Palo Alto Networks PA-5060 - Exclusive Networks

More documents

Recommendations

Info

PA – 5060 – Documentación para la preventaPágina 18 de 100Ejemplo de arquitectura mixtaPara concluir con el capítulo de arquitecturas, a continuación presentamos una que nosparece interesante porque ejemplifica las capacidades de mezclar diferentes topologías,junto con la funcionalidad de firewalls virtuales sobre un hipotético caso real. Lasiguiente figura, Figura 8, muestra el diseño lógico de la red:Figura 8.- Diseño de red con firewalls virtuales en diferentes topologíasLa idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuestapor equipamiento de dos fabricantes diferentes con el fin de mejorar la seguridad.En estos escenarios es común que el cliente se pregunte dónde ubicar mejor elequipamiento de PAN: en la zona externa (Internet) o en la zona interna (LAN). Sobre lazona externa el equipo ofrece funcionalidades de seguridad y calidad de servicio muyinteresantes (como filtrado IPS o QoS), mientras que en la zona interna también incluye
PA – 5060 – Documentación para la preventaPágina 19 de 100capacidades muy significativas orientadas al control de los usuarios internos(integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware).La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de lafuncionalidad de firewalls virtuales y la capacidad de trabajar en entornos dearquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos dePAN, que ofrecen los siguientes servicios: Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet). Cluster – 2: Funcionalidades de VPNs IPSec y SSL-VPN. Cluster – 3: Cortafuegos interno, integrado con el directorio corporativo.El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidadesde IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad delas aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, estransparente en la arquitectura y no requiere realizar ningún tipo de segmentación IPextra.Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otrofabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, comocortafuegos de perímetro.En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que seencargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de losusuarios remotos. Este cluster virtual está configurado a nivel 3 - routing.Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modorouting), para el control de los usuarios y los servicios internos. Como serviciosfundamentales además de los típicos de cortafuegos, se propone integrar lasfuncionalidades de visibilidad y control de usuarios (User-ID), así como los servicios deURL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpywarerespectivamente). También es posible habilitar las funcionalidades de DLP (Data LossPrevention), que auditarán y controlarán los contenidos que los usuarios puedendescargar o enviar hacia el exterior.Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear enfuturos sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), paraobtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el casode que surja algún problema en las mismas.
Page 1: Palo Alto Networks PA-5060Documenta
Page 4: PA - 5060 - Documentación para la
Page 7 and 8: PA - 5060 - Documentación para la
Page 68 and 69:
PA - 5060 - Documentación para la
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100:
show all

Palo Alto Networks PA-5060 - Exclusive Networks

Create successful ePaper yourself

Delete template?

Save as template?