|
page 1 公司防火墙应做的 10 件事 抵御威胁的防火墙只是一个开始……page 2 目 录 防火墙逐渐成熟 1 应用防火墙 2 第一件事:管理流视频 3 第二件事:分组带宽管理 4 第三件事:邮件和数据丢失 5 第四件事:应用使用强制 6 第五件事:拒绝 ftp 上传 7 第六件事:控制 p2p 应用 8 第七件事:管理流音乐 9 第八件事:对应用带宽进行优先排序 10 第九件事:拦截机密文件 11 第十件事:拦截被禁止文件并发出通知 12 当您整合所有功能 13page 3 防火墙逐渐成熟 传统的防火墙重在抵御简单的威胁和入侵攻击。 企业级防火墙增加了统一威胁管理(utm)服务,如防病毒、 防间谍软件、入侵防御、内容过滤,甚至一些防垃圾邮件服务, 以增强威胁防御功能。 穿越防火墙的大多数流量都不具 威胁性,而是些应用和数据。而 这就是应用防火墙由来的原因, 应用防火墙可管理和控制穿越防 火墙的数据和应用。 抵御威胁 仅仅只是一个开始…… 1page 4 应用防火墙 应用防火墙有什么作用? 应用防火墙提供了带宽管理和控制、应用 层访问控制、数据泄露控制功能、对特定 文件和文档传输进行限制及其它功能。 应用防火墙的工作原理是什么? 应用防火墙可根据用户、应用、进程或 ip 子网层允许自定义访问控制。这样,管理 员可以创建各种应用策略,使应用可供访 问并首次真正实现对应用的管理。 允许您对穿越防火墙的应用和数据 进行分类、控制和管理。 2 数据和应用 威胁 ■ 危及安全 ■ 具破坏性 好的防火墙 ■ 受保护 ■ 高生产效率page 5 第一件事:管理流视频 访问流视频网站如 youtube.com 有时对我们非常有用,但通常会被滥用。拦截网 站本身可能有效,但最好是限制分配给流视频网站的带宽。 创建策略来限制流视频 ■ 使用深度包检测(dpi)引擎在 http 报头中搜索 http 网址= ■ 将带宽限制应用于带此报头的流量 期望的流视频带宽 提供的流视频带宽 可在特定时间段内限制应用的带宽, 例如从早上 9 点到下午 5 点 3page 6 第二件事:分组带宽管理 在第一件事中,我们对 youtube.com 等流视频网站运用了带宽限制。如今,公司首席执 行官和首席财务官总在抱怨每天访问的“商业新闻视频”速度太慢。您可以通过放松对 每个人的带宽限制来改善这种情况,但还有一个更好的方法,那就是进行分组带宽管理。 创建不限制管理层浏览流视频的策略 ■ 将此策略应用于 ldap 服务器导入的“管理”组 ■ 使用深度包检测(dpi)引擎在 http 报头中搜索 http 网址= ■ 确保包含此报头的流量具有足够的带宽 期望的流视频带宽 为管理层提供的流视频带宽 为其他人提供的流视频带宽 4page 7 第三件事:邮件和数据丢失 假设公司现有的防垃圾邮件防护系统可以检测和阻止包含“公司机 密”信息的外发电子邮件。 但是,如果员工使用 yahoo?或 gmail?邮件服务来发送“公司机 密”信息呢? 创建策略来拦截“公司机密”电子邮件 ■ 使用深度包检测(dpi)引擎搜索电子邮件内容=“公司机密” ■ 阻止邮件发送,并通知发件人此邮件为“公司机密” 5 执行 停止 发件人:goodguy@your_company.com 收件人:goodguy@partner.com 主题:工作计划核准 jim, 我同意你本周的工作计划。joe 发件人:badguy@your_company.com 收件人:badguy@competitor.com 主题:设计路演 这就是路演 1 月 9 日 ╟ 7.0 版本 此文件为公司机密文件page 8 第四件事:应用使用强制 您的老板:希望使用 internet explorer(ie)7.0 版本作为标准浏 览器。 您的任务:确保公司所有系统都使用 ie 7.0 版本,而不使用其它 任何版本! 您可能采用的解决方案 1. 每天检查每个人的系统,查找“外来”浏览器 2. 安装一种脚本来检查每个人的系统,以查找出“外来”浏览器, 同时确保脚本每天都会检查每个人的系统 3. 在应用防火墙中设置一种策略,从此便不再担心 创建“我找到了更好的解决方案”策略 ■ 使用深度包检测(dpi)引擎在 http 报头中搜索用户代理= msie 7.0 ■ 允许 ie 7.0 流量,阻止其它浏览器 6page 9 第五件事:拒绝 ftp 上传 您可以建立一个 ftp 网站,以便与业务合作伙伴交换大型文件,同时,您希望确 保合作伙伴方面只有项目经理可以上传文件,其他任何人都不允许这样做。 创建策略来允许 ftp 上传,但上传只限于少数人 ■ 使用深度包检测(dpi)引擎搜索 ftp 命令=放置 ■ 使用 dpi 引擎搜索验证的用户名= “pm_partner” ■ 如果两者均符合,就允许放置 sales_partner:放置文件 pm_partner:放置文件 mktg_partner:放置文件 sales_partner:放置文件 您也可以驳回任何 您认为指定 ftp 服务器不需要的 ftp 命令 7page 10 第六件事:控制 p2p 应用 问题 1:对等网(p2p)应用如 bittorrent 可盗用宽带,同时会带来各种各样的恶意 文件。 问题 2:创建新的 p2p 应用或简单修改现有的 p2p 应用(如修改版本号)是常有的事。 创建策略来检测 p2p 应用 使用深度包检测(dpi)引擎搜索 ips 签名表中的 p2p 应用签名 利用带宽和时间限制 可以阻止或仅限制 p2p 应用 8 ips 签名表 bittorrent-6.1 bittorrent-6.0.3 bittorrent-6.0.2 bittorrent-6.0.1 …数以百计 ips 签名表 已收到并应用了 sonicwall 提供的 更新文件 ips 签名表 bittorrent-6.1.1 bittorrent-6.1 bittorrent-6.0.3 bittorrent-6.0.2 …数以百计 结果 ■ 您可以管理和控 制 p2p 应用 ■ 您无需花费时间来更新 ips 签名档规则page 11 第七件事:管理流音乐 流音频网站和流广播网站占用了非常宝贵的带宽,但是,公司又不得不访问这 类网站。目前,只有两种办法可以应对这一挑战。 通过网站进行控制 创建一份您希望管理的流音频网站名单 创建策略来检测流音频网站 ■ 使用深度包检测(dpi)引擎在 http 报头中搜索 http 网址 = 流音频网站 拦截列表 通过文件扩展名进行控制 创建一份您希望管理的音频文件扩展名列表 创建策略来检测流音频内容 ■ 使用深度包检测(dpi)引擎在 http 报头中搜索文件扩展名 = 流音频扩展 名拦截列表 一旦“检测”出符合搜索条件的网站或扩展名, 您可以阻止流音频或仅对流音频进行带宽管理。 9page 12 第八件事:对应用带宽进行优先排序 如今,许多关键业务应用如 sap?、salesforce.com?和 sharepoint?都是基于云 的应用,或者,它们的运行需要跨越不同地理位置的网络。确保这些应用可以优 先获得运行所需的带宽,从而改善业务效率。 创建策略为 sap 应用分配带宽优先权 ■ 使用深度包检测(dpi)引擎搜索应用签名或应用名称 ■ 为 sap 应用分配更高的带宽优先级 sap salesforce.com sharepoint 其它 可以根据日期设定应用优先级 (销售应用则采取季末优先级) 10 (责任编辑:admin) |
