Palo Alto Networks - Just another Firewall
-
Upload
pillardata -
Category
Business
-
view
1.565 -
download
7
description
Transcript of Palo Alto Networks - Just another Firewall
Palo Alto Networks Just another Firewall?
Matthias J. Canisius
Regional Manager DACH
Evolution
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 2 |
•Packet Filter
•StatefulInspection
•Proxy Firewall
•Deep Packet Inspection
Next Generation Firewall
•Statische Anwendungen
•Web-Anwendungen
•„SocialNetwork/Medi
a“
•Enterprise 2.0•Web 2.0
Fakten...
• Facebook 100 mio . neue User innerhalb von 9 Monaten (TV brauchte 13 Jahre für 50 Mio.)
• 80% aller Unternehmen nutzen LinkedIn oder Xing als Quelle neue Mitarbeiter zu finden
• YouTube ist die 2. größte Suchmaschine der Welt mit über 100 mio. Videos
• Wikipedia über 13 Millionen Artikel und gilt als umfassender als die Encyclopeda Britannica(78% der Artikel sind nicht in englischer Sprache)...
• (R)evolution!?
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 3 |
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 4 |
Warum eine Next Generation Firewall?
Need to Restore Visibility and Control in the Firewall
Firewalls sollten
Anwendungen, User und
Angriffe erkennen und
kontrollieren . . .
• . . . doch sie kontrollieren nur
Ports, Protokolle und IP-
Adressen – bedeutungslos.
© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 5 |
Das Ende der Kontrolle?
• Intelligente Anwendungen umgehen Ihre Security (Evasive Attacks)
- Port Hopping, “non-standard” Ports, Tunneling (Port 80), …
• Bedrohungen finden auf Anwendungsebene statt (SANS TOP 20)
• Benutzer und Anwender werden kreativer
- Aktive Umgehung von Sicherheitsrichtlinien (Bypassing via Ultrasurf, …)
• Oder die Anwendung selbst transportiert das Risiko
- P2P Fileshare, Tunneling, Videos,…
Internet
Bisher – Viel hilft viel?
• Komplex und teuer in Anschaffung und Betrieb
• Nicht sonderlich performant
• Keine wirkliche Transparenz und Kontrolle
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 6 |
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 7 |
•Page 8 |
Neue Anforderungen
1. Identifizierung von Anwendungen unabängigvon Port, Protokoll, SSL-Tunnel …
2. Identifizierung von Benutzern unabhängig von IP-Adressen
3. Granulare Darstellung und Kontrolle überZugriff und Funktion von Anwendungen
4. Schutz in Echtzeit vor in Anwendungeneingebetteten Angriffen
5. Multi-Gigabit, In-Line Implementierung ohnePerformance-Einbußen
Next Generation Firewall™
Die Lösung
•App-ID
•Identifikation der Anwendung
Application Identification Components
• Detect Protocol in Protocol
• Provide context for signatures
Protocol Decoders
• Man in the middle SSL decryption
Protocol Decryption
• Detect applications initiating
Application Signatures
• Uses patterns of communication
Heuristics
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 10 |
Application Identification - Signatures
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 11 |
•Protocol Decoders
•Decryption
•Application Signatures
•SSL
•Forward proxy
•HTTP
•webex
•Webex desktop sharing
•Mode shift
Application identification - Heuristics
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 12 |
•Unknown
•Encrypted Bittorrent
•Azureus
•Heuristics
•Protocol Decoders
•Examine communications
Die Lösung
•App-ID
•Identifikation der Anwendung
•User-ID
•Identifikation der Benutzer
•Content-ID
•Untersuchung des Inhalts
Bisheriger Ansatz
•Port/Protocol-based ID
•HTTP Decoder
•L2/L3 Networking, HA, Config Management,
Reporting
•URL Filtering Policy
•Port/Protocol-based ID
•L2/L3 Networking, HA, Config Management,
Reporting
•Firewall Policy
•Port/Protocol-based ID
•IPS Signatures
•L2/L3 Networking, HA, Config Management,
Reporting
•IPS Policy
•IPS Decoder
•Port/Protocol-based ID
•AV Signatures
•L2/L3 Networking, HA, Config Management,
Reporting
•AV Policy
•AV Decoder & Proxy
•Page 15 | •© 2008 Palo Alto Networks. Proprietary and Confidential
Parallel nicht sequentiel!
•L2/L3 Networking, HA, Config Management, Reporting
•App-ID
•Content-ID
•Policy Engine
•Application Protocol Detection and Decryption
•Application Protocol Decoding
•Heuristics
•Application Signatures
•URL Filtering
•Real-Time Threat Prevention
•Data Filtering
•Page 16 | •© 2008 Palo Alto Networks. Proprietary and Confidential
•User-ID
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 17 |
Single-Pass Parallel Processing Architectur
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 18 |
System-Architektur (PA-4000)
Flash Matching HW Engine
• Palo Alto Networks’ einheitlicheSignaturen
• Erweiterbarer Speicher – Speicher skaliertLeistungsfähigkeit
Multi-Core Security Prozessor
• Flexible Sicherheitsfunktionalität
• Hardware-Beschleunigung von komplexen, standardisierten Funktionen (SSL, IPSec,
Dekomprimierung)
Dedizierte Management Plattform:
• Hochverfügbarkeit
• Hochperformant :
• Logging
• Routing
• …
Flash Matching
Engine
RAM
RAM
RAM
RAM
Dual-Core
CPURAM
RAM
HDD
10 Gig Netzwerk Prozessor
• Front-End etzwerkprozessor entlastetSecurity Prozessor
• Hardware-beschleunigts QoS, Route Lookup, MAC Lookup, NAT
CPU
16
. .
SSL IPSecDe-
Compression
CPU
1
CPU
2RAM
RAMCPU
3
QoS
Route, ARP, MAC
lookup
NAT
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 19 |
PAN-OS Core Firewall Features
• Strong networking foundation- Dynamic routing (OSPF, BGP,
RIPv2)
- Tap mode – connect to SPAN port
- Virtual wire (“Layer 1”) for true transparent in-line deployment
- L2/L3 switching foundation
• VPN- Site-to-site IPSec VPN
- SSL VPN
• QoS traffic shaping- Max/guaranteed and priority
- By user, app, interface, zone, and more
• Zone-based architecture- All interfaces assigned to security
zones for policy enforcement
• High Availability- Active / passive
- Configuration and session synchronization
- Path, link, and HA monitoring
• Virtual Systems- Establish multiple virtual firewalls in a
single device (PA-4000 and PA-2000 Series only)
• Simple, flexible management- CLI, Web, Panorama, SNMP, Syslog
Visibility and control of applications, users and content complement core firewall features
PA-500
PA-2020
PA-2050
PA-4020
PA-4050
PA-4060
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 20 |
Flexibel einsetzbar!
Visualisierung Transparent In-Line Primäre Firewall
• Applikation
• Benutzer
• Content
• Ohne Inline Einbindung
• IPS mit Applikations-Darstellung und -Kontrolle
• Konsolidierung von IPS & URL Filter
• Primäre Firewall mit Applikations-Darstellung und Kontrolle
• Firewall + IPS
• Firewall + IPS + URL-Filter
Application Visibility and Risk Report
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 21 |
Einfache Auswertung
Ihrer Daten
• Top Application Usage
• High Risk Applications
• Http Applications
• Top Threats
•AVR
Palo Alto Networks Next-Generation Firewalls
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 22 |
PA-4050
• 10 Gbps FW
• 5 Gbps threat prevention
• 2,000,000 sessions
• 16 copper gigabit
• 8 SFP interfaces
PA-4020
• 2 Gbps FW
• 2 Gbps threat prevention
• 500,000 sessions
• 16 copper gigabit
• 8 SFP interfaces
PA-4060
• 10 Gbps FW
• 5 Gbps threat prevention
• 2,000,000 sessions
• 4 XFP (10 Gig) I/O
• 4 SFP (1 Gig) I/O
PA-2050
• 1 Gbps FW
• 500 Mbps threat prevention
• 250,000 sessions
• 16 copper gigabit
• 4 SFP interfaces
PA-2020
• 500 Mbps FW
• 200 Mbps threat prevention
• 125,000 sessions
• 12 copper gigabit
• 2 SFP interfaces
PA-500
• 250 Mbps FW
• 100 Mbps threat prevention
• 50,000 sessions
• 8 copper gigabit
•. •Page 24 |
Vertrauen
• Gegründet 2005 von Security Visionär Nir Zuk
• Entwickelt von Security-Experten von CP, Netscreen,
Juniper, McAfee, BlueCoat, Cisco, …
• $65 Million “Funding” der Top Venture Capital Unternehmen
(Sequoia Capital, Greylock Partners, Globespan Capital
Partners, …)
• Mittlerweile über 1800 Kunden weltweit
• 9000 gelieferte Maschinen
• Gartner: Top Visionary in Gartner Quadrant!
2010 Magic Quadrant for Enterprise Network Firewalls
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 25 |
Source: Gartner
Palo Alto Networks
Check Point Software Technologies
Juniper Networks
Cisco
Fortinet
McAfee
Stonesoft
SonicWALL
WatchGuard
NETASQ Astarophion
3Com/H3C
completeness of vision
visionaries
ab
ilit
y t
o e
xe
cu
te
As of March 2010niche players
Proven IPS Quality
Testing performed by NSS Labs, Summer 2010
- Recognized industry leaders for IPS testing
- Tests based on established NSS IPS methodology
- Tested against a battery of 1,179 live exploits using real world traffic patterns
© 2009 Palo Alto Networks. Proprietary and Confidential.
Criteria Results
Overall Rating Recommended
IPS Block Rate 93.4% (at 2.3 Gbps)
Performance 2.3 Gbps (115% of
stated performance)*
IPS Evasion 100% Resistance
Simple Tuning and
Management
“Tuning consisted of
changing just three
settings within the
policy”
Review the full NSS Report at http://www.paloaltonetworks.com/literature/forms/nss-report.php
*Testing performed on a Palo Alto Networks PA-4020 which is rated at 2 Gbps of Threat Prevention
Kurz und knapp
• Verbesserte Sicherheit
- Applikationserkennung: Transparenz führt zu Kontrolle, Kontrolle führt zu Sicherheit
- Intelligente zentrale Content Inspection (AV, IPS, URL,...)
- Aussagekräftiges Monitoring
• Erhöhte Performance
- Parallelverarbeitung mittels Single Pass-Architektur (PANOS) + angepasste Hardware
• Produktivität
- Granulare Applikationskontrolle
• Einsparungspotential
- Einsparung durch Konsolidierung bestehender Insellösungen (Proxy, AV, IPS, URL, ...)
- Niedrigere Betriebskosten
Lizenzierung („flat rate“, nicht per user, ...)
Management + Konsolidierung
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 28 |
Thank You