‒
Jan Václavík •  Společnost Palo Alto Networks
•  Světová špička v oblasti síťové bezpečnosti
-  Společnost založena v roce 2005, první prodej v roce 2007
•  Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než
1300 síťových aplikací
-  Vrací pojmu “firewall” původní význam
-  Hlavní inovace: App-ID™, User-ID™, Content-ID™
•  Současný stav: 4,500+ zákazníků
•
‒
Evoluce
1. Paketový filter •
‒
Evoluce
2. Stavový firewall •
‒
Evoluce
3. UTM firewall Endpoint
Protection
Data Loss
Prevention
Antivirus/
Antispyware
Web
Filtering
VPN
IPS
Firewall
Antispam
IPv6,
Dynamic
Routing
•
‒
Evoluce
4. Proxy firewall •
‒
Evoluce
5. Next Generation firewall •
‒
Síťové aplikace se mění…
port ≠ síťová služba
IP adresa ≠ uživatel
paket ≠ obsah přenášených dat
…moderní firewall by musí tyto změny následovat.
•
‒
Síťové aplikace se mění…
Zásadní změny moderních
aplikací
Dynamicky volené porty
Port redirecting
SSL šifrování
Tunel s jinou aplikací
•  Uživatelé chtějí používat
moderní aplikace
•  Všichni chtějí být stále on-line
•
‒
Dynamicky otevírané porty
Most F r equentl y D etected " Dynamic" Appl ications
100%
80%
83%
78%
77%
73%
60%
60%
60%
55%
54%
51%
40%
42%
20%
0%
Sharepoint
iTunes
MS RPC
Skype
BitTorrent MSN Voice
Ooyla
Mediafire
eMule
•
‒
Teamviewer
Dynamicky otevírané porty
•
‒
Běžná situace…
Co s tím???
•
‒
Řešení č. 1
•
‒
Řešení č. 2: Next Generation firewall
App-ID
Identifikace aplikace
User-ID
Identifikace uživatele
Content-ID
Rozpoznání obsahu
•
‒
Next Generation Firewall
Požadavky na Next Generation FW
1. Naprosto spolehlivá detekce velkého
množství síťových aplikací
2. Práce s uživatelskými jmény
3. Ochrana sítě v reálném čase
4. Konfigurace s důrazem na nastavení
jemných nuancí.
5. Vysoký výkon, snadná integrace do
zákaznického prostředí
•
‒
Spolupráce jednotlivých funkcí
Google Talk
GMail
HTTP
SSL
Port Number - TCP
Je daná aplikace povolena? (App-­‐ID) Má k dané aplikaci uživatel či skupina přístup? (User ID) Jaká data se skrz aplikaci přenáší? (Content ID) Příchozí směr
Prevence škodlivému SW
•  IPS
•  Malware
•  Anti-virus
•  Kategorizace webu
•  Šifrované a
komprimované soubory
Odchozí směr
Data leakage control
•  Čísla kreditních karet
•  Document
fingerprinting
•
‒
ou W
See…with non-­‐firewalls Firewall What You What See wYith ith A Next-­‐Genera?on •
‒
Granularita politiky
•
‒
Praktický příklad: Twitter
Povolit ale kontrolovat Scanovat a blokovat útoky Pouze pro styk s veřejným děním Blokovat červy Zakázat TwiPer-­‐
Pos?ng Blokovat útoky a XSS Pouze během přestávky na oběd Blokovat nebezpečná URLs Zamezit přístup přes jinou proxy DLP •
‒
Proč Next Generation Firewall
Traffic
Přidaná funkce Application Control
Port
Firewall
IPS
•  Port-based FW + App Ctrl (IPS) = 2 pravidla
Applica?ons Port Policy
Decision
App Ctrl Policy
Decision
Next Generation Firewall
•  Konfigurace politiky v jedmon místě
•  Platnost přes všechny porty, veškerý provoz
Traffic
Application
Firewall
IPS
Applica?ons App Ctrl Policy
Decision
Scan Application
for Threats
•
‒
Architektura: Single-Pass Parallel
Processing (SP3)
Propustnost až 20Gbps, nízká latence
•
‒
GUI
•
‒
Jak funguje App-ID
…více jak obyčejná signatura
© 2010 Palo Alto Networks. Proprietary and Confidential.
• Page
•
‒
PAN-OS Core Firewall Features
PA-5060
•  Síťové funkce
•  Dynamic routing (BGP, OSPF, RIPv2)
•  Architektura založená na
zónách
•  Tap mode – connect to SPAN port
•  Security zóny
•  Virtual wire (“Layer 1”) for true transparent
in-line deployment
•  Definice politiky nad zónou
•  L2/L3 switching foundation
•  Policy-based forwarding
•  VPN
•  Site-to-site IPSec VPN
•  SSL VPN
•  QoS traffic shaping
•  Max/guaranteed and priority
•  By user, app, interface, zone, & more
•  Real-time bandwidth monitor
PA-5050
PA-5020
•  Režim vysoké dostupnosti
PA-4060
•  Active/active, active/passive
•  Session synchronization
•  Path, link, and HA monitoring
PA-4050
•  Virtualní Systémy VSYS
•  více virtualních firewallů běžících na
jednom HW (PA-5000, PA-4000, a
PA-2000)
PA-4020
•  Simple, flexible management
PA-2050
•  CLI, Web, Panorama, SNMP, Syslog
PA-2020
•
PA-500
‒
Produktové portfolio
PA-­‐5060 PA-­‐5050 PA-­‐5020 20 Gbps FW/10 Gbps threat preven?on/4,000,000 sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabit 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabit 5 Gbps FW/2 Gbps threat preven?on/1,000,000 sessions 8 SFP, 12 copper gigabit PA-­‐4060 PA-­‐4050 PA-­‐4020 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 4 XFP (10 Gig), 4 SFP (1 Gig) 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 8 SFP, 16 copper gigabit 2 Gbps FW/2 Gbps threat preven?on/500,000 sessions 8 SFP, 16 copper gigabit PA-­‐2050 PA-­‐2020 PA-­‐500 1 Gbps FW/500 Mbps threat preven?on/250,000 sessions 4 SFP, 16 copper gigabit 500 Mbps FW/200 Mbps threat preven?on/125,000 sessions 2 SFP, 12 copper gigabit 250 Mbps FW/100 Mbps threat preven?on/50,000 sessions 8 copper gigabit •
‒
Možnosti nasazení do sítě
Transparent In-Line
Firewall Replacement
Application Visibility
•  Span port
•  Viditelnost aplikací bez
nutnosti být inline
•  Transparentní integrace
za stávající FW
•  Možnost detekce a
kontrolování aplikací
bez nutnosti změn
•  Náhrada původního FW
•  Detekce a kontrolování
aplikací
•  Vysoký výkon
•
‒
[email protected] Děkuji za pozornost
Download

Prezentace Palo Alto Networks - DATA TECHNOLOGY DAY XIX.pptx