Paloalto网络安全解决方案HA.docx
《Paloalto网络安全解决方案HA.docx》由会员分享,可在线阅读,更多相关《Paloalto网络安全解决方案HA.docx(14页珍藏版)》请在冰豆网上搜索。
Paloalto网络安全解决方案HA
Paloalto网络安全解决方案
北京信诺瑞得信息技术有限公司
数"
U
正文
附录
生效日期:
编制:
王重人
审核:
批准:
1概
述
坊
案
设
计
{方
2/
拓扑结构3
案
说
明
11
设备功能简介
12
121识
别
技
术
血整
8
厶
式
威
胁
防
范
划控
8
制
应
用
阻
止
威
胁
1USP3
10
架
构
单
次
完
整
扫
描
泄j网
Id
络
与应
用
漏
洞
攻
击
防
范
概述
随着网络的建设,网络规模的扩大,鉴于计算机网络的开放性和连通性,为计算机网络的安全带来极大的隐患,并因为互联网开放环境以及不完善的网络应用协议导致了各■种网络安全的漏洞。
计算机网络的安全设备和网络安全解决方案由此应运而生,并对应各■种网络的攻击行为,发展出了徉种安全设备和各种综合的网络安全方案。
零散的网络安全设备的堆砌,对于提高网络的安全性及其有限,因此,如何有效的利用但前的网络设备,合理组合搭配,成为网络安全方案成功的关键。
但是,任何方案在开放的网络环境中实施,均无法保证网络系统的绝对安全,只能通过一系列的合理化手段和强制方法,提高网络的相对安全性,将网络受到的危险性攻击行为所造成的损失降到最低。
网络安全问题同样包含多个方面,如:
设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、应用、病毒防护等等。
在本方案中,我们提出的解决方案主要侧重在于:
蝕高可用性)、IPSertM
并有效的控制用户上网行为和应用
但是paloalm同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、ntl的过滤、,以提高网络的安全防御能力,的使用等安全问题。
2方案设计
27拓扑结构
总公司与分公司之间用PSeciPI连接
总公司采用两台palaalteO组成fllQfnve-Acthe),提高网络可用性和稳定
11设备功能简介
PalMlKi设备可采用Activelcnve和Icme-StoiUiv两种模式运行,在本方案中采用Active-lcrive模式,以便可以最大的发挥设别的性能。
并且恻讪0设备可以在VirtaalHiref完全透明状态)、12』任意网络层面开启BL即Rloalto可以在完全不影响网络拓扑结构的情况下,串接进入网络并组成也。
PalMlKi设备在建立肚后,可以进行》血11(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。
并且恻曲川刃使用多达3条线路进行设备的心跳、状态、配置和会话的同步,并且每条线路还可以再配置冗余。
使用则11【0设备建立IPSecVM隧道,在起到加密作用的同时,还可以在同一设备端口和卩上建立多条隧道包括SSim;并且palMlm设备对其他主流设备品牌有很好的兼容性,例如打Jflfli阿、flSW等3层设备都能很好的建立IPSecrn隧道。
在提供稳定的M连接和肚之外,paloalm还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。
12下一代防火墙技术优势
Paliiltdenwki的新一代防火墙系列,使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制弦三种技术是:
A1H、[喇B和tenienrUI.
则血是一项专利申请中的传输流量分类技术,此技术使用髙达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。
然后使用应用程序识别码为基础,进行所有原则决策,包括适当的用途和内容检查等。
应用程序通讯协宦侦测与解密期411凭借深厚的应用程序通讯协运知识,可以识别正在使用的通讯协左以及是否使用SSI加密。
解密已加密的传输流量,根据原则进行检查,再重新加密并传送往目的地。
应用程序通讯协怎解码:
通讯协立解码器会判断应用程序是否便用通讯协立做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范I札并在套用签章时提供有价值的内容。
解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。
应用程序签章:
内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协世及连接端口的情形下,都能正确地识别应用程序。
ACC
Monitor
PoUcies]_呷吟$「「Network
Tirrw疋
QeiF^er
Device]髀Logo
SortTop、
25
AppllotionComrmndCenter
Risk,
Application
或应週的识别
Applications
_iRisk
」jdweb*brcw5mfl
刁fcidfS
imbmmenc
Application
Sessions
Bytes
一4,
旦竺UJgua^nglnaDdBlnanna皿理56176一9i-12-3-t5i67i8gioi2二一----1-1-1-1^1-1-111-222•■
型
insumaenMara
azuteusppstteam
Oidckocardracebook-tese
ntD
Hash
snip记mp
QmjteHaskypwobdvahoo-maHpingunknown-ixlpgmail^basegoogZial/ticsms-update
rs5
119,296匸・
51,914ca28皿□
⑸302g
6,940I
1,83(150(1,303UH—
2伽&6II
14加,509II
199,619X06g
10,878丹】2h
Threats
183
4,6771
2%«2,91211
01
4,2651
113,336.2530
01
3,669I
140,562J160
133
33211
Z9.6M.5M11
01
3,3141
】・2g7221)
01
34031
3L7759.950Cl
01
2,7731
38,885,337G
01
2,3641
405.396II
01
1,9701
22・S83・612II
01
皿61
47&C$1II
01
13X61
23.142,574II
01
1,2481
95.91611
01
1,2291
80,948,7630
01
1,0851
21,549477II
01
1,0531
5,483,25511
01
9401
85.340.429D
01
9221
16,555,45311
01
9191
4,589,521II
01
M紧密地整合Palo11(0teks新一代防火墙打.krtveliwt町励态地将IP位址连结至使用者和群组资讯。
藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用程序和内容。
Dashboard
ACC
Time
Policies
Network
Device
Monitor
25
SetFter
Ai&k
Objects
Sourcedddrett
SourceHostMmi
Source(Her
Bytes
Sessions
1
10.156.1,54
10.15615
7,835,5261
10,502匚■
2
104564.20Of
10.156.t20
pdns9denxi\vonohang.iu
3,068,3451
4.952Q
3
LDJ56.LO.88W
10.155.10.88
pans9demo\carvinJoon$
$,500,0971
3,085Q
4
10,156.10.10
1045640.1
055od«nK\ahnwdg
19,682,8269
2.756Q
5
L0J56.LMtf
10J56.1.84
pMsgderrxA妙an.tang
6,546.5291
2.237D
6
L0JS6.1429&
10J56.H29
OdASpdcfnoXvinccnLjuan
2,337,2861
2,167U
7
10.156.4.95tf
10.156.4.95
pdns9de(no\tfien.dun
1,2WHI31
2,H90
s
tOJ56.I4.1Stf
10J56.HJ5
pansQdernoXchnstDphffJo
牝,803,063a
2.360
9
10456.9.1861#
l0・156,9JM
Ddns0defno\edmufl<]-kwdh
勺5儿5661
U910
JO
10.156.9431
1O.1S6.9J31
pansQdemoOndrev^.sng
10,936.2761
iseg0
In
10,156.9207tf
10456.9,207
Odns9dcmoWic,cvOC
1,457,M91
1,670Q
n
10.156.1430W
10.156.H30
pans9demo^limotnyyam
393,1881
1,6340
13
10,156,91670*
10-156.9467
gns^dwogphoel&ng
13,783797fl
13621
14
L0.1S6.B.200
l0JS6.e.200
pansodemo^edwin^rahsoad
15,304,4781
1.448B
15
10.156.1433tf
10.1S6M33
Dan旳defno'casser.yuM
47M021
1,442B
16
to.156.9.201tf
10.156.^.201
pdnsQdefnoXxia^hikftD
160,562启06t—Mri
J.4”0
1/
L0JS6.6.128tf
10.1566128
oansodemoklhOuan
99,004.956A
1.396B
16
HU56.1428tf
10.156M26
pansoCemoSaddine-balc
320,8021
IM1
19
10.156.6.64rf
10.156.6.84
oansodemoMiavi-cht
393.9341
1.272B
20
10,1564406tf
104564406
O"$9dQmo\gling,[0门9
5,369启861
i,2261
21
L•♦
LDJ56.I4J]rf
IO.156.H31
pan59demo\atThur.lau
1,351.5791
1,168fl
z?
1045640.181序
10・156jai81
pdn59defno\kee.vrai
39$MS1
U571
23
••♦■
rA
1D」56・&19B
・A4、rB
10.156.6