Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń. Click.

Prezentacja na temat: "Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń. Click."— Zapis prezentacji:

1 Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń. Click to edit Master text styles Second level Third level Fourth level Fifth level 1 1

2 Sieci działają dynamicznie
- Port ≠ Aplikacja - Adres IP ≠ Użytkownik - Dane pakietu ≠ Treść (np. zaszyfrowane) Większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Zabezpieczenia sieci identyfikują aplikacje Web (80, 443-tcp), a w rzeczywistości działają tam setki innych aplikacji - P2P, IM, Skype, Gry online, file sharing, poczta, itd. 2 2

3 Next Generation Firewall
Fundamentalna zasada bezpieczeństwa "Least Privilege" mówi, iż zabezpieczenia sieci powinny BLOKOWAĆ WSZYSTKO za wyjątkiem usług jednoznacznie określonych, jako DOZWOLONE. Potrzebne są zabezpieczenia, które właściwe rozpoznają i w polityce kontroli dostępu (firewall) jednoznacznie ustalają wszystkie dozwolone aplikacje, a pozostałe są zablokowane. 3 3

4 Dlaczego Widzialność & Kontrola musi być w Firewall
IPS App Ctrl Policy Decision Scan Application for Threats Applications Application Traffic NGFW Application Control Application control is in the firewall = single policy Visibility across all ports, for all traffic, all the time Implications Network access decision is made based on application identity Safely enable application usage Application Control as an Add-on Port-based FW + App Ctrl (IPS) = two policies Applications are threats; only block what you expressly look for Implications Network access decision is made with no information Cannot safely enable applications Firewall IPS Applications Traffic Port Port Policy Decision App Ctrl Policy Decision

5 To co widać w Port-Based FW + App Control Add-on
You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.

6 To co widać w prawdziwych Next-Generation Firewall
You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.

7 Kontrola w Port-based Firewall Add-on
Even with the best standalone IPS on the market behind your firewall you are still playing “whack the mole” trying to identify threats and block them after they have already bypassed your firewall and invaded your network.

8 Skuteczna identyfikacja i kontrola aplikacji
Ponad 60% aplikacji jest ukryta dla Firewalli sieciowych Tradycyjny firewall nie rozpoznaje większości aplikacji. Blokowanie pewnych aplikacji i serwerów może wykonywać IPS poprzez sygnatury ataków Potrzebne są zabezpieczenia Firewall, gdzie w polityce zostaną określone dozwolone aplikacje, a wszystkie inne zostaną zablokowane. 8 8

9 Skuteczna identyfikacja i kontrola aplikacji
Rozwiązanie Palo Alto Networks Polityka Firewall określa dozwolone aplikacje. Profile aktywują funkcje inspekcji AV, IPS, WF, itd. oraz zarządzania pasmem (QoS) 9 9

10 App-ID: Identyfikacja aplikacji
Identyfikacja ponad 1300 aplikacji, podzielonych na kategorie Definiowane własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki ~ nowych aplikacji tygodniowo

11 Skuteczna identyfikacja i kontrola aplikacji
Profile ochrony wykrywają złośliwe wykorzystanie dozwolonych aplikacji. Firewall chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). Data Filtering - zatrzymuje wrażliwe informacje (m.in. SSN, CC#) przed opuszczeniem zaufanego obszaru. Obiekty danych definiowane jako wyrażenia regularne (regex). File Filtering - identyfikacja i filtrowanie określonych plików przesyłanych przez aplikacje. Identyfikacja na podstawie typu MIME i nagłówka pliku (nie rozszerzenia). 11 11

12 Kontrola aplikacji bez degradacji wydajności
Inspekcja aplikacji w tradycyjnym UTM powoduje degradację wydajności IPS module AV module WF module FW module Inspekcja ruchu aplikacyjnego dokonywana na wielu modułach inspekcji (IPS, AV, itd.), które wzajemnie przekazują sobie dane powoduje duże obniżenie wydajności. Potrzebne są zabezpieczenia, które w jednym module inspekcji z wydajnością wielo-gigabitową wykonują identyfikację i pełną kontrolę ruchu aplikacyjnego. 12 12

13 Content-ID: Skanowanie zawartości w urządzeniach PAN
Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. Web Filtering - baza URL dostarczana przez BrightCloud. Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku. 13 13

14 Rozwiązanie Palo Alto Networks
Kontrola aplikacji bez degradacji wydajności Rozwiązanie Palo Alto Networks Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli zawartości. Dedykowana konstrukcja sprzętowa: L2/L3 Networking, HA, Config Management, Reporting App-ID Content-ID Policy Engine Application Protocol Detection and Decryption Application Protocol Decoding Heuristics Application Signatures URL Filtering Threat Prevention Data Filtering User-ID zadania ochrony wykonywane przez specjalizowane elementy sprzętowe, 14 14

15 Vulnerability Exploits Uniform Signature Format Stream-Based Matching
Kontrola aplikacji bez degradacji wydajności Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. Wykrywanie wszystkich kategorii zagrożeń w pojedynczym procesie inspekcji Spyware “Phone Home” Spyware Files Vulnerability Exploits Viruses Worms (Future) Uniform Signature Format Stream-Based Matching 15 15

16 Nowość - WildFire Identyfikacja nieznanego malware poprzez bezpośrednią obserwację zachowania w wirtualnym środowisku typu „sandbox” (w chmurze) Wykrywanie ponad 70 podejrzanych aktywności plików wykonywalnych i dll Automatyczne generowanie sygnatur dla nowo wykrytego malware Dystrybucja sygnatur do wszytskich urządzeń w ramach regularnych uaktualnień Consists of two main components: virtual machine-based sandbox environment and an automatic malware signature generator Cloud-based file analysis Virtual machines up in the cloud, no added burden on the customer Analyzes behavior looking for over 70 signals Registry mods, browser safety mods, file creation in windows system folders, injecting code into processes, deleting itself Automated report generation accessible via automated reports and web portal Automated malware signature generation Signatures generated automatically All signatures automatically and continually regression tested against a database of known clean files

17 Architektura WildFire
Porównanie z bazą plików Środowisko sandbox Generator sygnatur Portal administracyjny Nieznane pliki z niezaufanych stref Nowe sygnatury dostarczone do urządzeń Step through the process Setup and Sending of the File Admin sets up policy to forward samples from internet to the cloud When firewall encounters binary to forward, checks signer. If signed by trusted source, don’t send. Generate file hash and query the cloud for the file hash If we saw the file already, don’t send, just get result Otherwise, send up file (user configurable file size range limit) Sample run in virtual machine for a period of time for analysis Behavior of sample analyzed. If malicious, a signature is automatically generated and appears in the next AV release. Reports for all sample uploads are made available via the web portal and also via automated and configurable reports Urządzenie wysyła zaszyfrowany certyfikatem plik do usługi WildFire

18 User-ID: Identyfikacja użytkowników
Unobtrusive deployment: Unlike traditional firewalls that require re-authentication, the Palo Alto Networks agent works seamlessly No change to the Active Directory (AD) server or the user PCs The user identification agent is deployed on a windows workstation or on the AD server Multiple agents can be deployed; one agent can communicate with multiple devices Korelacja adresów IP z użytkownikami aplikacji. Polityki Firewall operują na nazwach/grupach użytkowników. Incydenty przypisane do konkretnych użytkowników. Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. Obsługa Citrix i MS TS agent. Dla gości „Captive Portal” (Web i NTLM). 18

19 Skuteczna identyfikacja i kontrola użytkowników
Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. Firewall transparentnie weryfikuje tożsamość użytkowników sieci (integracja z Active Directory, Citrix i MS Terminal Services). 19 19

20 Inspekcja zawartości ruchu szyfrowanego
Ruch szyfrowany stanowi poważne zagrożenie Zabezpieczenia (Firewall, IPS, itd.) nie potrafią analizować ruchu szyfrowanego HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci wewnętrznych. Potrzebne są zabezpieczenia, które deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). 20 20

21 Inspekcja zawartości ruchu szyfrowanego
Rozwiązanie Palo Alto Networks Inspekcja zawartości SSL Certyfikat PAN Certyfikat serwera Serwer usług Firewall chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Inspekcja zawartości szyfrowanego ruchu SSL - wychodzącego do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub podrzędny względem firmowego CA). Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np. Finanase-and-investment, Shopping) lub adresów znanych serwerów. 21 21

22 Analiza, monitorowanie i raportowanie
Page 22 | © 2008 Palo Alto Networks. Proprietary and Confidential. 22 22

23 Wgląd w aplikacje, użytkowników i zawartość
Dedykowane graficzne narzędzia do wizualizacji ruchu - aplikacje, użytkownicy i zawartość Monitorowanie i raportowanie w czasie rzeczywistym Szczegółowa analiza działań użytkownika 23 23

24 W tradycyjnych rozwiązaniach bezpieczeństwo zależy od lokalizacji
Global Protect W tradycyjnych rozwiązaniach bezpieczeństwo zależy od lokalizacji botnets Bezpieczeństwo korporacyjne Polityki oparte na najlepszych praktykach Pełna kontrola dostępu i kontrola zawartości Brak bezpieczeństwa sieciowego Bezpieczeństwo oparte o „dobre chęci” Zagrożenia bezpieczeństwa, niewłaściwe wykorzystanie aplikacji, itp..

25 Zastosowanie GlobalProtect
Użytkownicy nigdy nie pozostają „poza siecią firmową” niezależnie od fizycznej lokalizacji, Wszystkie firewalle w organizacji pracują wspólnie dla zapewnienia bezpieczeństwa „w chmurze”, Jak to działa: Cienki klient rozpoznaje położenie użytkownika (wew. sieci korporacyjnej czy poza) Jeśli poza siecią, agent natyczmiast zestawia tunel SSL VPN do „najbliższego” FW Agent dostarcza informacje o stanie bezpieczeństwa i konfiguracji komputera użytkownika FW wymusza korporacyjne polityki bezpieczeństwa w zakresie kontroli aplikacji, kontroli zawartości w zależności od informacji uzyskanych od agenta

26 Nowoczesna architektura bezpieczeństwa korporacyjnego w oparciu o Global Protect
exploits malware botnets Ustanawia logiczne granice sieci niezależnie od fizycznej lokalizacji Użytkownicy uzyskują tą samą jakość zabezpieczeń niezależnie od lokalizacji Funkcje bezpieczeństwa realizowane przez specjalizowane urządzenia, a nie laptopy użytkowników Zunifikowany wgląd w ruch aplikacyjny, spójne monitorowanie i raportowanie

27 Elastyczność pracy zabezpieczeń
Sieci i zagrożenia ulegają zmianom Właściwa ochrona systemów IT wymaga aby zabezpieczenia były dostosowane do zmian w sieci i nowych zagrożeń. Urządzenia zabezpieczeń powinny posiadać wiele interfejsów sieciowych, które w zależności pod potrzeb mogą pracować w różnych trybach (L2, L3, Tap). Efektywność kosztowa wymaga wirtualizacji zabezpieczeń - interfejsy VLAN, wirtualne rutery, wirtualne systemy. 27 27

28 Rozwiązanie Palo Alto Networks
Elastyczność pracy zabezpieczeń Rozwiązanie Palo Alto Networks L2 – VLAN 10 Vwire L3 – DMZ L3 – Internet L2 – VLAN 20 Tap – Core Switch Wiele trybów pracy - Tap Mode, Virtual Wire, Layer 2, Layer 3 z obsługą dynamicznego rutingu. Tryb prac zabezpieczeń dostosowany do potrzeb - w jednym urządzeniu interfejsy mogą działać w różnych trybach. Wirtualizacja zabezpieczeń - interfejsy VLAN dla warstwy 2 i 3, wirtualne rutery, wirtualne systemy. 28 28

29 Scenariusze wdrożenia
Analiza / Monitorowanie Dodatkowa warstwa ochrony Główna warstwa ochrony Podłączenie do span port Zapewnia monitorowanie sieci i aplikacji bez wdrożenia in-line Transparentne wdrożenie zabezpieczeń Zapewnia monitorowanie i funkcje ochrony bez modyfikacji sieci Firewall tworzy strefy bezpieczeństwa w sieci Zapewnia monitorowanie oraz funkcje sieciowe i zabezpieczeń

30 Kontrola aplikacji bez degradacji wydajności
Dedykowana konstrukcja sprzętowa: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe (Flash Matching HW, SSL/IPSec Enc. HW, Network Processor), rozdzielenie modułu zarządzania i przetwarzania ruchu. Flash Matching Engine RAM Data Plane Control Plane Flash Matching HW Engine Uniform signatures matching CPU 1 CPU 2 CPU 3 CPU 16 RAM Dual-core CPU RAM . . RAM RAM SSL IPSec De-Comp. Multi-Core Security Processor Hardware accelerated SSL, IPSec, decompression HDD QoS Route, ARP, MAC lookup NAT 10 Gig Network Processor Hardware accelerated QoS, route lookup, MAC lookup and NAT 30 30

31 Zarządzanie zabezpieczeń
Zarządzanie CLI i konsola graficzna Web Centralny system zarządzania Panorama (dostarczany jako VM) Role uprawnień administratorów Lokalna baza kont i RADIUS Audyt działań administratorów Raportowanie Syslog, SNMP i XML-based API Intuitive and flexible management options CLI, Web and Panorama central management application SNMP, Syslog Panorama central management application Panorama is a central management application enabling consolidated management, logging, and monitoring of Palo Alto Networks devices Consistent web interface with device, simplifying learning curve and obviating need for client software installation Provides network-wide ACC/monitoring views, log collection, and reporting All management interfaces work with latest config, avoiding out of sync issues common with multi-level management Automated Updates Automatic install or staging of updates App-ID signatures Threat signatures Software maintenance releases Zero-downtime upgrading of signatures and maintenance releases 31 31

32 Zarządzanie zabezpieczeń
>commit Intuitive and flexible management options CLI, Web and Panorama central management application SNMP, Syslog Panorama central management application Panorama is a central management application enabling consolidated management, logging, and monitoring of Palo Alto Networks devices Consistent web interface with device, simplifying learning curve and obviating need for client software installation Provides network-wide ACC/monitoring views, log collection, and reporting All management interfaces work with latest config, avoiding out of sync issues common with multi-level management Automated Updates Automatic install or staging of updates App-ID signatures Threat signatures Software maintenance releases Zero-downtime upgrading of signatures and maintenance releases Konfiguracja aktywna i kandydacka Rollback, szybkie porównywanie różnych konfiguracji 32 32

33 Podsumowanie techniczne
33 33

34 System operacyjny PAN-OS
FUNKCJE SIECIOWE Interfejsy: Copper GB SFP (1 GB) XFP (10 GB) 802.3ad Link Aggregation Tryby pracy L2 L3 (obsługa OSPF i RIP) V-wire Tap Wysoka dostępność: Active – Passive, Active-Active Synchronizacja konfiguracji i sesji Monitorowanie stanu urządzeń, linków i ścieżek komunikacji Wirtualizacja: VLAN (dla trybu L2 i L3) Wirtualne rutery Wirtualne systemy 34 34

35 System operacyjny PAN-OS
FUNKCJE BEZPIECZEŃSTWA Kontrola zawartości Anty-Wirus IPS i Anty-Spyware Web Filtering Data & File Filtering Transparentne uwierzytelnianie i kontrola użytkowników IPSec VPN Route-based VPN (site-to-site) SSL VPN Firewall poziomu sieci i aplikacji Inspekcja ruchu SSL, SSH NAT (portów, adresów) Zarządzanie pasmem DiffServ QoS (8 kolejek per interfejs wyjściowy) Technologie ochrony App-ID, User-ID, Content-ID 35 35

36 „Tradycyjne” modele urządzeń
Roczne subskrypcje Threats prevention +20% URL filtering +20% Support +16% 10Gb z XFPs Performance 10Gb Seria PA-2000 2Gb Seria PA-4000 1Gb 500Mb 250Mb Odziały korporacji/ Średniej wielkości firmy Duże firmy

37 Nowa seria PA-5000 Next Gen. Firewall wysokich wydajności
3 różne modele, do 20Gbps App FW, 10Gbps „threat prevention” PA-4020 PA-4050 PA-4060 PA-5020 PA-5050 PA-5060 Threat Gbps 2 5 10 Firewall Gbps 20 Mpps 13 CPS 60K 120K SSL/VPN Gbps 1 4 IPSec Tunnels 2K 4K 8K Sessions 500K 2M 1M 4M Ethernet 16xRJ45 8xSFP 4xXFP 4xSFP 12xRJ45 8xSFP 12xRJ45 8xSFP 4xSFP+

38 Architektura PA-5000 03/05/07 Control Plane Switch Fabric Data Plane
Quad-core mgmt High speed logging and route update Dual hard drives Control Plane Core 1 RAM SSD Core 2 Core 3 Core 4 Signature Match HW Engine Stream-based uniform sig. match Vulnerability exploits (IPS), virus, spyware, CC#, SSN, and more Signature Match RAM Signature Match RAM RAM RAM RAM RAM RAM RAM 10Gbps 10Gbps CPU 1 CPU 2 CPU 12 RAM CPU 1 CPU 2 CPU 12 RAM CPU 1 CPU 2 CPU 12 RAM ... ... ... RAM RAM RAM SSL IPSec De-Compress. SSL IPSec De-Compress. SSL IPSec De-Compress. 80 Gbps switch fabric interconnect 20 Gbps QoS engine Security Processors High density parallel processing for flexible security functionality Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) 20Gbps Flow control Route, ARP, MAC lookup NAT Network Processor 20 Gbps front-end network processing Hardware accelerated per- packet route lookup, MAC lookup and NAT QoS Switch Fabric Switch Fabric Data Plane 38 38 38

39 Control Plane w serii PA-5000
4 rdzeniowy procesor w Control Plane: Quad core Intel Xeon (2.3Ghz) 4GB memory Redundantne, wymienialne dyski 120GB lub 240GB SSD Quad-core mgmt High speed logging and route update Control Plane Core 1 RAM Core 2 Core 3 Core 4 + RAM

40 Teraz NGF dostępny również w rozmiarze osobistym…
PA-200 4 x porty RJ45 10/100/1000 1 x port RJ45 10/100 MGMT Port konsoli szeregowej Wymiary: 9”w x 7”d x 1U 23cm w x 16.5cm d x 4.5cm Pasywne chłodzenie (13db) Zewnętrzny zasilacz 110/220AC -> 12VDC

41 PA-200 Parametry wydajnościowe
PA-200 jest pozycjonowany poniżej PA-500 PA-200 PA-500 Firewall (App-ID) throughput 100 Mbps 250 Mbps Threat prevention throughput 50 Mbps IPSec VPN throughput CPS 1,000 7,500 Max Sessions 64K IPSec Tunnels 25 250 Rules 1000 Address Entries 2500

42 Architektura serii PA-200 Zasada KISS ;-)
03/05/07 Architektura serii PA-200 Zasada KISS ;-) USB CPU1 Control Plane 16GB SSD MGT Console RAM RAM Security Processor Dual Core CPU hard allocates CPU power for both control plane and data plane Ensures management capabilities even under severe traffic load RAM (De)Comp IPSec SSL 4GB DRAM CPU2 Data Plane I/O ports Same management ports as other PA Series firewalls 4xRJ45 10/100/1000 ports satisfies typical connectivity of remote offices High Density Memory 4GB DDR3 Memory for full threat capabilities 16GB SSD allows full PAN- OS functionality, including local log storage RJ45x4 42 42 42

43 Różnice PA-200 w stosunku do pozostałych serii
Seria PA-200 jest „znacząco” zgodna z pozostałymi urządzeniami za wyjątkiem kilku różnic: Konfiguracja HA A/P w wersji “HA-Lite” Stosuje port MGMT jako link HA1 na potrzeby sygnalizacji i synchronizacji Brak linków HA2 i HA3 – brak synchronizacji sesji użytkowników „Control plane” i „data plane” zorganizowane w ramach jednego fizycznego CPU Różne rdzenie ze wstępnie alokowaną pamięcią Inne różnice funkcjonalne Brak agregacji linków Brak VSYS Brak wsparcia jumbo frames These are the items that are synchronized for Merlin. Configuration Forwarding table User to group and user to ip mappings URL filtering control plane cache IPSec Security Associations for immediate failover SSL VPN sessions (failover should not require user interaction) PPPoE and DHCP client settings HIP reports

44 Media / Entertainment / Retail
Referencje Health Care Financial Services Government Media / Entertainment / Retail craigslist Service Providers / Services Mfg / High Tech / Energy Education

45 PAN – unikalne własności
System zabezpieczeń rozpoznaje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone. System zabezpieczeń precyzyjnie zarządza pasmem sieci. Polityki QoS definiowane są dla aplikacji, użytkowników, adresów IP, interfejsów, tuneli VPN i innych parametrów. System zabezpieczeń chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty).

46 PAN – unikalne własności
System zabezpieczeń transparentnie ustala tożsamość użytkowników sieci (integracja z AD, TS i Citrix). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w różnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w różnych trybach. System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja sprzętowa). System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji, użytkowników i zawartości.

47 Podsumowanie System zabezpieczeń PAN został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer.

48 Interfejs zarządzania
48 48

49

50

51

52

53

54

55

56

57 Dziękuję za uwagę 57 57