エンタープライズ クラスのIPS

ネットワークに対する今日の攻撃は、アプリケーション経路とエクスプロイトを組み合わせて利用します。パロアルトネットワークスの次世代ファイアウォールは、これらの攻撃を阻止する2方面からのアプローチを提供します。望ましくないアプリケーションはApp-IDによってブロックされ、許可するよう選択したアプリケーションについては脆弱性エクスプロイトがないかどうかをIPSエンジンでスキャンすることができます。攻撃を阻止する仕組みについて、この動画をご覧ください。

 

コンテンツ-IDテクノロジの詳細を参照してください。

 

すべてのプラットフォームでサポートされている統合脅威防御機能を参照してください。

パフォーマンスを維持しながら完全なIPSプロテクションを実現

ハードウェア アクセラレーション、統一したシグネチャ形式、およびシングルパス ソフトウェア アーキテクチャにより、予測可能なIPSパフォーマンスを達成できます。ネットワーキング、セキュリティ、管理に加えて、コンテンツ インスペクション専用の処理およびメモリにより、予測可能なIPSパフォーマンスの達成に必要なハードウェア アクセラレーションを実現できます。

  • 単一のCPUまたはASIC/CPUハードウェア アーキテクチャの場合では重要な機能が他のセキュリティ機能と処理サイクルをめぐって競合することがありますが、パロアルトネットワークスの次世代ファイアウォールでは専用処理になっているためこのような競合は発生しません。

  • 統一したシグネチャ形式が使用されるため、複合スキャン エンジン ソリューション(TCP再構築、ポリシー検索、インスペクションなど)にありがちな重複プロセスを排除できます。

  • シングルパス ソフトウェアによって、どれだけ多くのポリシー要素が設定されていても、トラフィックのキャプチャを1度限りにすることができます。

既知および未知の広範な脆弱性エクスプロイトをブロック

パロアルトネットワークスの豊富な侵入防御機能セットによって、ネットワークおよびアプリケーション レイヤにおける既知および未知の脆弱性エクスプロイトが企業の情報リソースの安全を脅かしたり損害を与えたりする事態を阻止することができます。次のような実績ある脅威検出および侵入防御(IPS)メカニズムを通じて、脆弱性エクスプロイト、バッファ オーバーフロー、およびポート スキャンが検出されます。

  • プロトコル デコーダ ベースの分析がプロトコルに対してステートフルなデコードを実行し、次いで脆弱性エクスプロイトを検出するシグネチャをインテリジェントに適用します。

  • プロトコル異常ベース プロテクションが、長すぎるURIやFTPログインの使用といった、RFCに準拠しないプロトコルの使用を検出します。

  • ステートフル パターン マッチングが、パケットの到着順序やシーケンスなどの要素を考慮して、複数のパケットにわたる攻撃を検出します。

  • 統計異常検出機能が、レート ベースのDoSフラッディング攻撃を阻止します。

  • ヒューリスティック ベースの分析機能が、ポート スキャンやホスト スイープなどの異常なパケットおよびトラフィック パターンを検出します。
  • パッシブDNSモニタリングで、侵入されたドメインおよびインフラストラクチャをグローバルに識別してプロテクションを構築し、ローカルDNSシンクホールで、選択したアドレスに悪意のある要求をリダイレクトして、感染したホストの検出とブロックを行うことができます。
  • 無効または異常なパケットの防止、IPデフラグメント、TCP再構築といった他の攻撃プロテクション機能を通じて、攻撃者が使用する回避や隠蔽のテクニックから保護します。

  • アンチスパイウェアと脆弱性プロテクション プロファイルのいずれにおいても、カスタム脆弱性またはスパイウェアPhone Homeシグネチャを使用できます。

DoS攻撃プロテクション

パロアルトネットワークの次世代ファイアウォールは、正確な検出を約束するポリシー ベースのアプローチを通じて、DoS (サービス妨害)攻撃から保護します。DoSプロテクション ポリシーは、攻撃の種類などの要素の組み合わせや量(総量と分類別量の両方)に基づいて、許可/アラート/アクティベート/最大しきい値設定/破棄などの対応オプションとともに採用することができます。対象となる特定の種類のDoS攻撃は、以下のとおりです。

  • フラッド防御 - SYN、ICMP、UDP、およびその他のIPベースのフラッド攻撃から防御します。

  • 調査検出 − 一般的に用いられるポート スキャンや、攻撃者が潜在的なターゲットを見つけるために実行するIPアドレス スイープを検出、ブロックすることができます。

  • パケットベース攻撃防御 - 大規模ICMPパケットやICMPフラグメント攻撃から防御します。

マーケットをリードする脅威検出およびリサーチ

パロアルトネットワークスの侵入防御エンジンは、熟練したシグネチャ開発者で構成されたチームでサポートされています。このチームは、脅威防御コミュニティで活躍しており、Microsoft Active Protections Program (MAPP)などのプログラムを通じて、公式非公式を問わず、ソフトウェア ベンダーと密接に連携しながら研究を続けていますMAPPのメンバーであるパロアルトネットワークスは、マイクロソフトの月例および臨時のセキュリティ アップデート リリースを優先的に入手することができます。

早期に脆弱性情報を入手することで、パロアルトネットワークスはシグネチャを開発してそれを情報入手とほぼ同時期にお客様へ提供することが可能となり、お客様の完全な保護を確実なものとしています。シグネチャ アップデートは毎週定期的に、また緊急時にも提供されています。これまでにもパロアルトネットワークスのチームは、マイクロソフトとアドビ両社のアプリケーションにおいてクリティカルかつ重大性の高い多数の脆弱性を発見し、高い評価を受けています。