Paloalto网络安全解决方案HA.docxVIP

Paloalto网络安全解决方案北京信诺瑞得信息技术有限公司总页数9正文附录生效日期：编制： 王重人审核：批准：目 录1概述32方案设计32.1拓扑结构33方案说明43.1设备功能简介4概述随着网络的建设，网络规模的扩大，鉴于计算机网络的开放性和连通性，为计算机网络的安全带来极大的隐患，并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生，并对应各种网络的攻击行为，发展出了各种安全设备和各种综合的网络安全方案。零散的网络安全设备的堆砌，对于提高网络的安全性及其有限，因此，如何有效的利用但前的网络设备，合理组合搭配，成为网络安全方案成功的关键。但是，任何方案在开放的网络环境中实施，均无法保证网络系统的绝对安全，只能通过一系列的合理化手段和强制方法，提高网络的相对安全性，将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面，如：设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。在本方案中，我们提出的解决方案主要侧重在于：HA(高可用性)、IPSecVPN 但是paloalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、，以提高网络的安全防御能力，并有效的控制用户上网行为和应用的使用等安全问题。方案设计拓扑结构Internet分公司1PA-4020分公司1PA-4020 总公司PA-4050x2HA方案说明总公司与分公司之间用IPSecVPN连接总公司采用两台paloalto4050组成HA(Active-Active)，提高网络可用性和稳定性设备功能简介Paloalto设备可采用Active-Active和Active-Standby两种模式运行，在本方案中采用Active-Active模式，以便可以最大的发挥设别的性能。并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA，即paloalto可以在完全不影响网络拓扑结构的情况下，串接进入网络并组成HA。Paloalto设备在建立HA后，可以进行session(会话)同步，也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步，并且每条线路还可以再配置冗余。使用paloalto设备建立IPSecVPN隧道，在起到加密作用的同时，还可以在同一设备端口和IP上建立多条隧道包括SSLVPN，并且paloalto设备对其他主流设备品牌有很好的兼容性，例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。在提供稳定的VPN连接和HA之外，paloalto还能提供强大的应用过滤和管理功能，可以极大的节省网络带宽资源。下一代防火墙技术优势识别技术Palo Alto Networks 的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制,这三种技术是:App- ID、User-ID 和Content-ID。App-ID 是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础,进行所有原则决策, 包括适当的用途和内容检查等。 应用程序通讯协定侦测与解密:App-ID 凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用SSL 加密。解密已加密的传输流量, 根据原则进行检查,再重新加密并传送往目的地。 应用程序通讯协定解码:通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。 应用程序签章:内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。 启发学习法:启发学习法或行为分析会依照需要结合其他App-ID 识别技巧,以识别某些规避应用程序, 特别是使用所有权加密的应用程序。User-ID 紧密地整合Palo Alto Networks 新一代防火墙与Active Directory,动态地将IP 位址连结至使用者和群组资讯。藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。 Content-ID 结合即时威胁防范引擎与广泛的URL 资料库和应用程序识别码元素,以限制未经授权的档案传输,侦测并封锁广大的威胁范围以及控制非工作相关的网