Paloalto網(wǎng)絡(luò)安全項(xiàng)目解決方案HA

Paloalto網(wǎng)絡(luò)安全解決方案信諾瑞得信息技術(shù)總頁(yè)數(shù)11正文附錄生效日期：王重人1概述32方案設(shè)計(jì)32.1拓?fù)浣Y(jié)構(gòu)33方案說(shuō)明43.1設(shè)備功能簡(jiǎn)介4隨著網(wǎng)絡(luò)的建設(shè)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，鑒于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性和連通性，為計(jì)算機(jī)網(wǎng)絡(luò)的安全帶來(lái)極大的隱患，并因?yàn)榛ヂ?lián)網(wǎng)開(kāi)放環(huán)境以與不完善的網(wǎng)絡(luò)應(yīng)用協(xié)議導(dǎo)致了各種網(wǎng)絡(luò)安全的漏洞。計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)備和網(wǎng)絡(luò)安全解決方案由此應(yīng)運(yùn)而生，并對(duì)應(yīng)各種網(wǎng)絡(luò)的攻擊行為，發(fā)展出了各種安全設(shè)備和各種綜合的網(wǎng)絡(luò)安全方案。零散的網(wǎng)絡(luò)安全設(shè)備的堆砌，對(duì)于提高網(wǎng)絡(luò)的安全性與其有限，因此，如何有效的利用但前的網(wǎng)絡(luò)設(shè)備，合理組合搭配，成為網(wǎng)絡(luò)安全方案成功的關(guān)鍵。但是，任何方案在開(kāi)放的網(wǎng)絡(luò)環(huán)境中實(shí)施，均無(wú)法保證網(wǎng)絡(luò)系統(tǒng)的絕對(duì)安全，只能通過(guò)一系列的合理化手段和強(qiáng)制方法，提高網(wǎng)絡(luò)的相對(duì)安全性，將網(wǎng)絡(luò)受到的危險(xiǎn)性攻擊行為所造成的損失降到最低。網(wǎng)絡(luò)安全問(wèn)題同樣包含多個(gè)方面，如：設(shè)備的安全、鏈路的冗余、網(wǎng)絡(luò)層的安全、應(yīng)用層的安全、用戶(hù)的認(rèn)證、數(shù)據(jù)的安全、VPN應(yīng)用、病毒防護(hù)等等。在本方案中，我們提出的解決方案主要側(cè)重在于：HA（高可用性）、IPSecVPN但是paloalto同時(shí)也能解決網(wǎng)絡(luò)層安全、訪問(wèn)控制的實(shí)現(xiàn)、病毒的防護(hù)、間諜軟件的防護(hù)、入侵的防護(hù)、URL的過(guò)濾、，以提高網(wǎng)絡(luò)的安全防御能力，并有效的控制用戶(hù)上網(wǎng)行為和應(yīng)用的使用等安全問(wèn)題。2方案設(shè)計(jì)2.1拓?fù)浣Y(jié)構(gòu)3方案說(shuō)明>總公司與分公司之間用IPSecVPN連接>總公司采用兩臺(tái)paloalto4050組成HA（Active-Active），提高網(wǎng)絡(luò)可用性和穩(wěn)定性3.1設(shè)備功能簡(jiǎn)介Paloalto設(shè)備可采用Active-Active和Active-Standby兩種模式運(yùn)行，在本方案中采用Active-Active模式，以便可以最大的發(fā)揮設(shè)別的性能。并且paloalto設(shè)備可以在VirtualWire（完全透明狀態(tài)）、L2、L3任意網(wǎng)絡(luò)層面開(kāi)啟HA，即paloalto可以在完全不影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，串接進(jìn)入網(wǎng)絡(luò)并組成HA。Paloalto設(shè)備在建立HA后，可以進(jìn)行session（會(huì)話）同步，也就是說(shuō)在一臺(tái)設(shè)備故障時(shí)另一臺(tái)設(shè)備可以再會(huì)話不中斷的情況下進(jìn)行設(shè)備切換。并且paloalto4050使用多達(dá)3條線路進(jìn)行設(shè)備的心、跳、狀態(tài)、配置和會(huì)話的同步，并且每條線路還可以再配置冗余。使用paloalto設(shè)備建立IPSecVPN隧道，在起到加密作用的同時(shí)，還可以在同一設(shè)備端口和IP上建立多條隧道包括SSLVPN，并且paloalto設(shè)備對(duì)其他主流設(shè)備品牌有很好的兼容性，例如與Juniper、CISCO等3層設(shè)備都能很好的建立IPSecVPN隧道。在提供穩(wěn)定的VPN連接和HA之外，paloalt。還能提供強(qiáng)大的應(yīng)用過(guò)濾和管理功能，可以極大的節(jié)省網(wǎng)絡(luò)帶寬資源。3.2下一代防火墻技術(shù)優(yōu)勢(shì)識(shí)別技術(shù)者和容提供原則式可見(jiàn)度和控制，這三種技術(shù)是:App-ID、User-ID和Content-ID。?App-ID是一項(xiàng)專(zhuān)利申請(qǐng)中的傳輸流量分類(lèi)技術(shù)，此技術(shù)使用高達(dá)四種不同的辨識(shí)技術(shù)，可以確認(rèn)哪個(gè)應(yīng)用程序在網(wǎng)絡(luò)上周游。然后使用應(yīng)用程序識(shí)別碼為基礎(chǔ)，進(jìn)行所有原則決策，包括適當(dāng)?shù)挠猛竞腿輽z查等。?應(yīng)用程序通訊協(xié)定偵測(cè)與解密：App-ID憑借深厚的應(yīng)用程序通訊協(xié)定知識(shí)，可以識(shí)別正在使用的通訊協(xié)定以與是否使用SSL加密。解密已加密的傳輸流量,根據(jù)原則進(jìn)行檢查,再重新加密并傳送往目的地。?應(yīng)用程序通訊協(xié)定解碼：通訊協(xié)定解碼器會(huì)判斷應(yīng)用程序是否使用通訊協(xié)定做為一般應(yīng)用程序傳輸或是混淆的技術(shù)，它們會(huì)協(xié)助盡量縮小應(yīng)用程序的圍，并在套用簽章時(shí)提供有價(jià)值的容。解碼器也會(huì)識(shí)別應(yīng)該掃描威脅或敏感資料的檔案和其他容。?應(yīng)用程序簽章：容式簽章會(huì)尋找獨(dú)特的應(yīng)用程序?qū)傩砸耘c相關(guān)的交易特性，無(wú)論正在使用哪一種通訊協(xié)定與連接端口的情形下,都能正確地識(shí)別應(yīng)用程序。?啟發(fā)學(xué)習(xí)法：?jiǎn)l(fā)學(xué)習(xí)法或行為分析會(huì)依照需要結(jié)合其他App-ID識(shí)別技巧，以識(shí)別某些規(guī)避應(yīng)用程序，特別是使用所有權(quán)加密的應(yīng)用程序。AppuauoriComnwntfCenter 蜂維曜哈骨 4AppEkati&nApplicationsRisk邸網(wǎng)cation$心55>B￥t?Threats.1B?web-b^owsmg119"1月切伽SHIJJHJ1_—.□￡>drs5L914口|23.561.666II013bittorrentn14,醐5A91gI到l?r3O2n199,BL』。北B0Iinsumcient-dais加9的niq婀9邛IIgl6azuneu-54r077124.WZ.912IIjol'7t113,336,253Qnl目blackboard3,6S9E13□3racfbaok-base3,3Z1[西，血％55T1。1Wntp3,314[1,2(1^,72210J；］Hash3403[317,759,950Q0112Sllllp2,773E3S.1B5.3370oi23icmp2,364E^O5,W6101gnuBllaL,97fl?22,EB3,61210115skyntprobe47B.M11：01i6v^D-mall1,3IfiI23.142,57110]17pingLr2A8r95,916II01■3unkhowrr-udp1,2Z9IE0,94S,7fi300]19gmalkbasg中85121,549.177101罰goog盡』|』也1LfQ53E5,483,255II0J21ms-updabe940J85,340.4290a1-：-.FEE922kL6,E5S,4531Q1|-q□d91914589.521II0!lUser-ID緊密地整合PaloAltoNetworks新一代防火墻與ActiveDirectory,動(dòng)態(tài)地將IP位址連結(jié)至使用者和群組資訊。藉由對(duì)使用者活動(dòng)的可見(jiàn)度，企業(yè)可以根據(jù)儲(chǔ)存在使用者存放庫(kù)的使用者和群組資訊，監(jiān)視和控制在網(wǎng)絡(luò)上周游的應(yīng)用程序和容。

SenjitewidrExsSwrceNgtHanvaSourceUjeerEf^rtesS^sxiEwu1lJpanspd^maShong.Ehaa7,635.526110.M21_12ir-156.1.20Bf10.1564.205湖伽皿傾叫砌而3』賜J4514,952U1LD.156dD.3S田10.156,11].SBpan5$derrKi\caiwln.lo0ng9r6DD,fl9713,<M5□41D.156.1O.1a1O.156.1A.1pgn渤幟magiihrnad,?聞「噌電日禁i2,75?IIEID.156.1.B4時(shí)4口舌nsgd陋mmsharktang6.5+6.5291Zr2J7QL0d56.14.29L?10.1S6.W.29pans^errra^vincenLiuiin2.337.28612rl￡7UID.156.4.55己5pan湖合fogsherL少1,259^3312,119ag10.]J6.14.1SL?10.lS6.iq.15pans^errKiSchrtstDptier.lD布「如3』的E32,036a9LO.156r9.186U10.156.9466網(wǎng)nMww'edMundkwen1531,56611,M10IDLDJ56.9.131區(qū)10.156a9.131pan5<xl￡n>3\andr€rj.siiiglflr93B.Z76Ii.fiagajilt10,156.9.207a0(7口的用制屯伽幅tic,如曲1^57,fl6911./M(■■12.LD.156.1430混1B.15S.L4.3Dpans^derna'stimotriY.v^arfi353,13311,63-1a||11ID.156,9.167ffi67pa<i9pdeirfflVaphael.sing13^8179701,M2II34LD.15E.fi.200叫L0.156.E.2DDpans^dernased^ln.rahaEzad15JD4&目3ZDTC1D.1S6.14.33aPdns-QderrKi'sc^per-YijnQ471,4皿11.4^2U：ELD.156.5.2D1囹10.15G.4.2D1口角n湖總rm鍬1丑lukltc*L鈿『弱L目時(shí)1_■lr427nL29a10.156,6.128口酊湖emaMiqumn例『口&4胃56izaL39&U10,155428Bl1O.156.H.2B口酣輜1的網(wǎng)\6＜招俏巳hak320^021irm019LDJ56-6.B4宙10.156.i&.a4pansgdemaMla^i.chl353,5341頃02DlD.15fi.l.lO6世06pjns^eiDo'vvjorilirig.wrtg5369.186iL226B2LID.156.14.3]Of10.156.H.31pansgdefna'^ftriui.lau1,351,5791中砧nLO.156.1O.1S1i?10.1564fl.181panscdemo^keew*i3M...06SIIlr157D23-LD.156.E.19g虛口mu湖Errxig岫.gal壇 ]irwnin-icd.1t rSi:惑1na^-iynTf1■j-jji1riContent-ID結(jié)合即時(shí)威脅防引擎與廣泛的URL資料庫(kù)和應(yīng)用程序識(shí)別碼元素，以限制未經(jīng)授權(quán)的檔案?jìng)鬏敚瑐蓽y(cè)并封鎖廣大的威脅圍以與控制非工作相關(guān)的網(wǎng)絡(luò)瀏覽。單通道架構(gòu)使用串流式掃描與一致簽章格式的組合，檢查傳輸流量。Content-ID搭配App-ID運(yùn)作,利用應(yīng)用程序識(shí)別碼，使容檢查程序更有效率。

URLFiltefinoCategorySessions1mb-advertisOTent513^52Ul網(wǎng)上舞萬(wàn)如1?computer-ancnnternet-lnfo勺明?？贚56r441r4L53cducatioml-institutionsB,fi75Li235,973r535lJI4bu^ine55-end-econQmy故勇nB3^Blr3?6~i5topping7,762□L43r￡62r7B4il6parked-domains7邱U72,455,242HLlintcrnet-p^risls7左舊□如,09己4器it8neg日mbnnedia5,.EI13□53rL95r232]9searchengines5.63B□74,190,94331Cpe頑nd-stes-and-blogs4日7SnB9r195r5BlII11ssciaknetworking3顧U41r6B7r961112unknown圳期D161,909,341Z3111iream-ing-medid1"D血機(jī)403!rsferience-aridreraarch1釁I26,749,677115training-and-tools1,623[45f157r7B2I瑾??'Efiteridiiiiiitnt-dnd^rts1剖r10J97J0211/GDcietyV53D20r197r274]18content-delivery-nehvorksJ.171[-2ZH-t.56,703115偵馳r15rZ93r736i20gflvemmsnt921II砧『的4^4。J里ctead-sitesmuiZ1r2633M322aixticiriiHUII9,4鳴沖123.Dnlme-persDnai-gtorage皿i29,157,8301如locar：nfDinfi￡；tiflnaioi4,532,5321J5travel7filIII1.397,7221ThreatPreuentlonSheriffThrWtHTTPCiPTXWMeUiod10520TH?

vulria-atiility

vuinerdNUtvCount4|NFORHOON/iLhttpSheriffThrWtHTTPCiPTXWMeUiod10520TH?

vulria-atiility

vuinerdNUtvCount4|NFORHOON/iLhttpMc-hRFt^mpHafir舊pmses佝uM如瞰YiilnerdtiiiltyK廳弓|^FDR^TiaN^LAdobepdfFilewithEmbeddedJavascriptJ1971vulner功iilty&DCouponB^rBupdahwtoiEialbarbuttonsIQglQ&Q心111 1Hatbar_lD_0_3&BGetimageRequest119&4^p/rtare4DEViruE/WinJI.lit心201l&Wvirus4nHTTPJavaScriptObruscatlGnDetected31B25vulnerability21101Traj3nilJE.m-anie.b42E442421UiWPJ1Mlcnosi-ttD5SampleScriptsArtrtrarvFileDlKiosure的1昭祁山功3C3Z3vulneramirtv2112〕界頃感「|M^WetiS&arch『mltiarstartupconflgui-Btian10704叩Z1UTrapn/Js.ftgentlbi252979virusZ130419WEvulnerabilityLOWRRQ功7施URLggUapwDetec知MicrosoftMMLHnpActiveXantroicodeBseutionvuinMijjrrryDataFiltfrinaH&rneIOTypeCount1TsKheidataMl2Canfidenti^功。捉dMa119Z33CCAlter砌01data111E94fdobepDrtdbleDctumentFarrnat(PDF)52021file103□!§MiaororfWijrd泌。1fi電qjJVMicrosoft.RowffPDint52000fi里jja7Z：P52()04file7513aTAR5拙5fife：1409PtitrMoftWard52(112fifeId010WindowEnQcutftble(EXE)52020fik?10.一組豐富的網(wǎng)絡(luò)功能，IPSecVPN和管理功能結(jié)合App-ID、User-ID和Content-ID做業(yè)系統(tǒng)。PAN-OS加入自訂硬體平臺(tái)系列，這是專(zhuān)為管理企業(yè)網(wǎng)絡(luò)傳輸流量設(shè)計(jì)，針對(duì)網(wǎng)絡(luò)功能、安全性、威脅防護(hù)與管理使用功能特定處理程序。整合式威脅防當(dāng)今，企業(yè)用戶(hù)都為自己配備了高速互聯(lián)網(wǎng)連接與瀏覽器，使之可立即訪問(wèn)最新最好的網(wǎng)絡(luò)應(yīng)用程序。但大多數(shù)用戶(hù)都不知道，許多此類(lèi)新應(yīng)用程序正是威脅矢量，他們使企業(yè)網(wǎng)絡(luò)陷于業(yè)務(wù)風(fēng)險(xiǎn)之中，包括網(wǎng)絡(luò)停機(jī)、數(shù)據(jù)丟失與業(yè)務(wù)成本增加。多數(shù)此類(lèi)新型威脅都是針對(duì)財(cái)務(wù)收益，也就意味著隱密性與創(chuàng)新性才是黑客攻擊致勝的法寶。由于安全經(jīng)理面對(duì)的威脅挑戰(zhàn)日益增多，鑒于其采用“發(fā)現(xiàn)一個(gè)安全問(wèn)題，部署一臺(tái)新設(shè)備”的原則，使得其安全架構(gòu)也越來(lái)越龐大。但，由于缺乏對(duì)各解決方案功能性的協(xié)調(diào)、管理界面的不一致以與性能低下，都導(dǎo)致了此類(lèi)部署的失敗。更重要的是，此類(lèi)基于部門(mén)的安全模塊并不能重點(diǎn)解決黑客利用企業(yè)安全方案中“未能對(duì)當(dāng)前終端用戶(hù)所使用的各種應(yīng)用程序訪問(wèn)進(jìn)行檢查''這一漏洞。PaloAltoNetworks的下一代防火墻可向安全管理員提供兩個(gè)防威脅的擴(kuò)展解決方案。首先，識(shí)別并控制網(wǎng)絡(luò)中的應(yīng)用程序，并減少威脅圍，而后，檢查單通道中許可應(yīng)用程序中是否感染了病毒、間諜軟件或遭受了漏洞攻擊?？刂茟?yīng)用，阻止威脅為避免企業(yè)網(wǎng)絡(luò)受到威脅攻擊，首先要做到的就是重新獲得網(wǎng)絡(luò)中應(yīng)用程序使用的可視性與控制性，即：利用準(zhǔn)專(zhuān)利流量分類(lèi)技術(shù)App-ID明確的了解網(wǎng)絡(luò)中采用任何端口、協(xié)議、SSL或逃避技術(shù)的應(yīng)用程序使用情況。利用App-ID生成的應(yīng)用程序標(biāo)識(shí)可對(duì)威脅探測(cè)解決方案起到兩大關(guān)鍵作用。應(yīng)用程序標(biāo)識(shí)，與其描述、特性與使用者都可為安全管理員決定如何利用策略控制應(yīng)用程序時(shí)，提供進(jìn)一步依據(jù)。對(duì)于企業(yè)網(wǎng)絡(luò)、P2P文件共享或circumventor中業(yè)務(wù)不需要的應(yīng)用程序則可簡(jiǎn)單阻止。允許使用的應(yīng)用程序則應(yīng)做出標(biāo)識(shí)，并實(shí)施細(xì)粒度級(jí)控制，而后對(duì)其進(jìn)行病毒、間諜軟件與漏洞攻擊檢查。App-ID的第二個(gè)威脅防作用為可通過(guò)破譯應(yīng)用程序提高檢查幅度與精準(zhǔn)性，然后再將其重新組合并分析，了解其容，以便于各種類(lèi)型威脅的檢查。然而，傳統(tǒng)的基于端口的解決方案采用的是單一的分類(lèi)技術(shù)（協(xié)議/端口）識(shí)別流量，而App-ID則可利用其一項(xiàng)甚至多項(xiàng)此類(lèi)技術(shù)-即：應(yīng)程序協(xié)議探測(cè)與解密，應(yīng)用程序破譯、應(yīng)用程序簽名與啟發(fā)式分析對(duì)所有通過(guò)防火墻的流量進(jìn)行檢查，迅速識(shí)別與各數(shù)據(jù)包流相關(guān)的應(yīng)用程序。通過(guò)查看應(yīng)用程序，而非僅查看端口或協(xié)議，App-ID可識(shí)別出那些可避開(kāi)安全檢查的應(yīng)用程序。SP3架構(gòu)：?jiǎn)未瓮暾麙呙鑀aloAlt。網(wǎng)絡(luò)威脅防引擎基于SP3架構(gòu)，集成了多種創(chuàng)新性特性，在一次流量監(jiān)測(cè)中隊(duì)所有流量是否