Paloalto網絡安全解決方案北京信諾瑞得信息技術有限公司總頁數11正文 附錄 生效日期:編制：王重人審核:批準:TOC\o"1-5"\h\z\o"CurrentDocument"概述 3方案設計 3拓撲結構 3\o"CurrentDocument"方案說明 4\o"CurrentDocument"設備功能簡介 4Paloalto 網絡安全解決方案Paloalto 網絡安全解決方案北京信諾瑞得信息技術有限公司 第頁共11頁1概述隨著網絡的建設，網絡規模的擴大，鑒于計算機網絡的開放性和連通性， 為計算機網絡的安全帶來極大的隱患，并因為互聯網開放環境以及不完善的網絡應用協議導致了各種網絡安全的漏洞。計算機網絡的安全設備和網絡安全解決方案由此應運而生，并對應各種網絡的攻擊行為，發展出了各種安全設備和各種綜合的網絡安全方案。 零散的網絡安全設備的堆砌，對于提高網絡的安全性及其有限，因此，如何有效的利用但前的網絡設備，合理組合搭配，成為網絡安全方案成功的關鍵。但是，任何方案在開放的網絡環境中實施， 均無法保證網絡系統的絕對安全， 只能通過一系列的合理化手段和強制方法， 提高網絡的相對安全性，將網絡受到的危險性攻擊行為所造成的損失降到最低。網絡安全問題同樣包含多個方面，如：設備的安全、鏈路的冗余、網絡層的安全、應用層的安全、用戶的認證、數據的安全、 VPN應用、病毒防護等等。在本方案中，我們提出的解決方案主要側重在于： HA（高可用性）、IPSecVPN但是paloalto同時也能解決網絡層安全、訪問控制的實現、病毒的防護、間諜軟件的防護、入侵的防護、URL的過濾、，以提高網絡的安全防御能力，并有效的控制用戶上網行為和應用的使用等安全問題。方案設計拓撲結構方案說明?總公司與分公司之間用IPSecVPN連接?總公司采用兩臺paloalto4050組成HA(Active-Active),提高網絡可用性和穩定性設備功能簡介Paloalto設備可采用Active-Active和Active-Standby兩種模式運行，在本方案中采用Active-Active模式，以便可以最大的發揮設別的性能。并且paloalto設備可以在VirtualWire(完全透明狀態卜L2、L3任意網絡層面開啟HA,即paloalto可以在完全不影響網絡拓撲結構的情況下，串接進入網絡并組成HA。Paloalto設備在建立HA后，可以進行session白話)同步，也就是說在一臺設備故障時另一臺 設備可以再會話不中斷的情況下進行設備切換。并且paloalto4050使用多達3條線路進行設備的心跳、狀態、配置和會話的同步，并且每條線路還可以再配置冗余。使用paloalto設備建立IPSecVPN隧道，在起到加密作用的同時，還可以在同一設備端口和IP上建立多條隧道包括SSLVPN,并且paloalto設備對其他主流設備品牌有很好的兼容性，例如與Juniper、CISCO等3層設備都能很好的建立IPSecVPN隧道。在提供才I定的VPN連接和HA之外，paloalto還能提供強大的應用過濾和管理功能，可以極大的節省網絡帶寬資源。下一代防火墻技術優勢識別技術PaloAltoNetworks的新一代防火墻系列，使用三種獨特的識別技術對應用程序、使用者和內容提供原則式可見度和控制 ，這三種技術是：App-ID、User-ID和Content-ID。App-ID是一項專利申請中的傳輸流量分類技術 ，此技術使用高達四種不同的辨識技術，可以確認哪個應用程序在網絡上周游。然后使用應用程序識別碼為基礎 ，進行所有原則決策，包括適當的用途和內容檢查等。應用程序通訊協定偵測與解密：App-ID憑借深厚的應用程序通訊協定知識，可以識別正在使用的通訊協定以及是否使用 SSL加密。解密已加密的傳輸流量，根據原則進行檢查，再重新加密并傳送往目的地。應用程序通訊協定解碼：通訊協定解碼器會判斷應用程序是否使用通訊協定做為一般應用程序傳輸或是混淆的技術 ，它們會協助盡量縮小應用程序的范圍 ，并在套用簽章時提供有價值的內容。解碼器也會識別應該掃描威脅或敏感資料的檔案和其他內容。應用程序簽章：內容式簽章會尋找獨特的應用程序屬性以及相關的交易特性 ，無論正在使用哪一種通訊協定及連接端口的情形下 ，都能正確地識別應用程序。啟發學習法：啟發學習法或行為分析會依照需要結合其他 App-ID識別技巧，以識別某些規避應用程序，特別是使用所有權加密的應用程序。User-ID緊密地整合PaloAltoNetworks新一代防火墻與 ActiveDirectory,動態地將IP位址連結至使用者和群組資訊。User-ID緊密地整合PaloAltoNetworks新一代防火墻與 ActiveDirectory,動態地將IP位址連結至使用者和群組資訊。藉由對使用者活動的可見度，企業可以根據儲存在使用者存放庫內的使用者和群組資訊,監視和控制在網絡上周游的應用程RiskApjilicMian Se&siont 」ayre(Thiwtai 1Qwefr-hrw^no119.2%I?1350.500..303匚:^■—IfiJ室ST^H；*21,^1666：1J1回遇耳，ni也騙*鉗q?airi,舞序為？ni和聞丸。mnaiir^i.iHicienc-idora他lL0加MIIati的JXUEW7r2七洲工91210Iog況陽E<￡6511U?I0￡lu匕jch!?D3rdtlHl.5t2.nbn13Qrac他口*ba證X321t29,674.55^10[|nnw3,314[Id眄2i0I|n又1Q3T317?55.955ISQ1osmtp53I38W51J7：Qil.用icnllD乙卅rM5J究1；Q1uqulJIdL97O122S33W1aI1.uJk印小口汕LL426I47B.Ml101|■1,316II23,14237q101Elpnq1,2441幅914|i01-ouudp1,22918D,54B.763：0i|13nqmai-tMselr0B5121.549.1771QH_￡>qMU鼻事記i.053r5.+B32551Q1二1oEupdate540?S5.34C.429E01uPK922I1C,55545m0ilnaa9191明湖劈1IIC1序和內容。address零QUEeM&sAN口EScSurteUserBytesSAsians-1L.1S=.15LiLC.iS&.i.S口需i州dermmnFshao7.635i261ID.M2LJHLQ.15K.120aL(M5mu口抑耶何聞u1066強寫14r9S211LC.15i.12.S8ELD.156.Lg.3S口mn&Qdwirxi\0v1n.loonc?rbD0,097i3,035014IC.156.1D.1日10,156.14).1,p4n9pdema\ahiTiad.yanfiAisJ2,7S€IILD.156.I..B4pans^dcrm\^antare①54652912,237DLC.15A.M.29U10.156^.25panfflHdefrn\wnceiL^n2f337,286I2ptfi?11LE.15S,4.55甯L心德“Hpm/1和ea\g日歸幽ani..2M,41312rHGt*10.1516.14.ISpaisQdana\chrt￡Dp-erJa-44.W3,ia63口2rO3￡a1.01156.9.1860tO.156.91S6口前曰llWfldkwdn4皿物11,?11LC.155.9.131rfLO.JI56.5.131(jan&Qdeinci\andpew.f口lC1..91Et.27&ii.&ga10,156.920710.I56,S207口抑洶甘iLi5h族1,457.ne9iII.12LD454.14.3H].LD.i5&-i4.3Opan^era\Bimtny.^T-393rLB8I1,634a1C.155,9167tftO.156.51S7口加皆加ntr*haeL值ng13,783,797i工於2ilLBUSfiMN口口Mpmii即叁加3\二!血二roJia-zadI5.3M/478E],+qan33iflL0,i56.L433pansgdefrx]\casp￡r_^ung471^02I1他uIC.15fi,9.201tfED.15G.^.2di]p^n^gd￡fna\iiaJiJdteLfi{]..5i62.B061_]f427D蟾倒^42B.i0.iS6.t.12Span5^demo\lL<3Ljan9g刀M始6口■1,?￡DjfiLQ.156,112ftE?10.156,K26口d"煙（emo、蠲1白上世0*32ChflO21IMu19LC.155.6.34臼LD.156.e.B*pan&Gderrxi\^i.dilM3rS34I1.2720LG.156,LIOS由L0.156.Li06口卻必?口/ong5,369,5861MLE.15&.L4.31國E.D.15i5A<q.33pansgdema'^arfni^1.lauL.35L.579I]rL?fiDL0,lS6.tC.1Sl國10,15640,181pansgdema\hre.副3W,0S51lrt5?n23LE.156.B.I9S圖[0.1SiB.B.19Spam唾e?\m15rti.gaw也E望1鋁31lr144D1n1￡j￡,1、dLI津s-ntLf.S1>￡n,■h k，."r?■1r■jtnoajii/i,minTopiSnurCMContent-ID結合即時威脅防范引擎與廣泛的 URL資料庫和應用程序識別碼元素以限制未經授權的檔案傳輸，偵測并封鎖廣大的威脅范圍以及控制非工作相關的網絡瀏覽。單通道架構使用串流式掃描與一致簽章格式的組合 ，檢查傳輸流量。Content-ID搭配App-ID運作，利用應用程序識別碼，使內容檢查程序更有效率。URLFilteringCategoryScsiansBvtesv*rbp8dvril|yerrn*iiS13.9P2074用弭5901t心EpJtR--anOMnteriS-lhfd%白附口146,441,413.JedLcet'D什ml”。sttutcinsB/內L2耳9733祐上4bnWnf^nr卡irrmv民（iq習rirfficfiping7,762□143,?o2r7B4□6IMrSflddonuins7,^5U72,455al21■ntbnef,portal5九鉞［1姒092,45318「回心andHT奄s,hHn63,L95r232]9ssrch-erqines5田才071LS8,94384,97an的1*小6111Isociil-netwo^ir^其惻114LWE11unkfi口時E3,066U161^09,341口過「earn 口daWlD結I14refcraxe■卻d■圖semehI碼749.6771training4ndcools1,C23D1Sr157,762JeilertdliTTL刈P10r?97rT0211/maetyL?U20JS42/411Rs「tentdulhery-ne^v^-ks],1?2D2函70S119nav；aresfKLflseFi5?購「陋I20goveimmiitmII時工咻6403也XdMd-StB911II24r263p4M11X占JtUCH科fi24IIgr4SSr7041i.Jcn1nepcrasizd-storageH16II29fH7f830124loca-irfcmnation日加II%S3一m1IcJJ761II11J97JZ21ThreatPrevieinti&nThrwl10TVPOSum1HTTP0PTJ0N51^1-jdW5Mvijlnsrjbi*￥”1 .1WC21WMlURL9dh￡MUtt9cM)8dMMM19"□in/如4?丫540?Mijn毒fL訃iLHTTP蟻廿不同Cofih5.：'*?：」＞「例u「」QrVUi^!L,-jlJi'i'Y卻居4?由ssbgHGJ2SS0Yuinerab陋14QAcobePAFteWiEmtekfed百一以3加1vuinixJdJiWY6:L二?n：■!:-：I」;「upd^r-j-t2t)?=Tl^i'；iosjg印mar電6GHEH3ar_10_0_3&S：Geti~-jgeRfiqueSU-9MspifWam41工mu”VrrjE^VJinll.lAtta2CI1WIvlniE4BHTTPW3￡ti^bruQcnfilDn啟ectoedMl以2svuln白mbi!i\2E1:%升.hiTroianiJeirrarneca2544MvirusZG[11Ml二足-ftUS^am3le5c■■ptsArttrarrFil?dschMsmVlTiecabll牛3O3Z3viJnerabi，*Z[ M^W^SearchTmltwstartL?canriur-adan107M印Eat窄Z[\13TrciamJ與胸entj3渣得不virusZIDataFlltariinfKameTypeCountL1"皿6QQ3data2112Confidam.郭期門申口CCHtaf60001daU11134MotwPortaMe Fanr4t(PDF52021filei?3nMcfosoftWfld52001fi*40J52000fi"nj■jUP52001file75口F52005fileX1；Mt出qflWMd52(112fileV)iIC胃incto由，EkhuSM(EK)5202。Hitto.一組豐富的網絡功能，IPSecVPN和管理功能結合App-ID、User-ID和Content-ID做為PAN-OS的主要功能，PAN-OS是控制PaloAltoNetworks 新一代防火墻的安全性特定作

業系統。PAN-OS加入自訂硬體平臺系列，這是專為管理企業網絡傳輸流量設計，針對網絡功能、安全性、威脅防護與管理使用功能特定處理程序。整合式威脅防范當今，企業用戶都為自己配備了高速互聯網連接與瀏覽器， 使之可立即訪問最新最好的網絡應用程序。 但大多數用戶都不知道，許多此類新應用程序正是威脅矢量，他們使企業網絡陷于業務風險之中，包括網絡停機、數據丟失及業務成本增加。多數此類新型威脅都是針對財務收益， 也就意味著隱密性與創新性才是黑客攻擊致勝的法寶。由于安全經理面對的威脅挑戰日益增多，鑒于其采用“發現一個安全問題，部署一臺新設備”的原則，使得其安全架構也越來越龐大。 但，由于缺乏對各解決方案功能性的協調、管理界面的不一致以及性能低下，都導致了此類部署的失敗。 更重要的是，此類基于部門的安全模塊并不能重點解決黑客利用企業安全方案中 “未能對當前終端用戶所使用的各種應用程序訪問進行檢查”這一漏洞。PaloAltoNetworks 的下一代防火墻可向安全管理員提供兩個防范威脅的擴展解決方案。首先，識別并控制網絡中的應用程序，并減少威脅范圍，而后，檢查單通道中許可應用程序中是否感染了病毒、間諜軟件或遭受了漏洞攻擊。控制應用，阻止威脅為避免企業網絡受到威脅攻擊，首先要做到的就是重新獲得網絡中應用程序使用的可視性與控制性，即：利用準專利流量分類技術App-ID明確的了解網絡中采用任何端口、 協議、SSL或逃避技術的應用程序使用情況。 利用App-ID生成的應用程序標識可對威脅探測解決方案起到兩大關鍵作用。 應用程序標識，及其描述、特性與使用者都可為安全管理員決定如何利用策略控制應用程序時，提供進一步依據。 對于企業網絡、 P2P文件共享或circumventor中業務不需要的應用程序則可簡單阻止。 允許使用的應用程序則應做出標識，并實施細粒度級控制，而后對其進行病毒、間諜軟件與漏洞攻擊檢查。 App-ID的第二個威脅防范作用為可通過破譯應用程序提高檢查幅度與精準性，然后再將其重新組合并分析，了解其內容，以便于各種類型威脅的檢查。然而，傳統的基于端口的解決方案采用的是單一的分類技術（協議 /端口）識別流量，而App-ID則可利用其一項甚至多項此類技術 -即：應程序協議探測與解密，應用程序破譯、應用程序簽名及啟發式分析對所有通過防火墻的流量進行檢查， 迅速識別與各數據包流相關的應用程序。通過查看應用程序，而非僅查看端口或協議， App-ID可識別出那些可避開安全檢查的應用程序。SP3架構：單次完整掃描PaloAlto網絡威脅防范引擎基于SP3架構，集成了多種創新性特性，在一次流量監測中