Daniel Seiler, IT-Supervisor, Hapimag AGPaloAlto Next Generation FirewallImplementierung @Hapimag AG
PaloAlto Next Generation Firewall @Hapimag Folie 1Übersicht Kurzportrait Hapimag AG Ausgangslage vor Einführung Palo Alt...
Kurzportrait Hapimag AG Schweizer Tourismusunternehmen, gegründet 1963, HQ inBaar/Zug Rund 2000 Mitarbeiter weltweit, da...
Ausgangslage vor Einführung Palo Alto Firewalls Dezentrale Internet-Breakout-Points für jede Site Headquarter ohne logis...
Der Weg zur Next Generation Firewall (1) Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via10GBit Fiber Be...
Der Weg zur Next Generation Firewall (2) Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoftals Alterna...
Ausgangslage vor der Einführung Palo Alto (2)PaloAlto Next Generation Firewall @Hapimag Folie 6Netscreen NS500Netscreen NS...
Implementierung & Vorteile (1) Implementierung komplett begleitet durch Belsoft AG 2 PA-5050 Firewalls im Aktiv/Passiv-M...
Implementierung & Vorteile (2) 2 Wochen nach Migration voll einsatzfähiges Regelset das nur nochDetailoptimierung nötig m...
Netzwerk Endausbau nach der MigrationPaloAlto Next Generation Firewall @Hapimag Folie 9HATrust Internal10.2.0.0/16DMZ10.3....
Fazit Migration hat sich gelohnt! Next Generation Features werden regegenutzt resp helfen auf allen Ebenen Vorbildliche ...
PaloAlto Next Generation Firewall @Hapimag Folie 11
Upcoming SlideShare
Loading in...5
×

Pa next generationfirewallhapimag

722

Published on

Belsoft Best Practice - Next Generation Firewalls - Präsentation Hapimag

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
722
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Pa next generationfirewallhapimag"

  1. 1. Daniel Seiler, IT-Supervisor, Hapimag AGPaloAlto Next Generation FirewallImplementierung @Hapimag AG
  2. 2. PaloAlto Next Generation Firewall @Hapimag Folie 1Übersicht Kurzportrait Hapimag AG Ausgangslage vor Einführung Palo Alto Firewalls Der Weg zur Next Generation Firewall Implementierung & Vorteile Fazit
  3. 3. Kurzportrait Hapimag AG Schweizer Tourismusunternehmen, gegründet 1963, HQ inBaar/Zug Rund 2000 Mitarbeiter weltweit, davon 270 in der Zentrale Wohnrechtsanbieter mit über 60 Destinationen in Europa, USAund Nordafrika Zentrale IT-Abteilung für alle Anliegen der IT Callcenter inhouse sowie 6 abgesetzte Callcenter in Europa Internet-Breakout-Point für die gesamte Unternehmung viaSchweizPaloAlto Next Generation Firewall @Hapimag Folie 2
  4. 4. Ausgangslage vor Einführung Palo Alto Firewalls Dezentrale Internet-Breakout-Points für jede Site Headquarter ohne logische Trennung von Clients und Servern Diverse Netze (2 DMZ, Quality-Netz, Testnetze, Spezialnetze) HQ-seitig zwei Netscreen NS-500 Firewalls im Aktiv/Passiv-Cluster, abgesetzte Netscreen NS-5 in Remote-Sites, verbundenvia Netscreen-VPN-Tunnel Zentraler Internetzugang via Proxy (MS ISA 2004) undWebsense URL-Filter Einheitlicher Virenscanner auf allen Geräten von SophosPaloAlto Next Generation Firewall @Hapimag Folie 3
  5. 5. Der Weg zur Next Generation Firewall (1) Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via10GBit Fiber Bestehende Firewalls knapp 8 Jahre alt, EOL, keine Reserveleistungmehr, keine freien Interface mehr, keine 10 Gbit Interfaces möglich Security Audit zeigte Probleme auf die mit bestehenden Firewalls nichtgelöst werden konnten (zB Vulnerability, Zugriffssteuerung auf User-Ebene, vorgelagertes Scannen nach Schädlingen) Evaluierung eines Secure-Gateways um vorgelagerte Scans nachSchädlingen zu ermöglichen Planung Ersatz / Neuimplementierung des URL-FiltersPaloAlto Next Generation Firewall @Hapimag Folie 4
  6. 6. Der Weg zur Next Generation Firewall (2) Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoftals Alternative und Ersatz für andere Produkte (Firewalls, SecureGateway, URL-Filter, Remote-Access Lösung). Implementierung eines Feldtestes während rund 3 Wochen um realeDaten zu sammeln im scharfen Netzwerk inklusive Traffic-Spitzentagen Begeisterung  Projekt-Go für Implementierung PaloAlto FirewallsPaloAlto Next Generation Firewall @Hapimag Folie 5
  7. 7. Ausgangslage vor der Einführung Palo Alto (2)PaloAlto Next Generation Firewall @Hapimag Folie 6Netscreen NS500Netscreen NS500HATrust Internal10.2.0.0/16DMZ10.3.0.0/16DMZ TS10.4.0.0/16ZahlungsPC192.168.254.0/24Test10.51.0.0/16Quality10.50.0.0/16Messen / GV10.9.0.0/16Proxy-ServerISA 2004URL FilterWebsenseURL-FilteringSniffing /Paket Analyzing
  8. 8. Implementierung & Vorteile (1) Implementierung komplett begleitet durch Belsoft AG 2 PA-5050 Firewalls im Aktiv/Passiv-Modus Auftrennung Client- und Server-Netz (Datacenter-Modus) Implementierung von GlobalProtect VPN-Lösung Layer 3-Routing komplett via PaloAlto Firewalls realisiert Implementierung der Firewalls in einem Wochenende mitÜbernahme des «alten» Regelsets, bereits erste Optimierungenund Ablösungen von Regeln durch neue Filter und Features Im Verlauf von wenigen Wochen regelmässigeWeiteroptimierung des Regelsets und der EinstellungenPaloAlto Next Generation Firewall @Hapimag Folie 7
  9. 9. Implementierung & Vorteile (2) 2 Wochen nach Migration voll einsatzfähiges Regelset das nur nochDetailoptimierung nötig machte Seit Inbetriebnahme bereits über 40 «Performance-Probleme» desNetzwerks widerlegt / aufgeklärt Logfiles der PaloAlto-Firewalls tragen an diversen Stellen zumIdentifizieren und Lösen von Netzwerk-Problemen bei. Zeit für Test und Freischaltung von URLs um über 100% gesenkt Site-to-site VPN-Installationen sind mit minimalem Aufwand möglich Integrierte Reports helfen Bedrohungen und Probleme proaktiv zubeheben Schulungsaufwand massiv reduziert über alle TechnologienPaloAlto Next Generation Firewall @Hapimag Folie 8
  10. 10. Netzwerk Endausbau nach der MigrationPaloAlto Next Generation Firewall @Hapimag Folie 9HATrust Internal10.2.0.0/16DMZ10.3.0.0/16DMZ TS10.4.0.0/16ZahlungsPC192.168.254.0/24Test10.51.0.0/16Quality10.50.0.0/16Messen / GV10.9.0.0/16PaloAlto PA-5050 PaloAlto PA-5050TrustClients10.128.0.0/16TrustServers10.2.0.0/16HapiNet172.25.x.0/24ServicePoint172.30.x.0/24URL-FilteringSniffing / Paket AnalyzingApplication detectionVirus-scanningVulnerability Protection
  11. 11. Fazit Migration hat sich gelohnt! Next Generation Features werden regegenutzt resp helfen auf allen Ebenen Vorbildliche Projektbegleitung durch Belsoft AG vor, während und nachder eigentlichen Implementierung Massive Verbesserung im Handling der Firewall durch PanOS-GUI Schulungsaufwand massiv reduziert Netzwerk-Troubleshooting enorm verbessert: Schneller, besserdokumentiert und auch für Nicht-Spezialisten besser verständlich. Neue Firewall wird von technikaffinen Mitarbeitern als realeVerbesserung wahrgenommenPaloAlto Next Generation Firewall @Hapimag Folie 10
  12. 12. PaloAlto Next Generation Firewall @Hapimag Folie 11

×