【IT168 评论】近日，下一代安全企业Palo Alto Networks在京正式发布了下一代网络安全平台PAN-OS 8.0操作系统，该操作系统拥有70多个新功能，重点围绕云安全，此外还有多元威胁防御，规模化管理、凭证盗窃防御，以及全新硬件，Palo Alto Networks 大中华区总裁陈文俊就产品做整体分析，Palo Alto Networks 大中华区技术总监耿强就详细功能进行阐述!

　　防御攻击的四个方面，实现一体化防御

　　传统防火墙是基于端口来做防护，但是Palo Alto Networks采用了更先进的技术，在第七层应用层做防护，在七层里防护能够做的更完备，无论是针对已知威胁还是未知威胁，这都是整个技术的发展和应用的发展趋势，目前，Palo Alto Networks已经实现了整体防御解决方案。

▲Palo Alto Networks 大中华区总裁陈文俊

　　面对网络攻击不断增多，陈文俊表示，Palo Alto Networks主要从四个方面对攻击进行有效的防御，分别是全面可视化、减少攻击面、防御已知威胁、防御未知威胁，可视化应对来自网络、移动终端、应用以及云，能看见就能防;新威胁能够在5分钟内同步全球所有的客户设备，同时，我们还积极通过机器学习、AI、行为分析等各种手段应对未知威胁。

　　面对未知攻击，Palo Alto Networks可以通过动态分析、静态分析、异常检测、攻击技术、深度解析等等技术手段展开防御，相比市面上仅能做单一防御的厂商，Palo Alto Networks实现了集成化、一体化防御，将所有功能集成、协同工作，功能一致，适用于所有用户、应用程序和地点，自动发现并对网络和终端重新编程，防止已知和未知威胁。

　　PAN-OS 8.0五大亮点功能

▲Palo Alto Networks 大中华区技术总监耿强

　　PAN-OS 8.0在云安全领域，能够实现在组织机构中的各个环节提供一致的安全防御级别，多种云服务，耿强解释道，包括了AWS、Azure、NSX、ESXi、Hyper-V、KVM并且与OpenStack, ConfigDrive的集成可实现NFV自动化部署;云扩展性及弹性，在 Azure拓展方面，可与App Gateway和 Load Balancer 实现集成在AWS拓展方面，与Auto Scaling 和 ELB/ALB实现集成，可实现安全的动态扩展，且与工作负载无关，无缝支持CloudWatch。同时针对SaaS应用，能够深度理解其活动情况，还能借助策略执行自动化功能即时排除风险，实现隔离数据供用户和管理员检查，限制分享功能防止公众曝光。

　　PAN-OS 8.0在多元威胁防御威胁情报云方面的创新，让用户无论身在何处都能安全地启用应用程序和内容，防御已知和未知威胁的攻击，同时简化安全操作和基础设施，威胁防护功能的亮点包括：

　　阻止沙盒逃逸技术：具备全新的100%定制化虚机管理程序(Hypervisor)和裸机分析环境的WildFire服务，旨在自动识别和防止最具逃逸性的威胁。

　　自动命令与控制签名：使用全新专用有效负载签名生成引擎。这种新方法在自动化的端到端交付机制中提供研究员级有效负载签名，能够更快防御攻击者的回呼企图。

　　自动集成威胁情报：集成MineMeld应用程序在AutoFocus服务中，安全运维团队可以轻松获取多个数据源，加速整理全部威胁情报，创建自定义字段，并自动快速修复下一代防火墙，以及通过第三方SIEM解决方案或资产管理产品通知SOC小组。

　　为管理人员提供快速准确情报的管理功能：通过Panorama网络安全管理，现融合Traps高级终端保护日志以及附加的防火墙日志。这增加了与威胁指示器的相关性，并自动快速更新到下一代防火墙，以阻止攻击者横向移动，并通过第三方IT服务管理和网络安全响应系统(如ServiceNow)通知IT部门，降低安全团队的操作负担。

　　PAN-OS 8.0在防范凭证盗窃及滥用方面，凭证盗窃是网络攻击者威胁和操纵企业以获取宝贵资产的常见手段之一，Palo Alto Networks现推出业内首个多元化、可扩展和自动化技术，可有效防止基于凭证的攻击发生。凭证防盗功能的亮点包括：

　　自动识别和阻截钓鱼网站：将可疑链接通过电子邮件发送到WildFire服务，从而实现增强的机器学习分析。如果该网站被认定为钓鱼网站，PAN-DB将自动更新钓鱼URL数据库、阻截该网站并阻止用户访问该网站。

　　阻止用户提交凭证到钓鱼网站：由于集成了User-ID技术，防火墙可以识别企业凭证在流量中的移动情况。如果用户在不知情的情况下尝试向未经授权的站点发送用户名和密码，则防火墙设定的策略便警告或抛弃该流量，并停止公司凭证的传输。

　　防止使用被盗凭证：下一代防火墙内置一个基于策略的多因子认证框架，这种独特的功能使防火墙可以轻松执行多因子认证，以阻止网络攻击者借助盗取的凭证或受损的终端，在网络中横向移动并访问敏感数据。为了能够实现以上效果，下一代防火墙在网络级别、身份验证及身份管理框架(如单点登陆和多因子身份验证)下，与多个下一代身份访问管理供应商，包括Okta、Ping Identity、Duo Security,以及其他策略执行工具整合。此外，除了简化整体管理开销外，PAN-OS 8.0这种全新的集中式策略方法，让管理员现在可以使用多因子身份验证来保护内部和自定义应用程序，而这几乎是现有工具不可能完成的。

　　PAN-OS 8.0在规模化智能管理方面，可对更多数据源实现更大可视化，并实现对这些数据的更快访问，经过过滤的事件可激发并自动采取行动，可针对多个管理团队实现精细变更管理，将Palo Alto Networks的7000系列和端点的日志整合到中央管理，当WildFire、威胁日志发现链接(客户端IP)警报，可对应现有策略做自动的操作，并联动第三方认证系统自动操作。

　　全新硬件平台，包括了三个系列的6款全新硬件设备，高端PA-5200三款，中端 PA-800两款，入门级 PA-220一款，性能方面，高达10倍的性能和容量提升，最多可增加35倍的SSL会话容量，高达10倍的解密性能提升，更高的端口密度，灵活的I/O和硬件弹性，前端到后端冷却设计升级。

　　总结：PAN-OS 8.0升级意义重大，特别是云安全方面，为一带一路走出去的企业提供安全支出，支持主流云平台，威胁情报方面也积极创新，对接多方面情报源平台，相信在云计算时代，Palo Alto Networks能够继续引领安全风向标!