Paloalto网络安全项目解决方案HA

Paloalto网络安全解决方案信诺瑞得信息技术总页数11正文附录生效日期：王重人1概述32方案设计32.1拓扑结构33方案说明43.1设备功能简介4随着网络的建设，网络规模的扩大，鉴于计算机网络的开放性和连通性，为计算机网络的安全带来极大的隐患，并因为互联网开放环境以与不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生，并对应各种网络的攻击行为，发展出了各种安全设备和各种综合的网络安全方案。零散的网络安全设备的堆砌，对于提高网络的安全性与其有限，因此，如何有效的利用但前的网络设备，合理组合搭配，成为网络安全方案成功的关键。但是，任何方案在开放的网络环境中实施，均无法保证网络系统的绝对安全，只能通过一系列的合理化手段和强制方法，提高网络的相对安全性，将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面，如：设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。在本方案中，我们提出的解决方案主要侧重在于：HA（高可用性）、IPSecVPN但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、，以提高网络的安全防御能力，并有效的控制用户上网行为和应用的使用等安全问题。2方案设计2.1拓扑结构3方案说明>总公司与分公司之间用IPSecVPN连接>总公司采用两台paloalto4050组成HA（Active-Active），提高网络可用性和稳定性3.1设备功能简介Paloalto设备可采用Active-Active和Active-Standby两种模式运行，在本方案中采用Active-Active模式，以便可以最大的发挥设别的性能。并且paloalto设备可以在VirtualWire（完全透明状态）、L2、L3任意网络层面开启HA，即paloalto可以在完全不影响网络拓扑结构的情况下，串接进入网络并组成HA。Paloalto设备在建立HA后，可以进行session（会话）同步，也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心、跳、状态、配置和会话的同步，并且每条线路还可以再配置冗余。使用paloalto设备建立IPSecVPN隧道，在起到加密作用的同时，还可以在同一设备端口和IP上建立多条隧道包括SSLVPN，并且paloalto设备对其他主流设备品牌有很好的兼容性，例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。在提供稳定的VPN连接和HA之外，paloalt。还能提供强大的应用过滤和管理功能，可以极大的节省网络带宽资源。3.2下一代防火墙技术优势识别技术者和容提供原则式可见度和控制，这三种技术是:App-ID、User-ID和Content-ID。♦App-ID是一项专利申请中的传输流量分类技术，此技术使用高达四种不同的辨识技术，可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础，进行所有原则决策，包括适当的用途和容检查等。◊应用程序通讯协定侦测与解密：App-ID凭借深厚的应用程序通讯协定知识，可以识别正在使用的通讯协定以与是否使用SSL加密。解密已加密的传输流量,根据原则进行检查,再重新加密并传送往目的地。◊应用程序通讯协定解码：通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术，它们会协助尽量缩小应用程序的围，并在套用签章时提供有价值的容。解码器也会识别应该扫描威胁或敏感资料的档案和其他容。◊应用程序签章：容式签章会寻找独特的应用程序属性以与相关的交易特性，无论正在使用哪一种通讯协定与连接端口的情形下,都能正确地识别应用程序。◊启发学习法：启发学习法或行为分析会依照需要结合其他App-ID识别技巧，以识别某些规避应用程序，特别是使用所有权加密的应用程序。AppuauoriComnwntfCenter 蜂维曜哈骨 4AppEkati&nApplicationsRisk邸网cation$心55>B¥t«Threats.1B?web-b^owsmg119"1月切伽SHIJJHJ1_—.□£>drs5L914口|23.561.666II013bittorrentn14,醐5A91gI到l?r3O2n199,BL』。北B0Iinsumcient-dais加9的niq婀9邛IIgl6azuneu-54r077124.WZ.912IIjol'7t113,336,253Qnl目blackboard3,6S9E13□3racfbaok-base3,3Z1[西，血％55T1。1Wntp3,314[1,2(1^,72210J；］Hash3403[317,759,950Q0112Sllllp2,773E3S.1B5.3370oi23icmp2,364E^O5,W6101gnuBllaL,97fl»22,EB3,61210115skyntprobe47B.M11：01i6v^D-mall1,3IfiI23.142,57110]17pingLr2A8r95,916II01■3unkhowrr-udp1,2Z9IE0,94S,7fi300]19gmalkbasg中85121,549.177101罚goog尽』|』也1LfQ53E5,483,255II0J21ms-updabe940J85,340.4290a1-：-.FEE922kL6,E5S,4531Q1|-q□d91914589.521II0!lUser-ID紧密地整合PaloAltoNetworks新一代防火墙与ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。藉由对使用者活动的可见度，企业可以根据储存在使用者存放库的使用者和群组资讯，监视和控制在网络上周游的应用程序和容。

SenjitewidrExsSwrceNgtHanvaSourceUjeerEf^rtesS^sxiEwu1lJpanspd^maShong.Ehaa7,635.526110.M21_12ir-156.1.20Bf10.1564.205湖伽皿倾叫砌而3』赐J4514,952U1LD.156dD.3S田10.156,11].SBpan5$derrKi\caiwln.lo0ng9r6DD,fl9713,<M5□41D.156.1O.1a1O.156.1A.1pgn渤帜magiihrnad,•闻「噌电日禁i2,75«IIEID.156.1.B4时4口舌nsgd陋mmsharktang6.5+6.5291Zr2J7QL0d56.14.29L?10.1S6.W.29pans^errra^vincenLiuiin2.337.28612rl£7UID.156.4.55己5pan湖合fogsherL少1,259^3312,119ag10.]J6.14.1SL?10.lS6.iq.15pans^errKiSchrtstDptier.lD布「如3』的E32,036a9LO.156r9.186U10.156.9466网nMww'edMundkwen1531,56611,M10IDLDJ56.9.131区10.156a9.131pan5<xl£n>3\andr€rj.siiiglflr93B.Z76Ii.fiagajilt10,156.9.207a0(7口的用制屯伽幅tic,如曲1^57,fl6911./M(■■12.LD.156.1430混1B.15S.L4.3Dpans^derna'stimotriY.v^arfi353,13311,63-1a||11ID.156,9.167ffi67pa<i9pdeirfflVaphael.sing13^8179701,M2II34LD.15E.fi.200叫L0.156.E.2DDpans^dernased^ln.rahaEzad15JD4&目3ZDTC1D.1S6.14.33aPdns-QderrKi'sc^per-YijnQ471,4皿11.4^2U：ELD.156.5.2D1囹10.15G.4.2D1口角n湖总rm锹1丑lukltc*L钿『弱L目时1_■lr427nL29a10.156,6.128口酊湖emaMiqumn例『口&4胃56izaL39&U10,155428Bl1O.156.H.2B口酣辎1的网\6＜招俏巳hak320^021irm019LDJ56-6.B4宙10.156.i&.a4pansgdemaMla^i.chl353,5341顷02DlD.15fi.l.lO6世06pjns^eiDo'vvjorilirig.wrtg5369.186iL226B2LID.156.14.3]Of10.156.H.31pansgdefna'^ftriui.lau1,351,5791中砧nLO.156.1O.1S1i?10.1564fl.181panscdemo^keew*i3M...06SIIlr157D23-LD.156.E.19g虚口mu湖Errxig岫.gal坛 ]irwnin-icd.1t rSi:惑1na^-iynTf1■j-jji1riContent-ID结合即时威胁防引擎与广泛的URL资料库和应用程序识别码元素，以限制未经授权的档案传输，侦测并封锁广大的威胁围以与控制非工作相关的网络浏览。单通道架构使用串流式扫描与一致签章格式的组合，检查传输流量。Content-ID搭配App-ID运作,利用应用程序识别码，使容检查程序更有效率。

URLFiltefinoCategorySessions1mb-advertisOTent513^52Ul网上舞万如1?computer-ancnnternet-lnfo勺明。口L56r441r4L53cducatioml-institutionsB,fi75Li235,973r535lJI4bu^ine55-end-econQmy故勇nB3^Blr3?6~i5topping7,762□L43r£62r7B4il6parked-domains7邱U72,455,242HLlintcrnet-p^risls7左旧□如,09己4器it8neg日mbnnedia5,.EI13□53rL95r232]9searchengines5.63B□74,190,94331Cpe顽nd-stes-and-blogs4日7SnB9r195r5BlII11ssciaknetworking3顾U41r6B7r961112unknown圳期D161,909,341Z3111iream-ing-medid1"D血机403!rsferience-aridreraarch1衅I26,749,677115training-and-tools1,623[45f157r7B2I瑾••'Efiteridiiiiiitnt-dnd^rts1剖r10J97J0211/GDcietyV53D20r197r274]18content-delivery-nehvorksJ.171[-2ZH-t.56,703115侦驰r15rZ93r736i20gflvemmsnt921II砧『的4^4。J里ctead-sitesmuiZ1r2633M322aixticiriiHUII9,4鸣冲123.Dnlme-persDnai-gtorage皿i29,157,8301如locar：nfDinfi£；tiflnaioi4,532,5321J5travel7filIII1.397,7221ThreatPreuentlonSheriffThrWtHTTPCiPTXWMeUiod10520TH»

vulria-atiility

vuinerdNUtvCount4|NFORHOON/iLhttpSheriffThrWtHTTPCiPTXWMeUiod10520TH»

vulria-atiility

vuinerdNUtvCount4|NFORHOON/iLhttpMc-hRFt^mpHafir旧pmses佝uM如瞰YiilnerdtiiiltyK厅弓|^FDR^TiaN^LAdobepdfFilewithEmbeddedJavascriptJ1971vulner功iilty&DCouponB^rBupdahwtoiEialbarbuttonsIQglQ&Q心111 1Hatbar_lD_0_3&BGetimageRequest119&4^p/rtare4DEViruE/WinJI.lit心201l&Wvirus4nHTTPJavaScriptObruscatlGnDetected31B25vulnerability21101Traj3nilJE.m-anie.b42E442421UiWPJ1Mlcnosi-ttD5SampleScriptsArtrtrarvFileDlKiosure的1昭祁山功3C3Z3vulneramirtv2112〕界顷感「|M^WetiS&arch『mltiarstartupconflgui-Btian10704叩Z1UTrapn/Js.ftgentlbi252979virusZ130419WEvulnerabilityLOWRRQ功7施URLggUapwDetec知MicrosoftMMLHnpActiveXantroicodeBseutionvuinMijjrrryDataFiltfrinaH&rneIOTypeCount1TsKheidataMl2Canfidenti^功。捉dMa119Z33CCAlter砌01data111E94fdobepDrtdbleDctumentFarrnat(PDF)52021file103□!§MiaororfWijrd泌。1fi电qjJVMicrosoft.RowffPDint52000fi里jja7Z：P52()04file7513aTAR5拙5fife：1409PtitrMoftWard52(112fifeId010WindowEnQcutftble(EXE)52020fik?10.一组丰富的网络功能，IPSecVPN和管理功能结合App-ID、User-ID和Content-ID做业系统。PAN-OS加入自订硬体平台系列，这是专为管理企业网络传输流量设计，针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。整合式威胁防当今，企业用户都为自己配备了高速互联网连接与浏览器，使之可立即访问最新最好的网络应用程序。但大多数用户都不知道，许多此类新应用程序正是威胁矢量，他们使企业网络陷于业务风险之中，包括网络停机、数据丢失与业务成本增加。多数此类新型威胁都是针对财务收益，也就意味着隐密性与创新性才是黑客攻击致胜的法宝。由于安全经理面对的威胁挑战日益增多，鉴于其采用“发现一个安全问题，部署一台新设备”的原则，使得其安全架构也越来越庞大。但，由于缺乏对各解决方案功能性的协调、管理界面的不一致以与性能低下，都导致了此类部署的失败。更重要的是，此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用的各种应用程序访问进行检查''这一漏洞。PaloAltoNetworks的下一代防火墙可向安全管理员提供两个防威胁的扩展解决方案。首先，识别并控制网络中的应用程序，并减少威胁围，而后，检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。控制应用，阻止威胁为避免企业网络受到威胁攻击，首先要做到的就是重新获得网络中应用程序使用的可视性与控制性，即：利用准专利流量分类技术App-ID明确的了解网络中采用任何端口、协议、SSL或逃避技术的应用程序使用情况。利用App-ID生成的应用程序标识可对威胁探测解决方案起到两大关键作用。应用程序标识，与其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时，提供进一步依据。对于企业网络、P2P文件共享或circumventor中业务不需要的应用程序则可简单阻止。允许使用的应用程序则应做出标识，并实施细粒度级控制，而后对其进行病毒、间谍软件与漏洞攻击检查。App-ID的第二个威胁防作用为可通过破译应用程序提高检查幅度与精准性，然后再将其重新组合并分析，了解其容，以便于各种类型威胁的检查。然而，传统的基于端口的解决方案采用的是单一的分类技术（协议/端口）识别流量，而App-ID则可利用其一项甚至多项此类技术-即：应程序协议探测与解密，应用程序破译、应用程序签名与启发式分析对所有通过防火墙的流量进行检查，迅速识别与各数据包流相关的应用程序。通过查看应用程序，而非仅查看端口或协议，App-ID可识别出那些可避开安全检查的应用程序。SP3架构：单次完整扫描PaloAlt。网络威胁防引擎基于SP3架构，集成了多种创新性特性，在一次流量监测中队所有流量是否