Paloalto網(wǎng)絡(luò)安全解決方案HA

Paloalto網(wǎng)絡(luò)安全解決方案北京信諾瑞得信息技術(shù)有限公司總頁數(shù)11正文 附錄 生效日期:編制：王重人審核:批準(zhǔn):TOC\o"1-5"\h\z\o"CurrentDocument"概述 3方案設(shè)計(jì) 3拓?fù)浣Y(jié)構(gòu) 3\o"CurrentDocument"方案說明 4\o"CurrentDocument"設(shè)備功能簡(jiǎn)介 4Paloalto 網(wǎng)絡(luò)安全解決方案Paloalto 網(wǎng)絡(luò)安全解決方案北京信諾瑞得信息技術(shù)有限公司 第頁共11頁1概述隨著網(wǎng)絡(luò)的建設(shè)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，鑒于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和連通性， 為計(jì)算機(jī)網(wǎng)絡(luò)的安全帶來極大的隱患，并因?yàn)榛ヂ?lián)網(wǎng)開放環(huán)境以及不完善的網(wǎng)絡(luò)應(yīng)用協(xié)議導(dǎo)致了各種網(wǎng)絡(luò)安全的漏洞。計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)安全解決方案由此應(yīng)運(yùn)而生，并對(duì)應(yīng)各種網(wǎng)絡(luò)的攻擊行為，發(fā)展出了各種安全設(shè)備和各種綜合的網(wǎng)絡(luò)安全方案。 零散的網(wǎng)絡(luò)安全設(shè)備的堆砌，對(duì)于提高網(wǎng)絡(luò)的安全性及其有限，因此，如何有效的利用但前的網(wǎng)絡(luò)設(shè)備，合理組合搭配，成為網(wǎng)絡(luò)安全方案成功的關(guān)鍵。但是，任何方案在開放的網(wǎng)絡(luò)環(huán)境中實(shí)施， 均無法保證網(wǎng)絡(luò)系統(tǒng)的絕對(duì)安全， 只能通過一系列的合理化手段和強(qiáng)制方法， 提高網(wǎng)絡(luò)的相對(duì)安全性，將網(wǎng)絡(luò)受到的危險(xiǎn)性攻擊行為所造成的損失降到最低。網(wǎng)絡(luò)安全問題同樣包含多個(gè)方面，如：設(shè)備的安全、鏈路的冗余、網(wǎng)絡(luò)層的安全、應(yīng)用層的安全、用戶的認(rèn)證、數(shù)據(jù)的安全、 VPN應(yīng)用、病毒防護(hù)等等。在本方案中，我們提出的解決方案主要側(cè)重在于： HA（高可用性）、IPSecVPN但是paloalto同時(shí)也能解決網(wǎng)絡(luò)層安全、訪問控制的實(shí)現(xiàn)、病毒的防護(hù)、間諜軟件的防護(hù)、入侵的防護(hù)、URL的過濾、，以提高網(wǎng)絡(luò)的安全防御能力，并有效的控制用戶上網(wǎng)行為和應(yīng)用的使用等安全問題。方案設(shè)計(jì)拓?fù)浣Y(jié)構(gòu)方案說明?總公司與分公司之間用IPSecVPN連接?總公司采用兩臺(tái)paloalto4050組成HA(Active-Active),提高網(wǎng)絡(luò)可用性和穩(wěn)定性設(shè)備功能簡(jiǎn)介Paloalto設(shè)備可采用Active-Active和Active-Standby兩種模式運(yùn)行，在本方案中采用Active-Active模式，以便可以最大的發(fā)揮設(shè)別的性能。并且paloalto設(shè)備可以在VirtualWire(完全透明狀態(tài)卜L2、L3任意網(wǎng)絡(luò)層面開啟HA,即paloalto可以在完全不影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，串接進(jìn)入網(wǎng)絡(luò)并組成HA。Paloalto設(shè)備在建立HA后，可以進(jìn)行session白話)同步，也就是說在一臺(tái)設(shè)備故障時(shí)另一臺(tái) 設(shè)備可以再會(huì)話不中斷的情況下進(jìn)行設(shè)備切換。并且paloalto4050使用多達(dá)3條線路進(jìn)行設(shè)備的心跳、狀態(tài)、配置和會(huì)話的同步，并且每條線路還可以再配置冗余。使用paloalto設(shè)備建立IPSecVPN隧道，在起到加密作用的同時(shí)，還可以在同一設(shè)備端口和IP上建立多條隧道包括SSLVPN,并且paloalto設(shè)備對(duì)其他主流設(shè)備品牌有很好的兼容性，例如與Juniper、CISCO等3層設(shè)備都能很好的建立IPSecVPN隧道。在提供才I定的VPN連接和HA之外，paloalto還能提供強(qiáng)大的應(yīng)用過濾和管理功能，可以極大的節(jié)省網(wǎng)絡(luò)帶寬資源。下一代防火墻技術(shù)優(yōu)勢(shì)識(shí)別技術(shù)PaloAltoNetworks的新一代防火墻系列，使用三種獨(dú)特的識(shí)別技術(shù)對(duì)應(yīng)用程序、使用者和內(nèi)容提供原則式可見度和控制 ，這三種技術(shù)是：App-ID、User-ID和Content-ID。App-ID是一項(xiàng)專利申請(qǐng)中的傳輸流量分類技術(shù) ，此技術(shù)使用高達(dá)四種不同的辨識(shí)技術(shù)，可以確認(rèn)哪個(gè)應(yīng)用程序在網(wǎng)絡(luò)上周游。然后使用應(yīng)用程序識(shí)別碼為基礎(chǔ) ，進(jìn)行所有原則決策，包括適當(dāng)?shù)挠猛竞蛢?nèi)容檢查等。應(yīng)用程序通訊協(xié)定偵測(cè)與解密：App-ID憑借深厚的應(yīng)用程序通訊協(xié)定知識(shí)，可以識(shí)別正在使用的通訊協(xié)定以及是否使用 SSL加密。解密已加密的傳輸流量，根據(jù)原則進(jìn)行檢查，再重新加密并傳送往目的地。應(yīng)用程序通訊協(xié)定解碼：通訊協(xié)定解碼器會(huì)判斷應(yīng)用程序是否使用通訊協(xié)定做為一般應(yīng)用程序傳輸或是混淆的技術(shù) ，它們會(huì)協(xié)助盡量縮小應(yīng)用程序的范圍 ，并在套用簽章時(shí)提供有價(jià)值的內(nèi)容。解碼器也會(huì)識(shí)別應(yīng)該掃描威脅或敏感資料的檔案和其他內(nèi)容。應(yīng)用程序簽章：內(nèi)容式簽章會(huì)尋找獨(dú)特的應(yīng)用程序?qū)傩砸约跋嚓P(guān)的交易特性 ，無論正在使用哪一種通訊協(xié)定及連接端口的情形下 ，都能正確地識(shí)別應(yīng)用程序。啟發(fā)學(xué)習(xí)法：?jiǎn)l(fā)學(xué)習(xí)法或行為分析會(huì)依照需要結(jié)合其他 App-ID識(shí)別技巧，以識(shí)別某些規(guī)避應(yīng)用程序，特別是使用所有權(quán)加密的應(yīng)用程序。User-ID緊密地整合PaloAltoNetworks新一代防火墻與 ActiveDirectory,動(dòng)態(tài)地將IP位址連結(jié)至使用者和群組資訊。User-ID緊密地整合PaloAltoNetworks新一代防火墻與 ActiveDirectory,動(dòng)態(tài)地將IP位址連結(jié)至使用者和群組資訊。藉由對(duì)使用者活動(dòng)的可見度，企業(yè)可以根據(jù)儲(chǔ)存在使用者存放庫(kù)內(nèi)的使用者和群組資訊,監(jiān)視和控制在網(wǎng)絡(luò)上周游的應(yīng)用程RiskApjilicMian Se&siont 」ayre(Thiwtai 1Qwefr-hrw^no119.2%I?1350.500..303匚:^■—IfiJ室ST^H；*21,^1666：1J1回遇耳，ni也騙*鉗q?airi,舞序?yàn)?？ni和聞丸。mnaiir^i.iHicienc-idora他lL0加MIIati的JXUEW7r2七洲工91210Iog況陽E<￡6511U?I0￡lu匕jch!?D3rdtlHl.5t2.nbn13Qrac他口*ba證X321t29,674.55^10[|nnw3,314[Id眄2i0I|n又1Q3T317?55.955ISQ1osmtp53I38W51J7：Qil.用icnllD乙卅rM5J究1；Q1uqulJIdL97O122S33W1aI1.uJk印小口汕LL426I47B.Ml101|■1,316II23,14237q101Elpnq1,2441幅914|i01-ouudp1,22918D,54B.763：0i|13nqmai-tMselr0B5121.549.1771QH_￡>qMU鼻事記i.053r5.+B32551Q1二1oEupdate540?S5.34C.429E01uPK922I1C,55545m0ilnaa9191明湖劈1IIC1序和內(nèi)容。address零QUEeM&sAN口EScSurteUserBytesSAsians-1L.1S=.15LiLC.iS&.i.S口需i州dermmnFshao7.635i261ID.M2LJHLQ.15K.120aL(M5mu口抑耶何聞u1066強(qiáng)寫14r9S211LC.15i.12.S8ELD.156.Lg.3S口mn&Qdwirxi\0v1n.loonc?rbD0,097i3,035014IC.156.1D.1日10,156.14).1,p4n9pdema\ahiTiad.yanfiAisJ2,7S€IILD.156.I..B4pans^dcrm\^antare①54652912,237DLC.15A.M.29U10.156^.25panfflHdefrn\wnceiL^n2f337,286I2ptfi?11LE.15S,4.55甯L心德“Hpm/1和ea\g日歸幽ani..2M,41312rHGt*10.1516.14.ISpaisQdana\chrt￡Dp-erJa-44.W3,ia63口2rO3￡a1.01156.9.1860tO.156.91S6口前曰llWfldkwdn4皿物11,?11LC.155.9.131rfLO.JI56.5.131(jan&Qdeinci\andpew.f口lC1..91Et.27&ii.&ga10,156.920710.I56,S207口抑洶甘iLi5h族1,457.ne9iII.12LD454.14.3H].LD.i5&-i4.3Opan^era\Bimtny.^T-393rLB8I1,634a1C.155,9167tftO.156.51S7口加皆加ntr*haeL值ng13,783,797i工於2ilLBUSfiMN口口Mpmii即叁加3\二!血二roJia-zadI5.3M/478E],+qan33iflL0,i56.L433pansgdefrx]\casp￡r_^ung471^02I1他uIC.15fi,9.201tfED.15G.^.2di]p^n^gd￡fna\iiaJiJdteLfi{]..5i62.B061_]f427D蟾倒^42B.i0.iS6.t.12Span5^demo\lL<3Ljan9g刀M始6口■1,?￡DjfiLQ.156,112ftE?10.156,K26口d"煙（emo、蠲1白上世0*32ChflO21IMu19LC.155.6.34臼LD.156.e.B*pan&Gderrxi\^i.dilM3rS34I1.2720LG.156,LIOS由L0.156.Li06口卻必?口/ong5,369,5861MLE.15&.L4.31國(guó)E.D.15i5A<q.33pansgdema'^arfni^1.lauL.35L.579I]rL?fiDL0,lS6.tC.1Sl國(guó)10,15640,181pansgdema\hre.副3W,0S51lrt5?n23LE.156.B.I9S圖[0.1SiB.B.19Spam唾e?\m15rti.gaw也E望1鋁31lr144D1n1￡j￡,1、dLI津s-ntLf.S1>￡n,■h k，."r?■1r■jtnoajii/i,minTopiSnurCMContent-ID結(jié)合即時(shí)威脅防范引擎與廣泛的 URL資料庫(kù)和應(yīng)用程序識(shí)別碼元素以限制未經(jīng)授權(quán)的檔案?jìng)鬏?，偵測(cè)并封鎖廣大的威脅范圍以及控制非工作相關(guān)的網(wǎng)絡(luò)瀏覽。單通道架構(gòu)使用串流式掃描與一致簽章格式的組合 ，檢查傳輸流量。Content-ID搭配App-ID運(yùn)作，利用應(yīng)用程序識(shí)別碼，使內(nèi)容檢查程序更有效率。URLFilteringCategoryScsiansBvtesv*rbp8dvril|yerrn*iiS13.9P2074用弭5901t心EpJtR--anOMnteriS-lhfd%白附口146,441,413.JedLcet'D什ml”。sttutcinsB/內(nèi)L2耳9733祐上4bnWnf^nr卡irrmv民（iq習(xí)rirfficfiping7,762□143,?o2r7B4□6IMrSflddonuins7,^5U72,455al21■ntbnef,portal5九鉞［1姒092,45318「回心andHT奄s,hHn63,L95r232]9ssrch-erqines5田才071LS8,94384,97an的1*小6111Isociil-netwo^ir^其惻114LWE11unkfi口時(shí)E3,066U161^09,341口過「earn 口daWlD結(jié)I14refcraxe■卻d■圖semehI碼749.6771training4ndcools1,C23D1Sr157,762JeilertdliTTL刈P10r?97rT0211/maetyL?U20JS42/411Rs「tentdulhery-ne^v^-ks],1?2D2函70S119nav；aresfKLflseFi5?購(gòu)「陋I20goveimmiitmII時(shí)工咻6403也XdMd-StB911II24r263p4M11X占JtUCH科fi24IIgr4SSr7041i.Jcn1nepcrasizd-storageH16II29fH7f830124loca-irfcmnation日加II%S3一m1IcJJ761II11J97JZ21ThreatPrevieinti&nThrwl10TVPOSum1HTTP0PTJ0N51^1-jdW5Mvijlnsrjbi*￥”1 .1WC21WMlURL9dh￡MUtt9cM)8dMMM19"□in/如4?丫540?Mijn毒fL訃iLHTTP蟻廿不同Cofih5.：'*?：」＞「例u「」QrVUi^!L,-jlJi'i'Y卻居4?由ssbgHGJ2SS0Yuinerab陋14QAcobePAFteWiEmtekfed百一以3加1vuinixJdJiWY6:L二?n：■!:-：I」;「upd^r-j-t2t)?=Tl^i'；iosjg印mar電6GHEH3ar_10_0_3&S：Geti~-jgeRfiqueSU-9MspifWam41工mu”VrrjE^VJinll.lAtta2CI1WIvlniE4BHTTPW3￡ti^bruQcnfilDn啟ectoedMl以2svuln白mbi!i\2E1:%升.hiTroianiJeirrarneca2544MvirusZG[11Ml二足-ftUS^am3le5c■■ptsArttrarrFil?dschMsmVlTiecabll牛3O3Z3viJnerabi，*Z[ M^W^SearchTmltwstartL?canriur-adan107M印Eat窄Z[\13TrciamJ與胸entj3渣得不virusZIDataFlltariinfKameTypeCountL1"皿6QQ3data2112Confidam.郭期門申口CCHtaf60001daU11134MotwPortaMe Fanr4t(PDF52021filei?3nMcfosoftWfld52001fi*40J52000fi"nj■jUP52001file75口F52005fileX1；Mt出qflWMd52(112fileV)iIC胃incto由，EkhuSM(EK)5202。Hitto.一組豐富的網(wǎng)絡(luò)功能，IPSecVPN和管理功能結(jié)合App-ID、User-ID和Content-ID做為PAN-OS的主要功能，PAN-OS是控制PaloAltoNetworks 新一代防火墻的安全性特定作

業(yè)系統(tǒng)。PAN-OS加入自訂硬體平臺(tái)系列，這是專為管理企業(yè)網(wǎng)絡(luò)傳輸流量設(shè)計(jì)，針對(duì)網(wǎng)絡(luò)功能、安全性、威脅防護(hù)與管理使用功能特定處理程序。整合式威脅防范當(dāng)今，企業(yè)用戶都為自己配備了高速互聯(lián)網(wǎng)連接與瀏覽器， 使之可立即訪問最新最好的網(wǎng)絡(luò)應(yīng)用程序。 但大多數(shù)用戶都不知道，許多此類新應(yīng)用程序正是威脅矢量，他們使企業(yè)網(wǎng)絡(luò)陷于業(yè)務(wù)風(fēng)險(xiǎn)之中，包括網(wǎng)絡(luò)停機(jī)、數(shù)據(jù)丟失及業(yè)務(wù)成本增加。多數(shù)此類新型威脅都是針對(duì)財(cái)務(wù)收益， 也就意味著隱密性與創(chuàng)新性才是黑客攻擊致勝的法寶。由于安全經(jīng)理面對(duì)的威脅挑戰(zhàn)日益增多，鑒于其采用“發(fā)現(xiàn)一個(gè)安全問題，部署一臺(tái)新設(shè)備”的原則，使得其安全架構(gòu)也越來越龐大。 但，由于缺乏對(duì)各解決方案功能性的協(xié)調(diào)、管理界面的不一致以及性能低下，都導(dǎo)致了此類部署的失敗。 更重要的是，此類基于部門的安全模塊并不能重點(diǎn)解決黑客利用企業(yè)安全方案中 “未能對(duì)當(dāng)前終端用戶所使用的各種應(yīng)用程序訪問進(jìn)行檢查”這一漏洞。PaloAltoNetworks 的下一代防火墻可向安全管理員提供兩個(gè)防范威脅的擴(kuò)展解決方案。首先，識(shí)別并控制網(wǎng)絡(luò)中的應(yīng)用程序，并減少威脅范圍，而后，檢查單通道中許可應(yīng)用程序中是否感染了病毒、間諜軟件或遭受了漏洞攻擊?？刂茟?yīng)用，阻止威脅為避免企業(yè)網(wǎng)絡(luò)受到威脅攻擊，首先要做到的就是重新獲得網(wǎng)絡(luò)中應(yīng)用程序使用的可視性與控制性，即：利用準(zhǔn)專利流量分類技術(shù)App-ID明確的了解網(wǎng)絡(luò)中采用任何端口、 協(xié)議、SSL或逃避技術(shù)的應(yīng)用程序使用情況。 利用App-ID生成的應(yīng)用程序標(biāo)識(shí)可對(duì)威脅探測(cè)解決方案起到兩大關(guān)鍵作用。 應(yīng)用程序標(biāo)識(shí)，及其描述、特性與使用者都可為安全管理員決定如何利用策略控制應(yīng)用程序時(shí)，提供進(jìn)一步依據(jù)。 對(duì)于企業(yè)網(wǎng)絡(luò)、 P2P文件共享或circumventor中業(yè)務(wù)不需要的應(yīng)用程序則可簡(jiǎn)單阻止。 允許使用的應(yīng)用程序則應(yīng)做出標(biāo)識(shí)，并實(shí)施細(xì)粒度級(jí)控制，而后對(duì)其進(jìn)行病毒、間諜軟件與漏洞攻擊檢查。 App-ID的第二個(gè)威脅防范作用為可通過破譯應(yīng)用程序提高檢查幅度與精準(zhǔn)性，然后再將其重新組合并分析，了解其內(nèi)容，以便于各種類型威脅的檢查。然而，傳統(tǒng)的基于端口的解決方案采用的是單一的分類技術(shù)（協(xié)議 /端口）識(shí)別流量，而App-ID則可利用其一項(xiàng)甚至多項(xiàng)此類技術(shù) -即：應(yīng)程序協(xié)議探測(cè)與解密，應(yīng)用程序破譯、應(yīng)用程序簽名及啟發(fā)式分析對(duì)所有通過防火墻的流量進(jìn)行檢查， 迅速識(shí)別與各數(shù)據(jù)包流相關(guān)的應(yīng)用程序。通過查看應(yīng)用程序，而非僅查看端口或協(xié)議， App-ID可識(shí)別出那些可避開安全檢查的應(yīng)用程序。SP3架構(gòu)：?jiǎn)未瓮暾麙呙鑀aloAlto網(wǎng)絡(luò)威脅防范引擎基于SP3架構(gòu)，集成了多種創(chuàng)新性特性，在一次流量監(jiān)測(cè)中