Paloalto网络安全系统解决方案设计HA.docx
《Paloalto网络安全系统解决方案设计HA.docx》由会员分享,可在线阅读,更多相关《Paloalto网络安全系统解决方案设计HA.docx(9页珍藏版)》请在冰点文库上搜索。
Paloalto网络安全系统解决方案设计HA
Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司
总页数
9
正文
附录
生效日期:
编制:
王重人
审核:
批准:
11概述
随着网络的建设,网络规模的扩大,鉴于计算机网络的开放性和连通性,为计算机网络的安全带来极大的隐患,并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。
计算机网络的安全设备和网络安全解决方案由此应运而生,并对应各种网络的攻击行为,发展出了各种安全设备和各种综合的网络安全方案。
零散的网络安全设备的堆砌,对于提高网络的安全性及其有限,因此,如何有效的利用但前的网络设备,合理组合搭配,成为网络安全方案成功的关键。
但是,任何方案在开放的网络环境中实施,均无法保证网络系统的绝对安全,只能通过一系列的合理化手段和强制方法,提高网络的相对安全性,将网络受到的危险性攻击行为所造成的损失降到最低。
网络安全问题同样包含多个方面,如:
设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。
在本方案中,我们提出的解决方案主要侧重在于:
HA(高可用性)、IPSecVPN
但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、,以提高网络的安全防御能力,并有效的控制用户上网行为和应用的使用等安全问题。
21方案设计
12.1拓扑结构
31方案说明
Ø总公司与分公司之间用IPSecVPN连接
Ø总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性
13.1设备功能简介
Paloalto设备可采用Active-Active和Active-Standby两种模式运行,在本方案中采用Active-Active模式,以便可以最大的发挥设别的性能。
并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构的情况下,串接进入网络并组成HA。
Paloalto设备在建立HA后,可以进行session(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。
并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步,并且每条线路还可以再配置冗余。
使用paloalto设备建立IPSecVPN隧道,在起到加密作用的同时,还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好的兼容性,例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。
在提供稳定的VPN连接和HA之外,paloalto还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。
13.2下一代防火墙技术优势
13.2.1识别技术
PaloAltoNetworks的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制,这三种技术是:
App-ID、User-ID和Content-ID。
◆App-ID是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。
然后使用应用程序识别码为基础,进行所有原则决策,包括适当的用途和内容检查等。
✧应用程序通讯协定侦测与解密:
App-ID凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用SSL加密。
解密已加密的传输流量,根据原则进行检查,再重新加密并传送往目的地。
✧应用程序通讯协定解码:
通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。
解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。
✧应用程序签章:
内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。
✧启发学习法:
启发学习法或行为分析会依照需要结合其他App-ID识别技巧,以识别某些规避应用程序,特别是使用所有权加密的应用程序。
◆User-ID紧密地整合PaloAltoNetworks新一代防火墙与ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。
藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。
◆Content-ID结合即时威胁防范引擎与广泛的URL资料库和应用程序识别码元素,以限制XX的档案传输,侦测并封锁广大的威胁范围以及控制非工作相关的网络浏览。
单通道架构使用串流式扫描与一致签章格式的组合,检查传输流量。
Content-ID搭配App-ID运作,利用应用程序识别码,使内容检查程序更有效率。
一组丰富的网络功能,IPSecVPN和管理功能结合App-ID、User-ID和Content-ID做为PAN-OS的主要功能,PAN-OS是控制PaloAltoNetworks新一代防火墙的安全性特定作业系统。
PAN-OS加入自订硬体平台系列,这是专为管理企业网络传输流量设计,针对网络功能、安全性、威胁防护与管理使用功能特定处理程序。
13.2.2整合式威胁防范
当今,企业用户都为自己配备了高速互联网连接与浏览器,使之可立即访问最新最好的网络应用程序。
但大多数用户都不知道,许多此类新应用程序正是威胁矢量,他们使企业网络陷于业务风险之中,包括网络停机、数据丢失及业务成本增加。
多数此类新型威胁都是针对财务收益,也就意味着隐密性与创新性才是黑客攻击致胜的法宝。
由于安全经理面对的威胁挑战日益增多,鉴于其采用“发现一个安全问题,部署一台新设备”的原则,使得其安全架构也越来越庞大。
但,由于缺乏对各解决方案功能性的协调、管理界面的不一致以及性能低下,都导致了此类部署的失败。
更重要的是,此类基于部门的安全模块并不能重点解决黑客利用企业安全方案中“未能对当前终端用户所使用的各种应用程序访问进行检查”这一漏洞。
PaloAltoNetworks的下一代防火墙可向安全管理员提供两个防范威胁的扩展解决方案。
首先,识别并控制网络中的应用程序,并减少威胁范围,而后,检查单通道中许可应用程序中是否感染了病毒、间谍软件或遭受了漏洞攻击。
13.2.3控制应用,阻止威胁
为避免企业网络受到威胁攻击,首先要做到的就是重新获得网络中应用程序使用的可视性与控制性,即:
利用准专利流量分类技术App-ID明确的了解网络中采用任何端口、协议、SSL或逃避技术的应用程序使用情况。
利用App-ID生成的应用程序标识可对威胁探测解决方案起到两大关键作用。
应用程序标识,及其描述、特性与使用者都可为安全管理员决定如何利用策略控制应用程序时,提供进一步依据。
对于企业网络、P2P文件共享或circumventor中业务不需要的应用程序则可简单阻止。
允许使用的应用程序则应做出标识,并实施细粒度级控制,而后对其进行病毒、间谍软件与漏洞攻击检查。
App-ID的第二个威胁防范作用为可通过破译应用程序提高检查幅度与精准性,然后再将其重新组合并分析,了解其内容,以便于各种类型威胁的检查。
然而,传统的基于端口的解决方案采用的是单一的分类技术(协议/端口)识别流量,而App-ID则可利用其一项甚至多项此类技术-即:
应程序协议探测与解密,应用程序破译、应用程序签名及启发式分析对所有通过防火墙的流量进行检查,迅速识别与各数据包流相关的应用程序。
通过查看应用程序,而非仅查看端口或协议,App-ID可识别出那些可避开安全检查的应用程序。
13.2.4SP3架构:
单次完整扫描
PaloAlto网络威胁防范引擎基于SP3架构,集成了多种创新性特性,在一次流量监测中队所有流量是否有病毒、间谍软件及漏洞攻击进行监测。
消除了传统防火墙和UTM的对于不同功能必须多次监测多次封装的问题,提高转发效率,减少延时。
◆统一签名格式:
与其它方案针对各类型威胁采用各异的扫描引擎及签名不同,PaloAltoNetworks采用统一的威胁引擎与签名格式,探测与阻止各种恶意软件,同时又可动态性的降低延时。
◆基于串流的威胁扫描:
病毒、间谍软件与漏洞防范都是通过基于串流的扫描实现,该技术从收到文件的首个数据包开始执行扫描,而无需待整个文件都上载到内存后才开始扫描。
此技术可即时接收、扫描与发送流量至指定目的地,且无需受限于进行首次缓冲后才能扫描文件的设计,因此消除了传统的代理服务器的性能与延时问题。
相反,传统的基于文件的AV引擎仅会在收到整个文件并缓存至内存后方可开始扫描,直至扫描结束,并被认为是干净的文件后才会释放。
传统的基于文件的威胁防范不仅极大的影响了性能造成延时,通常还会导致连接超时,并需等待文件全部传输完成后才能扫描的缺点。
13.2.5网络与应用漏洞攻击防范:
集成了统一签名格式的入侵防护系统(IPS)的特性包括:
可阻止已知与未知网络与应用层漏洞攻击,避免其危胁与损害企业信息源。
在对流量进行单次病毒与间谍软件扫描时,还同时探测漏洞攻击、缓冲溢流、DoS攻击与端口扫描,其中采用的是已经过验证的威胁探测与防范(IPS)机制,包括:
◆非正常协定行为防范可探测到违反RFC协定的应用,如:
使用过长URI或过长FTP登录。
◆状态模式匹配功能可探测数据包是否受到攻击,并将到达顺序等因素考虑在内。
◆异常统计探测可防止基于速率的DoS洪流攻击。
◆启发式分析可探测到异常数据包与流量模式,如:
端口扫描与hostsweep。
◆其它攻击防范能力,如:
阻止无效或畸形数据包,封包重组(IPdefragmentationandTCPreassembly),都可保护企业网络免受黑客利
用逃避及模糊法实施的攻击。
升级会员 