Paloalto網(wǎng)絡(luò)安全項目解決方案HA

/Paloalto網(wǎng)絡(luò)安全解決方案信諾瑞得信息技術(shù)總頁數(shù)NUMPAGES9正文附錄生效日期：王重人目錄TOC\o"1-4"1概述32方案設(shè)計32.1拓?fù)浣Y(jié)構(gòu)33方案說明43.1設(shè)備功能簡介4概述隨著網(wǎng)絡(luò)的建設(shè)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，鑒于計算機(jī)網(wǎng)絡(luò)的開放性和連通性，為計算機(jī)網(wǎng)絡(luò)的安全帶來極大的隱患，并因為互聯(lián)網(wǎng)開放環(huán)境以與不完善的網(wǎng)絡(luò)應(yīng)用協(xié)議導(dǎo)致了各種網(wǎng)絡(luò)安全的漏洞。計算機(jī)網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)安全解決方案由此應(yīng)運(yùn)而生，并對應(yīng)各種網(wǎng)絡(luò)的攻擊行為，發(fā)展出了各種安全設(shè)備和各種綜合的網(wǎng)絡(luò)安全方案。零散的網(wǎng)絡(luò)安全設(shè)備的堆砌，對于提高網(wǎng)絡(luò)的安全性與其有限，因此，如何有效的利用但前的網(wǎng)絡(luò)設(shè)備，合理組合搭配，成為網(wǎng)絡(luò)安全方案成功的關(guān)鍵。但是，任何方案在開放的網(wǎng)絡(luò)環(huán)境中實施，均無法保證網(wǎng)絡(luò)系統(tǒng)的絕對安全，只能通過一系列的合理化手段和強(qiáng)制方法，提高網(wǎng)絡(luò)的相對安全性，將網(wǎng)絡(luò)受到的危險性攻擊行為所造成的損失降到最低。網(wǎng)絡(luò)安全問題同樣包含多個方面，如：設(shè)備的安全、鏈路的冗余、網(wǎng)絡(luò)層的安全、應(yīng)用層的安全、用戶的認(rèn)證、數(shù)據(jù)的安全、VPN應(yīng)用、病毒防護(hù)等等。在本方案中，我們提出的解決方案主要側(cè)重在于：HA(高可用性)、IPSecVPN但是paloalto同時也能解決網(wǎng)絡(luò)層安全、訪問控制的實現(xiàn)、病毒的防護(hù)、間諜軟件的防護(hù)、入侵的防護(hù)、URL的過濾、，以提高網(wǎng)絡(luò)的安全防御能力，并有效的控制用戶上網(wǎng)行為和應(yīng)用的使用等安全問題。方案設(shè)計拓?fù)浣Y(jié)構(gòu)方案說明總公司與分公司之間用IPSecVPN連接總公司采用兩臺paloalto4050組成HA(Active-Active)，提高網(wǎng)絡(luò)可用性和穩(wěn)定性設(shè)備功能簡介Paloalto設(shè)備可采用Active-Active和Active-Standby兩種模式運(yùn)行，在本方案中采用Active-Active模式，以便可以最大的發(fā)揮設(shè)別的性能。并且paloalto設(shè)備可以在VirtualWire(完全透明狀態(tài))、L2、L3任意網(wǎng)絡(luò)層面開啟HA，即paloalto可以在完全不影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，串接進(jìn)入網(wǎng)絡(luò)并組成HA。Paloalto設(shè)備在建立HA后，可以進(jìn)行session(會話)同步，也就是說在一臺設(shè)備故障時另一臺設(shè)備可以再會話不中斷的情況下進(jìn)行設(shè)備切換。并且paloalto4050使用多達(dá)3條線路進(jìn)行設(shè)備的心跳、狀態(tài)、配置和會話的同步，并且每條線路還可以再配置冗余。使用paloalto設(shè)備建立IPSecVPN隧道，在起到加密作用的同時，還可以在同一設(shè)備端口和IP上建立多條隧道包括SSLVPN，并且paloalto設(shè)備對其他主流設(shè)備品牌有很好的兼容性，例如與Juniper、CISCO等3層設(shè)備都能很好的建立IPSecVPN隧道。在提供穩(wěn)定的VPN連接和HA之外，paloalto還能提供強(qiáng)大的應(yīng)用過濾和管理功能，可以極大的節(jié)省網(wǎng)絡(luò)帶寬資源。下一代防火墻技術(shù)優(yōu)勢識別技術(shù)PaloAltoNetworks的新一代防火墻系列,使用三種獨(dú)特的識別技術(shù)對應(yīng)用程序、使用者和容提供原則式可見度和控制,這三種技術(shù)是:App-ID、User-ID和Content-ID。App-ID是一項專利申請中的傳輸流量分類技術(shù),此技術(shù)使用高達(dá)四種不同的辨識技術(shù),可以確認(rèn)哪個應(yīng)用程序在網(wǎng)絡(luò)上周游。然后使用應(yīng)用程序識別碼為基礎(chǔ),進(jìn)行所有原則決策,包括適當(dāng)?shù)挠猛竞腿輽z查等。應(yīng)用程序通訊協(xié)定偵測與解密:App-ID憑借深厚的應(yīng)用程序通訊協(xié)定知識,可以識別正在使用的通訊協(xié)定以與是否使用SSL加密。解密已加密的傳輸流量,根據(jù)原則進(jìn)行檢查,再重新加密并傳送往目的地。應(yīng)用程序通訊協(xié)定解碼:通訊協(xié)定解碼器會判斷應(yīng)用程序是否使用通訊協(xié)定做為一般應(yīng)用程序傳輸或是混淆的技術(shù),它們會協(xié)助盡量縮小應(yīng)用程序的圍,并在套用簽章時提供有價值的容。解碼器也會識別應(yīng)該掃描威脅或敏感資料的檔案和其他容。應(yīng)用程序簽章:容式簽章會尋找獨(dú)特的應(yīng)用程序?qū)傩砸耘c相關(guān)的交易特性,無論正在使用哪一種通訊協(xié)定與連接端口的情形下,都能正確地識別應(yīng)用程序。啟發(fā)學(xué)習(xí)法:啟發(fā)學(xué)習(xí)法或行為分析會依照需要結(jié)合其他App-ID識別技巧,以識別某些規(guī)避應(yīng)用程序,特別是使用所有權(quán)加密的應(yīng)用程序。User-ID緊密地整合PaloAltoNetworks新一代防火墻與ActiveDirectory,動態(tài)地將IP位址連結(jié)至使用者和群組資訊。藉由對使用者活動的可見度,企業(yè)可以根據(jù)儲存在使用者存放庫的使用者和群組資訊,監(jiān)視和控制在網(wǎng)絡(luò)上周游的應(yīng)用程序和容。Content-ID結(jié)合即時威脅防引擎與廣泛的URL資料庫和應(yīng)用程序識別碼元素,以限制未經(jīng)授權(quán)的檔案傳輸,偵測并封鎖廣大的威脅圍以與控制非工作相關(guān)的網(wǎng)絡(luò)瀏覽。單通道架構(gòu)使用串流式掃描與一致簽章格式的組合,檢查傳輸流量。Content-ID搭配App-ID運(yùn)作,利用應(yīng)用程序識別碼,使容檢查程序更有效率。一組豐富的網(wǎng)絡(luò)功能,IPSecVPN和管理功能結(jié)合App-ID、User-ID和Content-ID做為PAN-OS的主要功能,PAN-OS是控制PaloAltoNetworks新一代防火墻的安全性特定作業(yè)系統(tǒng)。PAN-OS加入自訂硬體平臺系列,這是專為管理企業(yè)網(wǎng)絡(luò)傳輸流量設(shè)計,針對網(wǎng)絡(luò)功能、安全性、威脅防護(hù)與管理使用功能特定處理程序。整合式威脅防當(dāng)今，企業(yè)用戶都為自己配備了高速互聯(lián)網(wǎng)連接與瀏覽器，使之可立即訪問最新最好的網(wǎng)絡(luò)應(yīng)用程序。但大多數(shù)用戶都不知道，許多此類新應(yīng)用程序正是威脅矢量，他們使企業(yè)網(wǎng)絡(luò)陷于業(yè)務(wù)風(fēng)險之中，包括網(wǎng)絡(luò)停機(jī)、數(shù)據(jù)丟失與業(yè)務(wù)成本增加。多數(shù)此類新型威脅都是針對財務(wù)收益，也就意味著隱密性與創(chuàng)新性才是黑客攻擊致勝的法寶。由于安全經(jīng)理面對的威脅挑戰(zhàn)日益增多，鑒于其采用“發(fā)現(xiàn)一個安全問題，部署一臺新設(shè)備”的原則，使得其安全架構(gòu)也越來越龐大。但，由于缺乏對各解決方案功能性的協(xié)調(diào)、管理界面的不一致以與性能低下，都導(dǎo)致了此類部署的失敗。更重要的是，此類基于部門的安全模塊并不能重點(diǎn)解決黑客利用企業(yè)安全方案中“未能對當(dāng)前終端用戶所使用的各種應(yīng)用程序訪問進(jìn)行檢查”這一漏洞。PaloAltoNetworks的下一代防火墻可向安全管理員提供兩個防威脅的擴(kuò)展解決方案。首先，識別并控制網(wǎng)絡(luò)中的應(yīng)用程序，并減少威脅圍，而后，檢查單通道中許可應(yīng)用程序中是否感染了病毒、間諜軟件或遭受了漏洞攻擊。控制應(yīng)用，阻止威脅為避免企業(yè)網(wǎng)絡(luò)受到威脅攻擊，首先要做到的就是重新獲得網(wǎng)絡(luò)中應(yīng)用程序使用的可視性與控制性，即：利用準(zhǔn)專利流量分類技術(shù)App-ID明確的了解網(wǎng)絡(luò)中采用任何端口、協(xié)議、SSL或逃避技術(shù)的應(yīng)用程序使用情況。利用App-ID生成的應(yīng)用程序標(biāo)識可對威脅探測解決方案起到兩大關(guān)鍵作用。應(yīng)用程序標(biāo)識，與其描述、特性與使用者都可為安全管理員決定如何利用策略控制應(yīng)用程序時，提供進(jìn)一步依據(jù)。對于企業(yè)網(wǎng)絡(luò)、P2P文件共享或circumventor中業(yè)務(wù)不需要的應(yīng)用程序則可簡單阻止。允許使用的應(yīng)用程序則應(yīng)做出標(biāo)識，并實施細(xì)粒度級控制，而后對其進(jìn)行病毒、間諜軟件與漏洞攻擊檢查。App-ID的第二個威脅防作用為可通過破譯應(yīng)用程序提高檢查幅度與精準(zhǔn)性，然后再將其重新組合并分析，了解其容，以便于各種類型威脅的檢查。然而，傳統(tǒng)的基于端口的解決方案采用的是單一的分類技術(shù)（協(xié)議/端口）識別流量，而App-ID則可利用其一項甚至多項此類技術(shù)-即：應(yīng)程序協(xié)議探測與解密，應(yīng)用程序破譯、應(yīng)用程序簽名與啟發(fā)式分析對所有通過防火墻的流量進(jìn)行檢查，迅速識別與各數(shù)據(jù)包流相關(guān)的應(yīng)用程序。通過查看應(yīng)用程序，而非僅查看端口或協(xié)議，App-ID可識別出那些可避開安全檢查的應(yīng)用程序。SP3架構(gòu)：單次完整掃描PaloAlto網(wǎng)絡(luò)威脅防引擎基于SP3架構(gòu)，集成了多種創(chuàng)新性特性，在一次流量監(jiān)測中隊所有流量是否有病毒、間諜軟件與漏洞攻擊進(jìn)行監(jiān)測。消除了傳統(tǒng)防火墻和UTM的對于不同功能必須多次監(jiān)測多次封裝的問題，提高轉(zhuǎn)發(fā)效率，減少延時。統(tǒng)一簽名格式:與其它方案針對各類型威脅采用各異的掃描引擎與簽名不同，PaloAltoNetworks采用統(tǒng)一的威脅引擎與簽名格式，探測與阻止各種惡意軟件，同時又可動態(tài)性的降低延時?；诖鞯耐{掃描：病毒、間諜軟件與漏洞防都是通過基于串流的掃描實現(xiàn)，該技術(shù)從收到文件的首個數(shù)據(jù)包開始執(zhí)行掃描，而無需待整個文件都上載到存后才開始掃描。此技術(shù)可即時接收、掃描與發(fā)送流量至指定目的地，且無需受限于進(jìn)行首次緩沖后才能掃描文件的設(shè)計，因此消除了傳統(tǒng)的代理服務(wù)器的性能與延時問題。相反，傳統(tǒng)的基于文件的AV引擎僅會在收到整個文件并緩存至存后方可開始掃描，直至掃描結(jié)束，并被認(rèn)為是干凈的文件后才會釋放。傳統(tǒng)的基于文件的威脅防不僅極大的影響了性能造成延時，通常還會導(dǎo)致連接超時，并需等待文件全部傳輸完成后才能掃描的缺點(diǎn)。網(wǎng)絡(luò)與應(yīng)用漏洞攻擊防:集成了統(tǒng)一簽名格式的入侵防護(hù)系統(tǒng)（IPS）的特性包括：可阻止已知與未知網(wǎng)絡(luò)與應(yīng)用層漏洞攻擊，避免其危脅與損害企業(yè)信息源。在對流量進(jìn)行單次病毒與間諜軟件掃描時，還同時探測漏洞攻擊、緩沖溢流、DoS攻擊與端口掃描，其中采用的是已經(jīng)過驗證的威脅探測與防（IPS）機(jī)制，包括：非正常協(xié)定行為防可探測到違反RFC協(xié)定的應(yīng)用，如