Paloalto网络安全解决方案HA.docx

Paloalto网络安全解决方案HA.docx

《Paloalto网络安全解决方案HA.docx》由会员分享，可在线阅读，更多相关《Paloalto网络安全解决方案HA.docx（14页珍藏版）》请在冰豆网上搜索。

Paloalto网络安全解决方案HA

Paloalto网络安全解决方案

北京信诺瑞得信息技术有限公司

数"

U

正文

附录

生效日期：

编制：

王重人

审核：

批准：

1概

述

坊

案

设

计

｛方

2/

拓扑结构3

案

说

明

11

设备功能简介

12

121识

别

技

术

血整

8

厶

式

威

胁

防

范

划控

8

制

应

用

阻

止

威

胁

1USP3

10

架

构

单

次

完

整

扫

描

泄j网

Id

络

与应

用

漏

洞

攻

击

防

范

概述

随着网络的建设，网络规模的扩大，鉴于计算机网络的开放性和连通性，为计算机网络的安全带来极大的隐患，并因为互联网开放环境以及不完善的网络应用协议导致了各■种网络安全的漏洞。

计算机网络的安全设备和网络安全解决方案由此应运而生，并对应各■种网络的攻击行为，发展出了徉种安全设备和各种综合的网络安全方案。

零散的网络安全设备的堆砌，对于提高网络的安全性及其有限，因此，如何有效的利用但前的网络设备，合理组合搭配，成为网络安全方案成功的关键。

但是，任何方案在开放的网络环境中实施，均无法保证网络系统的绝对安全，只能通过一系列的合理化手段和强制方法，提高网络的相对安全性，将网络受到的危险性攻击行为所造成的损失降到最低。

网络安全问题同样包含多个方面，如：

设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、应用、病毒防护等等。

在本方案中，我们提出的解决方案主要侧重在于：

蝕高可用性）、IPSertM

并有效的控制用户上网行为和应用

但是paloalm同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、ntl的过滤、，以提高网络的安全防御能力，的使用等安全问题。

2方案设计

27拓扑结构

总公司与分公司之间用PSeciPI连接

总公司采用两台palaalteO组成fllQfnve-Acthe）,提高网络可用性和稳定

11设备功能简介

PalMlKi设备可采用Activelcnve和Icme-StoiUiv两种模式运行，在本方案中采用Active-lcrive模式，以便可以最大的发挥设别的性能。

并且恻讪0设备可以在VirtaalHiref完全透明状态）、12』任意网络层面开启BL即Rloalto可以在完全不影响网络拓扑结构的情况下，串接进入网络并组成也。

PalMlKi设备在建立肚后，可以进行》血11（会话）同步，也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。

并且恻曲川刃使用多达3条线路进行设备的心跳、状态、配置和会话的同步，并且每条线路还可以再配置冗余。

使用则11【0设备建立IPSecVM隧道，在起到加密作用的同时，还可以在同一设备端口和卩上建立多条隧道包括SSim；并且palMlm设备对其他主流设备品牌有很好的兼容性，例如打Jflfli阿、flSW等3层设备都能很好的建立IPSecrn隧道。

在提供稳定的M连接和肚之外，paloalm还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。

12下一代防火墙技术优势

Paliiltdenwki的新一代防火墙系列，使用三种独特的识别技术对应用程序、使用者和内容提供原则式可见度和控制弦三种技术是:

A1H、［喇B和tenienrUI.

则血是一项专利申请中的传输流量分类技术,此技术使用髙达四种不同的辨识技术，可以确认哪个应用程序在网络上周游。

然后使用应用程序识别码为基础,进行所有原则决策，包括适当的用途和内容检查等。

应用程序通讯协宦侦测与解密期411凭借深厚的应用程序通讯协运知识，可以识别正在使用的通讯协左以及是否使用SSI加密。

解密已加密的传输流量,根据原则进行检查,再重新加密并传送往目的地。

应用程序通讯协怎解码:

通讯协立解码器会判断应用程序是否便用通讯协立做为一般应用程序传输或是混淆的技术，它们会协助尽量缩小应用程序的范I札并在套用签章时提供有价值的内容。

解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。

应用程序签章:

内容式签章会寻找独特的应用程序属性以及相关的交易特性，无论正在使用哪一种通讯协世及连接端口的情形下，都能正确地识别应用程序。

ACC

Monitor

PoUcies]_呷吟$「「Network

Tirrw疋

QeiF^er

Device]髀Logo

SortTop、

25

AppllotionComrmndCenter

Risk,

Application

或应週的识别

Applications

_iRisk

」jdweb*brcw5mfl

刁fcidfS

imbmmenc

Application

Sessions

Bytes

一4,

旦竺UJgua^nglnaDdBlnanna皿理56176一9i-12-3-t5i67i8gioi2二一----1-1-1-1^1-1-111-222•■

型

insumaenMara

azuteusppstteam

Oidckocardracebook-tese

ntD

Hash

snip记mp

QmjteHaskypwobdvahoo-maHpingunknown-ixlpgmail^basegoogZial/ticsms-update

rs5

119,296匸・

51,914ca28皿□

⑸302g

6,940I

1,83（150（1,303UH—

2伽&6II

14加,509II

199,619X06g

10,878丹】2h

Threats

183

4,6771

2%«2,91211

01

4,2651

113,336.2530

01

3,669I

140,562J160

133

33211

Z9.6M.5M11

01

3,3141

】・2g7221）

01

34031

3L7759.950Cl

01

2,7731

38,885,337G

01

2,3641

405.396II

01

1,9701

22・S83・612II

01

皿61

47&C$1II

01

13X61

23.142,574II

01

1,2481

95.91611

01

1,2291

80,948,7630

01

1,0851

21,549477II

01

1,0531

5,483,25511

01

9401

85.340.429D

01

9221

16,555,45311

01

9191

4,589,521II

01

M紧密地整合Palo11（0teks新一代防火墙打.krtveliwt町励态地将IP位址连结至使用者和群组资讯。

藉由对使用者活动的可见度，企业可以根据储存在使用者存放库内的使用者和群组资讯，监视和控制在网络上周游的应用程序和内容。

Dashboard

ACC

Time

Policies

Network

Device

Monitor

25

SetFter

Ai&k

Objects

Sourcedddrett

SourceHostMmi

Source（Her

Bytes

Sessions

1

10.156.1,54

10.15615

7,835,5261

10,502匚■

2

104564.20Of

10.156.t20

pdns9denxi\vonohang.iu

3,068,3451

4.952Q

3

LDJ56.LO.88W

10.155.10.88

pans9demo\carvinJoon$

$,500,0971

3,085Q

4

10,156.10.10

1045640.1

055od«nK\ahnwdg

19,682,8269

2.756Q

5

L0J56.LMtf

10J56.1.84

pMsgderrxA妙an.tang

6,546.5291

2.237D

6

L0JS6.1429&

10J56.H29

OdASpdcfnoXvinccnLjuan

2,337,2861

2,167U

7

10.156.4.95tf

10.156.4.95

pdns9de（no\tfien.dun

1,2WHI31

2,H90

s

tOJ56.I4.1Stf

10J56.HJ5

pansQdernoXchnstDphffJo

牝,803,063a

2.360

9

10456.9.1861#

l0・156,9JM

Ddns0defno\edmufl<]-kwdh

勺5儿5661

U910

JO

10.156.9431

1O.1S6.9J31

pansQdemoOndrev^.sng

10,936.2761

iseg0

In

10,156.9207tf

10456.9,207

Odns9dcmoWic，cvOC

1,457,M91

1,670Q

n

10.156.1430W

10.156.H30

pans9demo^limotnyyam

393,1881

1,6340

13

10,156,91670*

10-156.9467

gns^dwogphoel&ng

13,783797fl

13621

14

L0.1S6.B.200

l0JS6.e.200

pansodemo^edwin^rahsoad

15,304,4781

1.448B

15

10.156.1433tf

10.1S6M33

Dan旳defno'casser.yuM

47M021

1,442B

16

to.156.9.201tf

10.156.^.201

pdnsQdefnoXxia^hikftD

160,562启06t—Mri

J.4”0

1/

L0JS6.6.128tf

10.1566128

oansodemoklhOuan

99,004.956A

1.396B

16

HU56.1428tf

10.156M26

pansoCemoSaddine-balc

320,8021

IM1

19

10.156.6.64rf

10.156.6.84

oansodemoMiavi-cht

393.9341

1.272B

20

10,1564406tf

104564406

O"$9dQmo\gling,[0门9

5,369启861

i,2261

21

L•♦

LDJ56.I4J]rf

IO.156.H31

pan59demo\atThur.lau

1,351.5791

1,168fl

z?

1045640.181序

10・156jai81

pdn59defno\kee.vrai

39$MS1

U571

23

••♦■

rA

1D」56・&19B

・A4、rB

10.156.6