政务外网网络安全平台解决方案

下一代政务外网网络安全平台解决方案

目录

一、概述 (3)

二、安全需求 (3)

三、PaloAlto提供下一代综合网络安全平台解决方案 (4)

3.1、解决方案设计原则 (4)

3.2、为什么选用PaloAlto提供下一代综合网络安全解决方案？ (4)

3.3、PaloAlto下一代防火墙独有的功能： (5)

3.4、PaloAlto如何为客户提供帮助： (6)

3.4.1、单数据流并行处理结构以及控制引擎与数据引擎单独处理 (6)

3.4.2、PaloAlto可以做到基于三种应用层重要元素的精细控制： (7)

3.4.3、PaloAlto提供应用分类 (8)

3.4.4、应用风险等级划分 (10)

3.4.5、业务风险定义 (12)

3.4.6、威胁相关分析 (13)

3.4.7、应用与威胁分析中心(Application Command Center, ACC) (15)

3.4.8、基于应用的流量控制(QOS) (19)

3.4.9、内建完善的配置变更管理功能 (21)

3.4.10、针对应用情况可以提完整化的应用报告 (21)

四、PaloAlto提供强大的网络部署解决方案 (22)

五、PaloAlto提供强大不同级别安全部署解决方案 (24)

六、PaloAlto在全球客户案例 (25)

七、PaloAlto网络安全部署方案优化建议 (25)

一、概述

由于政务外网与互联网直连，面向公众提供相关的政务服务，这种开放性导致政务外网存在更多的安全隐患，同时由于政务外网存在网络节点多，对业务访问的持续性要求高的特点，因此对高性能综合安全防御，以及全局性安全监控存在着较高的需求。

PaloAlto政务外网网络安全解决方案，既是针对政务外网在网络安全层面的建设需求，运用融合多种安全技术的PaloAlto高性能下一代防火墙，为政务外网提供高性能、综合性的安全防御；同时使用PaloAlto安全管理平台，对政务外网实施全局性的安全管理。

二、安全需求

我国电子政务分为政务内网和政务外网两个部分，其中政务外网与互联网逻辑隔离，承载着服务型和公开型政务业务，随着“一窗式”政府的推行，以及国家电子政务工程的全面开展，利用网络技术实现各政府职能部门的横向互联和纵向级联是必然趋势，而电子政务外网的建设，也为公众参与政府决策提供了很多便捷的渠道。但与此同时，信息安全问题成为困扰信息化建设的首要因素。如何做到既公开又安全，是各政务职能部门信息化建设首要考虑的因素。

政务外网实现网络安全建设的根本目的，就是为上层业务应用系统创造安全、可靠的运行环境，典型的建设需求包括：

●多种安全手段保障政务外网安全

典型政务外网往往存在业务复杂、安全威胁来源多、分布节点广的特点，需要采取多种安全手段，实现综合性的防御；

●保障政务业务访问效率

安全与效率通常是矛盾的，过多的安全检测与控制措施，势必会影响系统的运行效率，为此需要安全系统具备一定的工作效率，尽量减少对业务运行效率的影响；

●实现全局性的监控与审计

在政务网运行访问的过程中，应对网络的各类活动进行有效的监测，对异常的行为如违反安全策略的访问、突发的异常流量、重要的服务器或数据库的异常状态等进行报警和记录，以便安全管理人员能够在事中及事后进行响应和维护。

三、PaloAlto提供下一代综合网络安全平台解决方案

3.1、解决方案设计原则

网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。

➢体系化设计原则

通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。➢全局综合性设计原则

从企业的实际情况看，单纯依靠传统的安全措施，并不能解决安全问题。建议考虑到各种安全措施的使用，使用一个具有相当高度、可扩展性强的安全解决方案及产品。

➢可行性、可靠性及安全性

可行性是安全方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，而安全性是设计安全系统的最终目的。

3.2、为什么选用PaloAlto提供下一代综合网络安全解决方案？

PaloAlto是一家专注于网络安全的公司。对全球网络安全发展趋势颇具前瞻性的Nir Zuk 先生于2005年以重新规划企业网络安全架构为使命创建了该公司，立志重新创造防火墙。面对大多数企业的网络安全处于一种支离破碎的状态，导致企业面临着不必要的商业危险以及持续上升的IT投入成本，我们认为防火墙应当成为企业最具战略重要意义的网络安全设备。我们的管理团队以及董事会成员由最主要的网络安全公司和相关科技的核心人员组成，这个团队创造发明了状态检测，基于硬件的安全，以及入侵防御技术。我们的工程师团队曾经为Check Point,Cisco, NetScreen,McAfee,Juniper等公司提供了高质量的网络传输报表和网络安全的解决方案。

我们从2007年开始交付用户我们的下一代防火墙系列产品，目前在全球拥有超过6000+家客户的IT架构使用我们的解决方案，其中很多都是世界财富500 强的企业。Gartner 在最近的企业网络防火墙魔力四象限图中将我们定位于具有远见卓识的象限。我们分别在北美洲、欧洲、亚太区及中国设立了办公机构，通

过全球范围的经销商销售我们的产品。

PaloAlto 网络公司实现了防火墙的真正革新，不仅仅是根据IP 地址与端口，还可以根据用户来实现前所未有的应用和内容的可见性和可控性，同时可高达20Gbps 吞吐而不会有性能的下降。基于取得专利的APP-ID（应用识别）技术，不管应用采用何种端口，协议，是否采用了SSL 加密，PaloAlto 下一代防火墙都可以精确地识别应用，同时可以通过对内容的扫描来阻止威胁和防止信息泄漏。通过设备的整合，企业可以在显著减少总体成本的情况下实现应用完全的可视性和可控性，首次真正拥有Web2.0。

3.3、PaloAlto下一代防火墙独有的功能：

➢唯一一款基于精确识别应用程序技术分类流量的防火墙（而不论应用使用何种端口、协议或规避策略）。

➢唯一一款可以识别、控制并检测SSL 加密流量和应用的防火墙。

➢唯一一款提供按应用和用户做基于策略的QoS 流量整形的防火墙，对网络上的个人应用和业务的性能做到可控。

➢唯一一款通过基于数据流的威胁防范引擎实现实时扫描数据内容以防范病毒、间谍软件、数据泄露和应用程序漏洞的防火墙。