具备应用层识别能力的新一代安全防护网关
产品概述
随着 Web 2.0 的各种应用不断推陈出新，加上社区网络 (Facebook) 服务广
受欢迎，进而带来了截然不同于以往的安全管理问题，IT 人员在面临新一代
企业网络 (Enterprise 2.0) 的各种威胁，已经无法使用传统防火墙、入侵
检测系统等设备，获得完整的安全控制管理和防御能力，其中最主要的原因
在于 Enterprise 2.0 的各种应用服务，大多数是通过Web 提供，而传统防
火墙由于无法辨识 Web 服务中的应用程序，也因此让网络安全防护出现严重
的漏洞与隐忧。
Palo Alto Networks 率先在业内推出新一代安全防护网关，不仅开创了全新
的安全管理思维，并且真正符合 Enterprise 2.0 对于各种新的应用服务的
数据内容识别与控制的需求。 Palo Alto Networks 考虑到传统防火墙的状
态检测技术（Stateful Inspection）已经无法有效识别各种新的应用以及这
些应用不断改变的行为模式，研发出全新的检测与识别技术并重新设计硬件
架构，以达到在进行各项安全威胁的检查过程中，设备仍能提供优异的处理
性能。
Palo Alto Networks 新一代安全防护网关，采用全新设计的软硬件平台，突
破了过去传统防火墙等安全设备在网络布署上的限制，可做到在单一设备同
时提供旁接模式(SPAN Mode)、透明模式(Transparent Mode)及路由模式
(Route Mode)等三种运作模式，大幅提升整体网络安全防御的纵深与广度。
由于采用了全新设计的用户管理接口，搭配内置完善的流量统计、安全事件
分析与报表系统，Palo Alto Networks 新一代安全防护网关，彻底解决过去
需以人工或第三方设备整合多种安全设备各自片段信息的问题，让 IT 人员
真正做到弹指轻松搞定安全威胁。
Palo Alto Networks 新一代安全防护网关把对
各种应用识别的能力和用户端信息整合在安全
策略中，可以在 Enterprise 2.0 环境充分发挥
对各种数据流的可视性与控制能力，同时使用全
新的管理接口，大幅降低安全策略维护上的复杂
度。
Palo Alto Network 新一代安全防护网关，内建
流量地图与多种管理报表，可快速做到各类事件
的查询与分析，让 IT 人员快速掌握网络环境中
数据流实时状态与统计信息，同时了解公司网络
使用趋势和潜在风险。
Palo Alto Network 新一代安全防护网关完全符
合Garner Research 所定义的新一代安全网关
所具备的各项特性。

 

创新的核心技术
App-ID (应用识别能力)
Palo Alto Networks 独特的传输流量分类技术，可根据每种
应用的执行特性，针对传输数据内容执行应用特征码比对，
无论使用哪一种通讯协议及连接端口，都能正确地识别应用
程序。
User-ID (用户识别能力)
Palo Alto Networks 新一代安全防护网关，可以与各种用户
数据库 (如：Microsoft Active Directory、LDAP、RADIUS)
紧密整合，通过动态地将 IP 地址与用户及用户组信息进行
结合，大幅提升对网络用户活动的可视性，IT 部门更可以依
据用户及用户组信息，规划制定各项安全策略及产生各种用
户存取记录与管理报表。
Content-ID (内容识别能力)
结合「实时威胁防御引擎」、「丰富的 URL 数据库」及「应
用识别」等核心组件，Content-ID 可以轻松做到限制未经授
权的文件传输、检测并阻挡各种的网络安全威胁，以及控制
和管理各种非工作相关的网络浏览。根据整合 App-ID所带
来的应用程序识别与控管能力，以及Content-ID 所提供的
传输内容检测与防御能力，IT 部门将可完全掌握所有的网络
使用行为及传输的内容。
Single Pass Parallel Process Architecture (单数据流并行处理体系结构)
Palo Alto Network 采用了独家设计的单数据流并行处理(SP3)的
体系结构，使用单数据流处理软件系统 (Single Pass Software)
与并行处理硬件架构 (Parallel Process Architecture)的完美整
合，可以满足 IT 人员对超高处理性能与低网络传输延迟的需求，
让安全防护设备从此不再成为网络传输的瓶颈。