Palo Alto Networks PA-5060 - Exclusive Networks
Palo Alto Networks PA-5060 - Exclusive Networks
Palo Alto Networks PA-5060 - Exclusive Networks
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>PA</strong> – <strong>5060</strong> – Documentación para la preventaPágina 19 de 100capacidades muy significativas orientadas al control de los usuarios internos(integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware).La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de lafuncionalidad de firewalls virtuales y la capacidad de trabajar en entornos dearquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos de<strong>PA</strong>N, que ofrecen los siguientes servicios: Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet). Cluster – 2: Funcionalidades de VPNs IPSec y SSL-VPN. Cluster – 3: Cortafuegos interno, integrado con el directorio corporativo.El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidadesde IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad delas aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, estransparente en la arquitectura y no requiere realizar ningún tipo de segmentación IPextra.Tras el cluster de <strong>PA</strong>N de entrada, se encuentra el cluster de cortafuegos de otrofabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, comocortafuegos de perímetro.En la zona de DMZs se ha propuesto utilizar otro cluster virtual de <strong>PA</strong>N, que seencargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de losusuarios remotos. Este cluster virtual está configurado a nivel 3 - routing.Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modorouting), para el control de los usuarios y los servicios internos. Como serviciosfundamentales además de los típicos de cortafuegos, se propone integrar lasfuncionalidades de visibilidad y control de usuarios (User-ID), así como los servicios deURL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpywarerespectivamente). También es posible habilitar las funcionalidades de DLP (Data LossPrevention), que auditarán y controlarán los contenidos que los usuarios puedendescargar o enviar hacia el exterior.Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear enfuturos sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), paraobtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el casode que surja algún problema en las mismas.