【51CTO.com原創稿件】作為全球首先提出下一代防火墻概念的公司，Palo Alto Networks目前在業界也仍是最具行業標桿代表性的防火墻提供者。近日，Palo Alto Networks在中國正式發布了自主研發的下一代安全平臺“Palo Alto Networks PAN-OS 8.0版”。

Palo Alto Networks 大中華區總裁陳文俊

攻擊防御需從四方面做起

眾所周知，傳統的防火墻就是基于端口防護的。隨著技術的發展和應用的發展，僅通過網絡端口防御已經遠遠不夠。現在，需要在七層里防護能夠做的更完備，無論是針對已知的威脅還是未知的威脅。Palo Alto Networks 大中華區總裁陳文俊認為，面對日益嚴峻的網絡威脅，要想進行有效的威脅防御，需要從可視化、減少攻擊面、防御已知威脅和未知威脅四個方面進行防護，減少攻擊成功率。

首先，在可視化方面，要實現對網絡、移動終端和云端的可視化，做到對從應用進來、從云進來、從打包流量進來我們都有手段看得見，能看見就能防。其次，攻擊面多則受攻擊的機會也多，因為黑客是團體作戰發起攻擊成本低，對于企業來說攻擊面越寬，黑客攻擊的范圍越廣，導致企業很難防護。另外，攻擊成本低更容易發動攻擊，黑客獲益機會越大。最后，檢測不出的威脅最可怕，因此不但要做好已知威脅防護也應做好未知威脅的防護。

陳文俊表示，針對未知威脅，Palo Alto Networks通過智能云與全球所有的客戶設備同步，如果發現最新的威脅，可在五分鐘之內通知到部署在全球各地的設備中，做好防護。另外，Palo Alto Networks還采用機械學習、AI、行為分析等多種手段，實現未知威脅的防御。

下一代安全平臺PAN—OS 8.0的五大創新升級: 云安全為重中之重

[[188673]]

Palo Alto Networks 大中華區技術總監耿強

并基于以上四個層面， PAN-OS 8.0版實現了云安全、多元威脅防御、憑證盜竊防御、規范化管理、全新硬件的五大創新升級。

云安全：PAN-OS 8.0版最重要的創新就在云安全，它提供了AWS、Azure、NSX、ESXi、Hyper-V、KVM等多種云服務，能夠為企業在各個環節提供一致的安全防御級別。Palo Alto Networks 大中華區技術總監耿強表示，為了能夠更好的幫助客戶在云上更好的運維，防御威脅入侵，Palo Alto Networks實現了云上擴展并支持自動化安全防御。在VM虛擬化的應用上，提供最佳性能和覆蓋范圍。在公有云上，平臺良好的擴展性可與AWS和Azure服務的完美集成。其中，在 Azure拓展方面，可與App Gateway和 Load Balancer 實現集成;在AWS拓展方面，與Auto Scaling 和 ELB/ALB實現集成，可實現安全的動態擴展，且與工作負載無關，無縫支持CloudWatch。同時，針對SaaS應用，新版本對SaaS使用情況有了更深度的理解，能夠生成更詳細的報告，為用戶提供準確和及時的安全信息。

多元威脅防御：談到安全防御問題，耿強先向記者解釋了關于虛擬逃逸的問題，當黑客將惡意軟件放進虛擬環境后，他會嘗試分析企業的系統和硬件，然后進行滲透嘗試入侵動作。但是，如果他發現這是一個開源沙箱環境時，惡意軟件將會放棄攻擊行為。因為，黑客知道安全廠商都會用沙箱技術。但是，雖然沒有發起攻擊，但是惡意軟件仍然存在。那么，我們該如何針對這種逃逸的惡意軟件進行進一步的防御呢?2016年年終，Palo Alto Networks曾推出PAN-OS 7.1版，采用靜態分析的方式，對已知滲透入侵、惡意軟件及其最新變種進行檢測;在未知威脅方面，采用動態分析的方式對零日攻擊和惡意軟件快速顯示。此次新版本的發布，Palo Alto Networks獨立開發的一套虛擬環境，在動態分析方面實現了100%定制型反逃逸惡意軟件分析環境，并且通過啟發式引擎將高逃逸性可以文件動態導向裸機;然后進行裸機分析，在純化硬件環境下誘發惡意軟件，檢測出全部虛機感知型惡意軟件。

憑證盜竊防御：憑證盜竊是網絡攻擊者威脅和操縱企業以獲取寶貴資產的常見手段之一。傳統用來阻止憑證釣魚的方法都是最基本的、需要人工手動并且數量極其有限，主要依賴培訓員工在遇到釣魚網站時能對其進行識別。Palo Alto Networks現推出業內首個多元化、可擴展和自動化技術，可有效防止基于憑證的攻擊發生。PAN-OS 8.0版主要實現了自動識別和阻截釣魚網站、阻止用戶提交憑證到釣魚網站、防止使用被盜憑證的憑證防盜功能。目前，Palo Alto Networks下一代防火墻就可防止憑證被盜和濫用，輔助其他惡意軟件及威脅防護產品，保障應用程序的啟用功能，從而擴展企業客戶防御網絡攻擊的能力。

規范化智能管理： PAN-OS 8.0通過中央管理，將7000系列和端點的日志整合到中央管理上，當WildFire、威脅日志發現鏈接(客戶端IP)警報，可對應現有策略做精細的日志過濾、NGFW自動操作等自動安全操作，這就說明這個IP是一個感染的，這樣的用戶出現這樣的問題的時候，就強制他做雙重認證的動作。同樣這樣的日志和關聯不僅在我們的中央系統，也可以在其他方面來做。

全新硬件：云端部署和高流量對硬件提出了更高的性能要求，為此， Palo Alto Networks共發布了6款全新硬件平臺，包括三款高端PA—5200，兩款中端PA—800，以及一款入門級PA—220。在性能上，實現了高達10倍的性能和容量提升，最多可增加35倍的SSL會話容量。在加密流量的解密上，實現了高達10倍的解密性能提升，更高的端口密度，靈活的I/O和硬件彈性，前端到后端冷卻設計升級。

采訪結束，在與耿強的交流時，他向記者表示，此次下一代安全平臺發布單就安全升級來說，最突出的就是針對逃逸和C2服務器的防御。過去，企業安全研究人員存在對網絡流量的分析難以完全覆蓋，且人力不足等情況。C2服務器的有效載荷簽名對安全人員的防護工作至關重要，但是企業卻不得不在安全防護的速度和質量間權衡。因此，在C2服務器規模化防御方面，下一代安全平臺著重提升了企業安全分析師的工作效率。平臺中整合了專用的有效載荷簽名生成引擎，通過云端沙箱和威脅情報云，對C2服務的有效載荷自動提取并全球更新，以實現對內網存在的攻擊者C2服務器訪問請求和連接流量實現更快速的中斷和響應。

云計算時代，作為一家老牌的安全廠商，Palo Alto Networks因勢而動，順勢而為。依托先進技術，Palo Alto Networks產品始終針對應用層開展防護，產品逐漸從下一代防火墻升級到一體化的下一代安全平臺PAN-OS 8.0版。該版本非常注重云安全防護功能的創新實現，對公有云、私有云、SaaS應用均可做安全防御，以外還實現了如可視化、增強自動化、行為分析、機器學習能力等70多個全新功能，無論從網絡端還是云端都能為客戶提供有效的安全防護。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】