《安全生产_网络安全防护建议书》由会员分享,可在线阅读,更多相关《安全生产_网络安全防护建议书(39页珍藏版)》请在金锄头文库上搜索。
1、新一代网络安全防护建议书Paloalto Networks Inc.2013-2我们总羡慕别人的幸福,却常常忽略自己生活中的美好。其实,幸福很平凡也很简单,它就藏在看似琐碎的生活中。幸福的人,并非拿到了世界上最好的东西,而是珍惜了生命中的点点滴滴,用感恩的心态看待生活,用乐观的态度闯过磨难。目录第1章 背景介绍3第2章 安全需求分析42.1 安全防护目标42.2 面临问题及风险4第3章 企业网络安全方案53.1 PAN的产品及网络部署53.1.1 部署方式53.1.2 中央管理平台实现集中管理63.2 PAN方案功能73.2.1 应用程序、用户和内容的可视化73.2.2 报告和日志记录103.
2、2.3 带宽监视和控制113.2.4 精细的网络、应用策略控制123.2.5 一体化综合的威胁防范能力133.2.6 网络部署的灵活性15第4章 PaloAlto解决方案特色164.1 下一代安全防火墙的领先者-PaloAlto164.2 提供网络高可视性与控制能力184.3 更加灵活的转址功能 (NAT)194.4 用户行为控制204.5 提供SSL加密传输及穿墙软件分析控管能力224.6 提供服务质量(QoS)管理能力224.7 网络用户身份认证234.8 新一代软硬件架构确保执行威胁防护时系统高效运行244.9 全新管理思维,提供灵活的安全策略264.10 强大的事件跟踪、分析工具,多样
3、化的报表274.11 流量地图功能304.12 灵活的工作部署模式与其它特色314.13 内置设备故障应变机制32第5章 同传统防火墙以及UTM产品的优势335.1 应用程序识别、可视性及控制(App-ID)335.2 使用者识别 (User-ID)355.3 内容识别(Content-ID)365.4 单通道架构(SP3)375.5 结论39第1章 背景介绍近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户及企业主机的安全和正
4、常使用。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。第2章 安全需求分析2.1 网络安全网络安全是企业网络通信的重中之重,需通过网段隔离、安全防御、访问控制等手段专网安全、网络通畅,确保核心数据的传输。同时,也需要抵御黑客、病毒
5、、恶意代码等通过各种形式对网络发起的恶意破坏和攻击,特别是能够抵御Ddos攻击,防止由此导致网络中断。2.2 平台安全除网络2.3 应用安全随着计算机技术、通信技术和网络技术的发展,接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。2.4 数据安全2.5 面临问题及风险随着计算机技术、通信技术和网络技术的发展,接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病
6、毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。第3章 企业网络安全方案3.1 PAN的产品及网络部署3.1.1 部署方式Palo Alto Networks 新一代安全防护网关,采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁接模式接入现有网络架构中,协助网管人员进行环境状态分析,并能将分析过程中各类信息进行整理后生成针对整体环境的应用程序使用状态及风险分析报表(AVR Report)。在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态,更能进一步发现潜在安全风险,作为先行预防可能面临的各种网络威胁与安全策略调整的依据。Palo Alt
7、o Networks 新一代安全防护网关也支持以透明模式运行,以便在不影响现有路由、地址转换架构下进行布署,还能做到协助原有安全设备(F/W ,IDP ,Proxy)分析过去无法掌握的网络使用行为、威胁攻击等信息,使其逐步成为安全控管中心,方便IT部门重新评估现有安全设备效益从而进行架构的调整,降低整体持有成本(TCO)。Palo Alto Networks 新一代安全防护网关,能支持路由、地址转换等工作模式,主要用于首次或升级部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后,依据分析的结果进行安全策略布署。3.1.2 中央管理平台实现集中管理在国家企业中心部
8、署集中管理平台,集中对国家及各个分支企业的PA设备进行统一的管理和集中的数据挖掘分析。Palo Alto Networks 下一代安全防护网关,除了内建的 Web 管理接口、命令接口 (Command LineInterface, CLI) 之外,总部还能额外建立中央管理系统 - Panorama。Panorama 具备与PA下一代安全网关设备内建的 Web 管理接口相同的外观与操作方式,可减少 IT 人员在转换操作接口时的学习曲线。另外,Panorama 具备管理者分权管理的功能,对于不同角色设定不同的管理权限,例如:分支企业管理者仅能针对被授权管理的设备或安全策略条目,执行必要的管理功能,
9、而总部管理部门则可集中制定整个企业的政策,并强制所有分支或下属部门切实遵循。PaloAlto中央管理平台Panorama,可提供全网完整的日志储存与报表分析功能。3.2 PAN方案功能Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。在网络的应用可是想方面能够实现:3.2.1 应用程序、用户和内容的可视化管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。由于管理员现有的工具无法为其提供有关网络活动的最新信息,因而使得这场竞赛的难度更大。利用
10、 Palo Alto 新一代防火墙,管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。应用程序命令中心 (ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。 应用程序命令中心 (ACC):这是一项无需执行任何配置工作的标准功能,ACC 以图形方式显示有关当前网络活动(包括应用程序、URL 类别、威胁和数据)的大量信息。如果 ACC 中出现一个新的应用程序,则单击一次即可显示该应用程序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。也可以添加
11、更多的过滤器,从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。只需短短几分钟时间的时间,ACC 就可以为管理员提供所需的数据,供其做出更为合理的安全策略决定。 App-Scope:作为 ACC 提供的应用程序和内容的实时视图的补充,App-scope 提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。 管理:为了适应不同的管理风格、要求和人员配备,管理员可以使用基于 Web 的界面、完全的命令行界面 (CLI)或集中式管理解决方案 (Panorama) 来控制 Palo AltoNetworks 防火墙的各个方面。对于各类员工需要
12、具有访问管理界面的不同权限级别的环境,在所有这三种管理机制中均可通过使用基于角色的管理,将不同的管理职能委派给合适的个人。利用基于标准的 Syslog 和 SNMP 接口,可实现与第三方管理工具的集成。 日志记录和报告:实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。PAN产品以清楚易懂的形式查看应用程序活动。添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程序的使用者的详细信息。内容和威胁可视化:以清楚易懂的形式查看 URL、威胁和文件/ 数据传输活动。添加和删除过滤器可了解有关各个元素的详细
13、信息。3.2.2 报告和日志记录利用强大的报告和日志记录功能,可以分析安全事件、应用程序使用情况以及通信流模式。 报告:既可以按原样使用预定义报告,也可以对预定义报告进行自定义或组合为一个报告来满足特定的要求。详细的活动报告会显示已使用的应用程序、访问过的 URL 类别和网站以及给定用户在指定期间内访问的所有 URL 的详细报告。所有报告均可作为 CSV 或PDF 格式导出,并且还可以按照计划的时间通过电子邮件发送。 日志记录:管理员只需单击某个单元格值并/ 或使用表达式构建器定义过滤条件,即可通过动态过滤功能来查看应用程序、威胁和用户活动。可以将日志过滤结果导出到 CSV 文件中或发送到系统
14、日志服务器,以供脱机归档或其他分析之用。 跟踪会话工具:通过对与单个会话相关的通信、威胁、URL 和应用程序的所有日志使用集中式关联视图,可加快取证调查或事件调查的速度。3.2.3 带宽监视和控制面对各式各样的网络应用服务及语音通话服务的需求,Palo Alto Networks安全防护网关具备优异的服务质量控制管理能力,可依据网络服务的类型制定不同等级的传输优先权,并进行带宽控管,用来确保重要应用服务享有较高传输优先权与最佳的传输带宽,从而保障诸如语音通话服务质量等主要应用,可获得显著用户体验。Palo Alto Networks安全防护网关,支持多达八种的服务质量控制分类,可依据网络应用服
15、务的重要性,予以划分等级,例如:语音通话服务,划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类,从而保障具有实时和主要的应用优先被处理,而其余应用依然可以提供良好服务,从而提升用户的上网体验。Palo Alto Networks安全防护网关,可提供优异的QoS控管机制,还能显示实时带宽使用情况图表,提供IT人员所需管理信息面对各式各样具备建立加密通道的应用程序所带来的安全威胁,Palo Alto安全防护网关,内置高效硬件芯片用于分析加密通道的内容及行为,并且丝毫不影响设备整体性能。随着网络的带宽不断增加,网络架构不断扩充并复杂化,各种网络应用的兴起也逐渐取代过去人们习惯,性能管理加强了网络的可视性与可靠性。异常流量服务质量 (QoS):通信流定型功能扩展了积极实现策略控制的功能,使管理员能够允许占用大量带宽的应用程序(如流媒体)运行,同时又保持业务应用程序的性能。可以基于应用程序、用户、时间表等强制实施通信流定型策略(保证、最大化和优先级)。同时还支持 Diffserv标记功能,允许下游或上游设备控制应用程序通信流。
