Paloalto網(wǎng)絡(luò)安全系統(tǒng)解決方案設(shè)計(jì)HA

1、Paloalto 網(wǎng)絡(luò)安全解決方案北京信諾瑞得信息技術(shù)有限公司總頁(yè)數(shù)11正文附錄生效日期：編制：王重人審核：批準(zhǔn)：目錄 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 1概述 3 HYPERLINK l bookmark8 o Current Document 2方案設(shè)計(jì) 3 HYPERLINK l bookmark10 o Current Document 2.1拓?fù)浣Y(jié)構(gòu) 3 HYPERLINK l bookmark12 o Current Document 3方案說明 4 HYPERLINK l bookmark14 o Cur

2、rent Document 3.1設(shè)備功能簡(jiǎn)介 4概 述隨著網(wǎng)絡(luò)的建設(shè)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，鑒于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和連通性，為計(jì)算機(jī)網(wǎng)絡(luò) 的安全帶來(lái)極大的隱患，并因?yàn)榛ヂ?lián)網(wǎng)開放環(huán)境以及不完善的網(wǎng)絡(luò)應(yīng)用協(xié)議導(dǎo)致了各種網(wǎng)絡(luò) 安全的漏洞。計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)安全解決方案由此應(yīng)運(yùn)而生，并對(duì)應(yīng)各種網(wǎng)絡(luò)的攻擊行為， 發(fā)展出了各種安全設(shè)備和各種綜合的網(wǎng)絡(luò)安全方案。零散的網(wǎng)絡(luò)安全設(shè)備的堆砌，對(duì)于提高 網(wǎng)絡(luò)的安全性及其有限，因此，如何有效的利用但前的網(wǎng)絡(luò)設(shè)備，合理組合搭配，成為網(wǎng)絡(luò) 安全方案成功的關(guān)鍵。但是，任何方案在開放的網(wǎng)絡(luò)環(huán)境中實(shí)施，均無(wú)法保證網(wǎng)絡(luò)系統(tǒng)的絕對(duì)安全，只能通過 一系列的合理化手段和強(qiáng)制方法，

3、提高網(wǎng)絡(luò)的相對(duì)安全性，將網(wǎng)絡(luò)受到的危險(xiǎn)性攻擊行為所 造成的損失降到最低。網(wǎng)絡(luò)安全問題同樣包含多個(gè)方面，如：設(shè)備的安全、鏈路的冗余、網(wǎng)絡(luò)層的安全、應(yīng)用層的安全、用戶的認(rèn)證、數(shù)據(jù)的安全、VPN應(yīng)用、病毒防護(hù)等等。在本方案中，我們提出的解決方案主要側(cè)重在于：HA（高可用性）、IPSecVPN但是 paloalto 同時(shí)也能解決網(wǎng)絡(luò)層安全、訪問控制的實(shí)現(xiàn)、病毒的防護(hù)、間諜軟件的防護(hù)、入侵的防護(hù)、URL的過濾、，以提高網(wǎng)絡(luò)的安全防御能力，并有效的控制用戶上網(wǎng)行 為和應(yīng)用的使用等安全問題。方 案 設(shè)計(jì)拓?fù)浣Y(jié) 構(gòu)HA分公司1PA-4020總公司PA-4050X2分公司HA分公司1PA-4020總公司PA-4

4、050X2分公司1PA-4020白一一C In ternet方 案 說明總公司與分公司之間用IPSecVPN連接總公司采用兩臺(tái)paloalto4050組成HA（Active-Active），提高網(wǎng)絡(luò)可用性和穩(wěn)定性設(shè)備功 能簡(jiǎn)介Paloalto設(shè)備可采用Active-Active和Active-Standby兩種模式運(yùn)行，在 本方案中采用 Active-Active 模式，以便可以最大的發(fā)揮設(shè)別的性能。并且paloalto設(shè)備可以在VirtualWire（完全透明狀態(tài)）、L2、L3任意網(wǎng)絡(luò)層 面開啟HA，即paloalto可以在完全不影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，串接進(jìn)入網(wǎng)絡(luò) 并組成 HA。Palo

5、alto設(shè)備在建立HA后，可以進(jìn)行session （會(huì)話）同步，也就是說在一 臺(tái)設(shè)備故障時(shí)另一臺(tái)設(shè)備可以再會(huì)話不中斷的情況下進(jìn)行設(shè)備切換。并且 paloalto4050 使用多達(dá) 3 條線路進(jìn)行設(shè)備的心跳、狀態(tài)、配置和會(huì)話的同步， 并且每條線路還可以再配置冗余。使用 paloalto 設(shè)備建立 IPSecVPN 隧道，在起到加密作用的同時(shí)，還可以在 同一設(shè)備端口和IP 上建立多條隧道包括SSLVPN，并且paloalto設(shè)備對(duì)其他主 流設(shè)備品牌有很好的兼容性，例如與 Juniper、CISCO 等 3 層設(shè)備都能很好的建 立IPSecVPN隧道。在提供穩(wěn)定的VPN連接和HA之外，paloalt

6、o還能提供強(qiáng)大的應(yīng)用過濾和管 理功能，可以極大的節(jié)省網(wǎng)絡(luò)帶寬資源。下一代 防火墻技術(shù)優(yōu)勢(shì)3.2.1 識(shí)別技術(shù)Palo Alto Networks 的新一代防火墻系列,使用三種獨(dú)特的識(shí)別技術(shù)對(duì)應(yīng)用程序、使用 者和內(nèi)容提供原則式可見度和控制，這三種技術(shù)是:App- ID、UserTD和Con tent TD。 App-ID是一項(xiàng)專利申請(qǐng)中的傳輸流量分類技術(shù)，此技術(shù)使用高達(dá)四種不同的辨識(shí) 技術(shù)，可以確認(rèn)哪個(gè)應(yīng)用程序在網(wǎng)絡(luò)上周游。然后使用應(yīng)用程序識(shí)別碼為基礎(chǔ)，進(jìn)行 所有原則決策， 包括適當(dāng)?shù)挠猛竞蛢?nèi)容檢查等。應(yīng)用程序通訊協(xié)定偵測(cè)與解密:App-ID憑借深厚的應(yīng)用程序通訊協(xié)定知識(shí)，可 以識(shí)別正在使用的通

7、訊協(xié)定以及是否使用 SSL 加密。解密已加密的傳輸流量， 根據(jù)原則進(jìn)行檢查，再重新加密并傳送往目的地。應(yīng)用程序通訊協(xié)定解碼:通訊協(xié)定解碼器會(huì)判斷應(yīng)用程序是否使用通訊協(xié)定做 為一般應(yīng)用程序傳輸或是混淆的技術(shù)，它們會(huì)協(xié)助盡量縮小應(yīng)用程序的范圍，并 在套用簽章時(shí)提供有價(jià)值的內(nèi)容。解碼器也會(huì)識(shí)別應(yīng)該掃描威脅或敏感資料的 檔案和其他內(nèi)容。應(yīng)用程序簽章:內(nèi)容式簽章會(huì)尋找獨(dú)特的應(yīng)用程序?qū)傩砸约跋嚓P(guān)的交易特性，無(wú) 論正在使用哪一種通訊協(xié)定及連接端口的情形下，都能正確地識(shí)別應(yīng)用程序。啟發(fā)學(xué)習(xí)法：?jiǎn)l(fā)學(xué)習(xí)法或行為分析會(huì)依照需要結(jié)合其他App-ID識(shí)別技巧，以 識(shí)別某些規(guī)避應(yīng)用程序，特別是使用所有權(quán)加密的應(yīng)用程序。

8、ihredtiI .1，旺I2BrAK HUserTD緊密地整合Palo Alto Net works新一代防火墻與ActiDirectory,動(dòng)ihredtiI .1，旺I2BrAK HUserTD緊密地整合Palo Alto Net works新一代防火墻與ActiDirectory,動(dòng)19919,036 nL0.B7fl.912 IIl?r30Z n 陰和DIE3益丄：回盂回益呼盂.-LII1G709n-123d-5673o.-o11111111112Oflorticnr：azureua6771pptream4r265 E113,530,253 0blaEk&oard3,&B9 E1+0

9、,562,316 rac ebook-base3J21 E29,571,551 IIntp3,314 1,H3Q,722 1flashS,103 E3L7,759,950 一SITLtp2,773 38.BE5,337 Eicmp2,364 t05J9G 1griUCGllaLrg7$9.600,(197 13囲4ID. 156.10,1 S10456.10.1pinsdflmoahFLad.varislS.6B2.fl26 i2,75 II5LD.15fi.l.fl4 MLO. 156.1.a 斗pansgdenxiXEliisi.tang6.5+6.529 2r237 QLD.1S6.14

10、.29 010.156.29:口 ansdsraSvincEnLjuari2337.286 12rlfi? QLD.156.4.,95 ELO. 156.4.95pn 窮電伽出en-曲mi1P2WH13 i2rll Dg1D.1S6.14.1S a10456A4Z15:口占ny?d 電mg 讓 hrtstopMido叫GED工冊(cè)左a2.03fi Qt0.156r&.166 I?66皿n那krnoed僧uno kwn佃15EE 1h腳IIIDID. 156,9.1331口 ansGdnxiXarKjre.srigLfl.93B.276 1QItLD.156.9.207 tfW. 156.9.20

11、7“n邊d電砸韜1匚如曲1357J69 11：LDJ56.14.30 由10.156.H.3DpansgdfirnaXtimciinv./afT3&3,133 11,61-1 Dli 1310.156,5.167 O-67pansdemnVapiiiel.sin;i13797 01網(wǎng)u3 4LD.156.E.20Q 廨L0.156.fi.2DDpanscdemascdln.rohaiiaj15304,78 0n1 cID. 156.14.33 10,156.133口 ansgderrKLpeLvunQ471.402 11.2 UllLDJ56.9.2aj 皿10.15E.9.201pandrr

12、dXxla.lukltDLdr5&2JDi5 1_1,427 nJ1D.1S6.&.12S U10.156.128口 anspdrrKili.cldanr0&456 匚1.3? UIfiLD45E.14.2B 10.156. H.28皿“溷規(guī)M&deiln罠除32002 i1少4 II19LDJ56.6.B4 宙4口 ansodrrxiXilaLcril3?3,93 斗 11.272 02DID. 156.1.106 06pins&defnoeiling.Mrig53&9.U86 1ir22 n2LID.15&.L4.3出L0.156.H.31pansgderTX3-d：riui. lau1,

13、351,579 1ij耐n=281 10.156.i0.18lparnspderngkee waiW6J65 IIlr157 DLD.156.E.19B 皿LO. I56.E.19B“n 巒 Errni 燦他.90IrB5O,5SS 聊D1 Cl 1 c -i 1 -口；3 nai /m j ijnMeteorPaUciesMeteorPaUciesTObjertsNetworkDewreContent-ID 結(jié)合即時(shí)威脅防范引擎與廣泛的 URL 資料庫(kù)和應(yīng)用程序識(shí)別碼元素 ,以限制未經(jīng)授權(quán)的檔案?jìng)鬏?偵測(cè)并封鎖廣大的威脅范圍以及控制非工作相關(guān)的網(wǎng) 絡(luò)瀏覽。單通道架構(gòu)使用串流式掃描與一致簽章格

14、式的組合 ,檢查傳輸流量。 Content-ID 搭配 App-ID 運(yùn)作,利用應(yīng)用程序識(shí)別碼, 使內(nèi)容檢查程序更有效率。URL FilterinqCategorySssionsBytes硬匕 *-adwrtiTiriK13網(wǎng)2 F374rfi9ar590 3rycomputer-aiEld ntcrnct-i nfo9俯0156r441P41S CleducaticnBl-intilutrcinsE.675 Q235,973r535 Z5busineM-and-szanomE.093 nE3,.EBlr396 35Pepping762 UL3fB62r7B4 3parked dontehs工

15、平15 n7Zf455rZ4Z liinternet portaii726 D9arD9Zr458 3II rrews-arrd-media5.B13 3,195,232 ybjfidS nMrLyKrU45 3Hpcra nai -gtesand-blogs4勺兀US9rL9SP5fil Ditsocial nehvorkiris3,1BB Q41,657,951 112unknowri3fBC nL61r90gr341 3J 23ireaming-mediaj.aji D26f 261,403 1J4.H 日呂1匚 E-and-wsarc h1,6 rZ6f749r77 1training

16、 略 nchtoo 也ld623 4SrL57r7E2 imtertain m-ent-and artslr50【10,797,702 1117societv1,253 rZ0rl97rZ74 1contaitdelivery ndvorks1.172 D22P455f703 i19matv/are-srtes1,036 15,298,756 1|lagcivernmem921 II69,.2D4rfi4Q 32Ldeaditss911 12flr263,4)4 1hucUumS24 II9f458r704 1onh ne-perEO naJ 血 ragtilt 129rL57rE30 112

17、4loca - nfcreationa 10 1532,532 1&travel7C1 IIlLJ?7r722 1kFGRbflMii：HTTP OPTTONS 氏lh04LCWftFDRH,%7nDHAL；.miiJUW1113ThrwMRFC2397 閑苗 IIRL 5(1已 Usa加 Detazted卜也mLhfTTP Active Conml Code；凸eaXicn 血卜曲殆iiiR HTTP Non RRXonnplat訊伽皿 kFGRbflMii：HTTP OPTTONS 氏lh04LCWftFDRH,%7nDHAL；.miiJUW1113ThrwMRFC2397 閑苗 IIRL

18、 5(1已 Usa加 Detazted卜也mLhfTTP Active Conml Code；凸eaXicn 血卜曲殆iiiR HTTP Non RRXonnplat訊伽皿 Mabe PDF File With Embedded 珈script CouF-oriBar Get updates tMibar buttons Hdttiar_H_a_3fiH Get 肖ej RequestVlrWInl.lltls.aHTTP Javascript otiiUKatlan DetectedTroja n 門乩 ITrarnei.DEMlcrasort EE 5am p le SalpE A/tHt

19、ray Fl 4 Dtscla sura Vulnaati i：ltvMyWebSearch Toolbar startup ccnfiguratKjnTrojanJs. Agent.b：?0520W19074432660319711QB299642D33B44338252544243D323JD7D4252979Typw 訕側(cè)就iilg vuHwatJililvVul 陽(yáng)曲 ilitVvuHwabilttyvulwraijilitvspvwa 阻virusvulrriH-Bbilftvvirusvulrrerabilftysparevirus：Cwnt54 H BOato Filtsriof

20、iaiiKIDTypeCount1.TeKheidafa2&LConfidential60002dataLLP GCRItEfW&01dataILL d4Mobe Portable Docume-it Fnoat : PDF)52021file103 口5McresorLVrd52001tile40 U*&MErosolt PweiPoint52000File33 07ZIP52OMFils75 QaTAR52W5HIe14 1孕HkrcwftViferd52012Fils10 110Endows Ejtoiutabk:- (EXE)5202CfilizID 1一組豐富的網(wǎng)絡(luò)功能，IPSecV

21、PN和管理功能結(jié)合AppTD、UserTD和Con ten tTD做為PAN-OS的主要功能，PAN-0S是控制Palo Al to Net works新一代防火墻的安全性特定作 業(yè)系統(tǒng)。PAN-OS加入自訂硬體平臺(tái)系列，這是專為管理企業(yè)網(wǎng)絡(luò)傳輸流量設(shè)計(jì)，針對(duì)網(wǎng)絡(luò) 功能、安全性、威脅防護(hù)與管理使用功能特定處理程序。整合式威脅防范當(dāng)今，企業(yè)用戶都為自己配備了高速互聯(lián)網(wǎng)連接與瀏覽器，使之可立即訪問最新最好的 網(wǎng)絡(luò)應(yīng)用程序。但大多數(shù)用戶都不知道，許多此類新應(yīng)用程序正是威脅矢量，他們使企業(yè) 網(wǎng)絡(luò)陷于業(yè)務(wù)風(fēng)險(xiǎn)之中，包括網(wǎng)絡(luò)停機(jī)、數(shù)據(jù)丟失及業(yè)務(wù)成本增加。多數(shù)此類新型威脅都是針對(duì)財(cái)務(wù)收益，也就意味著隱密性與

22、創(chuàng)新性才是黑客攻擊致勝的 法寶。由于安全經(jīng)理面對(duì)的威脅挑戰(zhàn)日益增多，鑒于其采用“發(fā)現(xiàn)一個(gè)安全問題，部署一 臺(tái)新設(shè)備”的原則，使得其安全架構(gòu)也越來(lái)越龐大。但，由于缺乏對(duì)各解決方案功能性的 協(xié)調(diào)、管理界面的不一致以及性能低下，都導(dǎo)致了此類部署的失敗。更重要的是，此類基 于部門的安全模塊并不能重點(diǎn)解決黑客利用企業(yè)安全方案中“未能對(duì)當(dāng)前終端用戶所使用的 各種應(yīng)用程序訪問進(jìn)行檢查”這一漏洞。Palo Alto Networks的下一代防火墻可向安全管理員提供兩個(gè)防范威脅的擴(kuò)展解決方 案。 首先，識(shí)別并控制網(wǎng)絡(luò)中的應(yīng)用程序，并減少威脅范圍，而后，檢查單通道中許可應(yīng) 用程序中是否感染了病毒、間諜軟件或遭受了

23、漏洞攻擊。控制應(yīng)用，阻止威脅為避免企業(yè)網(wǎng)絡(luò)受到威脅攻擊，首先要做到的就是重新獲得網(wǎng)絡(luò)中應(yīng)用程序使用的可視 性與控制性，即：利用準(zhǔn)專利流量分類技術(shù)App-ID明確的了解網(wǎng)絡(luò)中采用任何端口、協(xié)議、 SSL或逃避技術(shù)的應(yīng)用程序使用情況。利用App-ID生成的應(yīng)用程序標(biāo)識(shí)可對(duì)威脅探測(cè)解決 方案起到兩大關(guān)鍵作用。應(yīng)用程序標(biāo)識(shí)，及其描述、特性與使用者都可為安全管理員決定 如何利用策略控制應(yīng)用程序時(shí)，提供進(jìn)一步依據(jù)。 對(duì)于企業(yè)網(wǎng)絡(luò)、 P2P 文件共享或 circumventor中業(yè)務(wù)不需要的應(yīng)用程序則可簡(jiǎn)單阻止。允許使用的應(yīng)用程序則應(yīng)做出標(biāo)識(shí), 并實(shí)施細(xì)粒度級(jí)控制，而后對(duì)其進(jìn)行病毒、間諜軟件與漏洞攻擊檢查。

24、App-ID的第二個(gè)威 脅防范作用為可通過破譯應(yīng)用程序提高檢查幅度與精準(zhǔn)性，然后再將其重新組合并分析，了 解其內(nèi)容，以便于各種類型威脅的檢查。然而，傳統(tǒng)的基于端口的解決方案采用的是單一的分類技術(shù)（協(xié)議/端口）識(shí)別流量， 而 App-ID 則可利用其一項(xiàng)甚至多項(xiàng)此類技術(shù)-即：應(yīng)程序協(xié)議探測(cè)與解密，應(yīng)用程序破譯、 應(yīng)用程序簽名及啟發(fā)式分析對(duì)所有通過防火墻的流量進(jìn)行檢查，迅速識(shí)別與各數(shù)據(jù)包流相關(guān) 的應(yīng)用程序。通過查看應(yīng)用程序，而非僅查看端口或協(xié)議，App-ID可識(shí)別出那些可避開安 全檢查的應(yīng)用程序。SP3 架構(gòu)：?jiǎn)未瓮暾麙呙鑀alo Al to網(wǎng)絡(luò)威脅防范引擎基于SP3架構(gòu)，集成了多種創(chuàng)新性特性，在一次流量監(jiān)測(cè) 中隊(duì)所有流量是否有病毒、間諜軟件及漏洞攻