Shunlongwei Co. Ltd

جدران الحماية وميزاتها الرائعة

الأخبار
التحديث: 26 يوليو 2021
جدران الحماية وميزاتها الرائعة

تستخدم أحدث جدر الحماية من الجيل التالي (NGFWs) فحصًا عميقًا للحزمة لفحص حمولة الحزمة بأكملها لتوفير منع التطفل المتقدم ومكافحة البرامج الضارة وتصفية المحتوى ومكافحة البريد العشوائي. يتم تسليم العديد من التطبيقات عبر الويب ، حيث يتم مشاركة المنافذ الشائعة وبروتوكولات HTTP أو HTTPS. وهذا يجعل جدران الحماية التقليدية عمياء عن هذه التطبيقات بشكل فعال وغير قادرة على إعطاء الأولوية لحركة المرور المنتجة والآمنة مقابل حركة المرور غير المنتجة والتي من المحتمل أن تكون غير آمنة. توفر جدران الحماية من الجيل التالي نظرة ثاقبة على التطبيقات نفسها ، مما يوفر قدرة بالغة الأهمية لمحترفي الشبكات.

دعنا نفحص بعض الأشياء التي يجب أن تفعلها جدران الحماية لأمان شبكتك:

  • التحكم في التطبيقات المسموح بها على الشبكة - يتيح لك تصور التطبيق معرفة المتصفحات المستخدمة لتمكين وضع السياسات وفقًا لذلك.

كشركة تريد التأكد من أن جميع موظفيك يستخدمون أحدث إصدار من Internet Explorer. مهمتك هي ضمان إعادة توجيه جميع الموظفين الذين يقومون بتشغيل IE9 أو IE10 تلقائيًا إلى موقع تنزيل IE11 وتقييدهم من الوصول إلى الويب الآخر.

قد تشمل الحلول الممكنة ما يلي:

  • تحقق فعليًا من كل نظام يوميًا لمعرفة إصدار متصفح الويب
  • اكتب نصًا مخصصًا للتحقق تلقائيًا من إصدارات المتصفح
  • إدارة عرض النطاق الترددي للتطبيقات الهامة - يمكن أن تكون أولوية التطبيق قائمة على التاريخ (فكر في أولوية نهاية الربع لتطبيقات المبيعات

تعتمد العديد من التطبيقات ذات المهام الحرجة ، مثل Live Meeting و Salesforce.com و SharePoint ، على السحابة أو تعمل عبر شبكات متفرقة جغرافيًا. يؤدي التأكد من أن هذه التطبيقات لها الأولوية على تصفح الويب غير المنتج إلى تحسين إنتاجية العمل.

قم بإنشاء نهج لإعطاء أولوية النطاق الترددي لتطبيق Live Meeting:

  • يبحث محرك الفحص العميق للحزم عن توقيع التطبيق أو اسم التطبيق
  • قم بتعيين تطبيق Live Meeting على أولوية عرض نطاق أعلى
  • حظر تطبيقات نظير إلى نظير

غالبًا ما تُستخدم تطبيقات نظير إلى نظير (P2P) غير المنتجة مثل BitTorrent لتنزيل إصدارات غير مرخصة من الوسائط المحمية بحقوق الطبع والنشر ويمكن أن تستهلك النطاق الترددي أو تنقل البرامج الضارة بسرعة. ومع ذلك ، فإن إنشاء تطبيقات P2P جديدة ، أو تغييرات بسيطة (على سبيل المثال ، أرقام الإصدارات) لتطبيقات P2P الحالية تحدث طوال الوقت ، لذلك من الصعب حظر أي تطبيق P2P فردي يدويًا. قم بإنشاء سياسة لمنع استخدام تطبيقات P2P:

  • يستخدم محرك الفحص العميق للحزم تواقيع تطبيق P2P المحددة مسبقًا من قائمة توقيع التطبيق
  • اختر تطبيقات P2P من قائمة التوقيعات المحددة مسبقًا
  • تطبيق السياسة على جميع المستخدمين
  • منع تطبيقات P2P من خلال النطاق الترددي والقيود المستندة إلى الوقت
  • منع المكونات غير المنتجة للتطبيقات

أصبحت تطبيقات الشبكات الاجتماعية مثل Facebook و Instagram و YouTube قنوات اتصال جديدة للأفراد والشركات. على الرغم من أن حظر جميع تطبيقات الشبكات الاجتماعية قد يؤدي إلى نتائج عكسية ، فقد ترغب في التحكم في كيفية استخدامها في مكان العمل. على سبيل المثال ، قد ترغب في السماح لموظفي التسويق بتحديث صفحة Facebook الخاصة بالشركة ، ولكن لا تسمح لهم بلعب ألعاب Facebook مثل Texas HoldEm Poker أو Candy Crush Saga. باستخدام الذكاء والتحكم في التطبيق ، يمكنك إنشاء سياسة للسماح بالوصول إلى Facebook ، ولكن حظر الألعاب.

قم بإنشاء سياسة للسماح لـ Facebook ، ولكن قم بحظر ألعاب Facebook:

  • حدد "كل" المستخدمين
  • حدد "تطبيقات ألعاب Facebook" كفئة
  • أنشئ قاعدة واحدة "لمنع" جميع المستخدمين من الوصول إلى الألعاب داخل Facebook
  • تصور حركة تطبيقك - يوفر التمثيل المرئي للمسؤولين ملاحظات فورية حول تدفقات حركة مرور الشبكة

ماذا يحدث على شبكتي؟ من يضيع عرض النطاق الترددي الخاص بي؟ لماذا شبكتي بطيئة للغاية؟ هل سبق لك أن سألت نفسك أيًا من هذه الأسئلة؟ يمكنك استخدام مجموعة من الأدوات المنفصلة لمحاولة الحصول على إجابات ، لكن هذه العملية تستغرق وقتًا طويلاً ولن تزودك إلا بالمعلومات بعد الحقيقة.

عرض كل حركة المرور في الوقت الفعلي عن طريق تسجيل الدخول إلى Application Flow Monitor:

  • عرض الرسوم البيانية في الوقت الحقيقي لجميع حركة مرور التطبيقات
  • عرض الرسوم البيانية في الوقت الحقيقي لعرض النطاق الترددي الدخول والخروج
  • عرض الرسوم البيانية في الوقت الحقيقي لمواقع الويب التي تمت زيارتها وجميع أنشطة المستخدم
  • قم بإنشاء التصفية الخاصة بك والتي تمنحك المعلومات الأكثر صلة
  • إدارة النطاق الترددي لمجموعة من المستخدمين

ماذا تفعل إذا اشتكى رئيسك التنفيذي من أن مقاطع فيديو أخبار الأعمال التي يريد مشاهدتها كل صباح متقطعة ولن يتم تشغيلها بشكل صحيح؟ بعد التحقيق ، حددت أن ذلك يرجع إلى سياسة إدارة النطاق الترددي على مستوى الشركة التي نفذتها لجميع مقاطع الفيديو المتدفقة؟ يمكنك التخفيف من قيود النطاق الترددي للجميع ، ولكن هناك الآن إجابة أفضل: إدارة النطاق الترددي على أساس المجموعة.

قم بإنشاء سياسة لاستبعاد الفريق التنفيذي من دفق إدارة عرض النطاق الترددي للفيديو:

  • اختر المجموعة التنفيذية التي تم استيرادها من خادم LDAP
  • يستخدم محرك الفحص العميق للحزم تواقيع تطبيق دفق الفيديو المحددة مسبقًا من قائمة توقيع التطبيق
  • تطبيق قيود النطاق الترددي على حركة المرور بهذا العنوان
  • منع هجمات برامج الفدية والاختراقات - احظر هجمات البرامج الضارة وعمليات الاختراق قبل دخولها إلى شبكتك!

يجب أن يكون أمان الشبكة في مقدمة اهتمامات أي مسؤول تكنولوجيا معلومات. القدرة على منع الهجمات مثل برامج الفدية والانتهاكات التي يتم تسليمها من خلال البرامج الضارة ومحاولات التسلل تعفي المؤسسة من المخاطر الكبيرة وتجنب الموارد التي يحتمل إهدارها.

  • تحديد الاتصالات حسب البلد

هل الاتصال بعنوان IP في بلد أجنبي من مكتبك المحلي أو موقع فرعي مجرد اتصال حميد من شخص ما يتصفح الويب ، أم أنه نشاط بوت نت؟ يمكنك استخدام تحديد حركة مرور بيانات GeoIP الخاصة ببلدك للتعرف والتحكم في حركة مرور الشبكة المتجهة إلى أو القادمة من بلدان معينة إما للحماية من الهجمات من المصادر المعروفة أو المشتبه بها لنشاط التهديد ، أو للتحقيق في حركة المرور المشبوهة التي تنشأ من الشبكة.

عرض الاتصالات حسب البلد أو إنشاء عوامل تصفية خاصة بالبلد:

  • تحقق من التطبيقات التي تتصل بعناوين IP في البلدان الأخرى
  • تعرف على المستخدمين وأي أجهزة الكمبيوتر تتصل بعناوين IP في البلدان الأخرى
  • إنشاء عوامل تصفية لتقييد حركة المرور إلى البلدان التي تحددها ، مع قوائم الاستبعاد
  • منع تسرب البيانات عبر البريد الإلكتروني

في بعض الشركات ، لا يمر البريد الإلكتروني الصادر عبر نظام أمان البريد الإلكتروني الخاص بهم ، أو لا يتحقق هذا النظام من محتوى مرفقات البريد الإلكتروني. في كلتا الحالتين ، يمكن أن تترك مرفقات "الشركة السرية" المؤسسة بسهولة. نظرًا لأن حركة مرور الشبكة الصادرة تمر عبر جدار الحماية ، يمكنك اكتشاف "البيانات أثناء الحركة" وحظرها. قم بإنشاء سياسة لحظر مرفقات البريد الإلكتروني التي تحتوي على العلامة المائية "سرية للشركة"

يبحث محرك الفحص العميق للحزم عن:

  • محتوى البريد الإلكتروني = "شركة سرية" و
  • محتوى البريد الإلكتروني = "ملكية الشركة" و
  • محتوى البريد الإلكتروني = "ملكية خاصة" ، وما إلى ذلك.
  • منع تسرب البيانات عبر بريد الويب

لنفترض الآن أن الحماية الحالية لمكافحة البريد العشوائي يمكنها اكتشاف ومنع البريد الإلكتروني الصادر العادي الذي يحتوي على معلومات "سرية للشركة". ولكن ماذا لو كان الموظف يستخدم خدمة بريد الويب ، مثل Yahoo أو Gmail ، لإرسال معلومات "سرية للشركة"؟

أنشئ سياسة لحظر المرفقات "السرية للشركة" في حركة مرور الويب:

  • يبحث محرك الفحص العميق للحزم عن "سرية الشركة" في الملفات المنقولة عبر http أو https
  • قم بحظر الرسالة وإخطار المرسل بأن الرسالة "سرية للشركة
  • النطاق الترددي يدير دفق الصوت والفيديو

أحيانًا يكون الوصول إلى دفق الفيديو من مواقع مثل YouTube.com مفيدًا ولكن غالبًا ما يتم إساءة استخدامه. قد ينجح حظر هذه المواقع ، لكن الأسلوب المفضل هو تقييد النطاق الترددي الإجمالي المعطى لدفق الفيديو ، بغض النظر عن مصدره. ينطبق هذا أيضًا على مواقع البث الصوتي مثل محطات راديو الموسيقى عبر الإنترنت وخدمات بث الموسيقى مثل Spotify و Apple Music. لا يلزم بالضرورة أن تأتي حركة المرور هذه من مواقع معروفة جيدًا ولكن يمكن أيضًا استضافتها بواسطة المدونات. وبالتالي ، فإن الهدف هو تحديد هذه الحركة من خلال ماهيتها ، وليس من خلال مصدرها.

قم بإنشاء سياسة للحد من دفق الصوت وتدفق الفيديو من خلال قائمة التوقيع المحددة مسبقًا

  • حدد Streaming Video and Streaming Audio كفئات تطبيق
  • قم بتعيين مقدار النطاق الترددي الذي تريد تخصيصه لفئات التطبيقات هذه (على سبيل المثال ، 10٪)
  • أنشئ قاعدة تفرض دفق الفيديو وتدفق الصوت لاستهلاك حد أقصى قدره 10٪ من النطاق الترددي للجميع (ربما باستثناء مجموعات قسم معينة ، مثل تلك الموجودة في مجموعة التدريب)
  • اختياريًا ، قم بجدولة القاعدة لتصبح سارية المفعول خلال ساعات العمل القياسية ، ولكن ليس أثناء ساعات الغداء أو بعد الساعة 6 مساءً
  • تأكد من فعالية سياستك الجديدة من خلال التصور في الوقت الفعلي عن طريق تسجيل الدخول إلى Application Flow Monitor.
«
»