2. PaloAlto Next Generation Firewall @Hapimag Folie 1
Übersicht
Kurzportrait Hapimag AG
Ausgangslage vor Einführung Palo Alto Firewalls
Der Weg zur Next Generation Firewall
Implementierung & Vorteile
Fazit
3. Kurzportrait Hapimag AG
Schweizer Tourismusunternehmen, gegründet 1963, HQ in
Baar/Zug
Rund 2000 Mitarbeiter weltweit, davon 270 in der Zentrale
Wohnrechtsanbieter mit über 60 Destinationen in Europa, USA
und Nordafrika
Zentrale IT-Abteilung für alle Anliegen der IT
Callcenter inhouse sowie 6 abgesetzte Callcenter in Europa
Internet-Breakout-Point für die gesamte Unternehmung via
Schweiz
PaloAlto Next Generation Firewall @Hapimag Folie 2
4. Ausgangslage vor Einführung Palo Alto Firewalls
Dezentrale Internet-Breakout-Points für jede Site
Headquarter ohne logische Trennung von Clients und Servern
Diverse Netze (2 DMZ, Quality-Netz, Testnetze, Spezialnetze)
HQ-seitig zwei Netscreen NS-500 Firewalls im Aktiv/Passiv-
Cluster, abgesetzte Netscreen NS-5 in Remote-Sites, verbunden
via Netscreen-VPN-Tunnel
Zentraler Internetzugang via Proxy (MS ISA 2004) und
Websense URL-Filter
Einheitlicher Virenscanner auf allen Geräten von Sophos
PaloAlto Next Generation Firewall @Hapimag Folie 3
5. Der Weg zur Next Generation Firewall (1)
Vorgelagertes Projekt: Backbone Ersatz, komplett erschlossen via
10GBit Fiber
Bestehende Firewalls knapp 8 Jahre alt, EOL, keine Reserveleistung
mehr, keine freien Interface mehr, keine 10 Gbit Interfaces möglich
Security Audit zeigte Probleme auf die mit bestehenden Firewalls nicht
gelöst werden konnten (zB Vulnerability, Zugriffssteuerung auf User-
Ebene, vorgelagertes Scannen nach Schädlingen)
Evaluierung eines Secure-Gateways um vorgelagerte Scans nach
Schädlingen zu ermöglichen
Planung Ersatz / Neuimplementierung des URL-Filters
PaloAlto Next Generation Firewall @Hapimag Folie 4
6. Der Weg zur Next Generation Firewall (2)
Erste Vorstellung Next Generation Firewall von PaloAlto durch Belsoft
als Alternative und Ersatz für andere Produkte (Firewalls, Secure
Gateway, URL-Filter, Remote-Access Lösung).
Implementierung eines Feldtestes während rund 3 Wochen um reale
Daten zu sammeln im scharfen Netzwerk inklusive Traffic-Spitzentagen
Begeisterung
Projekt-Go für Implementierung PaloAlto Firewalls
PaloAlto Next Generation Firewall @Hapimag Folie 5
7. Ausgangslage vor der Einführung Palo Alto (2)
PaloAlto Next Generation Firewall @Hapimag Folie 6
Netscreen NS500Netscreen NS500
HA
Trust Internal
10.2.0.0/16
DMZ
10.3.0.0/16
DMZ TS
10.4.0.0/16
ZahlungsPC
192.168.254.0/24
Test
10.51.0.0/16
Quality
10.50.0.0/16
Messen / GV
10.9.0.0/16
Proxy-Server
ISA 2004
URL Filter
Websense
URL-Filtering
Sniffing /
Paket Analyzing
8. Implementierung & Vorteile (1)
Implementierung komplett begleitet durch Belsoft AG
2 PA-5050 Firewalls im Aktiv/Passiv-Modus
Auftrennung Client- und Server-Netz (Datacenter-Modus)
Implementierung von GlobalProtect VPN-Lösung
Layer 3-Routing komplett via PaloAlto Firewalls realisiert
Implementierung der Firewalls in einem Wochenende mit
Übernahme des «alten» Regelsets, bereits erste Optimierungen
und Ablösungen von Regeln durch neue Filter und Features
Im Verlauf von wenigen Wochen regelmässige
Weiteroptimierung des Regelsets und der Einstellungen
PaloAlto Next Generation Firewall @Hapimag Folie 7
9. Implementierung & Vorteile (2)
2 Wochen nach Migration voll einsatzfähiges Regelset das nur noch
Detailoptimierung nötig machte
Seit Inbetriebnahme bereits über 40 «Performance-Probleme» des
Netzwerks widerlegt / aufgeklärt
Logfiles der PaloAlto-Firewalls tragen an diversen Stellen zum
Identifizieren und Lösen von Netzwerk-Problemen bei.
Zeit für Test und Freischaltung von URLs um über 100% gesenkt
Site-to-site VPN-Installationen sind mit minimalem Aufwand möglich
Integrierte Reports helfen Bedrohungen und Probleme proaktiv zu
beheben
Schulungsaufwand massiv reduziert über alle Technologien
PaloAlto Next Generation Firewall @Hapimag Folie 8
11. Fazit
Migration hat sich gelohnt! Next Generation Features werden rege
genutzt resp helfen auf allen Ebenen
Vorbildliche Projektbegleitung durch Belsoft AG vor, während und nach
der eigentlichen Implementierung
Massive Verbesserung im Handling der Firewall durch PanOS-GUI
Schulungsaufwand massiv reduziert
Netzwerk-Troubleshooting enorm verbessert: Schneller, besser
dokumentiert und auch für Nicht-Spezialisten besser verständlich.
Neue Firewall wird von technikaffinen Mitarbeitern als reale
Verbesserung wahrgenommen
PaloAlto Next Generation Firewall @Hapimag Folie 10