【51CTO.com原创稿件】作为全球首先提出下一代防火墙概念的公司，Palo Alto Networks目前在业界也仍是最具行业标杆代表性的防火墙提供者。近日，Palo Alto Networks在中国正式发布了自主研发的下一代安全平台“Palo Alto Networks PAN-OS 8.0版”。

Palo Alto Networks 大中华区总裁陈文俊

攻击防御需从四方面做起

众所周知，传统的防火墙就是基于端口防护的。随着技术的发展和应用的发展，仅通过网络端口防御已经远远不够。现在，需要在七层里防护能够做的更完备，无论是针对已知的威胁还是未知的威胁。Palo Alto Networks 大中华区总裁陈文俊认为，面对日益严峻的网络威胁，要想进行有效的威胁防御，需要从可视化、减少攻击面、防御已知威胁和未知威胁四个方面进行防护，减少攻击成功率。

首先，在可视化方面，要实现对网络、移动终端和云端的可视化，做到对从应用进来、从云进来、从打包流量进来我们都有手段看得见，能看见就能防。其次，攻击面多则受攻击的机会也多，因为黑客是团体作战发起攻击成本低，对于企业来说攻击面越宽，黑客攻击的范围越广，导致企业很难防护。另外，攻击成本低更容易发动攻击，黑客获益机会越大。最后，检测不出的威胁最可怕，因此不但要做好已知威胁防护也应做好未知威胁的防护。

陈文俊表示，针对未知威胁，Palo Alto Networks通过智能云与全球所有的客户设备同步，如果发现最新的威胁，可在五分钟之内通知到部署在全球各地的设备中，做好防护。另外，Palo Alto Networks还采用机械学习、AI、行为分析等多种手段，实现未知威胁的防御。

下一代安全平台PAN—OS 8.0的五大创新升级: 云安全为重中之重

Palo Alto Networks 大中华区技术总监耿强

并基于以上四个层面， PAN-OS 8.0版实现了云安全、多元威胁防御、凭证盗窃防御、规范化管理、全新硬件的五大创新升级。

云安全：PAN-OS 8.0版最重要的创新就在云安全，它提供了AWS、Azure、NSX、ESXi、Hyper-V、KVM等多种云服务，能够为企业在各个环节提供一致的安全防御级别。Palo Alto Networks 大中华区技术总监耿强表示，为了能够更好的帮助客户在云上更好的运维，防御威胁入侵，Palo Alto Networks实现了云上扩展并支持自动化安全防御。在VM虚拟化的应用上，提供最佳性能和覆盖范围。在公有云上，平台良好的扩展性可与AWS和Azure服务的完美集成。其中，在 Azure拓展方面，可与App Gateway和 Load Balancer 实现集成;在AWS拓展方面，与Auto Scaling 和 ELB/ALB实现集成，可实现安全的动态扩展，且与工作负载无关，无缝支持CloudWatch。同时，针对SaaS应用，新版本对SaaS使用情况有了更深度的理解，能够生成更详细的报告，为用户提供准确和及时的安全信息。

多元威胁防御：谈到安全防御问题，耿强先向记者解释了关于虚拟逃逸的问题，当黑客将恶意软件放进虚拟环境后，他会尝试分析企业的系统和硬件，然后进行渗透尝试入侵动作。但是，如果他发现这是一个开源沙箱环境时，恶意软件将会放弃攻击行为。因为，黑客知道安全厂商都会用沙箱技术。但是，虽然没有发起攻击，但是恶意软件仍然存在。那么，我们该如何针对这种逃逸的恶意软件进行进一步的防御呢?2016年年终，Palo Alto Networks曾推出PAN-OS 7.1版，采用静态分析的方式，对已知渗透入侵、恶意软件及其最新变种进行检测;在未知威胁方面，采用动态分析的方式对零日攻击和恶意软件快速显示。此次新版本的发布，Palo Alto Networks独立开发的一套虚拟环境，在动态分析方面实现了100%定制型反逃逸恶意软件分析环境，并且通过启发式引擎将高逃逸性可以文件动态导向裸机;然后进行裸机分析，在纯化硬件环境下诱发恶意软件，检测出全部虚机感知型恶意软件。

凭证盗窃防御：凭证盗窃是网络攻击者威胁和操纵企业以获取宝贵资产的常见手段之一。传统用来阻止凭证钓鱼的方法都是最基本的、需要人工手动并且数量极其有限，主要依赖培训员工在遇到钓鱼网站时能对其进行识别。Palo Alto Networks现推出业内首个多元化、可扩展和自动化技术，可有效防止基于凭证的攻击发生。PAN-OS 8.0版主要实现了自动识别和阻截钓鱼网站、阻止用户提交凭证到钓鱼网站、防止使用被盗凭证的凭证防盗功能。目前，Palo Alto Networks下一代防火墙就可防止凭证被盗和滥用，辅助其他恶意软件及威胁防护产品，保障应用程序的启用功能，从而扩展企业客户防御网络攻击的能力。

规范化智能管理： PAN-OS 8.0通过中央管理，将7000系列和端点的日志整合到中央管理上，当WildFire、威胁日志发现链接(客户端IP)警报，可对应现有策略做精细的日志过滤、NGFW自动操作等自动安全操作，这就说明这个IP是一个感染的，这样的用户出现这样的问题的时候，就强制他做双重认证的动作。同样这样的日志和关联不仅在我们的中央系统，也可以在其他方面来做。

全新硬件：云端部署和高流量对硬件提出了更高的性能要求，为此， Palo Alto Networks共发布了6款全新硬件平台，包括三款高端PA—5200，两款中端PA—800，以及一款入门级PA—220。在性能上，实现了高达10倍的性能和容量提升，最多可增加35倍的SSL会话容量。在加密流量的解密上，实现了高达10倍的解密性能提升，更高的端口密度，灵活的I/O和硬件弹性，前端到后端冷却设计升级。

采访结束，在与耿强的交流时，他向记者表示，此次下一代安全平台发布单就安全升级来说，最突出的就是针对逃逸和C2服务器的防御。过去，企业安全研究人员存在对网络流量的分析难以完全覆盖，且人力不足等情况。C2服务器的有效载荷签名对安全人员的防护工作至关重要，但是企业却不得不在安全防护的速度和质量间权衡。因此，在C2服务器规模化防御方面，下一代安全平台着重提升了企业安全分析师的工作效率。平台中整合了专用的有效载荷签名生成引擎，通过云端沙箱和威胁情报云，对C2服务的有效载荷自动提取并全球更新，以实现对内网存在的攻击者C2服务器访问请求和连接流量实现更快速的中断和响应。

云计算时代，作为一家老牌的安全厂商，Palo Alto Networks因势而动，顺势而为。依托先进技术，Palo Alto Networks产品始终针对应用层开展防护，产品逐渐从下一代防火墙升级到一体化的下一代安全平台PAN-OS 8.0版。该版本非常注重云安全防护功能的创新实现，对公有云、私有云、SaaS应用均可做安全防御，以外还实现了如可视化、增强自动化、行为分析、机器学习能力等70多个全新功能，无论从网络端还是云端都能为客户提供有效的安全防护。

作者：杜美洁
来源：51CTO