下一代网络安全平台解决方案-IPS

PAGEPaloAltoNetworks下一代IPS网络安全平台解决方案北京信诺瑞得信息技术有限公司目录一、市场分析 3二、企业网络中需要的问题 41.1、企业网络情况分析 5三、PaloAlto提供下一代革命性的综合网络安全解决方案 63.1、解决方案设计原则 63.2、为什么选用PaloAlto提供下一代综合网络安全解决方案？ 63.3、PaloAlto下一代IPS独有的功能： 73.4、PaloAlto如何为客户提供帮助： 83.4.1、单数据流并行处理结构以及控制引擎与数据引擎单独处理 83.4.2、PaloAlto可以做到基于三种应用层重要元素的精细控制： 93.4.3、PaloAlto提供应用分类 113.4.4、应用风险等级划分 133.4.5、业务风险定义 153.4.6、威胁相关分析 163.4.7、应用与威胁分析中心(ApplicationCommandCenter,ACC) 183.4.8、基于应用的流量控制(QOS) 223.4.9、内建完善的配置变更管理功能 243.4.10、针对应用情况可以提完整化的应用报告 25四、PaloAlto提供强大的网络部署解决方案 25五、PaloAlto提供强大不同级别安全部署解决方案 27六、PaloAlto在全球客户案例 28七、PaloAlto网络安全部署方案优化建议 29

一、市场分析当前，信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。对于企业信息系统的安全问题，当前由于利益驱使大多数的攻击由原来的DDOS等攻击已经转向SQL入侵、信息窃取、恶意篡改等高危攻击，大多数企业考虑最目前还仍然在使用传统的基于IP与端口防护的IPS，已经无法满足企业的ERP和OA系统正常使用，在企业对于信息化系统严重依赖的情况下，如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时企业在独特的领域开展竞争，面对竞争压力，他们必须有效地管理成本和资源，同时维护业务完整性和网络安全性。

二、企业网络中需要的问题当前企业的网络流量主要由Internet流量组成，不仅仅是上网冲浪，网络用户还要访问新一代的基于Web的个人或商业的应用。这些应用可以帮助提高使用者和业务的工作效率，然而非关键应用占用了大量的带宽，带来了不必要的安全风险并增加业务负担。应用程序已经变成很多威胁攻击的主要途径，但是传统的阻断端口的IPS不能识别并有效的控制它们，就是因为传统IPS只是基于端口或者协议来分类流量。例如：传统IPS将基于80端口的Web流量全部识别成为简单的HTTP流量，而没有办法更加细颗粒度的识别并进一步控制与管理基于HTTP的应用类别。更糟的是，问题不只限于80端口，Internet应用越来越多的使用基于443端口的加密SSL通道，通过规避策略来伪装它们，或者通过跳端口技术找到切入点绕过IPS。所以传统的IPS无法看到并控制这些流量。基于这些原因，阻断端口的IPS不再是有效的网络安全解决方案。这并不惊讶因为IPS在过去的15年改变得很少，没有革新。IT组织尝试着通过代理、入侵防御系统、URL过滤等一些昂贵且复杂的设备来弥补这些不足，但是仍然无法有效的管理当前的应用及威胁。现在该是纠正传统IPS和网络安全架构弱点的时候了。外部安全随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。而企业网络系统网络中现有的IPS一般都是采用传统架构。他们的网络性能一般都不高，尤其是对于Internet应用骤增的企业网络网络环境来说，现有IPS的网络性能不足更是导致网络传输延迟增大的直接原因，使其成为整个网络传输的瓶颈，严重影响企业网络系统的正常办公需求，已经不能够满足企业网络系统信息化持续发展的需要。而一款高性能、高吞吐、应用识别、用户识别、内容识别、安全风险评估的IPS是企业网络系统所急切需要的。内部安全最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率，阻碍了电脑网络，消耗了企业网络资源，并引入了病毒和间谍程序，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业的损失，同时缺少风险评估设备。内部网络之间、内外网络之间的连接安全随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全性直接影响企业的高效运作。1.1、企业网络情况分析企业由于规模、行业、工作方式及管理方式的不同有着不同的网络拓扑机构。网络情况有以下几种。资料信息共享集中型：只在总部设立完善的网络布局。采取专线或多条线路接入等网络接入方式，一般网络中的终端总数在几十到几千台不等。网络中有的划分了子网，并部署了与核心业务相关的服务器，如数据库、邮件服务器、文档资料库、ERP服务器等。分散型：采取多分支机构办公及移动办公方式，各分支机构均有网络部署，数量不多。大的分支采取专线接入，一般分支采取ADSL接入方式。主要是通过VPN访问公司主机设备及资料库，通过邮件或内部网进行业务沟通。综合型：集中型与分散型的综合。

三、PaloAlto提供下一代革命性的综合网络安全解决方案3.1、解决方案设计原则网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。体系化设计原则通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。全局综合性设计原则从企业的实际情况看，单纯依靠传统的安全措施，并不能解决安全问题。建议考虑到各种安全措施的使用，使用一个具有相当高度、可扩展性强的安全解决方案及产品。可行性、可靠性及安全性可行性是安全方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，而安全性是设计安全系统的最终目的。3.2、为什么选用PaloAlto提供下一代综合网络安全解决方案？PaloAlto是一家专注于网络安全的公司。对全球网络安全发展趋势颇具前瞻性的NirZuk先生于2005年以重新规划企业网络安全架构为使命创建了该公司，立志重新创造IPS。面对大多数企业的网络安全处于一种支离破碎的状态，导致企业面临着不必要的商业危险以及持续上升的IT投入成本，我们认为IPS应当成为企业最具战略重要意义的网络安全设备。我们的管理团队以及董事会成员由最主要的网络安全公司和相关科技的核心人员组成，这个团队创造发明了状态检测，基于硬件的安全，以及入侵防御技术。我们的工程师团队曾经为CheckPoint,Cisco,NetScreen,McAfee,Juniper等公司提供了高质量的网络传输报表和网络安全的解决方案。我们从2007年开始交付用户我们的下一代IPS系列产品，目前在全球拥有超过6000+家客户的IT架构使用我们的解决方案，其中很多都是世界财富500强的企业。Gartner在最近的企业网络IPS魔力四象限图中将我们定位于具有远见卓识的象限。我们分别在北美洲、欧洲、亚太区及中国设立了办公机构，通过全球范围的经销商销售我们的产品。PaloAlto网络公司实现了IPS的真正革新，不仅仅是根据IP地址与端口，还可以根据用户来实现前所未有的应用和内容的可见性和可控性，同时可高达20Gbps吞吐而不会有性能的下降。基于取得专利的APP-ID（应用识别）技术，不管应用采用何种端口，协议，是否采用了SSL加密，PaloAlto下一代IPS都可以精确地识别应用，同时可以通过对内容的扫描来阻止威胁和防止信息泄漏。通过设备的整合，企业可以在显著减少总体成本的情况下实现应用完全的可视性和可控性，首次真正拥有Web2.0。3.3、PaloAlto下一代IPS独有的功能：唯一一款基于精确识别应用程序技术分类流量的IPS（而不论应用使用何种端口、协议或规避策略）。唯一一款可以识别、控制并检测SSL加密流量和应用的IPS。唯一一款提供按应用和用户做基于策略的QoS流量整形的IPS，对网络上的个人应用和业务的性能做到可控。唯一一款通过基于数据流的威胁防范引擎实现实时扫描数据内容以防范病毒、间谍软件、数据泄露和应用程序漏洞的IPS。唯一一款可以扫描社保号码或信用卡号码等内容防止敏感数据泄露以符合PCI等规则的IPS。唯一一款针对网络应用具有详细图形化界面的IPS，包括用户信息、组信息；按照会话、字节、端口、威胁和时间进行数据级别分类。唯一一款提供网络评选评估、日志深度挖掘、定位、提供安全报告的安全设备。唯一一款开启所有功能并在满负载情况下仍然具有低延时、高性能的IPS。3.4、PaloAlto如何为客户提供帮助：3.4.1、单数据流并行处理结构以及控制引擎与数据引擎单独处理PaloAlto采用了独家设计的单数据流并行处理(SP3)的体系结构，使用单数据流处理软件系统与并行处理硬件架构的完美整合，可以满足IT人员对超高处理性能与低网络传输延迟的需求，让安全防护设备从此不再成为网络传输的瓶颈。3.4.2、PaloAlto可以做到基于三种应用层重要元素的精细控制：应用程序识别（App-ID）无论使用什么连接端口、通讯协议、SSL加密或具备多种隐藏手段的特性，能够识别近1500种以上客户端常见应用程序。图形化可视性工具可以容易并直接检测和透视应用程序的传输流量。细颗粒化控制可以阻断不合法的应用程序并控制需要的应用程序。用户身份识别（User-ID）通过与常见用户数据库紧密整合(AD、LDAP、Radius等)，有效配合安全策略进行各项精确管理通过网络准入认证，控制客户端访问权限内容识别（Content-ID）病毒、间谍软件和系统漏洞的防护，限制未经授权的文件传输和敏感数据传输(如：信用卡号码、个人身份信息)，并控制与工作无关的网络浏览PaloAlto新一代综合流量安全网关，以APP-ID、User-ID及Content-ID三种独特的识别技术,提供对用户/群组、应用程序及内容的高速全面的访问控制、安全管理。3.4.3、PaloAlto提供应用分类Paloalto目前能够识别近1500种应用，能够对6个大类26种子类近1500种应用进行识别和控制（包括应用子功能控制）。大类和子类名称以及支持应用的数量的描述各种应用可以还有其它不同纬度的分类特性(以及包含应用数量)技术分类（4种） 风险等级分类（5个级别，5级是最高风险）应用行为特性（8种）分类3.4.4、应用风险等级划分PaloAlto把每个应用根据其特有的行为特性进行风险等级划分，风险划分主要从如下8个行为特征进行的：行为特征类型描述滥用倾向用于恶意目的或很容易配置造成暴露超出预期的行为。例如，SOCKS以及BitTorrent和AppleJuice等更新的应用程序。传递其他应用程序能够传输其他应用程序。例如，SSH和SSL以及Hopster、TOR和RTSP、RTMPT。具有已知的漏洞应用程序具有已知的漏洞–且通常是攻击传输文件能够将文件从一个网络传输到另一个网络。例如FTP和P2P以及网络邮件、在线文件共享应用程序（如MegaUpload和YouSendIt!）。被恶意软件利用曾被用于传播恶意软件、发起攻击或窃取数据。被恶意软件利用的应用程序包括协同办公软件（电子邮件、IM等）和一般Internet类别（文件共享、Internet实用工具）。消耗带宽应用程序通过正常使用通常消耗1Mbps或更多的带宽。例如，P2P应用程序，如迅雷和DirectConnect以及媒体应用程序、软件更新和其他业务应用程序。具有规避性（逃逸）将端口或协议用于非其预期目的的其他用途，旨在便于部署或规避现有的安全基础结构。普遍使用每个应用都会根据是否符合上述的行为特征与否进行评估，如果符合度越多他们的风险等级越高。3.4.5、业务风险定义应用程序可能会对企业和企业内部的业务造成潜在影响。对企业构成的风险分为以下五类：（备注：如下饼图可以从设备AVR报告中获得）1、生产效率对生产效率构成的风险源于滥用。这种滥用可包括两种形式：员工使用与工作无关的应用程序，而不是完成工作（例如，Myspace、开心网、个人电子邮件、博客、微博）与工作无关的应用程序消耗的带宽过多，以致正当的应用程序功能受影响（例如，迅雷看看、YouTube、流媒体/HTTP音视频）2、合规性大多数组织都必须遵守各种政府和商业法规–在美国，这包括GLBA、HIPAA、FD、SOX、FISMA和PCI。这些法规多数侧重于保护企业的运营、财务、客户或员工数据。某些应用程序对此类信息构成了严重威胁–或者是应用程序本身或者是借助以其为目标的威胁（例子分别是BitTorrent和MySpace）。任何可传输文件的应用程序（网络邮件、Skype、IM）都意味着严重的合规性问题。3、运营成本对运营成本构成的风险有两种形式其一，对应用程序和基础结构的不当使用过度，以致必须购买更多（例如，由于流媒体视频而升级WAN线路）才能确保业务流程发挥作用；其二，导致产生IT费用的事件和漏洞（例如，在发生涉及漏洞或病毒的安全事件后重新构建服务器或网络4、业务连续性业务连续性风险指可以破坏或以其他方式使某些业务流程的关键组件无法使用的应用程序（或其带来的威胁）。例如，电