Paloalto网络安全解决方案HA

(11页)

'Paloalto网络安全解决方案HA'
Paloalto网络安全解决方案北京信诺瑞得信息技术有限公司总页数11正文附录生效日期:编制: 王重人审核:批准:目 录1 概述 32 方案设计 32.1 拓扑结构 33 方案说明 43.1 设备功能简介 4Paloalto网络安全解决方案1 概述随着网络的建设,网络规模的扩大,鉴于计算机网络的开放性和连通性,为计算机网络的安全带来极大的隐患,并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生,并对应各种网络的攻击行为,发展出了各种安全设备和各种综合的网络安全方案。零散的网络安全设备的堆砌,对于提高网络的安全性及其有限,因此,如何有效的利用但前的网络设备,合理组合搭配,成为网络安全方案成功的关键。但是,任何方案在开放的网络环境中实施,均无法保证网络系统的绝对安全,只能通过一系列的合理化手段和强制方法,提高网络的相对安全性,将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面,如:设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。在本方案中,我们提出的解决方案主要侧重在于:HA(高可用性)、IPSecVPN 但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、,以提高网络的安全防御能力,并有效的控制用户上网行为和应用的使用等安全问题。2 方案设计2.1 拓扑结构3 方案说明? 总公司与分公司之间用IPSecVPN连接? 总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性3.1 设备功能简介Paloalto设备可采用Active-Active和Active-Standby两种模式运行,在本方案中采用Active-Active模式,以便可以最大的发挥设别的性能。并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构的情况下,串接进入网络并组成HA。Paloalto设备在建立HA后,可以进行session(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步,并且每条线路还可以再配置冗余。使用paloalto设备建立IPSecVPN隧道,在起到加密作用的同时,还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好的兼容性,例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。在提供稳定的VPN连接和HA之外,paloalto还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。3.2 下一代防火墙技术优势3.2.1 识别技术Palo Alto Networks 的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制,这三种技术是:App- ID、User-ID 和Content-ID。u App-ID 是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础,进行所有原则决策, 包括适当的用途和内容检查等。 ? 应用程序通讯协定侦测与解密:App-ID 凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用SSL 加密。解密已加密的传输流量, 根据原则进行检查,再重新加密并传送往目的地。 ? 应用程序通讯协定解码:通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。 ? 应用程序签章:内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。 ? 启发学习法:启发学习法或行为分析会依照需要结合其他App-ID 识别技巧,以识别某些规避应用程序, 特别是使用所有权加密的应用程序。u User-ID 紧密地整合Palo Alto Networks 新一代防火墙与Active Directory,动态地将IP 位址连结至使用者和群组资讯。藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。 u Content-ID 结合即时威胁防范引擎与广泛的URL 资料库和应用程序识别码元素,以限制未经授权的档案传输,侦测并封锁广大的威胁范围以及控制非工作相关的网络浏览。单通道架构使用串流式扫描与一致签章格式的组合,检查传输流量。 Content-ID 搭配App-ID 运作,利用应用程序识别码, 使内容检查程序更有效率。一组丰富的网络功能,IPSec VPN 和管理功能结合App-ID、User-ID 和Content-ID 做为PAN-OS 的主要功能,PAN-OS 是控制Palo Alto Networks 新一代防火墙的安全性特定作业系统。 PAN-OS 加入自订硬体平台系列,这是专为管理企业网络传输流量设计, 针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。3.2.2 整合式威胁防范当今,企业用户都为自己配备了高速互联网连接与浏览器,使之可立即访问最新最好的网络应用程序。 但大多数用户都不知道,许多此类新应用程序正是威胁矢量,他们使企业网络陷于业务风险之中,包括网络;、数据丢失及业务成本增加。多数此类新型威胁都是针对财务收益,也就意味着隐密性与创新性才是黑客攻击致胜的法宝。 由于安全经理面对的威胁挑战日益增多,鉴于其采用“发现一个安全问题,部署一台新设备”的原则,使得其安全架构也越来越庞大。 但,由于缺乏对各解决方案功能性的协调、管理界面的不一致以及性能低下,都导致了此类部署的失败。 更重要的是,此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用的各种应用程序访问进行检查”这一漏洞。Palo Alto Networks的下一代防火墙可向安全管理员提供两个防范威胁的扩展解决方案。 首先,识别并控制网络中的应用程序,并减少威胁范围,而后,检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。3.2.3 控制应用,阻止威胁为避免企业网络受到威胁攻击,首先要做到的就是重新获得网络中应用程序使用的可视性与控制性,即:利用准专利流量分类技术App-ID明确的了解网络中采用任何端口、协议、SSL或逃避技术的应用程序使用情况。 利用App-ID生成的应用程序标识可对威胁探
关 键 词:
Paloalto 网络安全 解决方案 HA
 剑锋文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:Paloalto网络安全解决方案HA
链接地址: //www.wenku365.com/p-43737699.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给剑锋文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 //www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开