政务外网网络安全平台解决方案.docx
《政务外网网络安全平台解决方案.docx》由会员分享,可在线阅读,更多相关《政务外网网络安全平台解决方案.docx(28页珍藏版)》请在冰点文库上搜索。
政务外网网络安全平台解决方案
下一代政务外网网络安全平台解决方案
一、概述
由于政务外网与互联网直连,面向公众提供相关的政务服务,这种开放性导致政务外网存在更多的安全隐患,同时由于政务外网存在网络节点多,对业务访问的持续性要求高的特点,因此对高性能综合安全防御,以及全局性安全监控存在着较高的需求。
PaloAlto政务外网网络安全解决方案,既是针对政务外网在网络安全层面的建设需求,运用融合多种安全技术的PaloAlto高性能下一代防火墙,为政务外网提供高性能、综合性的安全防御;同时使用PaloAlto安全管理平台,对政务外网实施全局性的安全管理。
二、安全需求
我国电子政务分为政务内网和政务外网两个部分,其中政务外网与互联网逻辑隔离,承载着服务型和公开型政务业务,随着“一窗式”政府的推行,以及国家电子政务工程的全面开展,利用网络技术实现各政府职能部门的横向互联和纵向级联是必然趋势,而电子政务外网的建设,也为公众参与政府决策提供了很多便捷的渠道。
但与此同时,信息安全问题成为困扰信息化建设的首要因素。
如何做到既公开又安全,是各政务职能部门信息化建设首要考虑的因素。
政务外网实现网络安全建设的根本目的,就是为上层业务应用系统创造安全、可靠的运行环境,典型的建设需求包括:
●多种安全手段保障政务外网安全
典型政务外网往往存在业务复杂、安全威胁来源多、分布节点广的特点,需要采取多种安全手段,实现综合性的防御;
●保障政务业务访问效率
安全与效率通常是矛盾的,过多的安全检测与控制措施,势必会影响系统的运行效率,为此需要安全系统具备一定的工作效率,尽量减少对业务运行效率的影响;
●实现全局性的监控与审计
在政务网运行访问的过程中,应对网络的各类活动进行有效的监测,对异常的行为如违反安全策略的访问、突发的异常流量、重要的服务器或数据库的异常状态等进行报警和记录,以便安全管理人员能够在事中及事后进行响应和维护。
三、PaloAlto提供下一代综合网络安全平台解决方案
3.1、解决方案设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。
任何安全系统必须建立在技术、组织和制度这三个基础之上。
Ø体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
Ø全局综合性设计原则
从企业的实际情况看,单纯依靠传统的安全措施,并不能解决安全问题。
建议考虑到各种安全措施的使用,使用一个具有相当高度、可扩展性强的安全解决方案及产品。
Ø可行性、可靠性及安全性
可行性是安全方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,而安全性是设计安全系统的最终目的。
3.2、为什么选用PaloAlto提供下一代综合网络安全解决方案?
PaloAlto是一家专注于网络安全的公司。
对全球网络安全发展趋势颇具前瞻性的NirZuk先生于2005年以重新规划企业网络安全架构为使命创建了该公司,立志重新创造防火墙。
面对大多数企业的网络安全处于一种支离破碎的状态,导致企业面临着不必要的商业危险以及持续上升的IT投入成本,我们认为防火墙应当成为企业最具战略重要意义的网络安全设备。
我们的管理团队以及董事会成员由最主要的网络安全公司和相关科技的核心人员组成,这个团队创造发明了状态检测,基于硬件的安全,以及入侵防御技术。
我们的工程师团队曾经为CheckPoint,Cisco,NetScreen,McAfee,Juniper等公司提供了高质量的网络传输报表和网络安全的解决方案。
我们从2007年开始交付用户我们的下一代防火墙系列产品,目前在全球拥有超过6000+家客户的IT架构使用我们的解决方案,其中很多都是世界财富500强的企业。
Gartner在最近的企业网络防火墙魔力四象限图中将我们定位于具有远见卓识的象限。
我们分别在北美洲、欧洲、亚太区及中国设立了办公机构,通过全球范围的经销商销售我们的产品。
PaloAlto网络公司实现了防火墙的真正革新,不仅仅是根据IP地址与端口,还可以根据用户来实现前所未有的应用和内容的可见性和可控性,同时可高达20Gbps吞吐而不会有性能的下降。
基于取得专利的APP-ID(应用识别)技术,不管应用采用何种端口,协议,是否采用了SSL加密,PaloAlto下一代防火墙都可以精确地识别应用,同时可以通过对内容的扫描来阻止威胁和防止信息泄漏。
通过设备的整合,企业可以在显著减少总体成本的情况下实现应用完全的可视性和可控性,首次真正拥有Web2.0。
3.3、PaloAlto下一代防火墙独有的功能:
Ø唯一一款基于精确识别应用程序技术分类流量的防火墙(而不论应用使用何种端口、协议或规避策略)。
Ø唯一一款可以识别、控制并检测SSL加密流量和应用的防火墙。
Ø唯一一款提供按应用和用户做基于策略的QoS流量整形的防火墙,对网络上的个人应用和业务的性能做到可控。
Ø唯一一款通过基于数据流的威胁防范引擎实现实时扫描数据内容以防范病毒、间谍软件、数据泄露和应用程序漏洞的防火墙。
Ø唯一一款可以扫描社保号码或信用卡号码等内容防止敏感数据泄露以符合PCI等规则的防火墙。
Ø唯一一款针对网络应用具有详细图形化界面的防火墙,包括用户信息、组信息;按照会话、字节、端口、威胁和时间进行数据级别分类。
Ø唯一一款提供网络评选评估、日志深度挖掘、定位、提供安全报告的安全设备。
Ø唯一一款开启所有功能并在满负载情况下仍然具有低延时、高性能的防火墙。
3.4、PaloAlto如何为客户提供帮助:
3.4.1、单数据流并行处理结构以及控制引擎与数据引擎单独处理
PaloAlto采用了独家设计的单数据流并行处理(SP3)的体系结构,使用单数据流处理软件系统与并行处理硬件架构的完美整合,可以满足IT人员对超高处理性能与低网络传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈。
3.4.2、PaloAlto可以做到基于三种应用层重要元素的精细控制:
应用程序识别(App-ID)
Ø无论使用什么连接端口、通讯协议、SSL加密或具备多种隐藏手段的特性,能够识别近1500种以上客户端常见应用程序。
Ø图形化可视性工具可以容易并直接检测和透视应用程序的传输流量。
Ø细颗粒化控制可以阻断不合法的应用程序并控制需要的应用程序。
用户身份识别(User-ID)
Ø通过与常见用户数据库紧密整合(AD、LDAP、Radius等),有效配合安全策略进行各项精确管理
Ø通过网络准入认证,控制客户端访问权限
内容识别(Content-ID)
Ø病毒、间谍软件和系统漏洞的防护,限制XX的文件传输和敏感数据传输(如:
信用卡号码、个人身份信息),并控制与工作无关的网络浏览
PaloAlto新一代综合流量安全网关,以APP-ID、User-ID及Content-ID三种独特的识别技术,提供对用户/群组、应用程序及内容的高速全面的访问控制、安全管理。
3.4.3、PaloAlto提供应用分类
Paloalto目前能够识别近1500种应用,能够对6个大类26种子类近1500种应用进行识别和控制(包括应用子功能控制)。
●大类和子类名称以及支持应用的数量的描述
●各种应用可以还有其它不同纬度的分类特性(以及包含应用数量)
✓技术分类(4种)
✓风险等级分类(5个级别,5级是最高风险)
✓应用行为特性(8种)分类
3.4.4、应用风险等级划分
PaloAlto把每个应用根据其特有的行为特性进行风险等级划分,风险划分主要从如下8个行为特征进行的:
行为特征类型
描述
滥用倾向
用于恶意目的或很容易配置造成暴露超出预期的行为。
例如,SOCKS以及BitTorrent和AppleJuice等更新的应用程序。
传递其他应用程序
能够传输其他应用程序。
例如,SSH和SSL以及Hopster、TOR和RTSP、RTMPT。
具有已知的漏洞
应用程序具有已知的漏洞–且通常是攻击
传输文件
能够将文件从一个网络传输到另一个网络。
例如FTP和P2P以及网络邮件、在线文件共享应用程序(如MegaUpload和YouSendIt!
)。
被恶意软件利用
曾被用于传播恶意软件、发起攻击或窃取数据。
被恶意软件利用的应用程序包括协同办公软件(电子邮件、IM等)和一般Internet类别(文件共享、Internet实用工具)。
消耗带宽
应用程序通过正常使用通常消耗1Mbps或更多的带宽。
例如,P2P应用程序,如迅雷和DirectConnect以及媒体应用程序、软件更新和其他业务应用程序。
具有规避性(逃逸)
将端口或协议用于非其预期目的的其他用途,旨在便于部署或规避现有的安全基础结构。
普遍使用
每个应用都会根据是否符合上述的行为特征与否进行评估,如果符合度越多他们的风险等级越高。
3.4.5、业务风险定义
应用程序可能会对企业和企业内部的业务造成潜在影响。
对企业构成的风险分为以下五类:
(备注:
如下饼图可以从设备AVR报告中获得)
1、生产效率
对生产效率构成的风险源于滥用。
这种滥用可包括两种形式:
✓员工使用与工作无关的应用程序,而不是完成工作(例如,Myspace、开心网、个人电子邮件、博客、微博)
✓与工作无关的应用程序消耗的带宽过多,以致正当的应用程序功能受影响(例如,迅雷看看、YouTube、流媒体/HTTP音视频)
2、合规性
大多数组织都必须遵守各种政府和商业法规–在美国,这包括GLBA、HIPAA、FD、SOX、FISMA和PCI。
这些法规多数侧重于保护企业的运营、财务、客户或员工数据。
✓某些应用程序对此类信息构成了严重威胁–或者是应用程序本身或者是借助以其为目标的威胁(例子分别是BitTorrent和MySpace)。
✓任何可传输文件的应用程序(网络邮件、Skype、IM)都意味着严重的合规性问题。
3、运营成本
对运营成本构成的风险有两种形式
✓其一,对应用程序和基础结构的不当使用过度,以致必须购买更多(例如,由于流媒体视频而升级WAN线路)才能确保业务流程发挥作用;
✓其二,导致产生IT费用的事件和漏洞(例如,在发生涉及漏洞或病毒的安全事件后重新构建服务器或网络
4、业务连续性
业务连续性风险指可以破坏或以其他方式使某些业务流程的关键组件无法使用的应用程序(或其带来的威胁)。
例如,电子邮件、事务处理应用程序或受威胁攻击的面向公众的应用程序,或因非业务应用程序过度消耗资源而被实际拒绝的服务。
5、数据丢失
数据丢失风险是一组传统信息安全风险–那些与窃取、泄露或破坏数据有关的风险。
例如,很多公开窃取客户数据的情况,窃取或无意中泄漏自主知识产权,或由于安全威胁/漏洞而使数据遭到破坏。
各种威胁在起作用,包括应用程序(例如,开心网、Kazaa、IM、网络邮件)受到的攻击,以及在企业资源上运行的与业务无关的应用程序(例如,BitTorrent、IM)。
3.4.6、威胁相关分析
提高通过整个网络的通信流量的可视化程度,有助于通过准确判断可能正在传播威胁的应用(而不仅仅是端口和协议)并优化威胁预防措施。
对应用的可视性分析意味着威胁预防可迅速缩小可控威胁数范围,从而提高整体的威胁防护性能。
●进一步获取数据,哪些人员感染,是否有细节,phone-home
如下排名分析,就是在一段时间内威胁的排名
●上述处于critcal和High的威胁很多,很多威胁都是漏洞攻击、恶意软件的威胁。
很多的威胁等级都是High和Crtical的。
●从抽取某周数据来看,发现的224威胁中,7%属于极为严重,22%属于高度严重,而15%属于中度严重。
其余属于严重程度较低或信息性的威胁。
3.4.7、应用与威胁分析中心(ApplicationCommandCenter,ACC)
Ø漏洞攻击相关的分析
如下图就是漏洞攻击的排名
Ø间谍软件相关分析
如上图就是间谍软件检测出数量排名
如上图就是间谍软件phone-home的检测出数量排名
注视:
所谓SpywarePhone-home主要是指客户端软件由于感染了Spyware,他会主动和‘外’部的控制主机通讯,对这类的Phone-home的流量需要进行阻断,否则,控制主机可能通过此‘被感染’对内部网络造成威胁。
另外要收集感染客户端列表进行提醒和清除spyware
上图和Spyware软件下载相关的
Ø病毒相关分析
Ø根据威胁严重程度的分布(TopThreatsbySeverity)
过去的30天,Critical和High的威胁比例在17%
Ø(TopThreatsbyApplications)
Web和HTTP-Proxy的应用产生的威胁占据89%
Ø威胁(Critical、High情况)
3.4.8、基于应用的流量控制(QOS)
-针对最高/保障型及优先型整形
-根据用户、应用程序、接口、区及其它内容
•流量整形策略可确保业务应用程序不会遭遇带宽瓶颈
-具有保障型及最高带宽设置
-灵活的优先级分配、硬件加速队列
-对应用、用户、源、目的地、接口、IPSecVPN通道及其它内容执行基于策略的流量整形
•可以更高效的方式部署适当应用程序使用策略
•均集成在PAN-OS系统特性中,无需另外付费
QOS配置介绍与监控
使用QoSProfile可以定义不同的优先级(8个不同的优先级),保证带宽和限制最带宽在每个级别。
在接口绑定QOS策略
Paloalto通过使用QOS统计工具可以监控使用流量
3.4.9、内建完善的配置变更管理功能
利用版本控制概念进行设备的Firmware管理,降低管理复杂度;具备优异的配置文件差异比对功能,协助IT部门满足安全核查要求。
3.4.10、针对应用情况可以提完整化的应用报告
四、PaloAlto提供强大的网络部署解决方案
五、PaloAlto提供强大不同级别安全部署解决方案
六、PaloAlto在全球客户案例
七、PaloAlto网络安全部署方案优化建议
Ø实施适当的应用程序使用和网络浏览策略
需要强化管理应用程序使用的精细策略,鉴于应用程序不断增多,这些应用程序容易带有逃避性特征,并且各种威胁会利用它们,我们建议调整适当的使用策略,来基于每个应用程序或应用程序类别管理使用情况,因为基于子类管理目前既有必要又可行。
Ø解决高风险领域,如P2P和在线文件传输/共享
此类应用程序可以绕过传统控制方式,与此类应用程序相关的风险可能会带来潜在问题。
可能在不了解这些领域中的风险,也未对其进行分类并减轻这些风险的情况下,可能存在的XX的数据传输以及相关应用的威胁。
Ø实施指定代理和远程访问应用程序使用的策略
使用此类应用程序。
这意味着可能的威胁载体以及工作效率下降。
应实施指定此类应用程序使用的策略。
可能的选项包括指定哪些人群可以使用特定代理或远程访问应用程序,然后阻止所有其他访问。
Ø获得对媒体应用程序的控制
应用策略来控制此类应用程序的使用而不会给大部分用户带来麻烦。
可能的选项可以是基于时间的计划表,或用于限制消耗的QoS标记。
Ø实施网络应用可视化和控制
减轻应用程序级别风险的有效方法首先是获得对应用程序通信流量的可视化,其次是了解它,最后是能够创建和实施管理它的策略。
很少的技术可提供某些类型的应用程序所需的的可视化,但只有下一代防火墙才允许组织拥有跨所有应用程序通信流量的可视化,并根据企业需要提供了解、控制和可伸缩性。
因此,我们的建议包括在ForIDC网络中部署PaloAltoNetworks防火墙,并创建适当的应用程序精细策略,以确保应用程序通信流量的可视化并确保根据设定的优先级使用网络。
PaloAlto具备多达1,400种以上应用程序识别能力,并且每周持续发布新增与更新的应用程序识别码,并针对每种应用程序提供丰富的说明信息,有助于制定更为严谨有效的安全策略。
同时PaloAlto针对每一个应用定义行为特性,针对这些行为特性有针对性的解决方式,在APP-ID的基础上结合我们的User-ID技术和Content-ID技术能够使得风险降低到最小。
实施步骤包括:
步骤一:
通过APP-ID了解应用使用情况,包括他的流量、会话排名、风险等级的情况,重新认识及评估正对高危应用的情况。
步骤二:
根据内部IT的规范,阻止和工作无关的应用,从而阻止威胁传播ide途径。
特别是和社区网络、文件共享应用、IM应用等
步骤三:
通过不同应用的行为特性,以及应用使用的情况(使用频度、应用内部重要等级、采用技术),制定相应的防护对策。
如下就是根据每个应用不同的行为特征,可以有针对性的实施对策的方法。
类型
描述
防护对策
滥用倾向
用于恶意目的或很容易配置为暴露超出预期的内容。
例如,SOCKS以及BitTorrent和AppleJuice等更新的应用程序。
●通过User-ID限制使用者范围
●对于白名单应用控制,限制或杜绝不需要的流量经过(杜绝Proxy、Tunnel、P2P类应用)
●通过端口+应用识别+IP颗粒化的范围
传递其他应用程序
能够传输其他应用程序。
例如,SSH和SSL以及Hopster、TOR和RTSP、RTMPT。
●通过User-ID限制使用者范围
●对于SSH,SSL应用采用SSL解码,能够看到加密通道的应用进一步阻断非法应用
●对于具有的Proxy和Security-Tunnel类应用,和逃逸特性应用进行封堵
具有已知的漏洞
应用程序具有已知的漏洞–且通常是攻击
●通过内置威胁防御系统机制进行防御,
●数据中心防御重点是针对IDC服务器端
●对于上网客户端,防御重点包括客户端漏洞
●双向防御特性
传输文件
能够将文件从一个网络传输到另一个网络。
例如FTP和P2P以及网络邮件、在线文件共享应用程序(如MegaUpload和YouSendIt!
)。
●通过User-ID限制使用者范围
●从APP-ID限制文件的传输,如仅仅支持文件download,限制文件Upload
●可以针对文件传输特性进行控制,限制带有Passowd文件传输,限制PE、EXE文件传输,限制图片文件传输等。
被恶意软件利用
曾被用于传播恶意软件、发起攻击或窃取数据。
被恶意软件利用的应用程序包括协同办公软件(电子邮件、IM等)和一般Internet类别(文件共享、Internet实用工具)。
●启动Spyware、病毒扫描,阻断威胁软件的传输
●通过APP-ID及子功能进行精细化限制
●端口+APP严格限定此类软件使用范围
●通过‘下载提醒’-Drivebydownload功能限制后台自动下载文件
●通过botnet检测能够识别异常终端行为(包括服务器)
消耗带宽
应用程序通过正常使用通常消耗1Mbps或更多的带宽。
例如,P2P应用程序,如迅雷和DirectConnect以及媒体应用程序、软件更新和其他业务应用程序。
●限制此类应用在合理范围内,阻止不必要的应用
●通过QOS控制限制带宽使用
具有规避性(逃逸)
将端口或协议用于非其预期目的的其他用途,旨在便于部署或规避现有的安全基础结构。
●通过User-ID限制使用者范围
●必须端口+APP-ID识别限制非法应用借道端口通过行为
普遍使用
●建议增加User-ID控制使用
●通过User-ID+APP-ID的控制限制使用范围