PaloAlto新一代信息安全防护解决方案

新一代网络安全防护
建议书
P a l o a l t o N e t w o r k s I n c.
2013-2
目录
第1章背景介绍 (3)
第2章安全需求分析 (4)
2.1 安全防护目标..................................................................... 错误!未定义书签。

2.2 面临问题及风险 (4)
第3章企业网络安全方案 (5)
3.1 PAN的产品及网络部署 (5)
3.1.1 部署方式 (5)
3.1.2 中央管理平台实现集中管理 (6)
3.2 PAN方案功能 (7)
3.2.1 应用程序、用户和内容的可视化 (7)
3.2.2 报告和日志记录 (10)
3.2.3 带宽监视和控制 (11)
3.2.4 精细的网络、应用策略控制 (12)
3.2.5 一体化综合的威胁防范能力 (13)
3.2.6 网络部署的灵活性 (15)
第4章PaloAlto解决方案特色 (16)
4.1 下一代安全防火墙的领先者-PaloAlto (16)
4.2 提供网络高可视性与控制能力 (18)
4.3 更加灵活的转址功能(NAT) (19)
4.4 用户行为控制 (20)
4.5 提供SSL加密传输及穿墙软件分析控管能力 (22)
4.6 提供服务质量（QoS）管理能力 (22)
4.7 网络用户身份认证 (23)
4.8 新一代软硬件架构确保执行威胁防护时系统高效运行 (24)
4.9 全新管理思维，提供灵活的安全策略 (26)
4.10 强大的事件跟踪、分析工具，多样化的报表 (27)
4.11 流量地图功能 (30)
4.12 灵活的工作部署模式与其它特色 (31)
4.13 内置设备故障应变机制 (32)
第5章同传统防火墙以及UTM产品的优势 (33)
5.1 应用程序识别、可视性及控制(App-ID) (33)
5.2 使用者识别(User-ID) (35)
5.3 内容识别(Content-ID) (36)
5.4 单通道架构(SP3) (37)
5.5 结论 (39)
第1章背景介绍
近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。

然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁用户及企业主机的安全和正常使用。

同样，随着企业信息化的迅速发展，基于网络的应用越来越广泛，特别是企业内部专网系统信息化的发展日新月异—如：网络规模在不断扩大、信息的内容和信息量在不断增长，网络应用和规模的快速发展同时带来了更大程度的安全问题，这些安全威胁以不同的技术形式同步地在迅速更新，并且以简单的传播方式泛滥，使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设，多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。

第2章安全需求分析
2.1 网络安全
网络安全是企业网络通信的重中之重，需通过网段隔离、安全防御、访问控制等手段专网安全、网络通畅，确保核心数据的传输。

同时，也需要抵御黑客、病毒、恶意代码等通过各种形式对网络发起的恶意破坏和攻击，特别是能够抵御Ddos攻击，防止由此导致网络中断。

2.2 平台安全
除网络
2.3 应用安全
随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。

特别是随着信息化的普及需要和总部的数据交换也越来越多。

2.4 数据安全
2.5 面临问题及风险
随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。

特别是随着信息化的普及需要和总部的数据交换也越来越多。

对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。

而另一方面，Internet 技术已得到广泛使用，E-mail、Web2.0和终端PC的应用也日益普及，但同时病毒和黑客也日益猖獗，系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

第3章企业网络安全方案
3.1 PAN的产品及网络部署
3.1.1 部署方式
Palo Alto Networks 新一代安全防护网关，采用全新设计的软/硬件架构，可在不影响任何服务的前提下，以旁接模式接入现有网络架构中，协助网管人员进行环境状态分析，并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」（AVR Report）。

在 AVR 报表中可清楚呈现所有客户端行为与网络资源使用状态，更能进一步发现潜在安全风险，作为先行预防可能面临的各种网络威胁与安全策略调整的依据。

Palo Alto Networks 新一代安全防护网关也支持以透明模式运行，以便在不影响现有路由、地址转换架构下进行布署，还能做到协助原有安全设备（F/W ,IDP ,Proxy…）分析过去无法掌握的网络使用行为、威胁攻击等信息，使其逐步成为安全控管中心，方便IT部门重新评估现有安全设备效益从而进行架构的调整，降低整体持有成本（TCO）。

Palo Alto Networks 新一代安全防护网关，能支持路由、地址转换等工作模式，主要用于首次或升级部署安全网关的环境。

IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。

3.1.2 中央管理平台实现集中管理
在国家企业中心部署集中管理平台，集中对国家及各个分支企业的PA设备
进行统一的管理和集中的数据挖掘分析。

Palo Alto Networks 下一代安全防护网关，除了内建的 Web 管理接口、命令接口 (Command LineInterface, CLI) 之外，总部还能额外建立中央管理系统 - Panorama。

Panorama 具备与PA下一代安全网关设备内建的 Web 管理接口相同的外观与操作方式，可减少 IT 人员在转换操作接口时的学习曲线。

另外，Panorama 具备管理者分权管理的功能，对于不同角色设定不同的管理权限，例如：分支企业管理者仅能针对被授权管理的设备或安全策略条目，执行必要的管理功能，而总部管理部门则可集中制定整个企业的政策，并强制所有分支或下属部门切实遵循。

PaloAlto中央管理平台Panorama，可提供全网完整的日志储存与报表分析功能。

3.2 PAN方案功能
Paloalto的下一代安全网关突破了传统的防火墙和UTM的缺陷，从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。

在网络的应用可是想方面能够实现：
3.2.1 应用程序、用户和内容的可视化
管理员与对技术的了解程度日益增加的用户和技术更先进且易于使用的应用程序之间正在进行一场你追我赶的竞赛。

由于管理员现有的工具无法为其提供有关网络活动的最新信息，因而使得这场竞赛的难度更大。

利用 Palo Alto 新一代防火墙，管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响。

应用程序命令中心(ACC)、App-Scope、日志查看器和完全可自定义的报告功能所提供的可视化功能使管理员能够实现更多与业务相关的安全策略。

•应用程序命令中心 (ACC)：这是一项无需执行任何配置工作的标准功能，ACC 以图形方式显示有关当前网络活动（包括应用程序、URL 类别、威胁和数据）的大量信息。

如果 ACC 中出现一个新的应用程序，则单击一次即可显示该应用程
序的描述、主要功能、行为特征、使用者以及使用该应用程序应遵循的安全规则。

也可以添加更多的过滤器，从而了解有关单个用户对应用程序的使用情况以及在应用程序通信中检测到的威胁的详细信息。

只需短短几分钟时间的时间，ACC 就可以为管理员提供所需的数据，供其做出更为合理的安全策略决定。

• App-Scope：作为 ACC 提供的应用程序和内容的实时视图的补充，App-scope 提供有关随时间的推移而发生的应用程序、通信和威胁活动的用户可自定义的动态视图。

•管理：为了适应不同的管理风格、要求和人员配备，管理员可以使用基于 Web 的界面、完全的命令行界面 (CLI)或集中式管理解决方案 (Panorama) 来控制 Palo AltoNetworks 防火墙的各个方面。

对于各类员工需要具有访问管理界面的不同权限级别的环境，在所有这三种管理机制中均可通过使用基于角色的管理，将不同的管理职能委派给合适的个人。

利用基于标准的 Syslog 和 SNMP 接口，可实现与第三方管理工具的集成。

•日志记录和报告：实时过滤功能可加快对穿越网络的每个会话进行取证调查的速度。

可完全自定义和安排的预定义报告提供了有关网络上的应用程序、用户和威胁的详细视图。

PAN产品以清楚易懂的形式查看应用程序活动。

添加和删除过滤器可了解有关应用程序、应用程序的功能以及应用程序的使用者的详细信息。

内容和威胁可视化：以清楚易懂的形式查看 URL、威胁和文件/ 数据传输活动。

添加和删除过滤器可了解有关各个元素的详细信息。

3.2.2 报告和日志记录
利用强大的报告和日志记录功能，可以分析安全事件、应用程序使用情况以及通信流模式。

•报告：既可以按原样使用预定义报告，也可以对预定义报告进行自定义或组合为一个报告来满足特定的要求。

详细的活动报告会显示已使用的应用程序、访问过的 URL 类别和网站以及给定用户在指定期间内访问的所有 URL 的详细报告。

所有报告均可作为 CSV 或PDF 格式导出，并且还可以按照计划的时间通过电子邮件发送。

•日志记录：管理员只需单击某个单元格值并/ 或使用表达式构建器定义过滤条件，即可通过动态过滤功能来查看应用程序、威胁和用户活动。

可以将日志过滤结果导出到 CSV 文件中或发送到系统日志服务器，以供脱机归档或其他分
析之用。

•跟踪会话工具：通过对与单个会话相关的通信、威胁、URL 和应用程序的所有日志使用集中式关联视图，可加快取证调查或事件调查的速度。

3.2.3 带宽监视和控制
面对各式各样的网络应用服务及语音通话服务的需求，Palo Alto Networks 安全防护网关具备优异的服务质量控制管理能力，可依据网络服务的类型制定不同等级的传输优先权，并进行带宽控管，用来确保重要应用服务享有较高传输优先权与最佳的传输带宽，从而保障诸如语音通话服务质量等主要应用，可获得显著用户体验。

Palo Alto Networks安全防护网关，支持多达八种的服务质量控制分类，可依据网络应用服务的重要性，予以划分等级，例如：语音通话服务，划分享有最高优先权分类、网页数据浏览给予次高优先权分类、至于电子邮件传输则可给予最低优先权分类，从而保障具有实时和主要的应用优先被处理，而其余应用依然可以提供良好服务，从而提升用户的上网体验。

Palo Alto Networks安全防护网关，可提供优异的QoS控管机制，
还能显示实时带宽使用情况图表，提供IT人员所需管理信息
面对各式各样具备建立加密通道的应用程序所带来的安全威胁，Palo Alto 安全防护网关，内置高效硬件芯片用于分析加密通道的内容及行为，并且丝毫不影响设备整体性能。

随着网络的带宽不断增加，网络架构不断扩充并复杂化，各种网络应用的兴起也逐渐取代过去人们习惯，性能管理加强了网络的可视性与可靠性。

异常流量
•服务质量 (QoS)：通信流定型功能扩展了积极实现策略控制的功能，使管理员能够允许占用大量带宽的应用程序（如流媒体）运行，同时又保持业务应用程序的性能。

可以基于应用程序、用户、时间表等强制实施通信流定型策略（保证、最大化和优先级）。

同时还支持 Diffserv标记功能，允许下游或上游设备控制应用程序通信流。

•实时带宽监视器：选定 QoS 类中的应用程序和用户对带宽和会话的使用量的实时图形化视图。

3.2.4 精细的网络、应用策略控制
通过完整的可视性分析，可以启用适当的应用程序使用策略通过即时了解穿越网络的应用程序、这些应用程序的使用者和潜在的安全风险，管理员能够轻松而迅速地做出适当的响应决定。

利用这些数据点，管理员可以应用具有各种比允许或拒绝更为精细的响应的策略。

策略控制响应包括：
•允许或拒绝
•允许，但会进行扫描以检测病毒和其他威胁
•允许（基于时间表、用户或组）
•解密和检查
•通过 QoS 应用通信流定型
•应用基于策略的转发
•允许特定的应用程序功能
•上述各项的任意组合
通过使用具有熟悉的界面外观和操作方式的策略编辑器，经验丰富的防火墙管理员可以快速创建灵活的防火墙策略，例如：
•利用Active Directory 集成功能为销售和市场营销部门指定 和 Oracle 访问权。

•仅允许 IT 部门使用一组固定的管理应用程序，如 SSH、Telnet 和 RDP。

•阻止恶意应用程序，例如，P2P 文件共享、绕道访问和外部代理。

•定义并强制使用企业策略，以允许和检查特定的网络邮件和即时消息用
法。

•使用基于策略的转发强制 Facebook 应用程序通信通过特定路由传递。

•控制单个应用程序内的文件传输功能，从而允许使用应用程序但禁止传输文件。

•识别文本形式或文件形式的敏感信息（如信用卡号或身份证号）的传输。

•部署 URL 过滤策略，阻止访问明显与工作无关的网站，监控可能存在问题的网站并“指导”如何访问其他网站。

•实施 QoS 策略以允许媒体和其他占用大量带宽的应用程序，但限制这些应用程序对业务关键应用程序的影响。

通过使用 Palo Alto Networks 的新一代防火墙，客户可以部署积极的强制实施模型策略，以阻止恶意应用程序、扫描业务应用程序以检测威胁并促进安全使用最终用户应用程序。

相比之下，基于 IPS 的解决方案只具有两个选项（即允许或拒绝），这将限制以积极、可控且安全的方式使用应用程序的能力。

策略创建：通过使用熟悉的界面外观和操作方式，可以快速地创建和部署用于控制应用程序、用户和内容的策略。

3.2.5 一体化综合的威胁防范能力
对于置身于当今的以 Internet 为中心的网络环境的 IT 部门而言，重新获得对应用程序通信的可视化和控制只是解决了他们所面临的部分网络安全难题。

对允许的应用程序通信进行检测成为了下一个大的难题。

这一难题可通过与防火
墙无缝集成的威胁预防引擎来解决，该引擎将统一的签名格式与基于流的扫描组合在一起，以单通道方式阻止漏洞攻击、病毒和间谍软件。

➢入侵防御系统 (IPS)：漏洞保护功能集成了一组丰富的入侵防御系统(IPS) 功能，可阻止已知和未知的网络层和应用程序层漏洞攻击、缓冲区溢出、DoS 攻击及端口扫描危害和破坏企业信息资源。

IPS 机制包括：
•协议解码器分析
•状态模式匹配
•协议异常检测
•启发式分析
•统计数据异常检测
• IP 合并和 TCP 重组
•阻止无效的或错误格式的数据包
•自定义漏洞签名
➢网络防病毒：内联的防病毒保护功能将在网关处检测和阻止大多数类型的恶意软件。

防病毒保护功能利用统一的签名格式和基于流的引擎来保
护企业免受数百万种的恶意软件的侵扰。

基于流的扫描可帮助保护网络，
而不会造成显著的延迟。

使用依赖于基于代理的扫描的其他网络 AV 技
术会出现此问题。

此外，基于流的引擎可执行内联解压缩，从而使企业
可防范经过压缩的威胁。

而且，由于 Palo Alto Networks 新一代防火
墙能够按策略对 SSL 进行解密，还可以让组织防范通过受感染的 SSL 加
密的应用程序传播的恶意软件。

➢URL 过滤：完全集成且可自定义的 URL 过滤数据库收集了 76 个类别的2000 多万个 URL，管理员可以利用它应用精细的网络浏览策略，同时配
合应用程序可视化和控制策略，帮助企业防范各种法律、法规和生产风
险。

可以创建自定义策略，以便对原始 URL 过滤数据库进行补充并满
足独特的客户需求。

为了适应本地用户社区的通信模式，还可以利用一
个收集有一百万个 URL 的单独的动态缓存数据库（从一个收集有一亿
八千万个 URL 的托管数据库生成）来扩充原始的过滤数据库。

➢数据过滤：利用数据过滤功能，管理员能够实施一些策略以降低与传输
基于类型的未经授权的文件（与仅查看文件扩展名相对）和机密数据模
式（信用卡号和身份证号）相关的风险。

3.2.6 网络部署的灵活性
灵活的网络体系结构，包括动态路由、交换、高可用性和VPN 支持，使得几乎可以在任何网络环境下进行部署。

•交换和路由：结合基于区域的安全性的 L2、L3 和混合模式支持使得可以在各种网络环境中进行部署。

对于 L2和 L3，支持使用动态路由协议（BGP、OSPF 和 RIP）和完全 802.1Q VLAN。

•虚拟连接：在逻辑上将两个端口绑定到一起，不通过任何交换或路由而将一个端口的所有通信流传递到另一个端口，这样可以在不影响周边设备的情况下，实现全面的检查和控制。

•基于策略的转发：基于应用程序定义的策略、源区域/界面、源/ 目标地址、源用户/ 组和服务转发通信。

•虚拟系统：作为一种向特定部门或客户提供支持的方式，在单个设备中创建多个虚拟“防火墙”。

每个虚拟系统均可以包含专用的管理帐户、界面、网络配置、安全区域和针对关联网络通信的策略。

•主动/ 被动高可用性：完全支持配置和会话同步的毫秒故障转移。

• IPv6: 对于使用 IPv6 的应用程序，支持完全的应用程序可视化、控制、检查、监控和日志记录功能（仅限虚拟连接模式）。

•巨型帧（仅 PA-4000 系列）：支持巨型帧（最多 9,216 个字节）。

第4章 PaloAlto解决方案特色
4.1 下一代安全防火墙的领先者-PaloAlto
PaloAlto成立于2005年，具有世界级团队，有来自业内的安全和网络界精英成立的公司，目前在全球有50多个国家为上千家大型客户提供7*24小时的专业服务。

防火墙是最具策略性的网络安全基础结构组件，可以检测所有通信流。

因此，防火墙是企业网络安全控制的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。

不过，传统的防火墙是依靠端口和通信协议来区分通信流内容，这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们；例如，可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。

由此带来的可视化和控制丧失会使管理员处于不利地位，失去应用控制的结果会让企业暴露在商业风险之下，并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。

用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式，单独部署其他的“辅助防火墙”。

上
述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟（将引发扫描进程）的不足，均无法解决可视化和控制问题。

现在需要一种完全颠覆式的方法来恢复可视化和控制。

而新一代防火墙正是我们所需的。

Gartner 早在2009的研究报告中通过对目前市场的分析，说明对于需要规划和升级传统 FW/IPS/UTM 的用户提出明确的建议，建议用户应采用或更新为”新一代防火墙” (Next Generation Firewall, NGFW)架构，理由很简单传统的防火墙远远不能适合现在IT变迁的新的形势：
➢传统的防火墙+IPS不能解决应用的可视性和精细控制的问题
➢传统的防火墙+UTM 会带来性能的瓶颈问题
➢而权衡新一代防火墙必须五大要素：
•识别应用程序而非端口。

准确识别应用程序身份，检测所有端口，而且不论应用程序使用何种协议、SSL、加密技术或规避策略。

应用程
序的身份构成所有安全策略的基础。

（识别七层或七层以上应用）•识别用户，而不仅仅识别 IP 地址。

利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。

•实时检查内容。

帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件，并且实现低延迟和高吞吐速度。

•简化策略管理。

通过易用的图形化工具和策略编辑器（可通过统一的方式将应用程序、用户和内容结合在一起）来恢复可视化和控制。

•提供数千兆位的数据吞吐量。

在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能（在启用所有
服务的情况下）。

Palo Alto应用防火墙完全符合 Gartner 对下一代防火墙的定义；以APP-ID、 User-ID 及 Content-ID 三种独特的识别技术，提供以统一策略方式对使用者 /群组、应用程序及内容，做到完善的访问控制、安全管理及带宽控制。

此创新的技术建构于“单通道平行处理 (SP3)”先进的硬件+软件系统架构下，实现低延迟及高效率的特性，解决传统FW+IPS+UTM对应用处理效能不佳的现况。

Palo Alto Networks 新一代安全网关实现了对应用程序和内容的前所未有的可视化和控制（按用户而不仅仅是按 IP 地址），并且速度可以高达 10Gbps。

Palo Alto Networks 的新一代防火墙基于正在申请专利的 App-ID™技术，可以
精确地识别应用程序（而不论应用程序使用何种端口、协议、规避策略或 SSL 加密）并扫描内容来阻止威胁和防止数据泄露。

通过使用 Palo Alto Networks，企业第一次可以拥有新一代应用程序并从中受益，同时维持完全的可视化和控制。

新一代防火墙为今日的企业提供应用程序的可见度和控制，同时扫描应用程序内容检测潜在的威胁，让企业能够更有效地管理风险。

企业需要能够满足下列关键需求的新一代防火墙：
* 无论使用哪一种通讯协议、 SSL 加密或规避战术，都能识别跨越所有连接端口的应用程序。

* 针对内嵌于应用程序传输流量中的攻击和恶意软件进行实时防护。

* 使用强大的可视化工具和统合原则编辑器，简化原则的管理。

* 部署时，在不降低性能的情况下，提供数 GB 的数据传输。

Palo Alto Networks 新一代防火墙解决了状态检测传统防火墙漏洞的主要“缺陷”，提供 IT 部门对应用程序、使用者和内容应有的策略性、可视度和控制。

4.2 提供网络高可视性与控制能力
Palo Alto Networks 新一代网络安全防护网关可以对网络中传输的应用程序和用户进行深度识别并进行内容的分析，提供完整的可视度和控制能力，针对客户端常见 IM（MSN / Yahoo / QQ …）、P2P（Foxy / Bit-Torrent / eMule…）与社区社群工具（Facebook）等各种行为的控制管理与记录审计
Palo Alto Networks新一代网络安全防护网关，以APP-ID、User-ID 及Content-ID 三种独特的识别技术, 提供对用户/群组、应用程序及内容的高速全面的访问控制、安全管理及带宽控制。