palo alto networks - just another firewall
DESCRIPTION
Presentation held at Pillar onTour! 16th November 2010 in Hamburg by Matthias Canisius, Regional Manager DACH at Palo Alto Networks.TRANSCRIPT
Palo Alto Networks Just another Firewall?
Matthias J. Canisius
Regional Manager DACH
Evolution
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 2 |
•Packet Filter
•StatefulInspection
•Proxy Firewall
•Deep Packet Inspection
Next Generation Firewall
•Statische Anwendungen
•Web-Anwendungen
•„SocialNetwork/Medi
a“
•Enterprise 2.0•Web 2.0
Fakten...
• Facebook 100 mio . neue User innerhalb von 9 Monaten (TV brauchte 13 Jahre für 50 Mio.)
• 80% aller Unternehmen nutzen LinkedIn oder Xing als Quelle neue Mitarbeiter zu finden
• YouTube ist die 2. größte Suchmaschine der Welt mit über 100 mio. Videos
• Wikipedia über 13 Millionen Artikel und gilt als umfassender als die Encyclopeda Britannica(78% der Artikel sind nicht in englischer Sprache)...
• (R)evolution!?
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 3 |
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 4 |
Warum eine Next Generation Firewall?
Need to Restore Visibility and Control in the Firewall
Firewalls sollten
Anwendungen, User und
Angriffe erkennen und
kontrollieren . . .
• . . . doch sie kontrollieren nur
Ports, Protokolle und IP-
Adressen – bedeutungslos.
© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 5 |
Das Ende der Kontrolle?
• Intelligente Anwendungen umgehen Ihre Security (Evasive Attacks)
- Port Hopping, “non-standard” Ports, Tunneling (Port 80), …
• Bedrohungen finden auf Anwendungsebene statt (SANS TOP 20)
• Benutzer und Anwender werden kreativer
- Aktive Umgehung von Sicherheitsrichtlinien (Bypassing via Ultrasurf, …)
• Oder die Anwendung selbst transportiert das Risiko
- P2P Fileshare, Tunneling, Videos,…
Internet
Bisher – Viel hilft viel?
• Komplex und teuer in Anschaffung und Betrieb
• Nicht sonderlich performant
• Keine wirkliche Transparenz und Kontrolle
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 6 |
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 7 |
•Page 8 |
Neue Anforderungen
1. Identifizierung von Anwendungen unabängigvon Port, Protokoll, SSL-Tunnel …
2. Identifizierung von Benutzern unabhängig von IP-Adressen
3. Granulare Darstellung und Kontrolle überZugriff und Funktion von Anwendungen
4. Schutz in Echtzeit vor in Anwendungeneingebetteten Angriffen
5. Multi-Gigabit, In-Line Implementierung ohnePerformance-Einbußen
Next Generation Firewall™
Die Lösung
•App-ID
•Identifikation der Anwendung
Application Identification Components
• Detect Protocol in Protocol
• Provide context for signatures
Protocol Decoders
• Man in the middle SSL decryption
Protocol Decryption
• Detect applications initiating
Application Signatures
• Uses patterns of communication
Heuristics
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 10 |
Application Identification - Signatures
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 11 |
•Protocol Decoders
•Decryption
•Application Signatures
•SSL
•Forward proxy
•HTTP
•webex
•Webex desktop sharing
•Mode shift
Application identification - Heuristics
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 12 |
•Unknown
•Encrypted Bittorrent
•Azureus
•Heuristics
•Protocol Decoders
•Examine communications
Die Lösung
•App-ID
•Identifikation der Anwendung
•User-ID
•Identifikation der Benutzer
•Content-ID
•Untersuchung des Inhalts
Bisheriger Ansatz
•Port/Protocol-based ID
•HTTP Decoder
•L2/L3 Networking, HA, Config Management,
Reporting
•URL Filtering Policy
•Port/Protocol-based ID
•L2/L3 Networking, HA, Config Management,
Reporting
•Firewall Policy
•Port/Protocol-based ID
•IPS Signatures
•L2/L3 Networking, HA, Config Management,
Reporting
•IPS Policy
•IPS Decoder
•Port/Protocol-based ID
•AV Signatures
•L2/L3 Networking, HA, Config Management,
Reporting
•AV Policy
•AV Decoder & Proxy
•Page 15 | •© 2008 Palo Alto Networks. Proprietary and Confidential
Parallel nicht sequentiel!
•L2/L3 Networking, HA, Config Management, Reporting
•App-ID
•Content-ID
•Policy Engine
•Application Protocol Detection and Decryption
•Application Protocol Decoding
•Heuristics
•Application Signatures
•URL Filtering
•Real-Time Threat Prevention
•Data Filtering
•Page 16 | •© 2008 Palo Alto Networks. Proprietary and Confidential
•User-ID
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 17 |
Single-Pass Parallel Processing Architectur
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 18 |
System-Architektur (PA-4000)
Flash Matching HW Engine
• Palo Alto Networks’ einheitlicheSignaturen
• Erweiterbarer Speicher – Speicher skaliertLeistungsfähigkeit
Multi-Core Security Prozessor
• Flexible Sicherheitsfunktionalität
• Hardware-Beschleunigung von komplexen, standardisierten Funktionen (SSL, IPSec,
Dekomprimierung)
Dedizierte Management Plattform:
• Hochverfügbarkeit
• Hochperformant :
• Logging
• Routing
• …
Flash Matching
Engine
RAM
RAM
RAM
RAM
Dual-Core
CPURAM
RAM
HDD
10 Gig Netzwerk Prozessor
• Front-End etzwerkprozessor entlastetSecurity Prozessor
• Hardware-beschleunigts QoS, Route Lookup, MAC Lookup, NAT
CPU
16
. .
SSL IPSecDe-
Compression
CPU
1
CPU
2RAM
RAMCPU
3
QoS
Route, ARP, MAC
lookup
NAT
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 19 |
PAN-OS Core Firewall Features
• Strong networking foundation- Dynamic routing (OSPF, BGP,
RIPv2)
- Tap mode – connect to SPAN port
- Virtual wire (“Layer 1”) for true transparent in-line deployment
- L2/L3 switching foundation
• VPN- Site-to-site IPSec VPN
- SSL VPN
• QoS traffic shaping- Max/guaranteed and priority
- By user, app, interface, zone, and more
• Zone-based architecture- All interfaces assigned to security
zones for policy enforcement
• High Availability- Active / passive
- Configuration and session synchronization
- Path, link, and HA monitoring
• Virtual Systems- Establish multiple virtual firewalls in a
single device (PA-4000 and PA-2000 Series only)
• Simple, flexible management- CLI, Web, Panorama, SNMP, Syslog
Visibility and control of applications, users and content complement core firewall features
PA-500
PA-2020
PA-2050
PA-4020
PA-4050
PA-4060
© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 20 |
Flexibel einsetzbar!
Visualisierung Transparent In-Line Primäre Firewall
• Applikation
• Benutzer
• Content
• Ohne Inline Einbindung
• IPS mit Applikations-Darstellung und -Kontrolle
• Konsolidierung von IPS & URL Filter
• Primäre Firewall mit Applikations-Darstellung und Kontrolle
• Firewall + IPS
• Firewall + IPS + URL-Filter
Application Visibility and Risk Report
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 21 |
Einfache Auswertung
Ihrer Daten
• Top Application Usage
• High Risk Applications
• Http Applications
• Top Threats
•AVR
Palo Alto Networks Next-Generation Firewalls
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 22 |
PA-4050
• 10 Gbps FW
• 5 Gbps threat prevention
• 2,000,000 sessions
• 16 copper gigabit
• 8 SFP interfaces
PA-4020
• 2 Gbps FW
• 2 Gbps threat prevention
• 500,000 sessions
• 16 copper gigabit
• 8 SFP interfaces
PA-4060
• 10 Gbps FW
• 5 Gbps threat prevention
• 2,000,000 sessions
• 4 XFP (10 Gig) I/O
• 4 SFP (1 Gig) I/O
PA-2050
• 1 Gbps FW
• 500 Mbps threat prevention
• 250,000 sessions
• 16 copper gigabit
• 4 SFP interfaces
PA-2020
• 500 Mbps FW
• 200 Mbps threat prevention
• 125,000 sessions
• 12 copper gigabit
• 2 SFP interfaces
PA-500
• 250 Mbps FW
• 100 Mbps threat prevention
• 50,000 sessions
• 8 copper gigabit
•. •Page 24 |
Vertrauen
• Gegründet 2005 von Security Visionär Nir Zuk
• Entwickelt von Security-Experten von CP, Netscreen,
Juniper, McAfee, BlueCoat, Cisco, …
• $65 Million “Funding” der Top Venture Capital Unternehmen
(Sequoia Capital, Greylock Partners, Globespan Capital
Partners, …)
• Mittlerweile über 1800 Kunden weltweit
• 9000 gelieferte Maschinen
• Gartner: Top Visionary in Gartner Quadrant!
2010 Magic Quadrant for Enterprise Network Firewalls
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 25 |
Source: Gartner
Palo Alto Networks
Check Point Software Technologies
Juniper Networks
Cisco
Fortinet
McAfee
Stonesoft
SonicWALL
WatchGuard
NETASQ Astarophion
3Com/H3C
completeness of vision
visionaries
ab
ilit
y t
o e
xe
cu
te
As of March 2010niche players
Proven IPS Quality
Testing performed by NSS Labs, Summer 2010
- Recognized industry leaders for IPS testing
- Tests based on established NSS IPS methodology
- Tested against a battery of 1,179 live exploits using real world traffic patterns
© 2009 Palo Alto Networks. Proprietary and Confidential.
Criteria Results
Overall Rating Recommended
IPS Block Rate 93.4% (at 2.3 Gbps)
Performance 2.3 Gbps (115% of
stated performance)*
IPS Evasion 100% Resistance
Simple Tuning and
Management
“Tuning consisted of
changing just three
settings within the
policy”
Review the full NSS Report at http://www.paloaltonetworks.com/literature/forms/nss-report.php
*Testing performed on a Palo Alto Networks PA-4020 which is rated at 2 Gbps of Threat Prevention
Kurz und knapp
• Verbesserte Sicherheit
- Applikationserkennung: Transparenz führt zu Kontrolle, Kontrolle führt zu Sicherheit
- Intelligente zentrale Content Inspection (AV, IPS, URL,...)
- Aussagekräftiges Monitoring
• Erhöhte Performance
- Parallelverarbeitung mittels Single Pass-Architektur (PANOS) + angepasste Hardware
• Produktivität
- Granulare Applikationskontrolle
• Einsparungspotential
- Einsparung durch Konsolidierung bestehender Insellösungen (Proxy, AV, IPS, URL, ...)
- Niedrigere Betriebskosten
Lizenzierung („flat rate“, nicht per user, ...)
Management + Konsolidierung
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 28 |
Thank You