Palo Alto帕羅奧圖市位於加利福尼亞州舊金山灣區,是一個Charter City,相似我國的自治區。該市擁有居民7萬多人(你沒看錯),這裏也是全美生活成(fang)本(jia)最高的城市之一。php
著名的斯坦福大學(Stanford University)坐落於此,居民平均受教育程度全美最高。爲硅谷培養了衆多高科技產品領導者和創業型人才,是美國培養最多億萬富豪的大學。市內共有101所學校,其中84所爲私立學校、15所公立學校。html
這裏著名的高新科技園硅谷,聚集了衆多大名鼎鼎的企業,例如惠普、特斯拉、Skype、Space Systems、福特研發中心、谷歌、臉書、羅技等。web
全球網絡安全領導者 Palo Alto Networks 網絡經過科技的力量,保護並改變着人們工做以及企業的運營方式,塑造以云爲導向的安全將來。已在 150多個國家和地區,70000 家企業客戶使用爲全球數十億用戶提供網絡安全保障。算法
Palo Alto Networks下一代防火牆使用三種獨特的識別技術(應用程序ID、用戶ID和content-ID)實現對應用程序、用戶和內容的基於策略的可見性和控制。瞭解哪一個應用程序正在穿越網絡以及誰在使用它,將用於建立防火牆安全策略,包括訪問控制、SSL解密、威脅預防和URL過濾。每一個公司都須要防火牆。sql
相比之下,Web應用防火牆(WAF)被設計用來查看Web應用程序,監視它們是否存在可能因爲編碼錯誤而出現的安全問題。這兩種解決方案之間惟一的類似之處在於它們在名稱中使用了術語防火牆。只有那些認爲本身的web應用程序存在編碼問題的公司才須要WAF。shell
Palo Alto Networks下一代防火牆的關鍵屬性:數據庫
•設計爲主防火牆,識別和控制穿越網絡的應用程序用戶和內容。跨域
•應用程序ID:識別和控制900多個各類類型的應用程序,而不考慮端口、協議、SSL加密或規避策略。瀏覽器
•用戶ID:利用Active Directory中的用戶數據(而不是IP地址)建立、記錄和報告策略。安全
•內容ID:阻止各類惡意軟件,控制網絡活動並檢測穿越網絡的數據模式(SSN、CC#)。
•記錄和報告:記錄全部應用程序、用戶和威脅流量,以便進行分析和取證。
•性能:旨在充當各類規模企業的主要防火牆,這決定了它在負載下提供高性能吞吐量。Palo Alto Networks採用定製硬件、特定功能處理和創新軟件設計相結合的方式,提供高性能、低延遲吞吐量。
更多有關Palo Alto network,firewall/0 trust/下一代防火牆/規則/DNS等介紹以下:
https://www.paloaltonetworks.com/network-security/next-generation-firewall
Web應用程序防火牆的關鍵屬性:
•旨在彌補不安全的編碼實踐——只有那些使用web應用程序並擔憂其代碼不安全的公司才須要購買WAF。
•忽略應用程序自己可能存在的大量安全漏洞。
•針對每種環境進行高度定製–查看web應用程序應該如何操做以及如何處理任何奇怪的行爲。
•只查看web應用程序的特定L7字段–它們不查看OSI堆棧中的任何其餘層。
•當前的WAF產品僅針對應用程序流量的一小部分,所以沒法知足主防火牆的性能要求。
https://blog.paloaltonetworks.com/2009/02/a-waf-does-not-make-you-pci-compliant/
錯誤格式的請求保護
Shellshock破殼漏洞
Accept-Encoding請求標頭宣傳客戶端支持的壓縮算法。
Accept-Encoding: gzip, deflate, br
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36 要匹配它,請在CNAF規則中指定如下通配符表達式: Mozilla / 5.0 *
X-Powered-By,Server,X-AspNet-Version,X-AspNetMvc-Version。
—容許的URL列表。對於此列表中的URL,將繞過全部CNAF檢查。
Palo Alto CNNF Cloud Native Network Firewall網絡防火牆說明地址:
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/firewalls/cnnf.html
CNNF for host主機: