PaloAlto新一代信息安全防护解决方案.docx
《PaloAlto新一代信息安全防护解决方案.docx》由会员分享,可在线阅读,更多相关《PaloAlto新一代信息安全防护解决方案.docx(35页珍藏版)》请在冰点文库上搜索。
PaloAlto新一代信息安全防护解决方案
新一代网络安全防护
建议书
PaloaltoNetworksInc.
2013-2
第1章背景介绍
近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。
然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户及企业主机的安全和正常使用。
同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异—如:
网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新,并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。
第2章安全需求分析
2.1网络安全
网络安全是企业网络通信的重中之重,需通过网段隔离、安全防御、访问控制等手段专网安全、网络通畅,确保核心数据的传输。
同时,也需要抵御黑客、病毒、恶意代码等通过各种形式对网络发起的恶意破坏和攻击,特别是能够抵御Ddos攻击,防止由此导致网络中断。
2.2平台安全
除网络
2.3应用安全
随着计算机技术、通信技术和网络技术的发展,接入本专网的应用系统越来越多。
特别是随着信息化的普及需要和总部的数据交换也越来越多。
2.4数据安全
2.5面临问题及风险
随着计算机技术、通信技术和网络技术的发展,接入本专网的应用系统越来越多。
特别是随着信息化的普及需要和总部的数据交换也越来越多。
对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。
而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗,系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
第3章企业网络安全方案
3.1PAN的产品及网络部署
3.1.1部署方式
PaloAltoNetworks新一代安全防护网关,采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁接模式接入现有网络架构中,协助网管人员进行环境状态分析,并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」(AVRReport)。
在AVR报表中可清楚呈现所有客户端行为与网络资源使用状态,更能进一步发现潜在安全风险,作为先行预防可能面临的各种网络威胁与安全策略调整的依据。
PaloAltoNetworks新一代安全防护网关也支持以透明模式运行,以便在不影响现有路由、地址转换架构下进行布署,还能做到协助原有安全设备(F/W,IDP,Proxy…)分析过去无法掌握的网络使用行为、威胁攻击等信息,使其逐步成为安全控管中心,方便IT部门重新评估现有安全设备效益从而进行架构的调整,降低整体持有成本(TCO)。
PaloAltoNetworks新一代安全防护网关,能支持路由、地址转换等工作模式,主要用于首次或升级部署安全网关的环境。
IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后,依据分析的结果进行安全策略布署。
3.1.2中央管理平台实现集中管理
在国家企业中心部署集中管理平台,集中对国家及各个分支企业的PA设备进行统一的管理和集中的数据挖掘分析。
PaloAltoNetworks下一代安全防护网关,除了内建的Web管理接口、命令接口(CommandLineInterface,CLI)之外,总部还能额外建立中央管理系统-Panorama。
Panorama具备与PA下一代安全网关设备内建的Web管理接口相同的外观与操作方式,可减少IT人员在转换操作接口时的学习曲线。
另外,Panorama具备管理者分权管理的功能,对于不同角色设定不同的管理权限,例如:
分支企业管理者仅能针对被授权管理的设备或安全策略条目,执行必要的管理功能,而总部管理部门则可集中制定整个企业的政策,并强制所有分支或下属部门切实遵循。
PaloAlto中央管理平台Panorama,可提供全网完整的日志储存与报表分析功能。
3.2PAN方案功能
Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。
在网络的应用可是想方面能够实现:
3.2.1应用程序、用户和内容的可视化
管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。
由于管理员现有的工具无法为其提供有关网络活动的最新信息,因而使得这场竞赛的难度更大。
利用PaloAlto新一代防火墙,管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。
应用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。
•应用程序命令中心(ACC):
这是一项无需执行任何配置工作的标准功能,ACC以图形方式显示有关当前网络活动(包括应用程序、URL类别、威胁和数据)的大量信息。
如果ACC中出现一个新的应用程序,则单击一次即可显示该应用程序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。
也可以添加更多的过滤器,从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。
只需短短几分钟时间的时间,ACC就可以为管理员提供所需的数据,供其做出更为合理的安全策略决定。
•App-Scope:
作为ACC提供的应用程序和内容的实时视图的补充,App-scope提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。
•管理:
为了适应不同的管理风格、要求和人员配备,管理员可以使用基于Web的界面、完全的命令行界面(CLI)或集中式管理解决方案(Panorama)来控制PaloAltoNetworks防火墙的各个方面。
对于各类员工需要具有访问管理界面的不同权限级别的环境,在所有这三种管理机制中均可通过使用基于角色的管理,将不同的管理职能委派给合适的个人。
利用基于标准的Syslog和SNMP接口,可实现与第三方管理工具的集成。
•日志记录和报告:
实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。
可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。
PAN产品以清楚易懂的形式查看应用程序活动。
添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程序的使用者的详细信息。
内容和威胁可视化:
以清楚易懂的形式查看URL、威胁和文件/数据传输活动。
添加和删除过滤器可了解有关各个元素的详细信息。
3.2.2报告和日志记录
利用强大的报告和日志记录功能,可以分析安全事件、应用程序使用情况以及通信流模式。
•报告:
既可以按原样使用预定义报告,也可以对预定义报告进行自定义或组合为一个报告来满足特定的要求。
详细的活动报告会显示已使用的应用程序、访问过的URL类别和网站以及给定用户在指定期间内访问的所有URL的详细报告。
所有报告均可作为CSV或PDF格式导出,并且还可以按照计划的时间通过电子邮件发送。
•日志记录:
管理员只需单击某个单元格值并/或使用表达式构建器定义过滤条件,即可通过动态过滤功能来查看应用程序、威胁和用户活动。
可以将日志过滤结果导出到CSV文件中或发送到系统日志服务器,以供脱机归档或其他分析之用。
•跟踪会话工具:
通过对与单个会话相关的通信、威胁、URL和应用程序的所有日志使用集中式关联视图,可加快取证调查或事件调查的速度。
3.2.3带宽监视和控制
面对各式各样的网络应用服务及语音通话服务的需求,PaloAltoNetworks安全防护网关具备优异的服务质量控制管理能力,可依据网络服务的类型制定不同等级的传输优先权,并进行带宽控管,用来确保重要应用服务享有较高传输优先权与最佳的传输带宽,从而保障诸如语音通话服务质量等主要应用,可获得显著用户体验。
PaloAltoNetworks安全防护网关,支持多达八种的服务质量控制分类,可依据网络应用服务的重要性,予以划分等级,例如:
语音通话服务,划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类,从而保障具有实时和主要的应用优先被处理,而其余应用依然可以提供良好服务,从而提升用户的上网体验。
PaloAltoNetworks安全防护网关,可提供优异的QoS控管机制,
还能显示实时带宽使用情况图表,提供IT人员所需管理信息
面对各式各样具备建立加密通道的应用程序所带来的安全威胁,PaloAlto安全防护网关,内置高效硬件芯片用于分析加密通道的内容及行为,并且丝毫不影响设备整体性能。
随着网络的带宽不断增加,网络架构不断扩充并复杂化,各种网络应用的兴起也逐渐取代过去人们习惯,性能管理加强了网络的可视性与可靠性。
异常流量
•服务质量(QoS):
通信流定型功能扩展了积极实现策略控制的功能,使管理员能够允许占用大量带宽的应用程序(如流媒体)运行,同时又保持业务应用程序的性能。
可以基于应用程序、用户、时间表等强制实施通信流定型策略(保证、最大化和优先级)。
同时还支持Diffserv标记功能,允许下游或上游设备控制应用程序通信流。
•实时带宽监视器:
选定QoS类中的应用程序和用户对带宽和会话的使用量的实时图形化视图。
3.2.4精细的网络、应用策略控制
通过完整的可视性分析,可以启用适当的应用程序使用策略通过即时了解穿越网络的应用程序、这些应用程序的使用者和潜在的安全风险,管理员能够轻松而迅速地做出适当的响应决定。
利用这些数据点,管理员可以应用具有各种比允许或拒绝更为精细的响应的策略。
策略控制响应包括:
•允许或拒绝
•允许,但会进行扫描以检测病毒和其他威胁
•允许(基于时间表、用户或组)
•解密和检查
•通过QoS应用通信流定型
•应用基于策略的转发
•允许特定的应用程序功能
•上述各项的任意组合
通过使用具有熟悉的界面外观和操作方式的策略编辑器,经验丰富的防火墙管理员可以快速创建灵活的防火墙策略,例如:
•利用ActiveDirectory集成功能为销售和市场营销部门指定S和Oracle访问权。
•仅允许IT部门使用一组固定的管理应用程序,如SSH、Telnet和RDP。
•阻止恶意应用程序,例如,P2P文件共享、绕道访问和外部代理。
•定义并强制使用企业策略,以允许和检查特定的网络邮件和即时消息用法。
•使用基于策略的转发强制Facebook应用程序通信通过特定路由传递。
•控制单个应用程序内的文件传输功能,从而允许使用应用程序但禁止传输文件。
•识别文本形式或文件形式的敏感信息(如信用卡号或身份证号)的传输。
•部署URL过滤策略,阻止访问明显与工作无关的网站,监控可能存在问题的网站并“指导”如何访问其他网站。
•实施QoS策略以允许媒体和其他占用大量带宽的应用程序,但限制这些应用程序对业务关键应用程序的影响。
通过使用PaloAltoNetworks的新一代防火墙,客户可以部署积极的强制实施模型策略,以阻止恶意应用程序、扫描业务应用程序以检测威胁并促进安全使用最终用户应用程序。
相比之下,基于IPS的解决方案只具有两个选项(即允许或拒绝),这将限制以积极、可控且安全的方式使用应用程序的能力。
策略创建:
通过使用熟悉的界面外观和操作方式,可以快速地创建和部署用于控制应用程序、用户和内容的策略。
3.2.5一体化综合的威胁防范能力
对于置身于当今的以Internet为中心的网络环境的IT部门而言,重新获得对应用程序通信的可视化和控制只是解决了他们所面临的部分网络安全难题。
对允许的应用程序通信进行检测成为了下一个大的难题。
这一难题可通过与防火墙无缝集成的威胁预防引擎来解决,该引擎将统一的签名格式与基于流的扫描组合在一起,以单通道方式阻止漏洞攻击、病毒和间谍软件。
Ø入侵防御系统(IPS):
漏洞保护功能集成了一组丰富的入侵防御系统(IPS)功能,可阻止已知和未知的网络层和应用程序层漏洞攻击、缓冲区溢出、DoS攻击及端口扫描危害和破坏企业信息资源。
IPS机制包括:
•协议解码器分析
•状态模式匹配
•协议异常检测
•启发式分析
•统计数据异常检测
•IP合并和TCP重组
•阻止无效的或错误格式的数据包
•自定义漏洞签名
Ø网络防病毒:
内联的防病毒保护功能将在网关处检测和阻止大多数类型的恶意软件。
防病毒保护功能利用统一的签名格式和基于流的引擎来保护企业免受数百万种的恶意软件的侵扰。
基于流的扫描可帮助保护网络,而不会造成显著的延迟。
使用依赖于基于代理的扫描的其他网络AV技术会出现此问题。
此外,基于流的引擎可执行内联解压缩,从而使企业可防范经过压缩的威胁。
而且,由于PaloAltoNetworks新一代防火墙能够按策略对SSL进行解密,还可以让组织防范通过受感染的SSL加密的应用程序传播的恶意软件。
ØURL过滤:
完全集成且可自定义的URL过滤数据库收集了76个类别的2000多万个URL,管理员可以利用它应用精细的网络浏览策略,同时配合应用程序可视化和控制策略,帮助企业防范各种法律、法规和生产风险。
可以创建自定义策略,以便对原始URL过滤数据库进行补充并满足独特的客户需求。
为了适应本地用户社区的通信模式,还可以利用一个收集有一百万个URL的单独的动态缓存数据库(从一个收集有一亿八千万个URL的托管数据库生成)来扩充原始的过滤数据库。
Ø数据过滤:
利用数据过滤功能,管理员能够实施一些策略以降低与传输基于类型的XX的文件(与仅查看文件扩展名相对)和机密数据模式(信用卡号和身份证号)相关的风险。
3.2.6网络部署的灵活性
灵活的网络体系结构,包括动态路由、交换、高可用性和VPN支持,使得几乎可以在任何网络环境下进行部署。
•交换和路由:
结合基于区域的安全性的L2、L3和混合模式支持使得可以在各种网络环境中进行部署。
对于L2和L3,支持使用动态路由协议(BGP、OSPF和RIP)和完全802.1QVLAN。
•虚拟连接:
在逻辑上将两个端口绑定到一起,不通过任何交换或路由而将一个端口的所有通信流传递到另一个端口,这样可以在不影响周边设备的情况下,实现全面的检查和控制。
•基于策略的转发:
基于应用程序定义的策略、源区域/界面、源/目标地址、源用户/组和服务转发通信。
•虚拟系统:
作为一种向特定部门或客户提供支持的方式,在单个设备中创建多个虚拟“防火墙”。
每个虚拟系统均可以包含专用的管理帐户、界面、网络配置、安全区域和针对关联网络通信的策略。
•主动/被动高可用性:
完全支持配置和会话同步的毫秒故障转移。
•IPv6:
对于使用IPv6的应用程序,支持完全的应用程序可视化、控制、检查、监控和日志记录功能(仅限虚拟连接模式)。
•巨型帧(仅PA-4000系列):
支持巨型帧(最多9,216个字节)。
第4章PaloAlto解决方案特色
4.1下一代安全防火墙的领先者-PaloAlto
PaloAlto成立于2005年,具有世界级团队,有来自业内的安全和网络界精英成立的公司,目前在全球有50多个国家为上千家大型客户提供7*24小时的专业服务。
防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。
因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化网络的安全性,是实施安全策略的最有效位置。
不过,传统的防火墙是依靠端口和通信协议来区分通信流内容,这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们;例如,可以利用跳端口技术、使用SSL、利用80端口秘密侵入或者使用非标准端口来绕过这些防火墙。
由此带来的可视化和控制丧失会使管理员处于不利地位,失去应用控制的结果会让企业暴露在商业风险之下,并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。
用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式,单独部署其他的“辅助防火墙”。
上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟(将引发扫描进程)的不足,均无法解决可视化和控制问题。
现在需要一种完全颠覆式的方法来恢复可视化和控制。
而新一代防火墙正是我们所需的。
Gartner早在2009的研究报告中通过对目前市场的分析,说明对于需要规划和升级传统FW/IPS/UTM的用户提出明确的建议,建议用户应采用或更新为”新一代防火墙”(NextGenerationFirewall,NGFW)架构,理由很简单传统的防火墙远远不能适合现在IT变迁的新的形势:
Ø传统的防火墙+IPS不能解决应用的可视性和精细控制的问题
Ø传统的防火墙+UTM会带来性能的瓶颈问题
Ø而权衡新一代防火墙必须五大要素:
•识别应用程序而非端口。
准确识别应用程序身份,检测所有端口,而且不论应用程序使用何种协议、SSL、加密技术或规避策略。
应用程序的身份构成所有安全策略的基础。
(识别七层或七层以上应用)
•识别用户,而不仅仅识别IP地址。
利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。
•实时检查内容。
帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件,并且实现低延迟和高吞吐速度。
•简化策略管理。
通过易用的图形化工具和策略编辑器(可通过统一的方式将应用程序、用户和内容结合在一起)来恢复可视化和控制。
•提供数千兆位的数据吞吐量。
在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能(在启用所有服务的情况下)。
PaloAlto应用防火墙完全符合Gartner对下一代防火墙的定义;以APP-ID、User-ID及Content-ID三种独特的识别技术,提供以统一策略方式对使用者/群组、应用程序及内容,做到完善的访问控制、安全管理及带宽控制。
此创新的技术建构于“单通道平行处理(SP3)”先进的硬件+软件系统架构下,实现低延迟及高效率的特性,解决传统FW+IPS+UTM对应用处理效能不佳的现况。
PaloAltoNetworks新一代安全网关实现了对应用程序和内容的前所未有的可视化和控制(按用户而不仅仅是按IP地址),并且速度可以高达10Gbps。
PaloAltoNetworks的新一代防火墙基于正在申请专利的App-ID™技术,可以精确地识别应用程序(而不论应用程序使用何种端口、协议、规避策略或SSL加密)并扫描内容来阻止威胁和防止数据泄露。
通过使用PaloAltoNetworks,企业第一次可以拥有新一代应用程序并从中受益,同时维持完全的可视化和控制。
新一代防火墙为今日的企业提供应用程序的可见度和控制,同时扫描应用程序内容检测潜在的威胁,让企业能够更有效地管理风险。
企业需要能够满足下列关键需求的新一代防火墙:
*无论使用哪一种通讯协议、SSL加密或规避战术,都能识别跨越所有连接端口的应用程序。
*针对内嵌于应用程序传输流量中的攻击和恶意软件进行实时防护。
*使用强大的可视化工具和统合原则编辑器,简化原则的管理。
*部署时,在不降低性能的情况下,提供数GB的数据传输。
PaloAltoNetworks新一代防火墙解决了状态检测传统防火墙漏洞的主要“缺陷”,提供IT部门对应用程序、使用者和内容应有的策略性、可视度和控制。
4.2提供网络高可视性与控制能力
PaloAltoNetworks新一代网络安全防护网关可以对网络中传输的应用程序和用户进行深度识别并进行内容的分析,提供完整的可视度和控制能力,针对客户端常见IM(MSN/Yahoo/QQ…)、P2P(Foxy/Bit-Torrent/eMule…)与社区社群工具(Facebook)等各种行为的控制管理与记录审计
PaloAltoNetworks新一代网络安全防护网关,以APP-ID、User-ID及Content-ID三种独特的识别技术,提供对用户/群组、应用程序及内容的高速全面的访问控制、安全管理及带宽控制。
应用程序识别(App-ID)
Ø无论使用什么连接端口、通讯协议、SSL加密或具备多种隐藏手段的特性,能够识别超过1,100种以上客户端常见应用程序。
Ø图形化可视性工具可以容易并直接检测和透视应用程序的传输流量。
Ø细颗粒化控制可以封锁不良的应用程序并控制良好的应用程序。
用户身份识别(User-ID)
Ø通过与常见用户数据库紧密整合(AD、Radius等),有效配合安全策略进行各项精确管理
Ø通过网络准入认证,控制客户端访问权限
内容识别(Content-ID)
Ø病毒、间谍软件和系统可被攻击的弱点的防护,限制XX的文件传输和敏感性数据传输(如:
信用卡号码、个人身份信息),并控制与工作无关的网络浏览
4.3更加灵活的转址功能(NAT)
PaloAltoNetworks网络安全防护网关,提供完整的IP地址转址,除可依据来源、目的IP地址做转址外,更能依据使用之传输协议,提供端口转换(PAT)功能,可轻易解决目前IP地址不足的情况。
传统NAT服务,仅能利用单一或少数外部IP地址,提供内部使用者做为IP地址转换之用,其瓶颈在于能做为NAT转换的外部IP地址数量过少,当内部有不当使用行为发生,致使该IP地址被全球ISP服务业者列为黑名单后,将造成内部网络用户无法存取因特网资源。
PaloAltoNetworks安全防护网关,特别针对此类情形,提供具有多对多(Many-To-Many)特性的地址转换服务功能,让IT人员可以利用较多的外部IP地址做为地址转换,避免因少数外部IP被封锁而造成无法上网,再次提升网络服务质量。
PaloAltoNetworks安全防护网关提供多样化NAT转址功能
4.4用户行为控制
PaloAltoNetworks安全防护网关,具备多达1,100种以上应用程序识别能力,并且每周持续发布新增与更新的应用程序识别签名码,并针对每种应用程序提供丰富的说明信息,有助于在管理者使用时,制定更为严谨有效的安全策略。
PaloAltoNetworks安全防护网关广泛应用程序识别能力,还可将无法控制管理的无线网络用户,纳入集中的控制管理。
无线网络,主要着眼于提供特殊便捷的访问服务,也提供来访宾客可随时上网查询数据之用,对于各种滥用资源的应用行为(如:
P2P、在线视频、上传文件到网络硬盘),可以进行阻断并产生安全事件日志记录。
彻底杜绝现行各种资源滥用行为,可以对无线网络使用情况,提供最为详细丰富的用户使用数据。
PaloAltoNetworks防护网关已可识别1,100余种应用程序
现有无线或LAN网络控制设备,连接至PaloAltoNetworks安全防护
升级会员 