最新の次世代ファイアウォール (NGFW) は、ディープ パケット インスペクションを利用してパケット ペイロード全体をスキャンし、高度な侵入防御、マルウェア対策、コンテンツ フィルタリング、およびスパム対策を提供します。 多くのアプリケーションは Web 経由で配信され、共通のポートと HTTP または HTTPS プロトコルを共有します。 これにより、従来のファイアウォールは事実上、これらのアプリケーションを認識できなくなり、生産的で安全なトラフィックと非生産的で潜在的に安全でないトラフィックの優先順位を付けることができなくなります。 次世代ファイアウォールは、アプリケーション自体についての洞察を提供し、ネットワーク専門家にとって重要な機能を提供します。
ネットワーク セキュリティのためにファイアウォールが行うべきことのいくつかを調べてみましょう。
- ネットワーク上で許可されるアプリケーションを制御する - アプリケーションの視覚化により、どのブラウザが使用されているかを確認して、それに応じてポリシー作成を有効にすることができます。
企業としては、すべての従業員が Internet Explorer の最新バージョンを使用していることを確認したいと考えています。 あなたの使命は、IE9 または IE10 を起動しているすべての従業員が自動的に IE11 ダウンロード サイトにリダイレクトされ、他のすべての Web アクセスを制限することです。
考えられる解決策には次のようなものがあります。
- 毎日、すべてのシステムの Web ブラウザのバージョンを物理的にチェックする
- ブラウザのバージョンを自動的にチェックするカスタム スクリプトを作成する
- 重要なアプリケーションの帯域幅を管理 - アプリケーションの優先順位を日付ベースにすることができます (販売アプリケーションの場合は四半期末の優先順位を考えてください)
Live Meeting、Salesforce.com、SharePoint などのミッションクリティカルなアプリケーションの多くはクラウドベースであるか、地理的に分散したネットワーク上で実行されます。 これらのアプリケーションが非生産的な Web サーフィンよりも優先されるようにすることで、ビジネスの生産性が向上します。
Live Meeting アプリケーションに帯域幅の優先順位を与えるポリシーを作成します。
- ディープ パケット インスペクション エンジンは、アプリケーションの署名またはアプリケーション名を検索します。
- Live Meeting アプリケーションに高い帯域幅の優先順位を割り当てます。
- ピアツーピアアプリケーションをブロックする
BitTorrent などの非生産的なピアツーピア (P2P) アプリケーションは、著作権で保護されたメディアのライセンスのないバージョンをダウンロードするためによく使用され、すぐに帯域幅を消費したり、マルウェアを送信したりする可能性があります。 ただし、新しい P2P アプリケーションの作成や、既存の P2P アプリケーションへの単純な変更 (バージョン番号など) は常に発生するため、単一の P2P アプリケーションを手動でブロックすることは困難です。 P2P アプリケーションの使用をブロックするポリシーを作成します。
- ディープ パケット インスペクション エンジンは、アプリケーション署名リストから事前に定義された P2P アプリケーション署名を使用します。
- 事前定義された署名リストから P2P アプリケーションを選択します
- すべてのユーザーにポリシーを適用する
- 帯域幅と時間ベースの制限を通じて P2P アプリケーションをブロックする
- アプリケーションの非生産的なコンポーネントをブロックする
Facebook、Instagram、YouTube などのソーシャル ネットワーキング アプリケーションは、個人や企業にとっての新しいコミュニケーション チャネルとなっています。 すべてのソーシャル ネットワーキング アプリケーションをブロックするのは逆効果かもしれませんが、職場でのソーシャル ネットワーキング アプリケーションの使用方法を制御することもできます。 たとえば、マーケティング担当者に会社の Facebook ページの更新を許可する一方で、テキサス ホールデム ポーカーやキャンディ クラッシュ サーガなどの Facebook ゲームのプレイは許可しないようにすることができます。 アプリケーション インテリジェンスと制御を使用すると、Facebook へのアクセスを許可するがゲームはブロックするポリシーを作成できます。
Facebook を許可し、Facebook ゲームをブロックするポリシーを作成します。
- 「すべて」のユーザーを選択します
- カテゴリとして「Facebook ゲーム アプリケーション」を選択します
- すべてのユーザーが Facebook 内のゲームにアクセスできないようにする単一のルールを作成します
- アプリケーションのトラフィックを視覚化する – 視覚化により、管理者はネットワーク トラフィック フローに関する即時フィードバックを得ることができます。
私のネットワークで何が起こっているのでしょうか? 私の帯域幅を無駄にしているのは誰ですか? 私のネットワークはなぜこんなに遅いのでしょうか? これらの質問を自分自身に問いかけたことはありますか? 個別のツールを組み合わせて答えを得ることができますが、このプロセスには時間がかかり、事後的にしか情報が得られません。
Application Flow Monitor にログインして、すべてのトラフィックをリアルタイムで表示します。
- すべてのアプリケーション トラフィックのリアルタイム グラフを表示する
- イングレス帯域幅とエグレス帯域幅のリアルタイム グラフを表示する
- 訪問した Web サイトとすべてのユーザー アクティビティのリアルタイム グラフを表示します
- 最も関連性の高い情報を提供する独自のフィルタリングを作成します
- ユーザーのグループの帯域幅を管理する
CEO が、毎朝見たいビジネス ニュース ビデオが途切れ途切れで正しく再生されないと苦情を言ったら、どうしますか? 調査の結果、すべてのストリーミング ビデオに対して導入した全社的な帯域幅管理ポリシーが原因であると判断しましたか? 全員の帯域幅制限を緩和することもできますが、グループベースの帯域幅管理というより良い解決策があります。
ストリーミング ビデオの帯域幅管理から経営陣を除外するポリシーを作成します。
- LDAP サーバーからインポートされた実行グループを選択します
- ディープ パケット インスペクション エンジンは、アプリケーション署名リストから事前に定義されたストリーミング ビデオ アプリケーション署名を使用します。
- そのヘッダーを持つトラフィックに帯域幅制限を適用します
- ランサムウェア攻撃と侵害をブロック - マルウェア攻撃と侵入がネットワークに侵入する前にブロックします。
ネットワーク セキュリティは、IT 管理者が最優先に取り組む必要があります。 ランサムウェアなどの攻撃や、マルウェアや侵入の試みによってもたらされる侵害をブロックする機能により、組織は大きなリスクから解放され、無駄になる可能性のあるリソースが節約されます。
- 国ごとの接続を識別する
地元のオフィスや支店サイトから外国の IP への接続は、Web を閲覧している誰かからの単なる無害な接続ですか? それともボットネットの活動ですか? GeoIP 国トラフィック識別を使用して、特定の国に送受信されるネットワーク トラフィックを識別して制御し、既知または疑わしい脅威活動の発信元からの攻撃から保護したり、ネットワークから発信された疑わしいトラフィックを調査したりできます。
国ごとに接続を表示するか、国固有のフィルターを作成します。
- どのアプリケーションが他の国の IP に接続しているかを確認する
- どのユーザーとどのコンピュータが他の国の IP に接続しているかを確認する
- 除外リストを使用して、指定した国へのトラフィックを制限するフィルターを作成します
- 電子メールによるデータ漏洩を防ぐ
一部の企業では、送信電子メールが電子メール セキュリティ システムを通過しないか、そのシステムが電子メールの添付ファイルの内容をチェックしません。 どちらの場合でも、「企業機密」の添付ファイルは簡単に組織から流出する可能性があります。 送信ネットワーク トラフィックはファイアウォールを通過するため、この「移動中のデータ」を検出してブロックできます。 「企業機密」の透かしを含む電子メールの添付ファイルをブロックするポリシーを作成する
ディープ パケット インスペクション エンジンは以下を検索します。
- 電子メールの内容 = 「企業秘密」および
- 電子メールの内容 = 「会社の専有情報」および
- メールの内容 = 「非公開」など
- Webメールによる情報漏洩を防ぐ
ここで、既存のスパム対策保護が、「企業機密」情報を含む通常の送信電子メールを検出してブロックできると仮定しましょう。 しかし、従業員が Yahoo や Gmail などの Web メール サービスを使用して「企業機密」情報を送信した場合はどうなるでしょうか?
Web トラフィック内の「企業機密」添付ファイルをブロックするポリシーを作成します。
- ディープ パケット インスペクション エンジンは、http または https 経由で転送されたファイルの「企業機密」を検索します。
- メッセージをブロックし、送信者にメッセージが「企業機密」であることを通知します。
- 帯域幅でオーディオとビデオのストリーミングを管理
YouTube.com などのサイトからストリーミング ビデオへのアクセスは便利な場合もありますが、悪用されることもよくあります。 これらのサイトをブロックすることは有効かもしれませんが、ストリーミング ビデオの送信元に関係なく、ストリーミング ビデオに与えられる合計帯域幅を制限することをお勧めします。 これは、オンライン音楽ラジオ局などのストリーミング オーディオ サイトや、Spotify や Apple Music などの音楽ストリーミング サービスにも当てはまります。 このトラフィックは必ずしも有名なサイトから来る必要はありませんが、ブログによってホストされる場合もあります。 したがって、目標は、このトラフィックをその発信元ではなく、その内容によって識別することです。
事前定義された署名リストによってストリーミング オーディオとストリーミング ビデオを制限するポリシーを作成する
- アプリケーション カテゴリとしてストリーミング ビデオとストリーミング オーディオを選択します
- これらのアプリケーション カテゴリに割り当てる帯域幅の量を設定します (例: 10%)
- ストリーミング ビデオとストリーミング オーディオが全員の帯域幅の最大 10% を消費するように強制するルールを作成します (トレーニング グループなどの特定の部門グループは除く)。
- オプションで、ルールが標準の営業時間中に有効になるようにスケジュールしますが、昼休みや午後 6 時以降には有効になりません。
- Application Flow Monitor にログインし、リアルタイムの視覚化で新しいポリシーの有効性を確認します。