Your SlideShare is downloading. ×
Pa next generationfirewallhapimag
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Pa next generationfirewallhapimag

613
views

Published on

Belsoft Best Practice - Next Generation Firewalls - Präsentation Hapimag

Belsoft Best Practice - Next Generation Firewalls - Präsentation Hapimag

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
613
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Daniel Seiler, IT-Supervisor, Hapimag AGPaloAlto Next Generation FirewallImplementierung @Hapimag AG
  • 2. PaloAlto Next Generation Firewall @Hapimag Folie 1Übersicht Kurzportrait Hapimag AG Ausgangslage vor Einführung Palo Alto Firewalls Der Weg zur Next Generation Firewall Implementierung & Vorteile Fazit
  • 3. Kurzportrait Hapimag AG Schweizer Tourismusunternehmen, gegründet 1963, HQ inBaar/Zug Rund 2000 Mitarbeiter weltweit, davon 270 in der Zentrale Wohnrechtsanbieter mit über 60 Destinationen in Europa, USAund Nordafrika Zentrale IT-Abteilung für alle Anliegen der IT Callcenter inhouse sowie 6 abgesetzte Callcenter in Europa Internet-Breakout-Point für die gesamte Unternehmung viaSchweizPaloAlto Next Generation Firewall @Hapimag Folie 2
  • 4. Ausgangslage vor Einführung Palo Alto Firewalls Dezentrale Internet-Breakout-Points für jede Site Headquarter ohne logische Trennung von Clients und Servern Diverse Netze (2 DMZ, Quality-Netz, Testnetze, Spezialnetze) HQ-seitig zwei Netscreen NS-500 Firewalls im Aktiv/Passiv-Cluster, abgesetzte Netscreen NS-5 in Remote-Sites, verbundenvia Netscreen-VPN-Tunnel Zentraler Internetzugang via Proxy (MS ISA 2004) undWebsense URL-Filter Einheitlicher Virenscanner auf allen Geräten von SophosPaloAlto Next Generation Firewall @Hapimag Folie 3
  • 5. Der Weg zur Next Generation Firewall (1) Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via10GBit Fiber Bestehende Firewalls knapp 8 Jahre alt, EOL, keine Reserveleistungmehr, keine freien Interface mehr, keine 10 Gbit Interfaces möglich Security Audit zeigte Probleme auf die mit bestehenden Firewalls nichtgelöst werden konnten (zB Vulnerability, Zugriffssteuerung auf User-Ebene, vorgelagertes Scannen nach Schädlingen) Evaluierung eines Secure-Gateways um vorgelagerte Scans nachSchädlingen zu ermöglichen Planung Ersatz / Neuimplementierung des URL-FiltersPaloAlto Next Generation Firewall @Hapimag Folie 4
  • 6. Der Weg zur Next Generation Firewall (2) Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoftals Alternative und Ersatz für andere Produkte (Firewalls, SecureGateway, URL-Filter, Remote-Access Lösung). Implementierung eines Feldtestes während rund 3 Wochen um realeDaten zu sammeln im scharfen Netzwerk inklusive Traffic-Spitzentagen Begeisterung  Projekt-Go für Implementierung PaloAlto FirewallsPaloAlto Next Generation Firewall @Hapimag Folie 5
  • 7. Ausgangslage vor der Einführung Palo Alto (2)PaloAlto Next Generation Firewall @Hapimag Folie 6Netscreen NS500Netscreen NS500HATrust Internal10.2.0.0/16DMZ10.3.0.0/16DMZ TS10.4.0.0/16ZahlungsPC192.168.254.0/24Test10.51.0.0/16Quality10.50.0.0/16Messen / GV10.9.0.0/16Proxy-ServerISA 2004URL FilterWebsenseURL-FilteringSniffing /Paket Analyzing
  • 8. Implementierung & Vorteile (1) Implementierung komplett begleitet durch Belsoft AG 2 PA-5050 Firewalls im Aktiv/Passiv-Modus Auftrennung Client- und Server-Netz (Datacenter-Modus) Implementierung von GlobalProtect VPN-Lösung Layer 3-Routing komplett via PaloAlto Firewalls realisiert Implementierung der Firewalls in einem Wochenende mitÜbernahme des «alten» Regelsets, bereits erste Optimierungenund Ablösungen von Regeln durch neue Filter und Features Im Verlauf von wenigen Wochen regelmässigeWeiteroptimierung des Regelsets und der EinstellungenPaloAlto Next Generation Firewall @Hapimag Folie 7
  • 9. Implementierung & Vorteile (2) 2 Wochen nach Migration voll einsatzfähiges Regelset das nur nochDetailoptimierung nötig machte Seit Inbetriebnahme bereits über 40 «Performance-Probleme» desNetzwerks widerlegt / aufgeklärt Logfiles der PaloAlto-Firewalls tragen an diversen Stellen zumIdentifizieren und Lösen von Netzwerk-Problemen bei. Zeit für Test und Freischaltung von URLs um über 100% gesenkt Site-to-site VPN-Installationen sind mit minimalem Aufwand möglich Integrierte Reports helfen Bedrohungen und Probleme proaktiv zubeheben Schulungsaufwand massiv reduziert über alle TechnologienPaloAlto Next Generation Firewall @Hapimag Folie 8
  • 10. Netzwerk Endausbau nach der MigrationPaloAlto Next Generation Firewall @Hapimag Folie 9HATrust Internal10.2.0.0/16DMZ10.3.0.0/16DMZ TS10.4.0.0/16ZahlungsPC192.168.254.0/24Test10.51.0.0/16Quality10.50.0.0/16Messen / GV10.9.0.0/16PaloAlto PA-5050 PaloAlto PA-5050TrustClients10.128.0.0/16TrustServers10.2.0.0/16HapiNet172.25.x.0/24ServicePoint172.30.x.0/24URL-FilteringSniffing / Paket AnalyzingApplication detectionVirus-scanningVulnerability Protection
  • 11. Fazit Migration hat sich gelohnt! Next Generation Features werden regegenutzt resp helfen auf allen Ebenen Vorbildliche Projektbegleitung durch Belsoft AG vor, während und nachder eigentlichen Implementierung Massive Verbesserung im Handling der Firewall durch PanOS-GUI Schulungsaufwand massiv reduziert Netzwerk-Troubleshooting enorm verbessert: Schneller, besserdokumentiert und auch für Nicht-Spezialisten besser verständlich. Neue Firewall wird von technikaffinen Mitarbeitern als realeVerbesserung wahrgenommenPaloAlto Next Generation Firewall @Hapimag Folie 10
  • 12. PaloAlto Next Generation Firewall @Hapimag Folie 11