链家下一代网络安全防护

PaloAlto为链家数据中心提供安全保护

Paloalto能够提供数据中心、终端的综合保护，云安全，以及提高对于勒索软件行型安全威胁的防护及响应，满足链家多样化的安全需求。
                                                                                                                                                                               
            
                                                                                                                             ——链家运维经理

链家下一代网络安全防护
 
需求分析
对于企业信息系统的安全问题，当前由于利益驱使大多数的攻击由原来的DDOS等攻击已经转向SQL入侵、信息窃取、恶意篡改等高危攻击，大多数企业考虑最多的目前还仍然在使用传统的基于IP与端口防护的防火墙，已经无法满足企业的ERP和 OA系统的正常使用。
在企业对于信息化系统严重依赖的情况下，如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时企业在独特的领域开展竞争，面对竞争压力，他们必须有效地管理成本和资源，同时维护业务完整性和网络安全性。
系统安全防护的重点是确保专网，即监测系统网络的安全，目标是网络的通畅，确保核心数据的传输，抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御Ddos攻击，防止由此导致的系统事故或网络事故。
防护结构

• 外部安全

随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。而企业网络系统网络中现有的防火墙一般都是采用传统架构。他们的网络性能一般都不高，尤其是对于Internet应用骤增的企业网络网络环境来说，现有防火墙的网络性能不足更是导致网络传输延迟增大的直接原因，使其成为整个网络传输的瓶颈，严重影响企业网络系统的正常办公需求，已经不能够满足企业网络系统信息化持续发展的需要。而一款高性能、高吞吐、应用识别、用户识别、内容识别、安全风险评估的防火墙是企业网络系统所急切需要的。

• 内部安全

最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率，阻碍了电脑网络，消耗了企业网络资源，并引入了病毒和间谍程序，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业的损失，同时缺少风险评估设备。

• 内部网络之间、内外网络之间的连接安全

随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全性直接影响企业的高效运作。
 
优化部署方案

• 实施适当的应用程序使用和网络浏览策略

需要强化管理应用程序使用的精细策略，鉴于应用程序不断增多，这些应用程序容易带有逃避性特征，并且各种威胁会利用它们，我们建议调整适当的使用策略，来基于每个应用程序或应用程序类别管理使用情况，因为基于子类管理目前既有必要又可行。

• 解决高风险领域，如 P2P 和在线文件传输/共享

此类应用程序可以绕过传统控制方式，与此类应用程序相关的风险可能会带来潜在问题。可能在不了解这些领域中的风险，也未对其进行分类并减轻这些风险的情况下，可能存在的未经授权的数据传输以及相关应用的威胁。

• 实施指定代理和远程访问应用程序使用的策略

使用此类应用程序。这意味着可能的威胁载体以及工作效率下降。应实施指定此类应用程序使用的策略。可能的选项包括指定哪些人群可以使用特定代理或远程访问应用程序，然后阻止所有其他访问。

• 获得对媒体应用程序的控制

应用策略来控制此类应用程序的使用而不会给大部分用户带来麻烦。可能的选项可以是基于时间的计划表，或用于限制消耗的 QoS 标记。

• 实施网络应用可视化和控制

减轻应用程序级别风险的有效方法首先是获得对应用程序通信流量的可视化，其次是了解它，最后是能够创建和实施管理它的策略。很少的技术可提供某些类型的应用程序所需的的可视化，但只有下一代防火墙才允许组织拥有跨所有应用程序通信流量的可视化，并根据企业需要提供了解、控制和可伸缩性。因此，我们的建议包括在 For IDC 网络中部署 Palo Alto Networks 防火墙，并创建适当的应用程序精细策略，以确保应用程序通信流量的可视化并确保根据设定的优先级使用网络。
Palo Alto具备多达1,400种以上应用程序识别能力，并且每周持续发布新增与更新的应用程序识别码，并针对每种应用程序提供丰富的说明信息，有助于制定更为严谨有效的安全策略。
同时Palo Alto 针对每一个应用定义行为特性，针对这些行为特性有针对性的解决方式，在APP-ID的基础上结合我们的User-ID技术和Content-ID技术能够使得风险降低到最小。

优化步骤包括：
步骤一：
通过APP-ID了解应用使用情况，包括他的流量、会话排名、风险等级的情况，重新认识及评估正对高危应用的情况。
步骤二：
根据内部IT的规范，阻止和工作无关的应用，从而阻止威胁传播ide途径。特别是和社区网络、文件共享应用、IM应用等
步骤三：
通过不同应用的行为特性，以及应用使用的情况（使用频度、应用内部重要等级、采用技术），制定相应的防护对策。如下就是根据每个应用不同的行为特征，可以有针对性的实施对策的方法。

类型	描述	防护对策
滥用倾向	用于恶意目的或很容易配置为暴露超出预期的内容。例如，SOCKS 以及 BitTorrent 和 AppleJuice 等更新的应用程序。	通过User-ID限制使用者范围 对于白名单应用控制，限制或杜绝不需要的流量经过（杜绝Proxy、Tunnel、P2P类应用） 通过端口+应用识别+IP颗粒化的范围
传递其他应用程序	能够传输其他应用程序。例如，SSH 和 SSL 以及 Hopster、TOR 和 RTSP、RTMPT。	通过User-ID限制使用者范围 对于SSH，SSL应用采用SSL解码，能够看到加密通道的应用进一步阻断非法应用 对于具有的Proxy和Security-Tunnel类应用，和逃逸特性应用进行封堵
具有已知的漏洞	应用程序具有已知的漏洞 – 且通常是攻击	通过内置威胁防御系统机制进行防御， 数据中心防御重点是针对IDC服务器端 对于上网客户端，防御重点包括客户端漏洞 双向防御特性
传输文件	能够将文件从一个网络传输到另一个网络。例如 FTP 和 P2P 以及网络邮件、在线文件共享应用程序（如 MegaUpload 和 YouSendIt!）。	通过User-ID限制使用者范围 从APP-ID限制文件的传输，如仅仅支持文件download，限制文件Upload 可以针对文件传输特性进行控制，限制带有Passowd文件传输，限制PE、EXE文件传输，限制图片文件传输等。
被恶意软件利用	曾被用于传播恶意软件、发起攻击或窃取数据。被恶意软件利用的应用程序包括协同办公软件（电子邮件、IM 等）和一般 Internet 类别（文件共享、Internet 实用工具）。	启动Spyware、病毒扫描，阻断威胁软件的传输 通过APP-ID及子功能进行精细化限制 端口+APP严格限定此类软件使用范围 通过‘下载提醒’-Drive by download功能限制后台自动下载文件 通过botnet检测能够识别异常终端行为（包括服务器）
消耗带宽	应用程序通过正常使用通常消耗 1 Mbps 或更多的带宽。例如，P2P 应用程序，如 迅雷 和 DirectConnect 以及媒体应用程序、软件更新和其他业务应用程序。	限制此类应用在合理范围内，阻止不必要的应用 通过QOS控制限制带宽使用
具有规避性（逃逸）	将端口或协议用于非其预期目的的其他用途，旨在便于部署或规避现有的安全基础结构。	通过User-ID限制使用者范围 必须端口+APP-ID识别限制非法应用借道端口通过行为
普遍使用		建议增加User-ID控制使用 通过User-ID+APP-ID的控制限制使用范围