Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń. Click.

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

Dostęp do Internetu DSL TP
Architektura SAP R/3 Wybrane zagadnienia.
Sieci VLAN.
INTRUSION DETECTION SYSTEMS
ZAPORY SIECIOWE Firewall – ściana fizycznie oddzielająca silnik od pasażerów w samochodzie Sposób zabezpieczenia komputera/sieci przed osobami niepowołanymi.
Bramka zabezpieczająca VPN
SIECI KOMPUTEROWE WYKŁAD 10. RÓWNOWAŻENIE OBCIĄŻEŃ
Narzędzia do zarządzania i monitorowania sieci
Ochrona infrastruktury wirtualnej
CS-2000 Wielofunkcyjna bramka zabezpieczająca UTM Copyright © PLANET Technology Corporation. All rights reserved.
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
ADAM Active Directory w trybie aplikacyjnym
Środowisko Windows 2000.
Administrator w środowisku Windows Agenda Wstęp Wstęp Active Directory – Administracja użytkownikami i zasobami Active Directory – Administracja.
Platforma A2A PA2A.
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
Norton AntiVirus.
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Honorata Prokop, Izabela Ubowska
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
Proxy (WWW cache) Sieci Komputerowe
Sieci komputerowe: Firewall
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Bramka internetowa z menadżerem pasma
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Longhorn - Usługi terminalowe
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Artur Szmigiel Paweł Zarębski Kl. III i
Alliance 8300 Zintegrowany system zarządzania bezpieczeństwem
Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski
Novell Account Management 3.0
IT Security Day Zielona Góra,
MODEL WARSTWOWY PROTOKOŁY TCP/IP
Wirtualna baza SQL zgodna z SQL Server SQL as a Service
Przygotował: Mariusz Witulski
Jaka jest wydajność najszybszego superkomputera na świecie? Gflopów procesorów Intel EM64T Xeon X56xx 2930 MHz (11.72 GFlops) GB.
Jerzy Jelinek Paweł Korpowski
BEZPIECZEŃSTWO SIECI ZARZĄDZANIE © CLICO Sp. z o.o. Mechanizmy audytu i kontroli sieci w urządzeniach NGF Check Point. Piotr Motłoch CCSA, CCSE,
Rozdział 5: Protokoły sieciowe
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Sieciowe Systemy Operacyjne
SYSTEMY OPERACYJNE Adresowanie IP cz3.
Podstawy teleinformatyki
Sieci komputerowe.
Halina Tarasiuk Politechnika Warszawska, Instytut Telekomunikacji
1100 kont użytkowników 900 zasobów IT Systemy bazodanowe, poczta, etc. Support 20 kont serwisantów.
PODSTAWY SIECI KOMPUTEROWYCH - MODEL ISO/OSI. Modele warstwowe a sieci komputerowe Modele sieciowe to schematy funkcjonowania, które ułatwią zrozumienie.
Ekran System Kompleksowa odpowiedź na zagrożenia wewnętrzne Monitoring Aktywności Użytkownika.
Zagrożenia komputera w sieci
Wdrożenie Foglight w Urzędzie Dozoru Technicznego
Przełączniki zarządzalne w Sieciech teleinformatycznych
Zintegrowany monitoring infrastruktury IT w Budimex
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
ARCHITEKTURA SOA JAKO KLUCZ DO CYFROWEJ TRANSFORMACJI Agata Kubacka, Poczta Polska Tomasz Gajewski, Poczta Polska Jerzy Niemojewski, Savangard © 2016 Software.
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
GTS Shared Infrastructure (GSI)
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Podstawy sieci komputerowych
Przemysław Puchajda GTS Polska Sp. z o.o.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
dr hab. inż. Andrzej Bęben, pok. 336a
Zapis prezentacji:

Next-Generation Firewall (NGF) – omówienie technicznych własności rozwiązania NGF oraz różnic względem konwencjonalnych technologii zabezpieczeń. Click to edit Master text styles Second level Third level Fourth level Fifth level 1 1

Sieci działają dynamicznie - Port ≠ Aplikacja - Adres IP ≠ Użytkownik - Dane pakietu ≠ Treść (np. zaszyfrowane) Większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Zabezpieczenia sieci identyfikują aplikacje Web (80, 443-tcp), a w rzeczywistości działają tam setki innych aplikacji - P2P, IM, Skype, Gry online, file sharing, poczta, itd. 2 2

Next Generation Firewall Fundamentalna zasada bezpieczeństwa "Least Privilege" mówi, iż zabezpieczenia sieci powinny BLOKOWAĆ WSZYSTKO za wyjątkiem usług jednoznacznie określonych, jako DOZWOLONE. Potrzebne są zabezpieczenia, które właściwe rozpoznają i w polityce kontroli dostępu (firewall) jednoznacznie ustalają wszystkie dozwolone aplikacje, a pozostałe są zablokowane. 3 3

Dlaczego Widzialność & Kontrola musi być w Firewall IPS App Ctrl Policy Decision Scan Application for Threats Applications Application Traffic NGFW Application Control Application control is in the firewall = single policy Visibility across all ports, for all traffic, all the time Implications Network access decision is made based on application identity Safely enable application usage Application Control as an Add-on Port-based FW + App Ctrl (IPS) = two policies Applications are threats; only block what you expressly look for Implications Network access decision is made with no information Cannot safely enable applications Firewall IPS Applications Traffic Port Port Policy Decision App Ctrl Policy Decision

To co widać w Port-Based FW + App Control Add-on You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.

To co widać w prawdziwych Next-Generation Firewall You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.

Kontrola w Port-based Firewall Add-on Even with the best standalone IPS on the market behind your firewall you are still playing “whack the mole” trying to identify threats and block them after they have already bypassed your firewall and invaded your network.

Skuteczna identyfikacja i kontrola aplikacji Ponad 60% aplikacji jest ukryta dla Firewalli sieciowych Tradycyjny firewall nie rozpoznaje większości aplikacji. Blokowanie pewnych aplikacji i serwerów może wykonywać IPS poprzez sygnatury ataków Potrzebne są zabezpieczenia Firewall, gdzie w polityce zostaną określone dozwolone aplikacje, a wszystkie inne zostaną zablokowane. 8 8

Skuteczna identyfikacja i kontrola aplikacji Rozwiązanie Palo Alto Networks Polityka Firewall określa dozwolone aplikacje. Profile aktywują funkcje inspekcji AV, IPS, WF, itd. oraz zarządzania pasmem (QoS) 9 9

App-ID: Identyfikacja aplikacji Identyfikacja ponad 1300 aplikacji, podzielonych na kategorie Definiowane własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki ~ 5 - 10 nowych aplikacji tygodniowo

Skuteczna identyfikacja i kontrola aplikacji Profile ochrony wykrywają złośliwe wykorzystanie dozwolonych aplikacji. Firewall chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). Data Filtering - zatrzymuje wrażliwe informacje (m.in. SSN, CC#) przed opuszczeniem zaufanego obszaru. Obiekty danych definiowane jako wyrażenia regularne (regex). File Filtering - identyfikacja i filtrowanie określonych plików przesyłanych przez aplikacje. Identyfikacja na podstawie typu MIME i nagłówka pliku (nie rozszerzenia). 11 11

Kontrola aplikacji bez degradacji wydajności Inspekcja aplikacji w tradycyjnym UTM powoduje degradację wydajności IPS module AV module WF module FW module Inspekcja ruchu aplikacyjnego dokonywana na wielu modułach inspekcji (IPS, AV, itd.), które wzajemnie przekazują sobie dane powoduje duże obniżenie wydajności. Potrzebne są zabezpieczenia, które w jednym module inspekcji z wydajnością wielo-gigabitową wykonują identyfikację i pełną kontrolę ruchu aplikacyjnego. 12 12

Content-ID: Skanowanie zawartości w urządzeniach PAN Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. Web Filtering - baza URL dostarczana przez BrightCloud. Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku. 13 13

Rozwiązanie Palo Alto Networks Kontrola aplikacji bez degradacji wydajności Rozwiązanie Palo Alto Networks Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli zawartości. Dedykowana konstrukcja sprzętowa: L2/L3 Networking, HA, Config Management, Reporting App-ID Content-ID Policy Engine Application Protocol Detection and Decryption Application Protocol Decoding Heuristics Application Signatures URL Filtering Threat Prevention Data Filtering User-ID zadania ochrony wykonywane przez specjalizowane elementy sprzętowe, 14 14

Vulnerability Exploits Uniform Signature Format Stream-Based Matching Kontrola aplikacji bez degradacji wydajności Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. Wykrywanie wszystkich kategorii zagrożeń w pojedynczym procesie inspekcji Spyware “Phone Home” Spyware Files Vulnerability Exploits Viruses Worms (Future) Uniform Signature Format Stream-Based Matching 15 15

Nowość - WildFire Identyfikacja nieznanego malware poprzez bezpośrednią obserwację zachowania w wirtualnym środowisku typu „sandbox” (w chmurze) Wykrywanie ponad 70 podejrzanych aktywności plików wykonywalnych i dll Automatyczne generowanie sygnatur dla nowo wykrytego malware Dystrybucja sygnatur do wszytskich urządzeń w ramach regularnych uaktualnień Consists of two main components: virtual machine-based sandbox environment and an automatic malware signature generator Cloud-based file analysis Virtual machines up in the cloud, no added burden on the customer Analyzes behavior looking for over 70 signals Registry mods, browser safety mods, file creation in windows system folders, injecting code into processes, deleting itself Automated report generation accessible via automated email reports and web portal Automated malware signature generation Signatures generated automatically All signatures automatically and continually regression tested against a database of known clean files

Architektura WildFire Porównanie z bazą plików Środowisko sandbox Generator sygnatur Portal administracyjny Nieznane pliki z niezaufanych stref Nowe sygnatury dostarczone do urządzeń Step through the process Setup and Sending of the File Admin sets up policy to forward samples from internet to the cloud When firewall encounters binary to forward, checks signer. If signed by trusted source, don’t send. Generate file hash and query the cloud for the file hash If we saw the file already, don’t send, just get result Otherwise, send up file (user configurable file size range limit) Sample run in virtual machine for a period of time for analysis Behavior of sample analyzed. If malicious, a signature is automatically generated and appears in the next AV release. Reports for all sample uploads are made available via the web portal and also via automated and configurable email reports Urządzenie wysyła zaszyfrowany certyfikatem plik do usługi WildFire

User-ID: Identyfikacja użytkowników Unobtrusive deployment: Unlike traditional firewalls that require re-authentication, the Palo Alto Networks agent works seamlessly No change to the Active Directory (AD) server or the user PCs The user identification agent is deployed on a windows workstation or on the AD server Multiple agents can be deployed; one agent can communicate with multiple devices Korelacja adresów IP z użytkownikami aplikacji. Polityki Firewall operują na nazwach/grupach użytkowników. Incydenty przypisane do konkretnych użytkowników. Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. Obsługa Citrix i MS TS agent. Dla gości „Captive Portal” (Web i NTLM). 18

Skuteczna identyfikacja i kontrola użytkowników Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. Firewall transparentnie weryfikuje tożsamość użytkowników sieci (integracja z Active Directory, Citrix i MS Terminal Services). 19 19

Inspekcja zawartości ruchu szyfrowanego Ruch szyfrowany stanowi poważne zagrożenie Zabezpieczenia (Firewall, IPS, itd.) nie potrafią analizować ruchu szyfrowanego HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci wewnętrznych. Potrzebne są zabezpieczenia, które deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). 20 20

Inspekcja zawartości ruchu szyfrowanego Rozwiązanie Palo Alto Networks Inspekcja zawartości SSL Certyfikat PAN Certyfikat serwera Serwer usług Firewall chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Inspekcja zawartości szyfrowanego ruchu SSL - wychodzącego do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub podrzędny względem firmowego CA). Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np. Finanase-and-investment, Shopping) lub adresów znanych serwerów. 21 21

Analiza, monitorowanie i raportowanie Page 22 | © 2008 Palo Alto Networks. Proprietary and Confidential. 22 22

Wgląd w aplikacje, użytkowników i zawartość Dedykowane graficzne narzędzia do wizualizacji ruchu - aplikacje, użytkownicy i zawartość Monitorowanie i raportowanie w czasie rzeczywistym Szczegółowa analiza działań użytkownika 23 23

W tradycyjnych rozwiązaniach bezpieczeństwo zależy od lokalizacji Global Protect W tradycyjnych rozwiązaniach bezpieczeństwo zależy od lokalizacji botnets Bezpieczeństwo korporacyjne Polityki oparte na najlepszych praktykach Pełna kontrola dostępu i kontrola zawartości Brak bezpieczeństwa sieciowego Bezpieczeństwo oparte o „dobre chęci” Zagrożenia bezpieczeństwa, niewłaściwe wykorzystanie aplikacji, itp..

Zastosowanie GlobalProtect Użytkownicy nigdy nie pozostają „poza siecią firmową” niezależnie od fizycznej lokalizacji, Wszystkie firewalle w organizacji pracują wspólnie dla zapewnienia bezpieczeństwa „w chmurze”, Jak to działa: Cienki klient rozpoznaje położenie użytkownika (wew. sieci korporacyjnej czy poza) Jeśli poza siecią, agent natyczmiast zestawia tunel SSL VPN do „najbliższego” FW Agent dostarcza informacje o stanie bezpieczeństwa i konfiguracji komputera użytkownika FW wymusza korporacyjne polityki bezpieczeństwa w zakresie kontroli aplikacji, kontroli zawartości w zależności od informacji uzyskanych od agenta

Nowoczesna architektura bezpieczeństwa korporacyjnego w oparciu o Global Protect exploits malware botnets Ustanawia logiczne granice sieci niezależnie od fizycznej lokalizacji Użytkownicy uzyskują tą samą jakość zabezpieczeń niezależnie od lokalizacji Funkcje bezpieczeństwa realizowane przez specjalizowane urządzenia, a nie laptopy użytkowników Zunifikowany wgląd w ruch aplikacyjny, spójne monitorowanie i raportowanie

Elastyczność pracy zabezpieczeń Sieci i zagrożenia ulegają zmianom Właściwa ochrona systemów IT wymaga aby zabezpieczenia były dostosowane do zmian w sieci i nowych zagrożeń. Urządzenia zabezpieczeń powinny posiadać wiele interfejsów sieciowych, które w zależności pod potrzeb mogą pracować w różnych trybach (L2, L3, Tap). Efektywność kosztowa wymaga wirtualizacji zabezpieczeń - interfejsy VLAN, wirtualne rutery, wirtualne systemy. 27 27

Rozwiązanie Palo Alto Networks Elastyczność pracy zabezpieczeń Rozwiązanie Palo Alto Networks L2 – VLAN 10 Vwire L3 – DMZ L3 – Internet L2 – VLAN 20 Tap – Core Switch Wiele trybów pracy - Tap Mode, Virtual Wire, Layer 2, Layer 3 z obsługą dynamicznego rutingu. Tryb prac zabezpieczeń dostosowany do potrzeb - w jednym urządzeniu interfejsy mogą działać w różnych trybach. Wirtualizacja zabezpieczeń - interfejsy VLAN dla warstwy 2 i 3, wirtualne rutery, wirtualne systemy. 28 28

Scenariusze wdrożenia Analiza / Monitorowanie Dodatkowa warstwa ochrony Główna warstwa ochrony Podłączenie do span port Zapewnia monitorowanie sieci i aplikacji bez wdrożenia in-line Transparentne wdrożenie zabezpieczeń Zapewnia monitorowanie i funkcje ochrony bez modyfikacji sieci Firewall tworzy strefy bezpieczeństwa w sieci Zapewnia monitorowanie oraz funkcje sieciowe i zabezpieczeń

Kontrola aplikacji bez degradacji wydajności Dedykowana konstrukcja sprzętowa: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe (Flash Matching HW, SSL/IPSec Enc. HW, Network Processor), rozdzielenie modułu zarządzania i przetwarzania ruchu. Flash Matching Engine RAM Data Plane Control Plane Flash Matching HW Engine Uniform signatures matching CPU 1 CPU 2 CPU 3 CPU 16 RAM Dual-core CPU RAM . . RAM RAM SSL IPSec De-Comp. Multi-Core Security Processor Hardware accelerated SSL, IPSec, decompression HDD QoS Route, ARP, MAC lookup NAT 10 Gig Network Processor Hardware accelerated QoS, route lookup, MAC lookup and NAT 30 30

Zarządzanie zabezpieczeń Zarządzanie CLI i konsola graficzna Web Centralny system zarządzania Panorama (dostarczany jako VM) Role uprawnień administratorów Lokalna baza kont i RADIUS Audyt działań administratorów Raportowanie Syslog, SNMP i Email XML-based API Intuitive and flexible management options CLI, Web and Panorama central management application SNMP, Syslog Panorama central management application Panorama is a central management application enabling consolidated management, logging, and monitoring of Palo Alto Networks devices Consistent web interface with device, simplifying learning curve and obviating need for client software installation Provides network-wide ACC/monitoring views, log collection, and reporting All management interfaces work with latest config, avoiding out of sync issues common with multi-level management Automated Updates Automatic install or staging of updates App-ID signatures Threat signatures Software maintenance releases Zero-downtime upgrading of signatures and maintenance releases 31 31

Zarządzanie zabezpieczeń >commit Intuitive and flexible management options CLI, Web and Panorama central management application SNMP, Syslog Panorama central management application Panorama is a central management application enabling consolidated management, logging, and monitoring of Palo Alto Networks devices Consistent web interface with device, simplifying learning curve and obviating need for client software installation Provides network-wide ACC/monitoring views, log collection, and reporting All management interfaces work with latest config, avoiding out of sync issues common with multi-level management Automated Updates Automatic install or staging of updates App-ID signatures Threat signatures Software maintenance releases Zero-downtime upgrading of signatures and maintenance releases Konfiguracja aktywna i kandydacka Rollback, szybkie porównywanie różnych konfiguracji 32 32

Podsumowanie techniczne 33 33

System operacyjny PAN-OS FUNKCJE SIECIOWE Interfejsy: Copper GB SFP (1 GB) XFP (10 GB) 802.3ad Link Aggregation Tryby pracy L2 L3 (obsługa OSPF i RIP) V-wire Tap Wysoka dostępność: Active – Passive, Active-Active Synchronizacja konfiguracji i sesji Monitorowanie stanu urządzeń, linków i ścieżek komunikacji Wirtualizacja: VLAN (dla trybu L2 i L3) Wirtualne rutery Wirtualne systemy 34 34

System operacyjny PAN-OS FUNKCJE BEZPIECZEŃSTWA Kontrola zawartości Anty-Wirus IPS i Anty-Spyware Web Filtering Data & File Filtering Transparentne uwierzytelnianie i kontrola użytkowników IPSec VPN Route-based VPN (site-to-site) SSL VPN Firewall poziomu sieci i aplikacji Inspekcja ruchu SSL, SSH NAT (portów, adresów) Zarządzanie pasmem DiffServ QoS (8 kolejek per interfejs wyjściowy) Technologie ochrony App-ID, User-ID, Content-ID 35 35

„Tradycyjne” modele urządzeń Roczne subskrypcje Threats prevention +20% URL filtering +20% Support +16% 10Gb z XFPs Performance 10Gb Seria PA-2000 2Gb Seria PA-4000 1Gb 500Mb 250Mb Odziały korporacji/ Średniej wielkości firmy Duże firmy

Nowa seria PA-5000 Next Gen. Firewall wysokich wydajności 3 różne modele, do 20Gbps App FW, 10Gbps „threat prevention” PA-4020 PA-4050 PA-4060 PA-5020 PA-5050 PA-5060 Threat Gbps 2 5 10 Firewall Gbps 20 Mpps 13 CPS 60K 120K SSL/VPN Gbps 1 4 IPSec Tunnels 2K 4K 8K Sessions 500K 2M 1M 4M Ethernet 16xRJ45 8xSFP 4xXFP 4xSFP 12xRJ45 8xSFP 12xRJ45 8xSFP 4xSFP+

Architektura PA-5000 03/05/07 Control Plane Switch Fabric Data Plane Quad-core mgmt High speed logging and route update Dual hard drives Control Plane Core 1 RAM SSD Core 2 Core 3 Core 4 Signature Match HW Engine Stream-based uniform sig. match Vulnerability exploits (IPS), virus, spyware, CC#, SSN, and more Signature Match RAM Signature Match RAM RAM RAM RAM RAM RAM RAM 10Gbps 10Gbps CPU 1 CPU 2 CPU 12 RAM CPU 1 CPU 2 CPU 12 RAM CPU 1 CPU 2 CPU 12 RAM ... ... ... RAM RAM RAM SSL IPSec De-Compress. SSL IPSec De-Compress. SSL IPSec De-Compress. 80 Gbps switch fabric interconnect 20 Gbps QoS engine Security Processors High density parallel processing for flexible security functionality Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) 20Gbps Flow control Route, ARP, MAC lookup NAT Network Processor 20 Gbps front-end network processing Hardware accelerated per- packet route lookup, MAC lookup and NAT QoS Switch Fabric Switch Fabric Data Plane 38 38 38

Control Plane w serii PA-5000 4 rdzeniowy procesor w Control Plane: Quad core Intel Xeon (2.3Ghz) 4GB memory Redundantne, wymienialne dyski 120GB lub 240GB SSD Quad-core mgmt High speed logging and route update Control Plane Core 1 RAM Core 2 Core 3 Core 4 + RAM

Teraz NGF dostępny również w rozmiarze osobistym… PA-200 4 x porty RJ45 10/100/1000 1 x port RJ45 10/100 MGMT Port konsoli szeregowej Wymiary: 9”w x 7”d x 1U 23cm w x 16.5cm d x 4.5cm Pasywne chłodzenie (13db) Zewnętrzny zasilacz 110/220AC -> 12VDC

PA-200 Parametry wydajnościowe PA-200 jest pozycjonowany poniżej PA-500 PA-200 PA-500 Firewall (App-ID) throughput 100 Mbps 250 Mbps Threat prevention throughput 50 Mbps IPSec VPN throughput CPS 1,000 7,500 Max Sessions 64K IPSec Tunnels 25 250 Rules 1000 Address Entries 2500

Architektura serii PA-200 Zasada KISS ;-) 03/05/07 Architektura serii PA-200 Zasada KISS ;-) USB CPU1 Control Plane 16GB SSD MGT Console RAM RAM Security Processor Dual Core CPU hard allocates CPU power for both control plane and data plane Ensures management capabilities even under severe traffic load RAM (De)Comp IPSec SSL 4GB DRAM CPU2 Data Plane I/O ports Same management ports as other PA Series firewalls 4xRJ45 10/100/1000 ports satisfies typical connectivity of remote offices High Density Memory 4GB DDR3 Memory for full threat capabilities 16GB SSD allows full PAN- OS functionality, including local log storage RJ45x4 42 42 42

Różnice PA-200 w stosunku do pozostałych serii Seria PA-200 jest „znacząco” zgodna z pozostałymi urządzeniami za wyjątkiem kilku różnic: Konfiguracja HA A/P w wersji “HA-Lite” Stosuje port MGMT jako link HA1 na potrzeby sygnalizacji i synchronizacji Brak linków HA2 i HA3 – brak synchronizacji sesji użytkowników „Control plane” i „data plane” zorganizowane w ramach jednego fizycznego CPU Różne rdzenie ze wstępnie alokowaną pamięcią Inne różnice funkcjonalne Brak agregacji linków Brak VSYS Brak wsparcia jumbo frames These are the items that are synchronized for Merlin. Configuration Forwarding table User to group and user to ip mappings URL filtering control plane cache IPSec Security Associations for immediate failover SSL VPN sessions (failover should not require user interaction) PPPoE and DHCP client settings HIP reports

Media / Entertainment / Retail Referencje Health Care Financial Services Government Media / Entertainment / Retail craigslist Service Providers / Services Mfg / High Tech / Energy Education

PAN – unikalne własności System zabezpieczeń rozpoznaje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone. System zabezpieczeń precyzyjnie zarządza pasmem sieci. Polityki QoS definiowane są dla aplikacji, użytkowników, adresów IP, interfejsów, tuneli VPN i innych parametrów. System zabezpieczeń chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty).

PAN – unikalne własności System zabezpieczeń transparentnie ustala tożsamość użytkowników sieci (integracja z AD, TS i Citrix). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w różnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w różnych trybach. System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja sprzętowa). System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji, użytkowników i zawartości.

Podsumowanie System zabezpieczeń PAN został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer.

Interfejs zarządzania 48 48

Dziękuję za uwagę 57 57