返回
Paloalto网络安全解决方案HA

Paloalto网络安全解决方案HA

ID:43737699

大小:725.24 KB

页数:11页

时间:2019-10-13

Paloalto网络安全解决方案HA_第1页
Paloalto网络安全解决方案HA_第2页
Paloalto网络安全解决方案HA_第3页
Paloalto网络安全解决方案HA_第4页
Paloalto网络安全解决方案HA_第5页
资源描述:

《Paloalto网络安全解决方案HA》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Paloalto网络安全解决方案北京信诺瑞得信息技术有限公司总页数11正文附录生效日期:编制:王重人审核:批准:目录1概述32方案设计32.1拓扑结构33方案说明43.1设备功能简介4Paloalto网络安全解决方案1概述随着网络的建设,网络规模的扩大,鉴于计算机网络的开放性和连通性,为计算机网络的安全带来极大的隐患,并因为互联网开放环境以及不完善的网络应用协议导致了各种网络安全的漏洞。计算机网络的安全设备和网络安全解决方案由此应运而生,并对应各种网络的攻击行为,发展出了各种安全设备和各种综合的网络安全方案。零散的网络

2、安全设备的堆砌,对于提高网络的安全性及其有限,因此,如何有效的利用但前的网络设备,合理组合搭配,成为网络安全方案成功的关键。但是,任何方案在开放的网络环境中实施,均无法保证网络系统的绝对安全,只能通过一系列的合理化手段和强制方法,提高网络的相对安全性,将网络受到的危险性攻击行为所造成的损失降到最低。网络安全问题同样包含多个方面,如:设备的安全、链路的冗余、网络层的安全、应用层的安全、用户的认证、数据的安全、VPN应用、病毒防护等等。在本方案中,我们提出的解决方案主要侧重在于:HA(高可用性)、IPSecVPN但是pal

3、oalto同时也能解决网络层安全、访问控制的实现、病毒的防护、间谍软件的防护、入侵的防护、URL的过滤、,以提高网络的安全防御能力,并有效的控制用户上网行为和应用的使用等安全问题。2方案设计2.1拓扑结构北京信诺瑞得信息技术有限公司第11页共11页Paloalto网络安全解决方案1方案说明Ø总公司与分公司之间用IPSecVPN连接Ø总公司采用两台paloalto4050组成HA(Active-Active),提高网络可用性和稳定性1.1设备功能简介Paloalto设备可采用Active-Active和Active-St

4、andby两种模式运行,在本方案中采用Active-Active模式,以便可以最大的发挥设别的性能。并且paloalto设备可以在VirtualWire(完全透明状态)、L2、L3任意网络层面开启HA,即paloalto可以在完全不影响网络拓扑结构的情况下,串接进入网络并组成HA。Paloalto设备在建立HA后,可以进行session(会话)同步,也就是说在一台设备故障时另一台设备可以再会话不中断的情况下进行设备切换。并且paloalto4050使用多达3条线路进行设备的心跳、状态、配置和会话的同步,并且每条线路还可

5、以再配置冗余。使用paloalto设备建立IPSecVPN隧道,在起到加密作用的同时,还可以在同一设备端口和IP上建立多条隧道包括SSLVPN,并且paloalto设备对其他主流设备品牌有很好的兼容性,例如与Juniper、CISCO等3层设备都能很好的建立IPSecVPN隧道。在提供稳定的VPN连接和HA之外,paloalto还能提供强大的应用过滤和管理功能,可以极大的节省网络带宽资源。1.2下一代防火墙技术优势1.2.1识别技术PaloAltoNetworks的新一代防火墙系列,使用三种独特的识别技术对应用程序、使

6、用北京信诺瑞得信息技术有限公司第11页共11页Paloalto网络安全解决方案者和内容提供原则式可见度和控制,这三种技术是:App-ID、User-ID和Content-ID。uApp-ID是一项专利申请中的传输流量分类技术,此技术使用高达四种不同的辨识技术,可以确认哪个应用程序在网络上周游。然后使用应用程序识别码为基础,进行所有原则决策,包括适当的用途和内容检查等。²应用程序通讯协定侦测与解密:App-ID凭借深厚的应用程序通讯协定知识,可以识别正在使用的通讯协定以及是否使用SSL加密。解密已加密的传输流量,根据原则

7、进行检查,再重新加密并传送往目的地。²应用程序通讯协定解码:通讯协定解码器会判断应用程序是否使用通讯协定做为一般应用程序传输或是混淆的技术,它们会协助尽量缩小应用程序的范围,并在套用签章时提供有价值的内容。解码器也会识别应该扫描威胁或敏感资料的档案和其他内容。²应用程序签章:内容式签章会寻找独特的应用程序属性以及相关的交易特性,无论正在使用哪一种通讯协定及连接端口的情形下,都能正确地识别应用程序。²启发学习法:启发学习法或行为分析会依照需要结合其他App-ID识别技巧,以识别某些规避应用程序,特别是使用所有权加密的应用

8、程序。北京信诺瑞得信息技术有限公司第11页共11页Paloalto网络安全解决方案uUser-ID紧密地整合PaloAltoNetworks新一代防火墙与ActiveDirectory,动态地将IP位址连结至使用者和群组资讯。藉由对使用者活动的可见度,企业可以根据储存在使用者存放库内的使用者和群组资讯,监视和控制在网络上周游的应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。