Paloalto网络安全解决方案HA

Paloalto网络安全解决方案北京信诺瑞得信息技术有限公司总页数11正文 附录 生效日期:编制：王重人审核:批准:TOC\o"1-5"\h\z\o"CurrentDocument"概述 3方案设计 3拓扑结构 3\o"CurrentDocument"方案说明 4\o"CurrentDocument"设备功能简介 4Paloalto 网络安全解决方案Paloalto 网络安全解决方案北京信诺瑞得信息技术有限公司 第页共11页1概述随着网络的建设，网络规模的扩大，鉴于计算机网络的开放性和连通性， 为计算机网络的安全带来极大的隐患，并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生，并对应各种网络的攻击行为，发展出了各种安全设备和各种综合的网络安全方案。 零散的网络安全设备的堆砌，对于提高网络的安全性及其有限，因此，如何有效的利用但前的网络设备，合理组合搭配，成为网络安全方案成功的关键。但是，任何方案在开放的网络环境中实施， 均无法保证网络系统的绝对安全， 只能通过一系列的合理化手段和强制方法， 提高网络的相对安全性，将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面，如：设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、 VPN应用、病毒防护等等。在本方案中，我们提出的解决方案主要侧重在于： HA（高可用性）、IPSecVPN但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、，以提高网络的安全防御能力，并有效的控制用户上网行为和应用的使用等安全问题。方案设计拓扑结构方案说明?总公司与分公司之间用IPSecVPN连接?总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性设备功能简介Paloalto设备可采用Active-Active和Active-Standby两种模式运行，在本方案中采用Active-Active模式，以便可以最大的发挥设别的性能。并且paloalto设备可以在VirtualWire(完全透明状态卜L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构的情况下，串接进入网络并组成HA。Paloalto设备在建立HA后，可以进行session白话)同步，也就是说在一台设备故障时另一台 设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步，并且每条线路还可以再配置冗余。使用paloalto设备建立IPSecVPN隧道，在起到加密作用的同时，还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好的兼容性，例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。在提供才I定的VPN连接和HA之外，paloalto还能提供强大的应用过滤和管理功能，可以极大的节省网络带宽资源。下一代防火墙技术优势识别技术PaloAltoNetworks的新一代防火墙系列，使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制 ，这三种技术是：App-ID、User-ID和Content-ID。App-ID是一项专利申请中的传输流量分类技术 ，此技术使用高达四种不同的辨识技术，可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础 ，进行所有原则决策，包括适当的用途和内容检查等。应用程序通讯协定侦测与解密：App-ID凭借深厚的应用程序通讯协定知识，可以识别正在使用的通讯协定以及是否使用 SSL加密。解密已加密的传输流量，根据原则进行检查，再重新加密并传送往目的地。应用程序通讯协定解码：通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术 ，它们会协助尽量缩小应用程序的范围 ，并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。应用程序签章：内容式签章会寻找独特的应用程序属性以及相关的交易特性 ，无论正在使用哪一种通讯协定及连接端口的情形下 ，都能正确地识别应用程序。启发学习法：启发学习法或行为分析会依照需要结合其他 App-ID识别技巧，以识别某些规避应用程序，特别是使用所有权加密的应用程序。User-ID紧密地整合PaloAltoNetworks新一代防火墙与 ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。User-ID紧密地整合PaloAltoNetworks新一代防火墙与 ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。藉由对使用者活动的可见度，企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程RiskApjilicMian Se&siont 」ayre(Thiwtai 1Qwefr-hrw^no119.2%I・1350.500..303匚:^■—IfiJ室ST^H；*21,^1666：1J1回遇耳，ni也骗*钳q।airi,舞序为？ni和闻丸。mnaiir^i.iHicienc-idora他lL0加MIIati的JXUEW7r2七洲工91210Iog况阳E<£6511U„I0£lu匕jch!?D3rdtlHl.5t2.nbn13Qrac他口*ba证X321t29,674.55^10[|nnw3,314[Id眄2i0I|n又1Q3T317?55.955ISQ1osmtp53I38W51J7：Qil.用icnllD乙卅rM5J究1；Q1uqulJIdL97O122S33W1aI1.uJk印小口汕LL426I47B.Ml101|■1,316II23,14237q101Elpnq1,2441幅914|i01-ouudp1,22918D,54B.763：0i|13nqmai-tMselr0B5121.549.1771QH_£>qMU鼻事记i.053r5.+B32551Q1二1oEupdate540»S5.34C.429E01uPK922I1C,55545m0ilnaa9191明湖劈1IIC1序和内容。address零QUEeM&sAN口EScSurteUserBytesSAsians-1L.1S=.15LiLC.iS&.i.S口需i州dermmnFshao7.635i261ID.M2LJHLQ.15K.120aL(M5mu口抑耶何闻u1066强写14r9S211LC.15i.12.S8ELD.156.Lg.3S口mn&Qdwirxi\0v1n.loonc?rbD0,097i3,035014IC.156.1D.1日10,156.14).1,p4n9pdema\ahiTiad.yanfiAisJ2,7S€IILD.156.I..B4pans^dcrm\^antare①54652912,237DLC.15A.M.29U10.156^.25panfflHdefrn\wnceiL^n2f337,286I2ptfi?11LE.15S,4.55甯L心德“Hpm/1和ea\g日归幽ani..2M,41312rHGt*10.1516.14.ISpaisQdana\chrt£Dp-erJa-44.W3,ia63口2rO3£a1.01156.9.1860tO.156.91S6口前曰llWfldkwdn4皿物11,«11LC.155.9.131rfLO.JI56.5.131(jan&Qdeinci\andpew.f口lC1..91Et.27&ii.&ga10,156.920710.I56,S207口抑汹甘iLi5h族1,457.ne9iII.12LD454.14.3H].LD.i5&-i4.3Opan^era\Bimtny.^T-393rLB8I1,634a1C.155,9167tftO.156.51S7口加皆加ntr*haeL值ng13,783,797i工於2ilLBUSfiMN口口Mpmii即叁加3\二!血二roJia-zadI5.3M/478E],+qan33iflL0,i56.L433pansgdefrx]\casp£r_^ung471^02I1他uIC.15fi,9.201tfED.15G.^.2di]p^n^gd£fna\iiaJiJdteLfi{]..5i62.B061_]f427D蟾倒^42B.i0.iS6.t.12Span5^demo\lL<3Ljan9g刀M始6口■1,«£DjfiLQ.156,112ftE?10.156,K26口d"烟（emo、蠲1白上世0*32ChflO21IMu19LC.155.6.34臼LD.156.e.B*pan&Gderrxi\^i.dilM3rS34I1.2720LG.156,LIOS由L0.156.Li06口却必®口/ong5,369,5861MLE.15&.L4.31国E.D.15i5A<q.33pansgdema'^arfni^1.lauL.35L.579I]rL«fiDL0,lS6.tC.1Sl国10,15640,181pansgdema\hre.副3W,0S51lrt5?n23LE.156.B.I9S图[0.1SiB.B.19Spam唾e™\m15rti.gaw也E望1铝31lr144D1n1£j£,1、dLI津s-ntLf.S1>£n,■h k，."r•■1r■jtnoajii/i,minTopiSnurCMContent-ID结合即时威胁防范引擎与广泛的 URL资料库和应用程序识别码元素以限制未经授权的档案传输，侦测并封锁广大的威胁范围以及控制非工作相关的网络浏览。单通道架构使用串流式扫描与一致签章格式的组合 ，检查传输流量。Content-ID搭配App-ID运作，利用应用程序识别码，使内容检查程序更有效率。URLFilteringCategoryScsiansBvtesv*rbp8dvril|yerrn*iiS13.9P2074用弭5901t心EpJtR--anOMnteriS-lhfd%白附口146,441,413.JedLcet'D什ml”。sttutcinsB/内L2耳9733祐上4bnWnf^nr卡irrmv民（iq习rirfficfiping7,762□143,«o2r7B4□6IMrSflddonuins7,^5U72,455al21■ntbnef,portal5九钺［1姒092,45318「回心andHT奄s,hHn63,L95r232]9ssrch-erqines5田才071LS8,94384,97an的1*小6111Isociil-netwo^ir^其恻114LWE11unkfi口时E3,066U161^09,341口过「earn 口daWlD结I14refcraxe■却d■图semehI码749.6771training4ndcools1,C23D1Sr157,762JeilertdliTTL刈P10r?97rT0211/maetyL®U20JS42/411Rs「tentdulhery-ne^v^-ks],1?2D2函70S119nav；aresfKLflseFi5?购「陋I20goveimmiitmII时工咻6403也XdMd-StB911II24r263p4M11X占JtUCH科fi24IIgr4SSr7041i.Jcn1nepcrasizd-storageH16II29fH7f830124loca-irfcmnation日加II%S3一m1IcJJ761II11J97JZ21ThreatPrevieinti&nThrwl10TVPOSum1HTTP0PTJ0N51^1-jdW5Mvijlnsrjbi*¥”1 .1WC21WMlURL9dh£MUtt9cM)8dMMM19"□in/如4・丫540•Mijn毒fL讣iLHTTP蚁廿不同Cofih5.：'*•：」＞「例u「」QrVUi^!L,-jlJi'i'Y却居4?由ssbgHGJ2SS0Yuinerab陋14QAcobePAFteWiEmtekfed百一以3加1vuinixJdJiWY6:L二„n：■!:-：I」;「upd^r-j-t2t)»=Tl^i'；iosjg印mar电6GHEH3ar_10_0_3&S：Geti~-jgeRfiqueSU-9MspifWam41工mu”VrrjE^VJinll.lAtta2CI1WIvlniE4BHTTPW3£ti^bruQcnfilDn启ectoedMl以2svuln白mbi!i\2E1:%升.hiTroianiJeirrarneca2544MvirusZG[11Ml二足-ftUS^am3le5c■■ptsArttrarrFil?dschMsmVlTiecabll牛3O3Z3viJnerabi，*Z[ M^W^SearchTmltwstartL?canriur-adan107M印Eat窄Z[\13TrciamJ与胸entj3渣得不virusZIDataFlltariinfKameTypeCountL1"皿6QQ3data2112Confidam.郭期门申口CCHtaf60001daU11134MotwPortaMe Fanr4t(PDF52021filei«3nMcfosoftWfld52001fi*40J52000fi"nj■jUP52001file75口F52005fileX1；Mt出qflWMd52(112fileV)iIC胃incto由，EkhuSM(EK)5202。Hitto.一组丰富的网络功能，IPSecVPN和管理功能结合App-ID、User-ID和Content-ID做为PAN-OS的主要功能，PAN-OS是控制PaloAltoNetworks 新一代防火墙的安全性特定作

业系统。PAN-OS加入自订硬体平台系列，这是专为管理企业网络传输流量设计，针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。整合式威胁防范当今，企业用户都为自己配备了高速互联网连接与浏览器， 使之可立即访问最新最好的网络应用程序。 但大多数用户都不知道，许多此类新应用程序正是威胁矢量，他们使企业网络陷于业务风险之中，包括网络停机、数据丢失及业务成本增加。多数此类新型威胁都是针对财务收益， 也就意味着隐密性与创新性才是黑客攻击致胜的法宝。由于安全经理面对的威胁挑战日益增多，鉴于其采用“发现一个安全问题，部署一台新设备”的原则，使得其安全架构也越来越庞大。 但，由于缺乏对各解决方案功能性的协调、管理界面的不一致以及性能低下，都导致了此类部署的失败。 更重要的是，此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中 “未能对当前终端用户所使用的各种应用程序访问进行检查”这一漏洞。PaloAltoNetworks 的下一代防火墙可向安全管理员提供两个防范威胁的扩展解决方案。首先，识别并控制网络中的应用程序，并减少威胁范围，而后，检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。控制应用，阻止威胁为避免企业网络受到威胁攻击，首先要做到的就是重新获得网络中应用程序使用的可视性与控制性，即：利用准专利流量分类技术App-ID明确的了解网络中采用任何端口、 协议、SSL或逃避技术的应用程序使用情况。 利用App-ID生成的应用程序标识可对威胁探测解决方案起到两大关键作用。 应用程序标识，及其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时，提供进一步依据。 对于企业网络、 P2P文件共享或circumventor中业务不需要的应用程序则可简单阻止。 允许使用的应用程序则应做出标识，并实施细粒度级控制，而后对其进行病毒、间谍软件与漏洞攻击检查。 App-ID的第二个威胁防范作用为可通过破译应用程序提高检查幅度与精准性，然后再将其重新组合并分析，了解其内容，以便于各种类型威胁的检查。然而，传统的基于端口的解决方案采用的是单一的分类技术（协议 /端口）识别流量，而App-ID则可利用其一项甚至多项此类技术 -即：应程序协议探测与解密，应用程序破译、应用程序签名及启发式分析对所有通过防火墙的流量进行检查， 迅速识别与各数据包流相关的应用程序。通过查看应用程序，而非仅查看端口或协议， App-ID可识别出那些可避开安全检查的应用程序。SP3架构：单次完整扫描PaloAlto网络威胁防范引擎基于SP3架构，集成了多种创新性特性，在一次流量监测中