/Paloalto網(wǎng)絡安全解決方案信諾瑞得信息技術總頁數(shù)NUMPAGES9正文附錄生效日期：王重人目錄TOC\o"1-4"1概述32方案設計32.1拓撲結構33方案說明43.1設備功能簡介4概述隨著網(wǎng)絡的建設，網(wǎng)絡規(guī)模的擴大，鑒于計算機網(wǎng)絡的開放性和連通性，為計算機網(wǎng)絡的安全帶來極大的隱患，并因為互聯(lián)網(wǎng)開放環(huán)境以與不完善的網(wǎng)絡應用協(xié)議導致了各種網(wǎng)絡安全的漏洞。計算機網(wǎng)絡的安全設備和網(wǎng)絡安全解決方案由此應運而生，并對應各種網(wǎng)絡的攻擊行為，發(fā)展出了各種安全設備和各種綜合的網(wǎng)絡安全方案。零散的網(wǎng)絡安全設備的堆砌，對于提高網(wǎng)絡的安全性與其有限，因此，如何有效的利用但前的網(wǎng)絡設備，合理組合搭配，成為網(wǎng)絡安全方案成功的關鍵。但是，任何方案在開放的網(wǎng)絡環(huán)境中實施，均無法保證網(wǎng)絡系統(tǒng)的絕對安全，只能通過一系列的合理化手段和強制方法，提高網(wǎng)絡的相對安全性，將網(wǎng)絡受到的危險性攻擊行為所造成的損失降到最低。網(wǎng)絡安全問題同樣包含多個方面，如：設備的安全、鏈路的冗余、網(wǎng)絡層的安全、應用層的安全、用戶的認證、數(shù)據(jù)的安全、VPN應用、病毒防護等等。在本方案中，我們提出的解決方案主要側重在于：HA(高可用性)、IPSecVPN但是paloalto同時也能解決網(wǎng)絡層安全、訪問控制的實現(xiàn)、病毒的防護、間諜軟件的防護、入侵的防護、URL的過濾、，以提高網(wǎng)絡的安全防御能力，并有效的控制用戶上網(wǎng)行為和應用的使用等安全問題。方案設計拓撲結構方案說明總公司與分公司之間用IPSecVPN連接總公司采用兩臺paloalto4050組成HA(Active-Active)，提高網(wǎng)絡可用性和穩(wěn)定性設備功能簡介Paloalto設備可采用Active-Active和Active-Standby兩種模式運行，在本方案中采用Active-Active模式，以便可以最大的發(fā)揮設別的性能。并且paloalto設備可以在VirtualWire(完全透明狀態(tài))、L2、L3任意網(wǎng)絡層面開啟HA，即paloalto可以在完全不影響網(wǎng)絡拓撲結構的情況下，串接進入網(wǎng)絡并組成HA。Paloalto設備在建立HA后，可以進行session(會話)同步，也就是說在一臺設備故障時另一臺設備可以再會話不中斷的情況下進行設備切換。并且paloalto4050使用多達3條線路進行設備的心跳、狀態(tài)、配置和會話的同步，并且每條線路還可以再配置冗余。使用paloalto設備建立IPSecVPN隧道，在起到加密作用的同時，還可以在同一設備端口和IP上建立多條隧道包括SSLVPN，并且paloalto設備對其他主流設備品牌有很好的兼容性，例如與Juniper、CISCO等3層設備都能很好的建立IPSecVPN隧道。在提供穩(wěn)定的VPN連接和HA之外，paloalto還能提供強大的應用過濾和管理功能，可以極大的節(jié)省網(wǎng)絡帶寬資源。下一代防火墻技術優(yōu)勢識別技術PaloAltoNetworks的新一代防火墻系列,使用三種獨特的識別技術對應用程序、使用者和容提供原則式可見度和控制,這三種技術是:App-ID、User-ID和Content-ID。App-ID是一項專利申請中的傳輸流量分類技術,此技術使用高達四種不同的辨識技術,可以確認哪個應用程序在網(wǎng)絡上周游。然后使用應用程序識別碼為基礎,進行所有原則決策,包括適當?shù)挠猛竞腿輽z查等。應用程序通訊協(xié)定偵測與解密:App-ID憑借深厚的應用程序通訊協(xié)定知識,可以識別正在使用的通訊協(xié)定以與是否使用SSL加密。解密已加密的傳輸流量,根據(jù)原則進行檢查,再重新加密并傳送往目的地。應用程序通訊協(xié)定解碼:通訊協(xié)定解碼器會判斷應用程序是否使用通訊協(xié)定做為一般應用程序傳輸或是混淆的技術,它們會協(xié)助盡量縮小應用程序的圍,并在套用簽章時提供有價值的容。解碼器也會識別應該掃描威脅或敏感資料的檔案和其他容。應用程序簽章:容式簽章會尋找獨特的應用程序屬性以與相關的交易特性,無論正在使用哪一種通訊協(xié)定與連接端口的情形下,都能正確地識別應用程序。啟發(fā)學習法:啟發(fā)學習法或行為分析會依照需要結合其他App-ID識別技巧,以識別某些規(guī)避應用程序,特別是使用所有權加密的應用程序。User-ID緊密地整合PaloAltoNetworks新一代防火墻與ActiveDirectory,動態(tài)地將IP位址連結至使用者和群組資訊。藉由對使用者活動的可見度,企業(yè)可以根據(jù)儲存在使用者存放庫的使用者和群組資訊,監(jiān)視和控制在網(wǎng)絡上周游的應用程序和容。Content-ID結合即時威脅防引擎與廣泛的URL資料庫和應用程序識別碼元素,以限制未經(jīng)授權的檔案傳輸,偵測并封鎖廣大的威脅圍以與控制非工作相關的網(wǎng)絡瀏覽。單通道架構使用串流式掃描與一致簽章格式的組合,檢查傳輸流量。Content-ID搭配App-ID運作,利用應用程序識別碼,使容檢查程序更有效率。一組豐富的網(wǎng)絡功能,IPSecVPN和管理功能結合App-ID、User-ID和Content-ID做為PAN-OS的主要功能,PAN-OS是控制PaloAltoNetworks新一代防火墻的安全性特定作業(yè)系統(tǒng)。PAN-OS加入自訂硬體平臺系列,這是專為管理企業(yè)網(wǎng)絡傳輸流量設計,針對網(wǎng)絡功能、安全性、威脅防護與管理使用功能特定處理程序。整合式威脅防當今，企業(yè)用戶都為自己配備了高速互聯(lián)網(wǎng)連接與瀏覽器，使之可立即訪問最新最好的網(wǎng)絡應用程序。但大多數(shù)用戶都不知道，許多此類新應用程序正是威脅矢量，他們使企業(yè)網(wǎng)絡陷于業(yè)務風險之中，包括網(wǎng)絡停機、數(shù)據(jù)丟失與業(yè)務成本增加。多數(shù)此類新型威脅都是針對財務收益，也就意味著隱密性與創(chuàng)新性才是黑客攻擊致勝的法寶。由于安全經(jīng)理面對的威脅挑戰(zhàn)日益增多，鑒于其采用“發(fā)現(xiàn)一個安全問題，部署一臺新設備”的原則，使得其安全架構也越來越龐大。但，由于缺乏對各解決方案功能性的協(xié)調、管理界面的不一致以與性能低下，都導致了此類部署的失敗。更重要的是，此類基于部門的安全模塊并不能重點解決黑客利用企業(yè)安全方案中“未能對當前終端用戶所使用的各種應用程序訪問進行檢查”這一漏洞。PaloAltoNetworks的下一代防火墻可向安全管理員提供兩個防威脅的擴展解決方案。首先，識別并控制網(wǎng)絡中的應用程序，并減少威脅圍，而后，檢查單通道中許可應用程序中是否感染了病毒、間諜軟件或遭受了漏洞攻擊?？刂茟?，阻止威脅為避免企業(yè)網(wǎng)絡受到威脅攻擊，首先要做到的就是重新獲得網(wǎng)絡中應用程序使用的可視性與控制性，即：利用準專利流量分類技術App-ID明確的了解網(wǎng)絡中采用任何端口、協(xié)議、SSL或逃避技術的應用程序使用情況。利用App-ID生成的應用程序標識可對威脅探測解決方案起到兩大關鍵作用。應用程序標識，與其描述、特性與使用者都可為安全管理員決定如何利用策略控制應用程序時，提供進一步依據(jù)。對于企業(yè)網(wǎng)絡、P2P文件共享或circumventor中業(yè)務不需要的應用程序則可簡單阻止。允許使用的應用程序則應做出標識，并實施細粒度級控制，而后對其進行病毒、間諜軟件與漏洞攻擊檢查。App-ID的第二個威脅防作用為可通過破譯應用程序提高檢查幅度與精準性，然后再將其重新組合并分析，了解其容，以便于各種類型威脅的檢查。然而，傳統(tǒng)的基于端口的解決方案采用的是單一的分類技術（協(xié)議/端口）識別流量，而App-ID則可利用其一項甚至多項此類技術-即：應程序協(xié)議探測與解密，應用程序破譯、應用程序簽名與啟發(fā)式分析對所有通過防火墻的流量進行檢查，迅速識別與各數(shù)據(jù)包流相關的應用程序。通過查看應用程序，而非僅查看端口或協(xié)議，App-ID可識別出那些可避開安全檢查的應用程序。SP3架構：單次完整掃描PaloAlto網(wǎng)絡威脅防引擎基于SP3架構，集成了多種創(chuàng)新性特性，在一次流量監(jiān)測中隊所有流量是否有病毒、間諜軟件與漏洞攻擊進行監(jiān)測。消除了傳統(tǒng)防火墻和UTM的對于不同功能必須多次監(jiān)測多次封裝的問題，提高轉發(fā)效率，減少延時。統(tǒng)一簽名格式:與其它方案針對各類型威脅采用各異的掃描引擎與簽名不同，PaloAltoNetworks采用統(tǒng)一的威脅引擎與簽名格式，探測與阻止各種惡意軟件，同時又可動態(tài)性的降低延時?；诖鞯耐{掃描：病毒、間諜軟件與漏洞防都是通過基于串流的掃描實現(xiàn)，該技術從收到文件的首個數(shù)據(jù)包開始執(zhí)行掃描，而無需待整個文件都上載到存后才開始掃描。此技術可即時接收、掃描與發(fā)送流量至指定目的地，且無需受限于進行首次緩沖后才能掃描文件的設計，因此消除了傳統(tǒng)的代理服務器的性能與延時問題。相反，傳統(tǒng)的基于文件的AV引擎僅會在收到整個文件并緩存至存后方可開始掃描，直至掃描結束，并被認為是干凈的文件后才會釋放。傳統(tǒng)的基于文件的威脅防不僅極大的影響了性能造成延時，通常還會導致連接超時，并需等待文件全部傳輸完成后才能掃描的缺點。網(wǎng)絡與應用漏洞攻擊防:集成了統(tǒng)一簽名格式的入侵防護系統(tǒng)（IPS）的特性包括：可阻止已知與未知網(wǎng)絡與應用層漏洞攻擊，避免其危脅與損害企業(yè)信息源。在對流量進行單次病毒與間諜軟件掃描時，還同時探測漏洞攻擊、緩沖溢流、DoS攻擊與端口掃描，其中采用的是已經(jīng)過驗證的威脅探測與防（IPS）機制，包括：非正常協(xié)定行為防可探測到違反RFC協(xié)定的應用，如