrzeb - w jednym urządzeniu interfejsy mogą działać w różnych trybach. Wirtualizacja zabezpieczeń - interfejsy VLAN dla warstwy 2 i 3, wirtualne rutery, wirtualne systemy. Tap – Core Switch

29 ISO9001:2001 Scenariusze wdrożenia Analiza / Monitorowanie Dodatkowa warstwa ochrony Główna warstwa ochrony Podłączenie do span port Zapewnia monitorowanie sieci i aplikacji bez wdrożenia in-line Transparentne wdrożenie zabezpieczeń Zapewnia monitorowanie i funkcje ochrony bez modyfikacji sieci Firewall tworzy strefy bezpieczeństwa w sieci Zapewnia monitorowanie oraz funkcje sieciowe i zabezpieczeń

30 ISO9001:2001 Flash Matching HW Engine Uniform signatures matching Multi-Core Security Processor Hardware accelerated SSL, IPSec, decompression Flash Matching Engine RAM Dual-core CPU RAM HDD 10 Gig Network Processor Hardware accelerated QoS, route lookup, MAC lookup and NAT CPU 16. SSLIPSecDe-Comp. CPU 1 CPU 2 Control Plane Data Plane RAM CPU 3 QoS Route, ARP, MAC lookup NAT Dedykowana konstrukcja sprzętowa: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe (Flash Matching HW, SSL/IPSec Enc. HW, Network Processor), rozdzielenie modułu zarządzania i przetwarzania ruchu. Kontrola aplikacji bez degradacji wydajności

31 ISO9001:2001 Zarządzanie zabezpieczeń Zarządzanie CLI i konsola graficzna Web Zarządzanie CLI i konsola graficzna Web Centralny system zarządzania Panorama (dostarczany jako VM) Centralny system zarządzania Panorama (dostarczany jako VM) Role uprawnień administratorów Role uprawnień administratorów Lokalna baza kont i RADIUS Lokalna baza kont i RADIUS Audyt działań administratorów Audyt działań administratorów Raportowanie Syslog, SNMP i Raportowanie Syslog, SNMP i XML-based API XML-based API

32 ISO9001:2001 Zarządzanie zabezpieczeń Konfiguracja aktywna i kandydacka Konfiguracja aktywna i kandydacka Rollback, szybkie porównywanie różnych konfiguracji Rollback, szybkie porównywanie różnych konfiguracji >commit

33 ISO9001:2001 Podsumowanie techniczne

34 ISO9001:2001 System operacyjny PAN-OS Interfejsy: - Copper GB - SFP (1 GB) - XFP (10 GB) ad Link Aggregation Tryby pracy - L2 - L3 (obsługa OSPF i RIP) - V-wire - Tap Wysoka dostępność: - Active – Passive, Active-Active - Synchronizacja konfiguracji i sesji - Monitorowanie stanu urządzeń, linków i ścieżek komunikacji Wirtualizacja: - VLAN (dla trybu L2 i L3) - Wirtualne rutery - Wirtualne systemy FUNKCJE SIECIOWE

35 ISO9001:2001 System operacyjny PAN-OS FUNKCJE BEZPIECZEŃSTWA Firewall poziomu sieci i aplikacji Inspekcja ruchu SSL, SSH NAT (portów, adresów) Zarządzanie pasmem - DiffServ - QoS (8 kolejek per interfejs wyjściowy) Technologie ochrony - App-ID, User-ID, Content-ID Kontrola zawartości - Anty-Wirus - IPS i Anty-Spyware - Web Filtering - Data & File Filtering Transparentne uwierzytelnianie i kontrola użytkowników IPSec VPN - Route-based VPN (site-to-site) SSL VPN

36 ISO9001:2001 Tradycyjne modele urządzeń Performance Odziały korporacji/ Średniej wielkości firmy Duże firmy Seria PA Gb Seria PA Mb 2Gb 10Gb 10Gb z XFPs Roczne subskrypcje Threats prevention+20% URL filtering +20% Support +16% 250Mb

37 ISO9001:2001 Nowa seria PA-5000 Next Gen. Firewall wysokich wydajności 3 różne modele, do 20Gbps App FW, 10Gbps threat prevention PA-4020PA-4050PA-4060PA-5020PA-5050PA-5060 Threat Gbps Firewall Gbps Mpps55513 CPS60K 120K SSL/VPN Gbps IPSec Tunnels2K4K 2K4K8K Sessions500K2M 1M2M4M Ethernet16xRJ45 8xSFP 4xXFP 4xSFP 12xRJ45 8xSFP 12xRJ45 8xSFP 4xSFP+

38 ISO9001:2001 Architektura PA Gbps switch fabric interconnect 20 Gbps QoS engine Signature Match HW Engine Stream-based uniform sig. match Vulnerability exploits (IPS), virus, spyware, CC#, SSN, and more Security Processors High density parallel processing for flexible security functionality Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) 20Gbps Network Processor 20 Gbps front-end network processing Hardware accelerated per- packet route lookup, MAC lookup and NAT 10Gbps Data PlaneSwitch Fabric 10Gbps... QoS Flow control Route, ARP, MAC lookup NAT Switch Fabric Signature Match SSLIPSec De- Compress. SSLIPSec De- Compress. SSLIPSec De- Compress. CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 RAM Quad-core mgmt High speed logging and route update Dual hard drives Control Plane Core 1 RAM SSD Core 2 Core 3 Core 4

39 ISO9001:2001 Control Plane w serii PA rdzeniowy procesor w Control Plane: - Quad core Intel Xeon (2.3Ghz) 4GB memory Redundantne, wymienialne dyski 120GB lub 240GB SSD Quad-core mgmt High speed logging and route update Control Plane Core 1 RAM Core 2 Core 3 Core 4 + RAM

40 ISO9001:2001 Teraz NGF dostępny również w rozmiarze osobistym… Pasywne chłodzenie (13db) Zewnętrzny zasilacz 110/220AC -> 12VDC 4 x porty RJ45 10/100/ x port RJ45 10/100 MGMT Port konsoli szeregowej Wymiary: 9w x 7d x 1U - 23cm w x 16.5cm d x 4.5cm PA-200

41 ISO9001:2001 PA-200 Parametry wydajnościowe PA-200 jest pozycjonowany poniżej PA-500 PA-200PA-500 Firewall (App-ID) throughput100 Mbps250 Mbps Threat prevention throughput50 Mbps100 Mbps IPSec VPN throughput50 Mbps CPS1,0007,500 Max Sessions64K IPSec Tunnels25250 Rules Address Entries2500

42 ISO9001:2001 Architektura serii PA-200 Zasada KISS ;-) Security Processor Dual Core CPU hard allocates CPU power for both control plane and data plane Ensures management capabilities even under severe traffic load RJ45x4 RAM SSLIPSec(De)Comp CPU1 Control Plane CPU2 Data Plane RAM 4GB DRAM Console MGT USB 16GB SSD I/O ports Same management ports as other PA Series firewalls 4xRJ45 10/100/1000 ports satisfies typical connectivity of remote offices High Density Memory 4GB DDR3 Memory for full threat capabilities 16GB SSD allows full PAN- OS functionality, including local log storage

43 ISO9001:2001 Różnice PA-200 w stosunku do pozostałych serii Seria PA-200 jest znacząco zgodna z pozostałymi urządzeniami za wyjątkiem kilku różnic: Konfiguracja HA A/P w wersji HA-Lite - Stosuje port MGMT jako link HA1 na potrzeby sygnalizacji i synchronizacji - Brak linków HA2 i HA3 – brak synchronizacji sesji użytkowników Control plane i data plane zorganizowane w ramach jednego fizycznego CPU - Różne rdzenie ze wstępnie alokowaną pamięcią Inne różnice funkcjonalne - Brak agregacji linków - Brak VSYS - Brak wsparcia jumbo frames

44 ISO9001:2001 Referencje Health Care Financial Services Government Mfg / High Tech / Energy Education Service Providers / Services Media / Entertainment / Retail craigslist

45 ISO9001:2001 PAN – unikalne własności 1.System zabezpieczeń rozpoznaje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone. 2.System zabezpieczeń precyzyjnie zarządza pasmem sieci. Polityki QoS definiowane są dla aplikacji, użytkowników, adresów IP, interfejsów, tuneli VPN i innych parametrów. 3.System zabezpieczeń chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). 4.System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo- gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty).

46 ISO9001:2001 PAN – unikalne własności 5.System zabezpieczeń transparentnie ustala tożsamość użytkowników sieci (integracja z AD, TS i Citrix). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. 6.System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w różnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w różnych trybach. 7.System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja sprzętowa). 8.System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji, użytkowników i zawartości.

47 ISO9001:2001 Podsumowanie System zabezpieczeń PAN został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. System zabezpieczeń PAN został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer.

48 ISO9001:2001 Interfejs zarządzania

49 ISO9001:2001

50 ISO9001:2001

51 ISO9001:2001

52 ISO9001:2001

53 ISO9001:2001

54 ISO9001:2001

55 ISO9001:2001

56 ISO9001:2001

57 ISO9001:2001 Dziękuję za uwagę


Pobierz ppt "Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń."

Podobne prezentacje


Reklamy Google