Paloalto网络安全解决方案HA
- 格式:doc
- 大小:701.00 KB
- 文档页数:11
Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司
总页数 11 正文 附录 生效日期:
编制: 王重人 审核: 批准:
目 录
1 概述 ........................................................................................................................................... 3
2 方案设计 ................................................................................................................................... 3
2.1 拓扑结构 ............................................................................................................... 3
3 方案说明 ................................................................................................................................... 4
3.1 设备功能简介 ....................................................................................................... 4
Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 3 页 共 11 页 1 概述
随着网络的建设,网络规模的扩大,鉴于计算机网络的开放性和连通性,为计算机网络的安全带来极大的隐患,并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。
计算机网络的安全设备和网络安全解决方案由此应运而生,并对应各种网络的攻击行为,发展出了各种安全设备和各种综合的网络安全方案。零散的网络安全设备的堆砌,对于提高网络的安全性及其有限,因此,如何有效的利用但前的网络设备,合理组合搭配,成为网络安全方案成功的关键。
但是,任何方案在开放的网络环境中实施,均无法保证网络系统的绝对安全,只能通过一系列的合理化手段和强制方法,提高网络的相对安全性,将网络受到的危险性攻击行为所造成的损失降到最低。
网络安全问题同样包含多个方面,如:设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。
在本方案中,我们提出的解决方案主要侧重在于:HA(高可用性)、IPSecVPN
但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、,以提高网络的安全防御能力,并有效的控制用户上网行为和应用的使用等安全问题。
2 方案设计
2.1 拓扑结构
Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 4 页 共 11 页 3 方案说明
➢ 总公司与分公司之间用IPSecVPN连接
➢ 总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性
3.1 设备功能简介
Paloalto设备可采用Active-Active和Active-Standby两种模式运行,在本方案中采用Active-Active模式,以便可以最大的发挥设别的性能。
并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构的情况下,串接进入网络并组成HA。
Paloalto设备在建立HA后,可以进行session(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步,并且每条线路还可以再配置冗余。
使用paloalto设备建立IPSecVPN隧道,在起到加密作用的同时,还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好的兼容性,例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。
在提供稳定的VPN连接和HA之外,paloalto还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。
3.2 下一代防火墙技术优势
3.2.1 识别技术
Palo Alto Networks 的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 5 页 共 11 页 者和内容提供原则式可见度和控制,这三种技术是:App- ID、User-ID 和Content-ID。
App-ID 是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础,进行所有原则决策, 包括适当的用途和内容检查等。
应用程序通讯协定侦测与解密:App-ID 凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用SSL 加密。解密已加密的传输流量,
根据原则进行检查,再重新加密并传送往目的地。
应用程序通讯协定解码:通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。
应用程序签章:内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。
启发学习法:启发学习法或行为分析会依照需要结合其他App-ID 识别技巧,以识别某些规避应用程序, 特别是使用所有权加密的应用程序。 Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 6 页 共 11 页
User-ID 紧密地整合Palo Alto Networks 新一代防火墙与Active Directory,动态地将IP 位址连结至使用者和群组资讯。藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。 Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 7 页 共 11 页
Content-ID 结合即时威胁防范引擎与广泛的URL 资料库和应用程序识别码元素,以限制未经授权的档案传输,侦测并封锁广大的威胁范围以及控制非工作相关的网络浏览。单通道架构使用串流式扫描与一致签章格式的组合,检查传输流量。
Content-ID 搭配App-ID 运作,利用应用程序识别码, 使内容检查程序更有效率。 Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 8 页 共 11 页
一组丰富的网络功能,IPSec VPN 和管理功能结合App-ID、User-ID 和Content-ID 做为PAN-OS 的主要功能,PAN-OS 是控制Palo Alto Networks 新一代防火墙的安全性特定作Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 9 页 共 11 页 业系统。 PAN-OS 加入自订硬体平台系列,这是专为管理企业网络传输流量设计, 针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。
3.2.2 整合式威胁防范
当今,企业用户都为自己配备了高速互联网连接与浏览器,使之可立即访问最新最好的网络应用程序。 但大多数用户都不知道,许多此类新应用程序正是威胁矢量,他们使企业网络陷于业务风险之中,包括网络停机、数据丢失及业务成本增加。
多数此类新型威胁都是针对财务收益,也就意味着隐密性与创新性才是黑客攻击致胜的法宝。 由于安全经理面对的威胁挑战日益增多,鉴于其采用“发现一个安全问题,部署一台新设备”的原则,使得其安全架构也越来越庞大。 但,由于缺乏对各解决方案功能性的协调、管理界面的不一致以及性能低下,都导致了此类部署的失败。 更重要的是,此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用的各种应用程序访问进行检查”这一漏洞。
Palo Alto Networks的下一代防火墙可向安全管理员提供两个防范威胁的扩展解决方案。 首先,识别并控制网络中的应用程序,并减少威胁范围,而后,检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。
3.2.3 控制应用,阻止威胁
为避免企业网络受到威胁攻击,首先要做到的就是重新获得网络中应用程序使用的可视性与控制性,即:利用准专利流量分类技术App-ID明确的了解网络中采用任何端口、协议、SSL或逃避技术的应用程序使用情况。 利用App-ID生成的应用程序标识可对威胁探测解决方案起到两大关键作用。 应用程序标识,及其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时,提供进一步依据。 对于企业网络、P2P文件共享或circumventor中业务不需要的应用程序则可简单阻止。 允许使用的应用程序则应做出标识,并实施细粒度级控制,而后对其进行病毒、间谍软件与漏洞攻击检查。 App-ID的第二个威胁防范作用为可通过破译应用程序提高检查幅度与精准性,然后再将其重新组合并分析,了解其内容,以便于各种类型威胁的检查。
然而,传统的基于端口的解决方案采用的是单一的分类技术(协议/端口)识别流量,Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司 第 10 页 共 11 页 而App-ID则可利用其一项甚至多项此类技术-即:应程序协议探测与解密,应用程序破译、应用程序签名及启发式分析对所有通过防火墙的流量进行检查,迅速识别与各数据包流相关的应用程序。 通过查看应用程序,而非仅查看端口或协议,App-ID可识别出那些可避开安全检查的应用程序。
3.2.4 SP3架构:单次完整扫描
Palo Alto网络威胁防范引擎基于SP3架构,集成了多种创新性特性,在一次流量监测中队所有流量是否有病毒、间谍软件及漏洞攻击进行监测。 消除了传统防火墙和UTM的对于不同功能必须多次监测多次封装的问题,提高转发效率,减少延时。