Paloalto网络安全解决方案HA.pdf

《Paloalto网络安全解决方案HA.pdf》由会员分享，可在线阅读，更多相关《Paloalto网络安全解决方案HA.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、用心整理可以编辑！放心下载！PaloaltoPaloalto 网络安全解决方案网络安全解决方案北京信诺瑞得信息技术有限公司北京信诺瑞得信息技术有限公司总 页数正文附录生效日期：批准：编制：王重人审核：第1用心整理可以编辑！放心下载！目录目录12概述.3方案设计.32.13拓扑结构.3方案说明.43.13.2设备功能简介.4下一代防火墙技术优势.43.2.1 识别技术.43.2.2 整合式威胁防范.93.2.3 控制应用，阻止威胁.93.2.4 SP3 架构：单次完整扫描.103.2.5 网络与应用漏洞攻击防范:.10第2用心整理可以编辑！放心下载！1 1概概述述随着网络的建设，网络规模的扩大，

2、鉴于计算机网络的开放性和连通性，为计算机网络的安全带来极大的隐患，并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生，并对应各种网络的攻击行为，发展出了各种安全设备和各种综合的网络安全方案。零散的网络安全设备的堆砌，对于提高网络的安全性及其有限，因此，如何有效的利用但前的网络设备，合理组合搭配，成为网络安全方案成功的关键。但是，任何方案在开放的网络环境中实施，均无法保证网络系统的绝对安全，只能通过一系列的合理化手段和强制方法，提高网络的相对安全性，将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面，

3、如：设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN 应用、病毒防护等等。在本方案中，我们提出的解决方案主要侧重在于：HA(高可用性)、IPSecVPN但是 paloalto 同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL 的过滤、，以提高网络的安全防御能力，并有效的控制用户上网行为和应用的使用等安全问题。2 2方方案案设设计计2.12.1拓拓扑扑结结构构第3用心整理可以编辑！放心下载！3 3方方案案说说明明总公司与分公司之间用 IPSecVPN 连接总公司采用两台 paloalto4050 组成 HA(Active-A

4、ctive)，提高网络可用性和稳定性3.13.1设设备备功功能能简简介介Paloalto 设备可采用 Active-Active 和 Active-Standby 两种模式运行，在本方案中采用 Active-Active 模式，以便可以最大的发挥设别的性能。并且 paloalto 设备可以在VirtualWire(完全透明状态)、L2、L3 任意网络层面开启 HA，即 paloalto 可以在完全不影响网络拓扑结构的情况下，串接进入网络并组成HA。Paloalto 设备在建立 HA 后，可以进行 session(会话)同步，也就是说在一台设备故障时另一台设备可以 再会话不 中断的情况 下进行

5、设备切换。并且paloalto4050 使用多达 3 条线路进行设备的心跳、状态、配置和会话的同步，并且每条线路还可以再配置冗余。使用 paloalto 设备建立 IPSecVPN 隧道，在起到加密作用的同时，还可以在同一设备端口和 IP 上建立多条隧道包括 SSLVPN，并且 paloalto 设备对其他主流设备品牌有很好的兼容性，例如与 Juniper、CISCO 等 3 层设备都能很好的建立IPSecVPN 隧道。在提供稳定的 VPN 连接和 HA 之外，paloalto 还能提供强大的应用过滤和管理功能，可以极大的节省网络带宽资源。3.23.2下下一一代代防防火火墙墙技技术术优优势势3

6、.2.13.2.1识别技术识别技术Palo Alto Networks 的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用第4用心整理可以编辑！放心下载！者和内容提供原则式可见度和控制,这三种技术是:App-ID、User-ID 和 Content-ID。App-ID 是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础,进行所有原则决策,包括适当的用途和内容检查等。应用程序通讯协定侦测与解密:App-ID 凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用 SSL 加密。解密已加密的传

7、输流量,根据原则进行检查,再重新加密并传送往目的地。应用程序通讯协定解码:通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。应用程序签章:内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。启发学习法:启发学习法或行为分析会依照需要结合其他 App-ID 识别技巧,以识别某些规避应用程序,特别是使用所有权加密的应用程序。第5用心整理可以编辑！放心下载！User-ID 紧密地整

8、合 Palo Alto Networks 新一代防火墙与 Active Directory,动态地将 IP 位址连结至使用者和群组资讯。藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。第6用心整理可以编辑！放心下载！Content-ID 结合即时威胁防范引擎与广泛的 URL 资料库和应用程序识别码元素,以限制未经授权的档案传输,侦测并封锁广大的威胁范围以及控制非工作相关的网络浏览。单通道架构使用串流式扫描与一致签章格式的组合,检查传输流量。Content-ID 搭配 App-ID 运作,利用应用程序识别码,使内容检查程序更有

9、效率。第7用心整理可以编辑！放心下载！一组丰富的网络功能,IPSec VPN 和管理功能结合 App-ID、User-ID 和 Content-ID 做为 PAN-OS 的主要功能,PAN-OS 是控制 Palo Alto Networks 新一代防火墙的安全性特定作第8用心整理可以编辑！放心下载！业系统。PAN-OS 加入自订硬体平台系列,这是专为管理企业网络传输流量设计,针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。3.2.23.2.2整合式威胁防范整合式威胁防范当今，企业用户都为自己配备了高速互联网连接与浏览器，使之可立即访问最新最好的网络应用程序。但大多数用户都不知道，许多

10、此类新应用程序正是威胁矢量，他们使企业网络陷于业务风险之中，包括网络停机、数据丢失及业务成本增加。多数此类新型威胁都是针对财务收益，也就意味着隐密性与创新性才是黑客攻击致胜的法宝。由于安全经理面对的威胁挑战日益增多，鉴于其采用“发现一个安全问题，部署一台新设备”的原则，使得其安全架构也越来越庞大。但，由于缺乏对各解决方案功能性的协调、管理界面的不一致以及性能低下，都导致了此类部署的失败。更重要的是，此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用的各种应用程序访问进行检查”这一漏洞。Palo Alto Networks 的下一代防火墙可向安全管理员提供两个防

11、范威胁的扩展解决方案。首先，识别并控制网络中的应用程序，并减少威胁范围，而后，检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。3.2.33.2.3控制应用，阻止威胁控制应用，阻止威胁为避免企业网络受到威胁攻击，首先要做到的就是重新获得网络中应用程序使用的可视性与控制性，即：利用准专利流量分类技术App-ID 明确的了解网络中采用任何端口、协议、SSL 或逃避技术的应用程序使用情况。利用 App-ID 生成的应用程序标识可对威胁探测解决方案起到两大关键作用。应用程序标识，及其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时，提供进一步依据。对于企业网络、P2P

12、 文件共享或circumventor 中业务不需要的应用程序则可简单阻止。允许使用的应用程序则应做出标识，并实施细粒度级控制，而后对其进行病毒、间谍软件与漏洞攻击检查。App-ID 的第二个威胁防范作用为可通过破译应用程序提高检查幅度与精准性，然后再将其重新组合并分析，了解其内容，以便于各种类型威胁的检查。然而，传统的基于端口的解决方案采用的是单一的分类技术（协议/端口）识别流量，第9用心整理可以编辑！放心下载！而 App-ID 则可利用其一项甚至多项此类技术-即：应程序协议探测与解密，应用程序破译、应用程序签名及启发式分析对所有通过防火墙的流量进行检查，迅速识别与各数据包流相关的应用程序。通

13、过查看应用程序，而非仅查看端口或协议，App-ID 可识别出那些可避开安全检查的应用程序。3.2.43.2.4SP3SP3 架构：单次完整扫描架构：单次完整扫描Palo Alto 网络威胁防范引擎基于SP3 架构，集成了多种创新性特性，在一次流量监测中队所有流量是否有病毒、间谍软件及漏洞攻击进行监测。消除了传统防火墙和 UTM 的对于不同功能必须多次监测多次封装的问题，提高转发效率，减少延时。统一签名格式:与其它方案针对各类型威胁采用各异的扫描引擎及签名不同，Palo Alto Networks 采用统一的威胁引擎与签名格式，探测与阻止各种恶意软件，同时又可动态性的降低延时。基于串流的威胁扫描

14、：病毒、间谍软件与漏洞防范都是通过基于串流的扫描实现，该技术从收到文件的首个数据包开始执行扫描，而无需待整个文件都上载到内存后才开始扫描。此技术可即时接收、扫描与发送流量至指定目的地，且无需受限于进行首次缓冲后才能扫描文件的设计，因此消除了传统的代理服务器的性能与延时问题。相反，传统的基于文件的 AV 引擎仅会在收到整个文件并缓存至内存后方可开始扫描，直至扫描结束，并被认为是干净的文件后才会释放。传统的基于文件的威胁防范不仅极大的影响了性能造成延时，通常还会导致连接超时，并需等待文件全部传输完成后才能扫描的缺点。3.2.53.2.5网络与应用漏洞攻击防范网络与应用漏洞攻击防范:集成了统一签名格

15、式的入侵防护系统（IPS）的特性包括：可阻止已知与未知网络与应用层漏洞攻击，避免其危胁与损害企业信息源。在对流量进行单次病毒与间谍软件扫描时，还同时探测漏洞攻击、缓冲溢流、DoS 攻击与端口扫描，其中采用的是已经过验证的威胁探测与防范（IPS）机制，包括：非正常协定行为防范可探测到违反 RFC 协定的应用，如：使用过长 URI 或过长 FTP第10用心整理可以编辑！放心下载！登录。状态模式匹配功能可探测数据包是否受到攻击，并将到达顺序等因素考虑在内。异常统计探测可防止基于速率的DoS 洪流攻击。启发式分析可探测到异常数据包与流量模式，如：端口扫描与host sweep。其它攻击防范能力，如：阻

16、止无效或畸形数据包，封包重组（IP defragmentationand TCP reassembly），都可保护企业网络免受黑客利用逃避及模糊法实施的攻击。FIDICFIDIC 土木工程施工合同条件土木工程施工合同条件(红皮书红皮书)第一部分第一部分 通用条件通用条件 1.1.定义和解释定义和解释第一部分第一部分 通用条件通用条件 2.2.工程师及工程师代表工程师及工程师代表第一部分第一部分 通用条件通用条件 3.3.转转 让让第一部分第一部分 通用条件通用条件 4.4.分分 包包第一部分第一部分 通用条件通用条件 5.5.合同文件的语言和法律及优先次序合同文件的语言和法律及优先次序第一部分

17、第一部分 通用条件通用条件 6.6.图图 纸纸第一部分第一部分 通用条件通用条件 7.7.补充图纸补充图纸第一部分第一部分 通用条件通用条件 8.8.一般义务一般义务第一部分第一部分 通用条件通用条件 9.9.合同协议书合同协议书第一部分第一部分 通用条件通用条件 10.10.履约保证金履约保证金第一部分第一部分 通用条件通用条件 11.11.现场考察现场考察第一部分第一部分 通用条件通用条件 12.12.标书的完备性标书的完备性第一部分第一部分 通用条件通用条件 13.13.按合同规定施工按合同规定施工第一部分第一部分 通用条件通用条件 14.14.进度计划进度计划第一部分第一部分 通用条件

18、通用条件 15.15.承包人的自监承包人的自监第一部分第一部分 通用条件通用条件 16.16.承包人的雇员承包人的雇员第一部分第一部分 通用条件通用条件 17.17.放放 样样第一部分第一部分 通用条件通用条件 18.18.钻孔和勘探性开挖钻孔和勘探性开挖第一部分第一部分 通用条件通用条件 19.19.现场环境现场环境第一部分第一部分 通用条件通用条件 20.20.工程照管工程照管第11用心整理可以编辑！放心下载！第一部分第一部分 通用条件通用条件 21.21.工程和承包人设备的保险工程和承包人设备的保险第一部分第一部分 通用条件通用条件 22.22.对人身和财产的损害和赔偿对人身和财产的损害

19、和赔偿第一部分第一部分 通用条件通用条件 23.23.第三方保险第三方保险第一部分第一部分 通用条件通用条件 24.24.对工人的事故处理和事故保险对工人的事故处理和事故保险第一部分第一部分 通用条件通用条件 25.25.保险的完备性保险的完备性第一部分第一部分 通用条件通用条件 26.26.遵守法律、法规遵守法律、法规第一部分第一部分 通用条件通用条件 27.27.化化 石石第一部分第一部分 通用条件通用条件 28.28.专专 利利第一部分第一部分 通用条件通用条件 29.29.干干 扰扰第一部分第一部分 通用条件通用条件 30.30.材料与设备的运输材料与设备的运输第一部分第一部分 通用条件通用条件 31.31.为其他承包人提供服务机会为其他承包人提供服务机会第12