Решения для защиты корпоративных и коммерческих цод

Решения Palo Alto Networks
для защиты корпоративных и
коммерческих ЦОД
•Денис Батранков
•консультант по ИБ
•denis@paloaltonetworks.com

Предположение о защищенности и реальность
•Source:
The State of Application Security
•A Research Study by Ponemon Institute, 2015
•Риски ≠ Затраты
•Source:
The State of Risk-Based Security Management,
A Research Study by Ponemon Institute, 2015
•Есть ли у Вас корпоративный стандарт архитектуры безопасности?
•Где Ваши риски безопасности и где Вы инвестируете в ИБ?
•Мнение рук-ва ≠ Мнение тех.
персонала

Взломы происходят постоянно
•http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Приложения ЦОД являются желаемой целью для
злоумышленников
Защищенный периметр,
доверенная зона внутри?
21% MS-RPC
15%
Web
Browsing
11% SMB
10% MS-SQL
Monitor
10%
MS-Office
Communicator
4%
SIP
3% Other
2% Active
Directory
2% RPC
1% DNS
25%
MS-SQL
•10 из 1395
приложений создают 97%
логов от IPS
•Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2015.
•9из них – приложения
ЦОД
•4 | ©2015, Palo Alto Networks. Confidential and Proprietary.

•Enterprise
Network
Трафик межсерверного взаимодействия («восток-
запад») составляет 70% от всего трафика ЦОД

Трафик необходимый для работы приложений уже не
такой примитивный
Около 30% приложений используют шифрование SSL
•80, 443, 135, 137, 139
•3200, 3300, 8000, 3600, 8100,
50013, 50014, 65000
•443, 3478, 5223,
50,000-59,999
•3389, 53, 42, 8, 13, 15, 17, 137,
138, 139, 445, 1025, 123, 507,
750, 88+464, 389, 636, 3268, 445,
161, 162, 42424, 691, 1024-65535
•Множество портов и множество данных внутри одного
соединения для работы
80
443 135
137
139
139
3200 3300 3600 8100
5223
50000 – 59,999
53 3389 42 4424 8 13
15 17 445 1024 123 507 750 88+64 389 636
3268
42424
161

Пример: туннелирование поверх 53 порта
Примеры
 tcp-over-dns
 dns2tcp
 Iodine
 Heyoka
 OzymanDNS
 NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту

•Пакет
•Source
•Address
•TCP Port
80
•Данные
приложения
•Destination
•Address
•Source
•Address
•TCP Port
80
•Destination
•Address
•Пакет
Какую часть сетевого пакета надо проверять?
•Традиционно: Приложение = номер порта
HTTP = 80
•Новое определение: Приложение = Специфические передаваемые данные
flash = данные для анимации внутри браузера от Adobe
•Данные

Портовые межсетевые экраны не справляются
Порты ≠ Приложения
IP адреса ≠
пользователи
Угрозы > Эксплойты
~30% трафика
зашифровано SSL
Сетевая безопасность
основана на устаревших
знаниях
Может ли ваш портовый firewall показать:
Какие приложения в вашем ЦОД?
Что за информация/файлы идут внутри SSH/SSL?
Кто использует RDP, Telnet?
Существуют ли неизвестные вам соединения с ЦОД?
*плюс случайные порты
Port
135
Port
137
RPC
SMS
SQL
SharePoint
SMB
Port
80
Port
139
Port
443
NetBIOS

Традиционно, лучше безопасность =
хуже производительность
Традиционная безопасность
 Каждое доп. устройство
безопасности снижает
производительность
 IPS / сетевые AV чаще всех
получают жалобы
 Идут трения между ИТ и
безопасностью
Коммутатор ядра
(максимум)
L3-L4 Firewall
Anti-Virus
IPS

Вывод: безопасность ЦОД возможна только с NGFW !
•До 200Гбит/сек.
•в кластере А/А
•в режиме «все включено»
•(все приложения,
•все сигнатуры угроз)

Сделайте межсетевой экран нового поколения важным
инструментом для контроля бизнес процессов в сети
Приложения: Классификация трафика
приложений в сети - App-ID.
Пользователи: Связать пользователей и
устройства с приложениями которыми они
пользуются - User-ID и GlobalProtect.
Содержимое приложений: Сканировать
контент - Content-ID and WildFire.

Снижаем возможности для атак
»Мир приложений
постоянно расширяется
»Бизнес одобряет
какому пользователю
какое приложение
нужно
»Площадь атаки
равна только тому
что вы сами открыли
»Не зависит от
использования
портов
»Полный набор средств
безопасности: IPS, AV
В оба направления
Внутри SSL и SSH
В архивах
В туннелях и прокси
Тестировать неизвестные
файлы
Разреши
только нужные
Очисти нужные
приложения за
один проход

Gartner: NGFW – ваш следующий IPS

Контроль приложений при помощи User-IDTM
•Windows
•Linux
•MAC
LDAP Radius NTLM
1. В политике безопасности:
• Журналировать использования
приложений группой
• Разделить неизвестный трафик и
известный трафик
2. В журналах:
• Сортировать журнал по пользователям
или группам
• Посмотреть журналы по отдельным
пользователям
Пользователь
domain1ivan
использует MS SQL
на 172.16.19.10
Соответствие IP и пользователя:
• Active Directory
• Captive Portal (NTLM)
• XML API
• LDAP
• и другие
•iOS
•Android
•Wireless
VDI

Интеграция с другими системами для работы User-ID
bash > ssh host
Last login: 02/29/2013 from localhost
[user@host ~]$
Unix Authentication Proxy Authentication 802.1x Authentication
syslog feed
syslog receiver

Функционал клиентов GlobalProtect
• Пользователи всегда подключены в сеть независимо от их местоположения
• Межсетевые экраны образуют «облако» сетевой безопасности
• Сканирование подключаемых
устройств на соответствие
установленного ПО
политике безопасности и допуск
на этой основе (NAC)
• Построение распределенных
сетей VPN (IPSec и SSL)
•Portal
•Gateway •Gateway

Доступны клиенты GlobalProtect для настольных и
мобильных ОС
 Windows, Mac OS X
 Apple iOS
 Android
 Автоматическое или ручное
подключение

Безопасно разрешаем трафик в ЦОД
КТО ГДЕ ЧТО КАК
Пользователь/Группа
Зона/Устройство
Сервер/устройство
Зона
Приложение
IPS
AV
DLP
QoS
Контент
Security
Profile
Сегментация на основе
- общего функционала
- уровня доверия
- соответствия нормативным документам
•Проверять весь трафик между зонами по
умолчанию
•Управлять неизвестным трафиком

Пример:
контроль за приложениями для управления ЦОД
 Программы удаленного управления (RDP, Telnet, SSH) использует
поддержка и администраторы
 Другие пользователи и атакующие также могут использовать их для
проникновения в ЦОД
 Используя AppIDTM, рекомендуется создать группу приложений для
администрирования и используя User-IDTM связать эти приложения
только с администраторами соответствующей политикой МЭ.
Пример: Разрешить SSH для управления
Необходимые приложения (SCP, SFTP, SSH) могут быть разрешены только ИТ
администраторам
Сотрудники
Администраторы
ЦОД
•SSH
•SSH

Интеграция NGFW в инфраструктуру ЦОД
 Tap режим - SPAN порт свитча для аудита или обзора приложений в сети
 Virtual Wire - для прозрачного контроля и сохранения текущей топологии
 На 2 уровне OSI идеально для фильтрации между VLAN
 На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW
Tap Layer 3
Поддерживает все текущие технологии сетей:
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN HA QoS
Virtual Wire Layer 2

Устройства для ЦОД
 Контроль приложений и блокировка вредоносных
 Блокировка атак и вредоносного кода известного и неизвестного
 Контроль доступа на основе ID пользователя
 Гарантированная производительность разбора приложений 120 Гбит/с
 Устройства разного формата для установки в стойку
•Шасси PA-7050
6 лезвий NGFW каждое 20
Гбит/с
•Линейка PA-5000
до 20 Гбит/с
•Линейка PA-3000
до 4 Гбит/с

PA-7080 - самый производительный в мире NGFW !!
PA-7050
NPC
PA-7050 System PA-7080 System
NGFW (L3-L7)
Gbps
20 120 200
Threat Prev. Gbps 10+ 60+ 100+
Матрица
коммутации
1.2 Тбит 1.2 Тбит
Встроенная
система
логирования
4x1TB HDD =
2TB RAID1
4x1TB HDD =
2TB RAID1
• Лицензирование и
техническая поддержка на
шасси
• Линейное
масштабирование
производительности
• Снижение стоимости за
защищенный Гбит
• Интерфейсы 10 и 40 Гбит

Основной функционал операционной системы
 Network
 Динамическая маршрутизация (BGP, OSPF,
RIPv2)
 Режим мониторинга – подключение к
 SPAN-порту
 Прозрачный (L1) / L2 / L3 режимы
 Маршрутизация по политикам (PBF)
 IPv6
 VPN
 Site-to-site IPSec VPN
 SSL VPN (GlobalProtect)
 Функционал QoS
 Приоритезация, обеспечение
максимальной/гарантированной полосы
 Возможна привязка к пользователям,
приложениям, интерфейсам, зонам и т.д.
 Мониторинг полосы в режиме реального
времени
 Зоновый подход
 Все интерфейсы включаются в зоны
безопасности для упрощения настройки
политик
 Отказоустойчивость
 Active/active, active/passive
 Синхронизация конфигурации
 Синхронизация сессий (кроме РА-200,
VM-series)
 Path, link и HA мониторинг
 Виртуальные системы
 Настройка нескольких межсетевых
экранов в одном устройстве (серии PA-
5000, PA-3000 и PA-2000)
 Простое и гибкое управление
 CLI, Web, Panorama, SNMP, Syslog,
NetFlow, интеграция с SIEM/SIM

Кластеризация active/passive, active/active
•HA1
•HA3
•HA2
•HA1
•HA2
•Active/Passive •Active/Active
•Active •Passive •Active •Active
•HA1 – синхронизация control plane (configuration, heartbeats)
•HA2 – синхронизация data plane (session state, ARP cach, fib )
•HA3 – forwarding link (только для кластера active/active)

SSL расшифрование и отправка на внешний DLP
Порт для зеркалирования расшифрованного трафика
o Позволяет передавать расшифрованный трафик на внешние устройства для
анализа (например Solera или NetWitness)
o Может использоваться для сетевых решений DLP
o Платформы серий PA-5000 и PA-3000
SSL/TLS
Data Leakage Prevention
www.google.com
Plaintext
SSL/TLS

Технологии Palo Alto Networks, применяемые для защиты
от современных угроз
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
Wildfire
TRAPS
Block
high-risk apps
Block
known malware
sites
Block
the exploit
Prevent drive-by-downloads
Detect / prevent
unknown
malware
Block malware
Block spyware,
C&C traffic
Block C&C on
non-standard
ports
Block malware,
fast-flux domains
Correlate and block
C&C: malware URL,
DNS sinkholing
Координи-
рованное
блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка •Эксплоит
•Загрузка ПО
для «черного
хода»
Установление
обратного
канала
•Разведка и
кража
данных
Anti-Exploitation
– prevent 0-day
Check e-mail
links

Обнаружение Zero Day и предотвращение с WildFire
 Вредоносные файлы
выполняются в песочнице –
специализированной
виртуальной среде
 Сигнатуры для вредоносного
кода, DNS, URL и центров
управления ботами создаются
и распространяются
автоматически
 Легко размещается между
виртуальными машинами для
контроля скрытых угроз
Не оставить шансов вредоносному коду:
• Anti-malware signatures
• DNS intelligence
• Malware URL database
• Inspect URLs within email
• Anti-C2 signatures
•WildFire Users
•Global intelligence
and protection
delivered to all users
•Command-and-control
Staged malware
downloads Host ID
and data exfil
•WildFire™
• Soak sites
• Sinkholes
• 3rd party sources

Технология WildFire
Анализируем поведение – блокируем неизвестный
вредоносный код
Internet
•Анализируем протоколы SMB, FTP,
HTTP, SMTP, POP3, IMAP
•Анализируем файлы exe, dll, bat, sys,
flash, jar, apk, doc, pdf и т.д.

Основные техники работы WildFire
•Анализ без исполнения •Найти неизвестный
вредоносный код анализируя
130+ типов вредоносного
поведения
•Создать защиту
•Подозрительные
файлы идущие по
различным
приложениям
отправляются
сенсорами в сети в
единую платформу
анализа
•Этап I
•Точно хорошие?
•Этап II
•Статический анализ
PDF, Microsoft Office,
Java и Android APKs
•Этап III
•Динамический анализ
•Этап IV
•Списки хороших
•Подписаны
доверенным
сертификатом
•Внедренные файлы
•Внедренный код
•Аномалии структуры
•Внедренный шелкод
•Сетевой трафик
•Файловая активность
•Процессы и сервисы
•Изменения реестра
•Исполняем в спец среде
•Создать защиту
•… •…

Устройство для работы
WildFire
модель WF-500
 Специальная версия WildFire для ЦОД
 Анализ файлов в песочнице
выполняется на устройстве
 Опция отправлять файлы в облако
WildFire
 Сигнатуры для вредоносного кода
создаются и отправляются в NGFW
 Возможность забирать сигнатуры
WildFire для вирусов найденных
другими заказчиками

Что дает сервис WildFire
NGFW отправляет файлы в WildFire
и затем получает сигнатуры и
начинает блокировать
Отчеты по анализу работы
вредоносного кода приходят в
NGFW
REST API для загрузки файлов на
проверку в WildFire без NGFW

Решения Palo Alto Networks для
защиты программного ЦОД

Варианты внедрения Palo Alto Networks
VM-series NGFW в среде VMware
• Гостевая вирт. машина
• Модели VM-100/200/300, VM-1000-HV
• 1 и более на ESXi / vDS
• Кластеризация
• Для перенаправления трафика требуется
настройка vSwitch
• Режимы работы L1/L2/L3
• Идеально для SSL/IPsec VPN
• Отдельный NGFW для каждой
задачи/ландшафта/департамента/клиента
VM-series for
VMware vSphere (ESXi)
• Режим гипервизора
• Модель VM-Series for NSX (VM-1000-HV)
доступна как сервис
• Автоматизированное развертывание
• Неограниченная масштабируемость
• Прозрачное перенаправление трафика
без изменения логической сетевой
топологии
• Идеально для инспекции трафика
«восток-запад»
VM-series for
VMware NSX

Варианты внедрения Palo Alto Networks
VM-series NGFW на других платформах виртуализации
• Гостевая вирт. машина
• Модели VM-100/200/300
• Обеспечивает безопасность и multi-
tenancy для среды Citrix
XenApp/XenDesktop
VM-series for
Citrix NetScaler SDX
Standard Hardware
 Гостевая машина в режиме L3
 Плагин OpenStack автоматизирует развертывание,
лицензирование, настройку интерфейсов и работу
динамических адресных групп VM
VM-series for
KVM and OpenStack

Интеграция с системами оркестрации
 Системы оркестрации обеспечивают работу SDN/SDDC и автоматизируют
развертывание систем и сервисов в ЦОД
 NGFW и Panorama предоставляют REST XML API для интеграции с системами
оркестрации (OpenStack/CloudStack/VMware/…)
Операционная система Palo Alto Networks
Оркестрация в Software-Defined Data Center
Развертывание
виртуальных машин
Конфигурация сети
Настройка политик
безопасности и
генерация отчетов
API
Развертывание,
интерфейсы
Создание VLAN/Zone,
динамические адресные
группы
Политики, профили, App-ID,
динамические отчеты
Context Context
API
API

Совместное решение
Palo Alto Networks + VMware NSX

•Palo Alto Networks и VMware – глобальные технологические
партнеры
•http://www.vmware.com/partners/global-alliances/
•https://www.paloaltonetworks.com/partners/vmware.html

Internet
NSX – это «Network Hypervisor»

Internet
Virtual Networks – виртуальные сетевые компоненты

Security Admin
Как работает интегрированное решение
VMware NSX + Palo Alto Networks
Cloud Admin
VMware NSX
Регистрация PA-VM
как сервис NGFW
Автоматическое
развертывание PA-VM
на всех ESXi хостах
Встраивание
сервиса ИБ в
виртуальной сети и
перенаправление
трафика на
инспекцию в NGFW
Обновление контекста VM в
реальном времени
Динамическое
обновление
контекста VM для
применения в
политиках
Регистрация,
получение лицензий и
централизованных
объектов и политик из
Panorama

Что Вы видите c VShield?
Много
трафика
по порту
80
Много
трафика
по порту
53
Много
трафика
по порту
21
Много
трафика
по порту
25

VMware vCenter или ESXi
Динамические адресные группы (DAG) и мониторинг VM
Name IP Guest OS Container
web-sjc-01 10.1.1.2 Ubuntu 12.04 Web
sp-sjc-04 10.1.5.4 Win 2008 R2 SharePoint
web-sjc-02 10.1.1.3 Ubuntu 12.04 Web
exch-mia-03 10.4.2.2 Win 2008 R2 Exchange
exch-dfw-03 10.4.2.3 Win 2008 R2 Exchange
sp-mia-07 10.1.5.8 Win 2008 R2 SharePoint
db-mia-01 10.5.1.5 Ubuntu 12.04 MySQL
db-dfw-02 10.5.1.2 Ubuntu 12.04 MySQL
PAN-OS Security Policy
Source Destination Action
PAN-OS Dynamic Address Groups
Name Tags Addresses
SharePoint
Servers
MySQL Servers
Miami DC
San Jose Linux
Web Servers
Name Tags Addresses
SharePoint
Servers
SharePoint
Win 2008 R2
“sp”
MySQL Servers
MySQL
Ubuntu 12.04
“db”
Miami DC “mia”
San Jose Linux
Web Servers
“sjc”
“web”
Ubuntu 12.04
Name Tags Addresses
SharePoint
Servers
SharePoint
Win 2008 R2
“sp”
10.1.5.4
10.1.5.8
MySQL Servers
MySQL
Ubuntu 12.04
“db”
10.5.1.5
10.5.1.2
Miami DC “mia”
10.4.2.2
10.1.5.8
10.5.1.5
San Jose Linux
Web Servers
“sjc”
“web”
Ubuntu 12.04
10.1.1.2
10.1.1.3
IP
10.1.1.2
10.1.5.4
10.1.1.3
10.4.2.2
10.4.2.3
10.1.5.8
10.5.1.5
10.5.1.2
Name
SharePoint
Servers
MySQL Servers
Miami DC
San Jose Linux
Web Servers
Source Destination Action
San Jose Linux
Web Servers
SharePoint
Servers ✔
MySQL
Servers
Miami DC 
db-mia-05 10.5.1.9 Ubuntu 12.04 MySQL
10.5.1.9
46 | ©2014, Palo Alto Networks. Confidential and Proprietary.

Политики безопасности внутри ЦОД
 Только «белые списки»:
 Известные приложения
 «Самописные» неизвестные
 Динамические группы адресов VM

Решение задач ИТ-администраторов и
администраторов ИБ
• Ускоренное развертывание
сервисов по требованию
бизнеса
• Соответствие требованиям
ИБ в новой модели
• Повышение визуализации и
защиты от кибер-атак
• Обеспечение согласованных
друг с другом политик
безопасности во всем ЦОД
Cloud Security

Экосистема Palo Alto Networks для защиты ЦОД
Аппаратные серверы
Виртуализированные серверы / Private Cloud
Аппаратные NGFW
(c вирт.
системами)
Виртуальные
NGFW
(Private Cloud)
Оркестрация,
автоматизация,
SaaS, SECaaS
с REST XML API
Panorama:
Централизованное
управление
всеми NGFW
Data Center Perimeter
Wildfire
Public/Private Cloud
Threat Intelligence
Public Cloud
AWS, vCloud AIR
Аппаратные NGFW
(c вирт.
системами)
Виртуальные NGFW
(Public Cloud)
Traps = Advanced
Endpoint Protection
(Windows)
VMware, KVM, Citrix SDX
Удаленный
доступ с
GlobalProtect

Пример крупнейшего внедрения NGFW + VMware NSX
http://www.networksasia.net/article/security-and-micro-segmentation-one-
compelling-adoption-arguments-sddc.1409100853
http://www.computerworlduk.com/news/i
nfrastructure/how-columbia-sportswear-
will-enhances-security-with-software-
defined-data-centre-approach-3606103/

Защита рабочих станций и серверов, которая СРАЗУ
БЛОКИРУЕТ эксплойты
 Предотвращение эксплойтов сразу – включая zero-day!
 Предотвращение вирусов – неизвестных и сложных
 Сбор данных для доказательства атаки –
для анализа
 Быстро, просто, удобно –
пользователь минимально участвует в работе агента
 Интеграция с сетевой и облачной защитой – пользуемся
данными от устройств защиты по всему миру
Нужна защита от неизвестного кода сразу:
TRAPS

Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks
Next-Generation Endpoint
Palo Alto Networks
Next-Generation Firewall
Next-Generation Firewall
 Инспекция трафика
 Контроль приложений и
пользователей
 Защита от угроз 0-ого дня
 Блокировка угроз и вирусов на
уровне сети
WildFire - обнаружение Zero Day
 Анализ подозрительных файлов
в облаке
 Распространение сигнатур
безопасности на МЭ
TRAPS - защита рабочих станций
 Инспекция процессов и файлов
 Защиты от известных и неизвестных угроз
 Защиты стационарных, виртуальных и
мобильных пользователей
 Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения

Платформа Palo Alto Networks
не создает пробок в сети
•Обеспечиваем заданную производительность при
всех включенных сервисах безопасности

Что дальше:
Как вы можете защитить свой ЦОД?
VoIP/Video
Infrastructure
B2B/Partner
Services
Network
Segmentation
Virtual Desktop
Infrastructure
Industry Specific
Services
Virtual Server
Infrastructure
Internet Data
Centers
Datacenter and Services Infrastructure
•Applications in the cloud
Cloud/SAAS
•Palo Alto Networks подготавливает отчет о приложениях и рисках в ЦОД :
 Запросите у любого партнера или локального офиса пилот
 Установите Palo Alto Networks в сети
 Мы покажем вам что невидимого есть в вашей сети и предоставим отчет

NSX Demos + Palo Alto Networks NGFW
•http://www.projectnee.com/HOL/catalogs/catalog/134

LIVE - ответы на все вопросы •https://live.paloaltonetworks.com

Скачать Migration Tool 3.2.
Последнее обновление 27.11.2015
•https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582

•Денис Батранков
•dbatrankov@paloaltonetworks.com

Пример: статистика по приложениям на периметре
•Ссылка на диаграмму
•http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/

Securing FlexPod Deployments
1x10GbE 1x10GbE
1x10GbE 1x10GbE
HA – A/P
Qty 2: PA-5060
in HA – A/P
Layer 3 mode
• Palo Alto Networks next-generation
firewalls protecting a “VMWare on
FlexPod” architecture running
• MS Sharepoint
• MS SQL
• MS Exchange Active Directory
• Firewall Features:
• Layer 3 mode
• HA
• App-ID, User-ID and Content-ID
Validated secure, scalable, flexible architecture that evolves with data
center needs

Scalable Firewalling with ADCs or Multi-Link Aggregation
Citrix, Arista, Avaya/Nortel, Brocade
• Ideal for networks that require more
than 20Gbps firewall solution
• Two Options:
o Application delivery controllers
provides load balancing and
ensures symmetric routing for
firewalls
o Multi-link aggregation switches
• Depending on the option, Palo Alto
Networks Virtual-Wire or Layer 3 mode
may be selected
• More than 100GBps firewall capabilities
tested and validated
•70 Gbps•70 Gbps

Secure, High-Performance Data Center Applications
Validated for MS SharePoint, Lync and Exchange
 Step-by-step deployment guide on
securing and optimizing the delivery
of Microsoft SharePoint, Lync,
Exchange applications
 Application has multiple backend
complex server components
 Example:
 Safely enable SharePoint and
functions within SharePoint by user
and content
 Scan SharePoint content for threats
 Integration with ADCs:
 Optimize SQL database acceleration
 Reduce SharePoint costs by optimizing
bandwidth and content
compression/caching
 Automated with cloud orchestration
•Zone 1
Front-End
•Zone 2
Mid-Tier
•Zone 3
Back-End
•Database SQL
Servers
•SharePoint Application
Server
•SharePoint Web
Servers

Citrix XenApp/XenDesktop Integration
Safe Application Enablement for VDI Users
•Remote User•Branch Office
•Home Office •Tablet
•Access Gateway
•Desktop
Delivery
Controller
•HQ Office
•XenDesktop Farm •XenServer Resource
Pool
•Active
Directory
•Data Store
License Server
•DHCP
•Infrastructure
•Virtual Desktop
1
•Personalization: User A
•Apps: Office
•OS: Vista
•Virtual Desktop
2
•Personalization: User B
•Apps: Office
•OS: XP
•Virtual Desktop
3
•Personalization:
•Apps:
•OS:
•Desktop
Delivery
Controller
•Data
Collector
•Web
Interface
Firewall
•malware
•botnets
•exploits
Terminal Services or User-
ID Agent for user identity
validation
Back-end safe
application enablement
NetScaler for load
balancing access to
VDI infrastructure

VM-Series – L2 Deployment
ESXi Host
•Production
Network
•Virtual Switch 2
PortGroup3
VLAN 100
PortGroup4
VLAN 100 (P)
PortGroup5
VLAN 200 (P)
PortGroup6
VLAN 200
PortGroup 2- ProdNet (P)
MGMT
•Virtual Switch 3
•Virtual Switch 1
PortGroup 1 - MGMT
Eth1/1
Eth1/2 Eth1/3
Dev01 Dev02 Prod02Prod01
•VM-Series Configuration
• Mgmt Interface in dedicated vSwitch
• Single layer 3 network across all VMs
• All interfaces are layer 2 in same VLAN
• Promiscuous PortGroups
• Security Policy Protects Inter-Zone
Traffic
•vSphere Configuration
• PortGroup VLANs are only within
vSwitch3 and are not extended to the
physical network
• Only ProdNet and MGMT networks are
connected

VM-Series – L2 Distributed Deployment
ESXi Host
•Production
Network
Distributed
PortGroup3
VLAN 100
Distributed
PortGroup4
VLAN 100 (P)
Distributed
PortGroup5
VLAN 200 (P)
Distributed
PortGroup6
VLAN 200
Distributed Port Group 2-
ProdNet (P)
Eth1/1
Eth1/2
Eth1/3
ESXi Host
Virtual Distributed Switch 2
PortGroup 1 - MGMT
Distributed
PortGroup3
VLAN 100
Distributed
PortGroup4
VLAN 100 (P)
Distributed
PortGroup5
VLAN 200 (P)
Distributed
PortGroup6
VLAN 200
ProdNet (P)
MGMT
External VLAN

VM-Series – L2 Distributed HA Deployment
ESXi Host
•Production
Network
Distributed
PortGroup3
VLAN 100
Distributed
PortGroup4
VLAN 100 (P)
Distributed
PortGroup5
VLAN 200 (P)
Distributed
PortGroup6
VLAN 200
ProdNet (P)
Eth1/1
Eth1/2
Eth1/3
ESXi Host
MGMT
PortGroup 1 - MGMT
Eth1/1
Eth1/2 Eth1/3
Distributed
PortGroup3
VLAN 100
Distributed
PortGroup4
VLAN 100 (P)
Distributed
PortGroup5
VLAN 200 (P)
Distributed
PortGroup6
VLAN 200
ProdNet (P)
MGMT
External VLAN

VM-Series – Layer 3 Intra-ESXi Segmentation
ESXi Host
•Internet
Virtual Switch 1
PortGroup3 – DevNet PortGroup4 - ProdNet
PortGroup1- ExternalNet
MGMT
Virtual Switch 3
Virtual Switch 1
PortGroup2 - MgmtNet
Eth1/1
Eth1/2 Eth1/3
VM-Series Configuration
• All interfaces are layer 3
• Each interface connects to a
different vSwitch
• Management interface is part of
dedicated MgmtNet
• VM-Series is default gateway for
each network
vSphere Configuration
• Each vSwitch is a separate layer3
network
• vSwitch1 – 10.1.1.0/24
• vSwitch2 – 10.1.2.0/24
• vSwitch3 – 10.1.3.0/24
• vSwitch4 – 10.1.4.0/24
• Must change the MAC Address in
ESXi host to match VM-Series
•Virtual Switch 4
Eth1/4

Segmenting the Modern Datacenter
Tap
Layer 2 Layer 3
Virtual Wire
app
Corp Net
Users
app
web
ta
p
ta
p
Corp Net
Users
DB
PCI
VLAN 100
VLAN 100
VLAN 1100
VLAN 1100
Bridge 100
to 1100
DBapp
DG
web
10.1.1.0/24
10.1.2.0/24
172.16.0.0/16
Corp Net
DB
app
10.1.3.0/24
Users

Решения для защиты корпоративных и коммерческих цод

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (6)

Similar a Решения для защиты корпоративных и коммерческих цод

Similar a Решения для защиты корпоративных и коммерческих цод (20)

Решения для защиты корпоративных и коммерческих цод