Paloalto网络安全解决方案HAWord下载.docx
- 文档编号:14090208
- 上传时间:2022-10-18
- 格式:DOCX
- 页数:7
- 大小:586.44KB
Paloalto网络安全解决方案HAWord下载.docx
《Paloalto网络安全解决方案HAWord下载.docx》由会员分享,可在线阅读,更多相关《Paloalto网络安全解决方案HAWord下载.docx(7页珍藏版)》请在冰豆网上搜索。
审核:
批准:
11概述
随着网络建设,网络规模扩大,鉴于计算机网络开放性和连通性,为计算机网络安全带来极大隐患,并因为互联网开放环境以及不完善网络应用协议导致了各种网络安全漏洞。
计算机网络安全设备和网络安全解决方案由此应运而生,并对应各种网络攻击行为,发展出了各种安全设备和各种综合网络安全方案。
零散网络安全设备堆砌,对于提高网络安全性及其有限,因此,如何有效利用但前网络设备,合理组合搭配,成为网络安全方案成功关键。
但是,任何方案在开放网络环境中实施,均无法保证网络系统绝对安全,只能通过一系列合理化手段和强制方法,提高网络相对安全性,将网络受到危险性攻击行为所造成损失降到最低。
网络安全问题同样包含多个方面,如:
设备安全、链路冗余、网络层安全、应用层安全、用户认证、数据安全、VPN应用、病毒防护等等。
在本方案中,我们提出解决方案主要侧重在于:
HA(高可用性)、IPSecVPN
但是paloalto同时也能解决网络层安全、访问控制实现、病毒防护、间谍软件防护、入侵防护、URL过滤、,以提高网络安全防御能力,并有效控制用户上网行为和应用使用等安全问题。
21方案设计
12.1拓扑结构
31方案说明
Ø
总公司与分公司之间用IPSecVPN连接
总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性
13.1设备功能简介
Paloalto设备可采用Active-Active和Active-Standby两种模式运行,在本方案中采用Active-Active模式,以便可以最大发挥设别性能。
并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构情况下,串接进入网络并组成HA。
Paloalto设备在建立HA后,可以进行session(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断情况下进行设备切换。
并且paloalto4050使用多达3条线路进行设备心跳、状态、配置和会话同步,并且每条线路还可以再配置冗余。
使用paloalto设备建立IPSecVPN隧道,在起到加密作用同时,还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好兼容性,例如与Juniper、CISCO等3层设备都能很好建立IPSecVPN隧道。
在提供稳定VPN连接和HA之外,paloalto还能提供强大应用过滤和管理功能,可以极大节省网络带宽资源。
13.2下一代防火墙技术优势
13.2.1识别技术
PaloAltoNetworks新一代防火墙系列,使用三种独特识别技术对应用程序、使用者和内容提供原则式可见度和控制,这三种技术是:
App-ID、User-ID和Content-ID。
◆App-ID是一项专利申请中传输流量分类技术,此技术使用高达四种不同辨识技术,可以确认哪个应用程序在网络上周游。
然后使用应用程序识别码为基础,进行所有原则决策,包括适当用途和内容检查等。
✧应用程序通讯协定侦测与解密:
App-ID凭借深厚应用程序通讯协定知识,可以识别正在使用通讯协定以及是否使用SSL加密。
解密已加密传输流量,根据原则进行检查,再重新加密并传送往目地。
✧应用程序通讯协定解码:
通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆技术,它们会协助尽量缩小应用程序范围,并在套用签章时提供有价值内容。
解码器也会识别应该扫描威胁或敏感资料档案和其他内容。
✧应用程序签章:
内容式签章会寻找独特应用程序属性以及相关交易特性,无论正在使用哪一种通讯协定及连接端口情形下,都能正确地识别应用程序。
✧启发学习法:
启发学习法或行为分析会依照需要结合其他App-ID识别技巧,以识别某些规避应用程序,特别是使用所有权加密应用程序。
◆User-ID紧密地整合PaloAltoNetworks新一代防火墙与ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。
藉由对使用者活动可见度,企业可以根据储存在使用者存放库内使用者和群组资讯,监视和控制在网络上周游应用程序和内容。
◆Content-ID结合即时威胁防范引擎与广泛URL资料库和应用程序识别码元素,以限制XX档案传输,侦测并封锁广大威胁范围以及控制非工作相关网络浏览。
单通道架构使用串流式扫描与一致签章格式组合,检查传输流量。
Content-ID搭配App-ID运作,利用应用程序识别码,使内容检查程序更有效率。
一组丰富网络功能,IPSecVPN和管理功能结合App-ID、User-ID和Content-ID做为PAN-OS主要功能,PAN-OS是控制PaloAltoNetworks新一代防火墙安全性特定作业系统。
PAN-OS加入自订硬体平台系列,这是专为管理企业网络传输流量设计,针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。
13.2.2整合式威胁防范
当今,企业用户都为自己配备了高速互联网连接与浏览器,使之可立即访问最新最好网络应用程序。
但大多数用户都不知道,许多此类新应用程序正是威胁矢量,他们使企业网络陷于业务风险之中,包括网络停机、数据丢失及业务成本增加。
多数此类新型威胁都是针对财务收益,也就意味着隐密性与创新性才是黑客攻击致胜法宝。
由于安全经理面对威胁挑战日益增多,鉴于其采用“发现一个安全问题,部署一台新设备”原则,使得其安全架构也越来越庞大。
但,由于缺乏对各解决方案功能性协调、管理界面不一致以及性能低下,都导致了此类部署失败。
更重要是,此类基于部门安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用各种应用程序访问进行检查”这一漏洞。
PaloAltoNetworks下一代防火墙可向安全管理员提供两个防范威胁扩展解决方案。
首先,识别并控制网络中应用程序,并减少威胁范围,而后,检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。
13.2.3控制应用,阻止威胁
为避免企业网络受到威胁攻击,首先要做到就是重新获得网络中应用程序使用可视性与控制性,即:
利用准专利流量分类技术App-ID明确了解网络中采用任何端口、协议、SSL或逃避技术应用程序使用情况。
利用App-ID生成应用程序标识可对威胁探测解决方案起到两大关键作用。
应用程序标识,及其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时,提供进一步依据。
对于企业网络、P2P文件共享或circumventor中业务不需要应用程序则可简单阻止。
允许使用应用程序则应做出标识,并实施细粒度级控制,而后对其进行病毒、间谍软件与漏洞攻击检查。
App-ID第二个威胁防范作用为可通过破译应用程序提高检查幅度与精准性,然后再将其重新组合并分析,了解其内容,以便于各种类型威胁检查。
然而,传统基于端口解决方案采用是单一分类技术(协议/端口)识别流量,而App-ID则可利用其一项甚至多项此类技术-即:
应程序协议探测与解密,应用程序破译、应用程序签名及启发式分析对所有通过防火墙流量进行检查,迅速识别与各数据包流相关应用程序。
通过查看应用程序,而非仅查看端口或协议,App-ID可识别出那些可避开安全检查应用程序。
13.2.4SP3架构:
单次完整扫描
PaloAlto网络威胁防范引擎基于SP3架构,集成了多种创新性特性,在一次流量监测中队所有流量是否有病毒、间谍软件及漏洞攻击进行监测。
消除了传统防火墙和UTM对于不同功能必须多次监测多次封装问题,提高转发效率,减少延时。
◆统一签名格式:
与其它方案针对各类型威胁采用各异扫描引擎及签名不同,PaloAltoNetworks采用统一威胁引擎与签名格式,探测与阻止各种恶意软件,同时又可动态性降低延时。
◆基于串流威胁扫描:
病毒、间谍软件与漏洞防范都是通过基于串流扫描实现,该技术从收到文件首个数据包开始执行扫描,而无需待整个文件都上载到内存后才开始扫描。
此技术可即时接收、扫描与发送流量至指定目地,且无需受限于进行首次缓冲后才能扫描文件设计,因此消除了传统代理服务器性能与延时问题。
相反,传统基于文件AV引擎仅会在收到整个文件并缓存至内存后方可开始扫描,直至扫描结束,并被认为是干净文件后才会释放。
传统基于文件威胁防范不仅极大影响了性能造成延时,通常还会导致连接超时,并需等待文件全部传输完成后才能扫描缺点。
13.2.5网络与应用漏洞攻击防范:
集成了统一签名格式入侵防护系统(IPS)特性包括:
可阻止已知与未知网络与应用层漏洞攻击,避免其危胁与损害企业信息源。
在对流量进行单次病毒与间谍软件扫描时,还同时探测漏洞攻击、缓冲溢流、DoS攻击与端口扫描,其中采用是已经过验证威胁探测与防范(IPS)机制,包括:
◆非正常协定行为防范可探测到违反RFC协定应用,如:
使用过长URI或过长FTP登录。
◆状态模式匹配功能可探测数据包是否受到攻击,并将到达顺序等因素考虑在内。
◆异常统计探测可防止基于速率DoS洪流攻击。
◆启发式分析可探测到异常数据包与流量模式,如:
端口扫描与hostsweep。
◆其它攻击防范能力,如:
阻止无效或畸形数据包,封包重组(IPdefragmentationandTCPreassembly),都可保护企业网络免受黑客利
用逃避及模糊法实施攻击。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Paloalto 网络安全 解决方案 HA