PaloAlto新一代信息安全防护解决方案

新新一一代代网网络络安安全全防防护护建建议议书书PPaallooaallttooNNeettwwoorrkkssIInncc..22001133--22第2页目目录录第1章背景介绍............................................................................................................3第2章安全需求分析....................................................................................................42.1安全防护目标.....................................................................错误!未定义书签。2.2面临问题及风险................................................................................................4第3章企业网络安全方案............................................................................................53.1PAN的产品及网络部署....................................................................................53.1.1部署方式................................................................................................53.1.2中央管理平台实现集中管理................................................................63.2PAN方案功能....................................................................................................73.2.1应用程序、用户和内容的可视化..........................................................73.2.2报告和日志记录....................................................................................103.2.3带宽监视和控制.....................................................................................113.2.4精细的网络、应用策略控制................................................................123.2.5一体化综合的威胁防范能力................................................................133.2.6网络部署的灵活性................................................................................15第4章PaloAlto解决方案特色..................................................................................164.1下一代安全防火墙的领先者-PaloAlto..........................................................164.2提供网络高可视性与控制能力......................................................................184.3更加灵活的转址功能(NAT).........................................................................194.4用户行为控制..................................................................................................204.5提供SSL加密传输及穿墙软件分析控管能力.............................................224.6提供服务质量（QoS）管理能力..................................................................224.7网络用户身份认证..........................................................................................234.8新一代软硬件架构确保执行威胁防护时系统高效运行..............................244.9全新管理思维，提供灵活的安全策略..........................................................264.10强大的事件跟踪、分析工具，多样化的报表............................................274.11流量地图功能................................................................................................304.12灵活的工作部署模式与其它特色................................................................314.13内置设备故障应变机制................................................................................32第5章同传统防火墙以及UTM产品的优势...........................................................335.1应用程序识别、可视性及控制(App-ID)......................................................335.2使用者识别(User-ID)....................................................................................355.3内容识别(Content-ID).....................................................................................365.4单通道架构(SP3)............................................................................................375.5结论..................................................................................................................39PaloaltoNetworksInc.3/39第1章背景介绍近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁用户及企业主机的安全和正常使用。同样，随着企业信息化的迅速发展，基于网络的应用越来越广泛，特别是企业内部专网系统信息化的发展日新月异—如：网络规模在不断扩大、信息的内容和信息量在不断增长，网络应用和规模的快速发展同时带来了更大程度的安全问题，这些安全威胁以不同的技术形式同步地在迅速更新，并且以简单的传播方式泛滥，使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设，多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。PaloaltoNetworksInc.4/39第2章安全需求分析2.1网络安全网络安全是企业网络通信的重中之重，需通过网段隔离、安全防御、访问控制等手段专网安全、网络通畅，确保核心数据的传输。同时，也需要抵御黑客、病毒、恶意代码等通过各种形式对网络发起的恶意破坏和攻击，特别是能够抵御Ddos攻击，防止由此导致网络中断。2.2平台安全除网络2.3应用安全随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。2.4数据安全2.5面临问题及风险随着计算机技术、通信技术和网络技术的发展，接入本专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术已得到广泛使用，E-mail、Web2.0和终端PC的应用也日益普及，但同时病毒和黑客也日益猖獗，系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。PaloaltoNetworksInc.5/39第3章企业网络安全方案3.1PAN的产品及网络部署3.1.1部署方式PaloAltoNetworks新一代安全防护网关，采用全新设计的软/硬件架构，可在不影响任何服务的前提下，以旁接模式接入现有网络架构中，协助网管人员进行环境状态分析，并能将分析过程中各类信息进行整理后生成针对整体环境的「应用程序使用状态及风险分析报表」（AVRReport）。在AVR报表中可清楚呈现所有客户端行为与网络资源使用状态，更能进一步发现潜在安全风险，作为先行预防可能面临的各种网络威胁与安全策略调整的依据。PaloAltoNetworks新一代安全防护网关也支持以透明模式运行，以便在不影响现有路由、地址转换架构下进行布署，还能做到协助原有安全设备（F/W,IDP,Proxy…）分析过去无法掌握的网络使用行为、威胁攻击等信息，使其逐步成为安全控管中心，方便IT部门重新评估现有安全设备效益从而进行架构的调整，降低整体持有成本（TCO）。PaloaltoNetworksInc.6/39PaloAltoNetworks新一代安全防护网关，能支持路由、地址转换等工作模式，主要用于首次或升级部署安全网关的环境。IT部门可于完成初期数据流内容、行为模式分析及用户数据库整合后，依据分析的结果进行安全策略布署。3.1.2中央管理平台实现集中管理在国家企业中心部署集中管理平台，集中对国家及各个分支企业的PA设备PaloaltoNetworksInc.7/39进行统一的管理和集中的数据挖掘分析。PaloAltoNetworks下一代安全防护网关，除了内建的Web管理接口、命令接口(CommandLineInterface,CLI)之外，总部还能额外建立中央管理系统-Panorama。Panorama具备与PA下一代安全网关设备内建的Web管理接口相同的外观与操作方式，可减少IT人员在转换操作接口时的学习曲线。另外，Panor