《新一代信息安全防护建议书》由会员分享,可在线阅读,更多相关《新一代信息安全防护建议书(38页珍藏版)》请在金锄头文库上搜索。
1、 新一代信息安全防护建议书第1章 背景介绍近一年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,云和大数据模式的具体实现,网络安全正在成为互联网及企业数据汇聚的核心考量,扮演着越来越重要的角色。然而,数据的高度集中,导致形形色色的安全威胁也随之而来,影响到互联网的正常运行,特别威胁着作为信息集合载体的数据中心和通信出口的安全和正常使用。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛用户,特别是企业内部专网系统信息化的发展日新月异如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速
2、更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。第2章 安全需求分析2.1 安全防护目标系统安全防护的重点是确保专网,即监测系统网络的安全,目标是网络的通畅,确保核心数据的传输,抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御Ddos攻击,防止由此导致系统事故或网络事故。2.2 面临问题及风险随着计算机技术、通信技术和网络技术的发展,接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可
3、靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。第3章 企业网络安全方案3.1 PAN的产品及网络部署3.1.1 部署方式Palo Alto Networks 新一代安全防护网关,采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁接模式接入现有网络架构中,协助网管人员进行环境状态分析,并能将分析过程中各类信息进行整理后生成针对整体环境的应用程序使用状态及风险分析报表(AVR Report)。在 AVR 报表中可
4、清楚呈现所有客户端行为与网络资源使用状态,更能进一步发现潜在安全风险,作为先行预防可能面临的各种网络威胁与安全策略调整的依据。Palo Alto Networks 新一代安全防护网关也支持以透明模式运行,以便在不影响现有路由、地址转换架构下进行布署,还能做到协助原有安全设备(F/W ,IDP ,Proxy)分析过去无法掌握的网络使用行为、威胁攻击等信息,使其逐步成为安全控管中心,方便IT部门重新评估现有安全设备效益从而进行架构的调整,降低整体持有成本(TCO)。Palo Alto Networks 新一代安全防护网关,能支持路由、地址转换等工作模式,主要用于首次或升级部署安全网关的环境。IT部
5、门可于完成初期数据流内容、行为模式分析及用户数据库整合后,依据分析的结果进行安全策略布署。3.1.2 中央管理平台实现集中管理在企业中心部署集中管理平台,集中对总部及各个分支企业的PA设备进行统一的管理和集中的数据挖掘分析。Palo Alto Networks 下一代安全防护网关,除了内建的 Web 管理接口、命令接口 (Command LineInterface, CLI) 之外,总部还能额外建立中央管理系统 - Panorama。Panorama 具备与PA下一代安全网关设备内建的 Web 管理接口相同的外观与操作方式,可减少 IT 人员在转换操作接口时的学习曲线。另外,Panorama
6、具备管理者分权管理的功能,对于不同角色设定不同的管理权限,例如:分支企业管理者仅能针对被授权管理的设备或安全策略条目,执行必要的管理功能,而总部管理部门则可集中制定整个企业的政策,并强制所有分支或下属部门切实遵循。PaloAlto中央管理平台Panorama,可提供全网完整的日志储存与报表分析功能。3.2 PAN方案功能Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。在网络的应用可是想方面能够实现:3.2.1 应用程序、用户和内容的可视化管理员与对技术的了解程度日益增加的用户和技术更先进且
7、易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于管理员现有的工具无法为其提供有关网络活动的最新信息,因而使得这场竞赛的难度更大。利用 Palo Alto 新一代防火墙,管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。应用程序命令中心 (ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。 应用程序命令中心 (ACC):这是一项无需执行任何配置工作的标准功能,ACC 以图形方式显示有关当前网络活动(包括应用程序、URL 类别、威胁和数据)的大量信息。如果 A
8、CC 中出现一个新的应用程序,则单击一次即可显示该应用程序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。也可以添加更多的过滤器,从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。只需短短几分钟时间的时间,ACC 就可以为管理员提供所需的数据,供其做出更为合理的安全策略决定。 App-Scope:作为 ACC 提供的应用程序和内容的实时视图的补充,App-scope 提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。 管理:为了适应不同的管理风格、要求和人员配备,管理员可以使用基于 Web 的界面、完全的命令行
9、界面 (CLI)或集中式管理解决方案 (Panorama) 来控制 Palo AltoNetworks 防火墙的各个方面。对于各类员工需要具有访问管理界面的不同权限级别的环境,在所有这三种管理机制中均可通过使用基于角色的管理,将不同的管理职能委派给合适的个人。利用基于标准的 Syslog 和 SNMP 接口,可实现与第三方管理工具的集成。 日志记录和报告:实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。PAN产品以清楚易懂的形式查看应用程序活动。添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程
10、序的使用者的详细信息。内容和威胁可视化:以清楚易懂的形式查看 URL、威胁和文件/ 数据传输活动。添加和删除过滤器可了解有关各个元素的详细信息。3.2.2 报告和日志记录利用强大的报告和日志记录功能,可以分析安全事件、应用程序使用情况以及通信流模式。 报告:既可以按原样使用预定义报告,也可以对预定义报告进行自定义或组合为一个报告来满足特定的要求。详细的活动报告会显示已使用的应用程序、访问过的 URL 类别和网站以及给定用户在指定期间内访问的所有 URL 的详细报告。所有报告均可作为 CSV 或PDF 格式导出,并且还可以按照计划的时间通过电子邮件发送。 日志记录:管理员只需单击某个单元格值并/
11、 或使用表达式构建器定义过滤条件,即可通过动态过滤功能来查看应用程序、威胁和用户活动。可以将日志过滤结果导出到 CSV 文件中或发送到系统日志服务器,以供脱机归档或其他分析之用。 跟踪会话工具:通过对与单个会话相关的通信、威胁、URL 和应用程序的所有日志使用集中式关联视图,可加快取证调查或事件调查的速度。3.2.3 带宽监视和控制面对各式各样的网络应用服务及语音通话服务的需求,Palo Alto Networks安全防护网关具备优异的服务质量控制管理能力,可依据网络服务的类型制定不同等级的传输优先权,并进行带宽控管,用来确保重要应用服务享有较高传输优先权与最佳的传输带宽,从而保障诸如语音通话
12、服务质量等主要应用,可获得显著用户体验。Palo Alto Networks安全防护网关,支持多达八种的服务质量控制分类,可依据网络应用服务的重要性,予以划分等级,例如:语音通话服务,划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类,从而保障具有实时和主要的应用优先被处理,而其余应用依然可以提供良好服务,从而提升用户的上网体验。Palo Alto Networks安全防护网关,可提供优异的QoS控管机制,还能显示实时带宽使用情况图表,提供IT人员所需管理信息面对各式各样具备建立加密通道的应用程序所带来的安全威胁,Palo Alto安全防护网关,内置
13、高效硬件芯片用于分析加密通道的内容及行为,并且丝毫不影响设备整体性能。随着网络的带宽不断增加,网络架构不断扩充并复杂化,各种网络应用的兴起也逐渐取代过去人们习惯,性能管理加强了网络的可视性与可靠性。异常流量服务质量 (QoS):通信流定型功能扩展了积极实现策略控制的功能,使管理员能够允许占用大量带宽的应用程序(如流媒体)运行,同时又保持业务应用程序的性能。可以基于应用程序、用户、时间表等强制实施通信流定型策略(保证、最大化和优先级)。同时还支持 Diffserv标记功能,允许下游或上游设备控制应用程序通信流。 实时带宽监视器:选定 QoS 类中的应用程序和用户对带宽和会话的使用量的实时图形化视
14、图。3.2.4 精细的网络、应用策略控制通过完整的可视性分析,可以启用适当的应用程序使用策略通过即时了解穿越网络的应用程序、这些应用程序的使用者和潜在的安全风险,管理员能够轻松而迅速地做出适当的响应决定。利用这些数据点,管理员可以应用具有各种比允许或拒绝更为精细的响应的策略。策略控制响应包括: 允许或拒绝 允许,但会进行扫描以检测病毒和其他威胁 允许(基于时间表、用户或组) 解密和检查 通过 QoS 应用通信流定型 应用基于策略的转发 允许特定的应用程序功能 上述各项的任意组合通过使用具有熟悉的界面外观和操作方式的策略编辑器,经验丰富的防火墙管理员可以快速创建灵活的防火墙策略,例如: 利用 A
15、ctive Directory 集成功能为销售和市场营销部门指定 S 和 Oracle 访问权。 仅允许 IT 部门使用一组固定的管理应用程序,如 SSH、Telnet 和 RDP。 阻止恶意应用程序,例如,P2P 文件共享、绕道访问和外部代理。 定义并强制使用企业策略,以允许和检查特定的网络邮件和即时消息用法。 使用基于策略的转发强制 Facebook 应用程序通信通过特定路由传递。 控制单个应用程序内的文件传输功能,从而允许使用应用程序但禁止传输文件。 识别文本形式或文件形式的敏感信息(如信用卡号或身份证号)的传输。 部署 URL 过滤策略,阻止访问明显与工作无关的网站,监控可能存在问题的网站并“指导”如何访问其他网站。 实施 QoS 策略以允许媒体和其他占用大量带宽的应用程序,但限制这些应用程序对业务关键应用程序的影响。通过使用 Palo Alto Networks 的新一代防火墙,客户可以部署积极的强制实施模型策略,以阻止恶意应用程序、扫描业务应用程序以检测威胁并促进安全使用最终用户应用程序。相比之下,基于 IPS 的解决方案只具有两个选项(即允许或拒绝),这将限制以积极、可控且安全的方式使用应用程序的能力。策略创建:通过使用熟悉的界面外观和操作方式,
