SlideShare ist ein Scribd-Unternehmen logo
Daniel Seiler, IT-Supervisor, Hapimag AG
PaloAlto Next Generation Firewall
Implementierung @Hapimag AG
PaloAlto Next Generation Firewall @Hapimag Folie 1
Übersicht
 Kurzportrait Hapimag AG
 Ausgangslage vor Einführung Palo Alto Firewalls
 Der Weg zur Next Generation Firewall
 Implementierung & Vorteile
 Fazit
Kurzportrait Hapimag AG
 Schweizer Tourismusunternehmen, gegründet 1963, HQ in
Baar/Zug
 Rund 2000 Mitarbeiter weltweit, davon 270 in der Zentrale
 Wohnrechtsanbieter mit über 60 Destinationen in Europa, USA
und Nordafrika
 Zentrale IT-Abteilung für alle Anliegen der IT
 Callcenter inhouse sowie 6 abgesetzte Callcenter in Europa
 Internet-Breakout-Point für die gesamte Unternehmung via
Schweiz
PaloAlto Next Generation Firewall @Hapimag Folie 2
Ausgangslage vor Einführung Palo Alto Firewalls
 Dezentrale Internet-Breakout-Points für jede Site
 Headquarter ohne logische Trennung von Clients und Servern
 Diverse Netze (2 DMZ, Quality-Netz, Testnetze, Spezialnetze)
 HQ-seitig zwei Netscreen NS-500 Firewalls im Aktiv/Passiv-
Cluster, abgesetzte Netscreen NS-5 in Remote-Sites, verbunden
via Netscreen-VPN-Tunnel
 Zentraler Internetzugang via Proxy (MS ISA 2004) und
Websense URL-Filter
 Einheitlicher Virenscanner auf allen Geräten von Sophos
PaloAlto Next Generation Firewall @Hapimag Folie 3
Der Weg zur Next Generation Firewall (1)
 Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via
10GBit Fiber
 Bestehende Firewalls knapp 8 Jahre alt, EOL, keine Reserveleistung
mehr, keine freien Interface mehr, keine 10 Gbit Interfaces möglich
 Security Audit zeigte Probleme auf die mit bestehenden Firewalls nicht
gelöst werden konnten (zB Vulnerability, Zugriffssteuerung auf User-
Ebene, vorgelagertes Scannen nach Schädlingen)
 Evaluierung eines Secure-Gateways um vorgelagerte Scans nach
Schädlingen zu ermöglichen
 Planung Ersatz / Neuimplementierung des URL-Filters
PaloAlto Next Generation Firewall @Hapimag Folie 4
Der Weg zur Next Generation Firewall (2)
 Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoft
als Alternative und Ersatz für andere Produkte (Firewalls, Secure
Gateway, URL-Filter, Remote-Access Lösung).
 Implementierung eines Feldtestes während rund 3 Wochen um reale
Daten zu sammeln im scharfen Netzwerk inklusive Traffic-Spitzentagen
 Begeisterung 
 Projekt-Go für Implementierung PaloAlto Firewalls
PaloAlto Next Generation Firewall @Hapimag Folie 5
Ausgangslage vor der Einführung Palo Alto (2)
PaloAlto Next Generation Firewall @Hapimag Folie 6
Netscreen NS500Netscreen NS500
HA
Trust Internal
10.2.0.0/16
DMZ
10.3.0.0/16
DMZ TS
10.4.0.0/16
ZahlungsPC
192.168.254.0/24
Test
10.51.0.0/16
Quality
10.50.0.0/16
Messen / GV
10.9.0.0/16
Proxy-Server
ISA 2004
URL Filter
Websense
URL-Filtering
Sniffing /
Paket Analyzing
Implementierung & Vorteile (1)
 Implementierung komplett begleitet durch Belsoft AG
 2 PA-5050 Firewalls im Aktiv/Passiv-Modus
 Auftrennung Client- und Server-Netz (Datacenter-Modus)
 Implementierung von GlobalProtect VPN-Lösung
 Layer 3-Routing komplett via PaloAlto Firewalls realisiert
 Implementierung der Firewalls in einem Wochenende mit
Übernahme des «alten» Regelsets, bereits erste Optimierungen
und Ablösungen von Regeln durch neue Filter und Features
 Im Verlauf von wenigen Wochen regelmässige
Weiteroptimierung des Regelsets und der Einstellungen
PaloAlto Next Generation Firewall @Hapimag Folie 7
Implementierung & Vorteile (2)
 2 Wochen nach Migration voll einsatzfähiges Regelset das nur noch
Detailoptimierung nötig machte
 Seit Inbetriebnahme bereits über 40 «Performance-Probleme» des
Netzwerks widerlegt / aufgeklärt
 Logfiles der PaloAlto-Firewalls tragen an diversen Stellen zum
Identifizieren und Lösen von Netzwerk-Problemen bei.
 Zeit für Test und Freischaltung von URLs um über 100% gesenkt
 Site-to-site VPN-Installationen sind mit minimalem Aufwand möglich
 Integrierte Reports helfen Bedrohungen und Probleme proaktiv zu
beheben
 Schulungsaufwand massiv reduziert über alle Technologien
PaloAlto Next Generation Firewall @Hapimag Folie 8
Netzwerk Endausbau nach der Migration
PaloAlto Next Generation Firewall @Hapimag Folie 9
HA
Trust Internal
10.2.0.0/16
DMZ
10.3.0.0/16
DMZ TS
10.4.0.0/16
ZahlungsPC
192.168.254.0/24
Test
10.51.0.0/16
Quality
10.50.0.0/16
Messen / GV
10.9.0.0/16
PaloAlto PA-5050 PaloAlto PA-5050
TrustClients
10.128.0.0/16
TrustServers
10.2.0.0/16
HapiNet
172.25.x.0/24
ServicePoint
172.30.x.0/24
URL-Filtering
Sniffing / Paket Analyzing
Application detection
Virus-scanning
Vulnerability Protection
Fazit
 Migration hat sich gelohnt! Next Generation Features werden rege
genutzt resp helfen auf allen Ebenen
 Vorbildliche Projektbegleitung durch Belsoft AG vor, während und nach
der eigentlichen Implementierung
 Massive Verbesserung im Handling der Firewall durch PanOS-GUI
 Schulungsaufwand massiv reduziert
 Netzwerk-Troubleshooting enorm verbessert: Schneller, besser
dokumentiert und auch für Nicht-Spezialisten besser verständlich.
 Neue Firewall wird von technikaffinen Mitarbeitern als reale
Verbesserung wahrgenommen
PaloAlto Next Generation Firewall @Hapimag Folie 10
PaloAlto Next Generation Firewall @Hapimag Folie 11

Weitere ähnliche Inhalte

Was ist angesagt?

AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
Didactum
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
Westermo Network Technologies
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Didactum
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
Tim Riemann
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
markusmarkert
 
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
Didactum
 

Was ist angesagt? (7)

AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0
 
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
.NET User Group Paderborn - Einstieg in das The Things Network - Tim Riemann
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
AKCP securityProbe5ESV-X20 / X60 Alarm Server - Ganzheitliche Überwachung kri...
 

Andere mochten auch

NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitNTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
Salesforce Deutschland
 
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach  und ressourcensteuerung-ntt data_blönnigen_v1.1G1 integrierte fach  und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
Peter Blönnigen
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Cen xchange crm trends 2013
Cen xchange crm trends 2013Cen xchange crm trends 2013
Cen xchange crm trends 2013
Nils Hafner
 
Deutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldDeutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorld
Erwin Buettner
 
Agil wachsen
Agil wachsenAgil wachsen
Emotionale Kompetenz
Emotionale KompetenzEmotionale Kompetenz
Emotionale Kompetenz
Reinhard Austrup & Associates
 
14 Tips to Entrepreneurs to start the Right Stuff
14 Tips to Entrepreneurs to start the Right Stuff14 Tips to Entrepreneurs to start the Right Stuff
14 Tips to Entrepreneurs to start the Right Stuff
Patrick Stähler
 
Startups are Hard. Like, Really Hard. @luketucker
Startups are Hard. Like, Really Hard. @luketuckerStartups are Hard. Like, Really Hard. @luketucker
Startups are Hard. Like, Really Hard. @luketucker
Empowered Presentations
 

Andere mochten auch (10)

Firewalls
FirewallsFirewalls
Firewalls
 
NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitNTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
 
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach  und ressourcensteuerung-ntt data_blönnigen_v1.1G1 integrierte fach  und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Cen xchange crm trends 2013
Cen xchange crm trends 2013Cen xchange crm trends 2013
Cen xchange crm trends 2013
 
Deutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldDeutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorld
 
Agil wachsen
Agil wachsenAgil wachsen
Agil wachsen
 
Emotionale Kompetenz
Emotionale KompetenzEmotionale Kompetenz
Emotionale Kompetenz
 
14 Tips to Entrepreneurs to start the Right Stuff
14 Tips to Entrepreneurs to start the Right Stuff14 Tips to Entrepreneurs to start the Right Stuff
14 Tips to Entrepreneurs to start the Right Stuff
 
Startups are Hard. Like, Really Hard. @luketucker
Startups are Hard. Like, Really Hard. @luketuckerStartups are Hard. Like, Really Hard. @luketucker
Startups are Hard. Like, Really Hard. @luketucker
 

Ähnlich wie Pa next generationfirewallhapimag

Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
jamescv31
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
jamescv31
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Research
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
pillardata
 
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
NETWAYS
 
Entwicklungsumgebungen mit Vagrant
Entwicklungsumgebungen mit VagrantEntwicklungsumgebungen mit Vagrant
Entwicklungsumgebungen mit Vagrant
B1 Systems GmbH
 
Firewall.pdf
Firewall.pdfFirewall.pdf
On-Premise Protection for Exchange
On-Premise Protection for ExchangeOn-Premise Protection for Exchange
On-Premise Protection for Exchange
GWAVA
 
9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger
Digicomp Academy AG
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
Didactum
 
PowerPro Flyer deutsch
PowerPro Flyer deutschPowerPro Flyer deutsch
PowerPro Flyer deutsch
cynapspro GmbH
 
E Security
E SecurityE Security
E Security
Udo Ornik
 
G sec - 2011-03-15-sen-ek
G sec - 2011-03-15-sen-ekG sec - 2011-03-15-sen-ek
G sec - 2011-03-15-sen-ek
bertramgeck
 
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Swiss IPv6 Council
 
Monitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK GroupMonitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK Group
Digicomp Academy AG
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
MacKenzie Regorsek
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
Westermo Network Technologies
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
Fraunhofer AISEC
 
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
NETWAYS
 
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol ÜlükmenOSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
NETWAYS
 

Ähnlich wie Pa next generationfirewallhapimag (20)

Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
 
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
 
Entwicklungsumgebungen mit Vagrant
Entwicklungsumgebungen mit VagrantEntwicklungsumgebungen mit Vagrant
Entwicklungsumgebungen mit Vagrant
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
On-Premise Protection for Exchange
On-Premise Protection for ExchangeOn-Premise Protection for Exchange
On-Premise Protection for Exchange
 
9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
 
PowerPro Flyer deutsch
PowerPro Flyer deutschPowerPro Flyer deutsch
PowerPro Flyer deutsch
 
E Security
E SecurityE Security
E Security
 
G sec - 2011-03-15-sen-ek
G sec - 2011-03-15-sen-ekG sec - 2011-03-15-sen-ek
G sec - 2011-03-15-sen-ek
 
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
 
Monitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK GroupMonitoring der DualStack Umgebung der AWK Group
Monitoring der DualStack Umgebung der AWK Group
 
Switches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins FeldSwitches: Durchgängige Vernetzung bis ins Feld
Switches: Durchgängige Vernetzung bis ins Feld
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
OSMC 2015: Nagios3 /Icinga 2 Anbindung an OPSI by Detlef Krummel und Erol Ülü...
 
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol ÜlükmenOSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
OSMC 2015 | Nagios 3/Icinga 2-Anbindung an OPSI by Detlef Krummel / Erol Ülükmen
 

Mehr von Belsoft

Engage: A Break Up Story
Engage: A Break Up StoryEngage: A Break Up Story
Engage: A Break Up Story
Belsoft
 
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tunBelsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft
 
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking forDon’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
Belsoft
 
How to find and tag untagged content in Connections
How to find and tag untagged content in ConnectionsHow to find and tag untagged content in Connections
How to find and tag untagged content in Connections
Belsoft
 
Simplifying Connections using the Customizer
Simplifying Connections using the CustomizerSimplifying Connections using the Customizer
Simplifying Connections using the Customizer
Belsoft
 
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und SametimeErfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Belsoft
 
Customers using IBM Connections
Customers using IBM ConnectionsCustomers using IBM Connections
Customers using IBM Connections
Belsoft
 
IBM Connections - ein Update
IBM Connections - ein UpdateIBM Connections - ein Update
IBM Connections - ein Update
Belsoft
 
How adding a further tool can be a good thing
How adding a further tool can be a good thingHow adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
 
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 DemoICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
Belsoft
 
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote SlidesICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
Belsoft
 
How adding a further tool can be a good thing
How adding a further tool can be a good thingHow adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
 
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace ÜbersichtBelsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft
 
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft
 
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und ZukunftBelsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft
 
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @BoschBelsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft
 
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft
 
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
Belsoft
 
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of ZurichIBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
Belsoft
 
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/VerseBelsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft
 

Mehr von Belsoft (20)

Engage: A Break Up Story
Engage: A Break Up StoryEngage: A Break Up Story
Engage: A Break Up Story
 
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tunBelsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
 
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking forDon’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
 
How to find and tag untagged content in Connections
How to find and tag untagged content in ConnectionsHow to find and tag untagged content in Connections
How to find and tag untagged content in Connections
 
Simplifying Connections using the Customizer
Simplifying Connections using the CustomizerSimplifying Connections using the Customizer
Simplifying Connections using the Customizer
 
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und SametimeErfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
 
Customers using IBM Connections
Customers using IBM ConnectionsCustomers using IBM Connections
Customers using IBM Connections
 
IBM Connections - ein Update
IBM Connections - ein UpdateIBM Connections - ein Update
IBM Connections - ein Update
 
How adding a further tool can be a good thing
How adding a further tool can be a good thingHow adding a further tool can be a good thing
How adding a further tool can be a good thing
 
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 DemoICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
 
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote SlidesICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
 
How adding a further tool can be a good thing
How adding a further tool can be a good thingHow adding a further tool can be a good thing
How adding a further tool can be a good thing
 
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace ÜbersichtBelsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
 
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
 
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und ZukunftBelsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
 
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @BoschBelsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
 
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
 
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
 
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of ZurichIBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
 
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/VerseBelsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
 

Pa next generationfirewallhapimag

  • 1. Daniel Seiler, IT-Supervisor, Hapimag AG PaloAlto Next Generation Firewall Implementierung @Hapimag AG
  • 2. PaloAlto Next Generation Firewall @Hapimag Folie 1 Übersicht  Kurzportrait Hapimag AG  Ausgangslage vor Einführung Palo Alto Firewalls  Der Weg zur Next Generation Firewall  Implementierung & Vorteile  Fazit
  • 3. Kurzportrait Hapimag AG  Schweizer Tourismusunternehmen, gegründet 1963, HQ in Baar/Zug  Rund 2000 Mitarbeiter weltweit, davon 270 in der Zentrale  Wohnrechtsanbieter mit über 60 Destinationen in Europa, USA und Nordafrika  Zentrale IT-Abteilung für alle Anliegen der IT  Callcenter inhouse sowie 6 abgesetzte Callcenter in Europa  Internet-Breakout-Point für die gesamte Unternehmung via Schweiz PaloAlto Next Generation Firewall @Hapimag Folie 2
  • 4. Ausgangslage vor Einführung Palo Alto Firewalls  Dezentrale Internet-Breakout-Points für jede Site  Headquarter ohne logische Trennung von Clients und Servern  Diverse Netze (2 DMZ, Quality-Netz, Testnetze, Spezialnetze)  HQ-seitig zwei Netscreen NS-500 Firewalls im Aktiv/Passiv- Cluster, abgesetzte Netscreen NS-5 in Remote-Sites, verbunden via Netscreen-VPN-Tunnel  Zentraler Internetzugang via Proxy (MS ISA 2004) und Websense URL-Filter  Einheitlicher Virenscanner auf allen Geräten von Sophos PaloAlto Next Generation Firewall @Hapimag Folie 3
  • 5. Der Weg zur Next Generation Firewall (1)  Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via 10GBit Fiber  Bestehende Firewalls knapp 8 Jahre alt, EOL, keine Reserveleistung mehr, keine freien Interface mehr, keine 10 Gbit Interfaces möglich  Security Audit zeigte Probleme auf die mit bestehenden Firewalls nicht gelöst werden konnten (zB Vulnerability, Zugriffssteuerung auf User- Ebene, vorgelagertes Scannen nach Schädlingen)  Evaluierung eines Secure-Gateways um vorgelagerte Scans nach Schädlingen zu ermöglichen  Planung Ersatz / Neuimplementierung des URL-Filters PaloAlto Next Generation Firewall @Hapimag Folie 4
  • 6. Der Weg zur Next Generation Firewall (2)  Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoft als Alternative und Ersatz für andere Produkte (Firewalls, Secure Gateway, URL-Filter, Remote-Access Lösung).  Implementierung eines Feldtestes während rund 3 Wochen um reale Daten zu sammeln im scharfen Netzwerk inklusive Traffic-Spitzentagen  Begeisterung   Projekt-Go für Implementierung PaloAlto Firewalls PaloAlto Next Generation Firewall @Hapimag Folie 5
  • 7. Ausgangslage vor der Einführung Palo Alto (2) PaloAlto Next Generation Firewall @Hapimag Folie 6 Netscreen NS500Netscreen NS500 HA Trust Internal 10.2.0.0/16 DMZ 10.3.0.0/16 DMZ TS 10.4.0.0/16 ZahlungsPC 192.168.254.0/24 Test 10.51.0.0/16 Quality 10.50.0.0/16 Messen / GV 10.9.0.0/16 Proxy-Server ISA 2004 URL Filter Websense URL-Filtering Sniffing / Paket Analyzing
  • 8. Implementierung & Vorteile (1)  Implementierung komplett begleitet durch Belsoft AG  2 PA-5050 Firewalls im Aktiv/Passiv-Modus  Auftrennung Client- und Server-Netz (Datacenter-Modus)  Implementierung von GlobalProtect VPN-Lösung  Layer 3-Routing komplett via PaloAlto Firewalls realisiert  Implementierung der Firewalls in einem Wochenende mit Übernahme des «alten» Regelsets, bereits erste Optimierungen und Ablösungen von Regeln durch neue Filter und Features  Im Verlauf von wenigen Wochen regelmässige Weiteroptimierung des Regelsets und der Einstellungen PaloAlto Next Generation Firewall @Hapimag Folie 7
  • 9. Implementierung & Vorteile (2)  2 Wochen nach Migration voll einsatzfähiges Regelset das nur noch Detailoptimierung nötig machte  Seit Inbetriebnahme bereits über 40 «Performance-Probleme» des Netzwerks widerlegt / aufgeklärt  Logfiles der PaloAlto-Firewalls tragen an diversen Stellen zum Identifizieren und Lösen von Netzwerk-Problemen bei.  Zeit für Test und Freischaltung von URLs um über 100% gesenkt  Site-to-site VPN-Installationen sind mit minimalem Aufwand möglich  Integrierte Reports helfen Bedrohungen und Probleme proaktiv zu beheben  Schulungsaufwand massiv reduziert über alle Technologien PaloAlto Next Generation Firewall @Hapimag Folie 8
  • 10. Netzwerk Endausbau nach der Migration PaloAlto Next Generation Firewall @Hapimag Folie 9 HA Trust Internal 10.2.0.0/16 DMZ 10.3.0.0/16 DMZ TS 10.4.0.0/16 ZahlungsPC 192.168.254.0/24 Test 10.51.0.0/16 Quality 10.50.0.0/16 Messen / GV 10.9.0.0/16 PaloAlto PA-5050 PaloAlto PA-5050 TrustClients 10.128.0.0/16 TrustServers 10.2.0.0/16 HapiNet 172.25.x.0/24 ServicePoint 172.30.x.0/24 URL-Filtering Sniffing / Paket Analyzing Application detection Virus-scanning Vulnerability Protection
  • 11. Fazit  Migration hat sich gelohnt! Next Generation Features werden rege genutzt resp helfen auf allen Ebenen  Vorbildliche Projektbegleitung durch Belsoft AG vor, während und nach der eigentlichen Implementierung  Massive Verbesserung im Handling der Firewall durch PanOS-GUI  Schulungsaufwand massiv reduziert  Netzwerk-Troubleshooting enorm verbessert: Schneller, besser dokumentiert und auch für Nicht-Spezialisten besser verständlich.  Neue Firewall wird von technikaffinen Mitarbeitern als reale Verbesserung wahrgenommen PaloAlto Next Generation Firewall @Hapimag Folie 10
  • 12. PaloAlto Next Generation Firewall @Hapimag Folie 11