公司防火牆應做的10件事
|
傳統的防火牆重在抵禦簡單的威脅和入侵攻擊。企業級防火牆增加了統一威脅管理(UTM)服務,如防病毒、防間諜軟件、入侵防禦、內容過濾,甚至一些防垃圾郵件服務,以增強威脅防禦功能。穿越防火牆的大多數流量都不具威脅性,而是些應用和數據。而這就是應用防火牆由來的原因,應用防火牆可管理和控制穿越防火牆的數據和應用。 應用防火牆有什麼作用? 應用防火牆提供了帶寬管理和控制、應用層訪問控制、數據泄露控制功能、對特定 文件和文檔傳輸進行限制及其它功能。 應用防火牆的工作原理是什麼? 應用防火牆可根據用戶、應用、進程或IP子網層允許自定義訪問控制。這樣,管理員可以創建各種應用策略,使應用可供訪問並首次真正實現對應用的管理。 應用防火牆允許您對穿越防火牆的應用和數據進行分類、控制和管理。 第一件事:管理流視頻 訪問流視頻網站如youtube.com 有時對我們非常有用,但通常會被濫用。攔截網站本身可能有效,但最好是限制分配給流視頻網站的帶寬。 創建策略來限制流視頻 ■ 使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址=www.youtube.com ■ 將帶寬限制應用於帶此報頭的流量 可在特定時間段內限制應用的帶寬,例如從早上9點到下午5點 第二件事:分組帶寬管理 在第一件事中,我們對youtube.com等流視頻網站運用了帶寬限制。如今,公司首席執行官和首席財務官總在抱怨每天訪問的"商業新聞視頻"速度太慢。您可以通過放鬆對每個人的帶寬限制來改善這種情況,但還有一個更好的方法,那就是進行分組帶寬管理。 創建不限制管理層瀏覽流視頻的策略 ■ 將此策略應用於LDAP 服務器導入的"管理"組 ■ 使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址= www.youtube.com ■ 確保包含此報頭的流量具有足夠的帶寬 第三件事:郵件和數據丟失 假設公司現有的防垃圾郵件防護系統可以檢測和阻止包含"公司機密"信息的外發電子郵件。但是,如果員工使用Yahoo或?Gmail郵件服務來發送"公司機?密"信息呢? 創建策略來攔截"公司機密"電子郵件 ■ 使用深度包檢測(DPI)引擎搜索電子郵件內容="公司機密" ■ 阻止郵件發送,並通知發件人此郵件爲"公司機密" 第四件事:應用使用強制 您的老闆:希望使用Internet Explorer(IE)7.0版本作爲標準瀏覽器。 您的任務:確保公司所有系統都使用IE 7.0 版本,而不使用其它任何版本! 您可能採用的解決方案 1. 每天檢查每個人的系統,查找"外來"瀏覽器。 2. 安裝一種腳本來檢查每個人的系統,以查找出"外來"瀏覽器,同時確保腳本每天都會檢查每個人的系統。 3. 在應用防火牆中設置一種策略,從此便不再擔心。 創建"我找到了更好的解決方案"策略 ■ 使用深度包檢測(DPI)引擎在HTTP報頭中搜索用戶代理=MSIE 7.0 ■ 允許 IE 7.0 流量,阻止其它瀏覽器 第五件事:拒絕FTP上傳 您可以建立一個FTP 網站,以便與業務合作伙伴交換大型文件,同時,您希望確保合作伙伴方面只有項目經理可以上傳文件,其他任何人都不允許這樣做。 創建策略來允許FTP上傳,但上傳只限於少數人 ■ 使用深度包檢測(DPI)引擎搜索FTP命令=放置 ■ 使用DPI引擎搜索驗證的用戶名= "pm_partner" ■ 如果兩者均符合,就允許放置 您也可以駁回任何您認爲指定FTP服務器不需要的FTP命令 第六件事:控制P2P應用 問題1:對等網(P2P)應用如BitTorrent 可盜用寬帶,同時會帶來各種各樣的惡意文件。 問題2:創建新的P2P應用或簡單修改現有的P2P應用(如修改版本號)是常有的事。 創建策略來檢測P2P應用 使用深度包檢測(DPI)引擎搜索IPS簽名表中的P2P應用簽名 利用帶寬和時間限制可以阻止或僅限制P2P應用 第七件事:管理流音樂 流音頻網站和流廣播網站佔用了非常寶貴的帶寬,但是,公司又不得不訪問這類網站。目前,只有兩種辦法可以應對這一挑戰。 通過網站進行控制 創建一份您希望管理的流音頻網站名單 創建策略來檢測流音頻網站 ■ 使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網址= 流音頻網站 攔截列表 通過文件擴展名進行控制 創建一份您希望管理的音頻文件擴展名列表 創建策略來檢測流音頻內容 ■ 使用深度包檢測(DPI)引擎在HTTP報頭中搜索文件擴展名= 流音頻擴展名攔截列表 一旦"檢測"出符合搜索條件的網站或擴展名,您可以阻止流音頻或僅對流音頻進行帶寬管理。 第八件事:對應用帶寬進行優先排序 如今,許多關鍵業務應用如SAP、?Salesforce.com和?SharePoint都是基於雲? 的應用,或者,它們的運行需要跨越不同地理位置的網絡。確保這些應用可以優 先獲得運行所需的帶寬,從而改善業務效率。 創建策略爲 SAP 應用分配帶寬優先權 ■ 使用深度包檢測(DPI)引擎搜索應用簽名或應用名稱 ■ 爲 SAP 應用分配更高的帶寬優先級 可以根據日期設定應用優先級(銷售應用則採取季末優先級) 第九件事:攔截機密文件 在一些公司內,外發電子郵件無法穿越電子郵件安全系統或系統無法檢查電子郵件附件的內容。不管是以上哪種情況,作爲電子郵件附件的"公司機密"文件可被輕鬆地帶出公司外。 一旦外發網絡流量穿越公司防火牆,您可以檢測並攔截"移動中的數據"。 創建策略來攔截包含加蓋了"公司機密"水印的電子郵件附件 ■ 使用深度包檢測(DPI)引擎搜索 電子郵件內容 ="公司機密"和 電子郵件內容 ="公司專有"和 電子郵件內容 ="私有"以及…… 也可以採用此方法來搜索基於FTP的內容! 第十件事:攔截被禁止文件併發出通知 貴公司防火牆可以攔截以下內容嗎? ■ 從網頁中下載的EXE 文件 ■ 作爲電子郵件附件的EXE 文件 ■ 經由FTP傳輸的EXE 文件 那麼,PIF、SRC或VBS文件呢? 創建被禁止文件擴展名列表 創建策略來攔截被禁止文件擴展名 ■ 使用深度包檢測(DPI)引擎搜索HTTP、電子郵件附件或FTP 的文件擴展名= 被禁止文件擴展名 如果文件被攔截,對發件人發出通知 |