Последние межсетевые экраны следующего поколения (NGFW) используют глубокую проверку пакетов для сканирования всей полезной нагрузки пакета для обеспечения расширенного предотвращения вторжений, защиты от вредоносных программ, фильтрации содержимого и защиты от спама. Многие приложения доставляются через Интернет с использованием общих портов и протоколов HTTP или HTTPS. Это фактически оставляет традиционные брандмауэры слепыми к этим приложениям и не в состоянии расставить приоритеты между производительным и безопасным трафиком, а не непродуктивным и потенциально небезопасным. Межсетевые экраны следующего поколения обеспечивают понимание самих приложений, обеспечивая критически важные возможности для сетевых профессионалов.
Давайте посмотрим, что брандмауэры должны делать для вашей сетевой безопасности:
- Управление приложениями, разрешенными в сети. Визуализация приложений позволяет вам видеть, какие браузеры используются, чтобы соответствующим образом разрешить создание политики.
Как компания, вы хотите убедиться, что все ваши сотрудники используют последнюю версию Internet Explorer. Ваша миссия - обеспечить автоматическое перенаправление всех сотрудников, запускающих IE9 или IE10, на сайт загрузки IE11 и запретить им любой другой доступ в Интернет.
Ваши возможные решения могут включать:
- Ежедневно физически проверяйте каждую систему на наличие версии веб-браузера
- Напишите собственный скрипт для автоматической проверки версий браузера.
- Управление полосой пропускания для критически важных приложений - приоритет приложений может быть основан на дате (подумайте о приоритете конца квартала для приложений для продаж.
Многие критически важные приложения, такие как Live Meeting, Salesforce.com и SharePoint, основаны на облаке или работают в географически разнесенных сетях. Обеспечение приоритета этих приложений над непродуктивным просмотром веб-страниц повышает продуктивность бизнеса.
Создайте политику, чтобы дать приоритет пропускной способности приложению Live Meeting:
- Механизм Deep Packet Inspection ищет подпись приложения или имя приложения.
- Назначьте приложению Live Meeting более высокий приоритет пропускной способности
- Блокировать одноранговые приложения
Непродуктивные одноранговые (P2P) приложения, такие как BitTorrent, часто используются для загрузки нелицензионных версий носителей, защищенных авторским правом, и могут быстро потреблять полосу пропускания или передавать вредоносное ПО. Однако создание новых приложений P2P или простые изменения (например, номера версий) существующих приложений P2P происходят постоянно, поэтому сложно вручную заблокировать какое-либо отдельное приложение P2P. Создайте политику для блокировки использования P2P-приложений:
- Механизм Deep Packet Inspection использует предварительно определенные сигнатуры приложений P2P из списка сигнатур приложений.
- Выберите приложения P2P из предварительно определенного списка подписей.
- Применить политику ко всем пользователям
- Блокируйте приложения P2P с помощью ограничений пропускной способности и времени
- Блокировать непродуктивные компоненты приложений
Приложения социальных сетей, такие как Facebook, Instagram и YouTube, стали новыми каналами коммуникации для частных лиц и компаний. Хотя блокирование всех приложений социальных сетей может быть контрпродуктивным, вы можете контролировать, как их можно использовать на рабочем месте. Например, вы можете разрешить маркетинговому персоналу обновлять страницу компании в Facebook, но не разрешать им играть в игры Facebook, такие как Texas HoldEm Poker или Candy Crush Saga. Благодаря аналитике и управлению приложениями вы можете создать политику, разрешающую доступ к Facebook, но блокирующую игры.
Создайте политику, разрешающую Facebook, но блокирующую игры Facebook:
- Выберите «Все» пользователей.
- Выберите категорию «Приложения для игр Facebook».
- Создайте единое правило, чтобы «заблокировать» всех пользователей от доступа к играм в Facebook.
- Визуализируйте трафик вашего приложения - Визуализация обеспечивает администраторам мгновенную обратную связь о потоках сетевого трафика.
Что происходит в моей сети? Кто тратит мою пропускную способность? Почему моя сеть такая медленная? Вы когда-нибудь задавали себе какие-нибудь из этих вопросов? Вы можете использовать комбинацию отдельных инструментов, чтобы попытаться получить ответы, но этот процесс занимает много времени и предоставит вам информацию только постфактум.
Просматривайте весь трафик в режиме реального времени, войдя в Application Flow Monitor:
- Просмотр графиков всего трафика приложений в реальном времени
- Просмотр графиков входящей и исходящей пропускной способности в реальном времени
- Просмотр в реальном времени графиков посещенных веб-сайтов и всей активности пользователей
- Создайте собственную фильтрацию, которая даст вам наиболее актуальную информацию
- Управление пропускной способностью для группы пользователей
Что вы будете делать, если ваш генеральный директор жалуется, что видео о деловых новостях, которые он хочет смотреть каждое утро, прерывистые и воспроизводятся некорректно? После расследования вы определяете, что это связано с политикой управления пропускной способностью компании, которую вы внедрили для всего потокового видео? Вы могли бы ослабить ограничения пропускной способности для всех, но теперь есть лучший ответ: групповое управление пропускной способностью.
Создайте политику, чтобы исключить команду руководителей из управления полосой пропускания потокового видео:
- Выберите исполнительную группу, импортированную с вашего LDAP-сервера.
- Механизм Deep Packet Inspection использует предварительно определенные сигнатуры приложений потокового видео из списка сигнатур приложений.
- Применить ограничение пропускной способности к трафику с этим заголовком
- Блокируйте атаки и взломы программ-вымогателей - блокируйте атаки и вторжения вредоносных программ до того, как они проникнут в вашу сеть!
Сетевая безопасность должна быть в центре внимания любого ИТ-администратора. Возможность блокировать атаки, такие как программы-вымогатели, и взломы, осуществляемые с помощью вредоносных программ и попыток вторжений, избавляет организацию от большого риска и экономит потенциально растрачиваемые ресурсы.
- Определите связи по странам
Является ли подключение к IP-адресу в чужой стране из вашего местного офиса или филиала просто безобидным подключением от кого-то, просматривающего веб-страницы, или это активность ботнета? Вы можете использовать идентификацию трафика страны с помощью GeoIP, чтобы идентифицировать и контролировать сетевой трафик, идущий в определенные страны или исходящий из них, для защиты от атак со стороны известных или предполагаемых источников активности угроз или для расследования подозрительного трафика, исходящего из сети.
Просматривайте связи по странам или создавайте фильтры для конкретных стран:
- Проверьте, какие приложения подключаются к IP-адресам в других странах
- Посмотрите, какие пользователи и какие компьютеры подключаются к IP-адресам в других странах
- Создавайте фильтры для ограничения трафика в указанные вами страны со списками исключений
- Предотвратить утечку данных по электронной почте
В некоторых компаниях исходящая электронная почта не проходит через их систему безопасности электронной почты или эта система не проверяет содержимое вложений электронной почты. В любом случае вложения с «конфиденциальной информацией компании» могут легко покинуть организацию. Поскольку исходящий сетевой трафик проходит через ваш брандмауэр, вы можете обнаруживать и блокировать эти «данные в движении». Создайте политику для блокировки вложений электронной почты, содержащих водяной знак «конфиденциально компании».
Механизм Deep Packet Inspection ищет:
- Содержание электронного письма = «Компания конфиденциальна» и
- Содержание электронной почты = «Собственность компании» и
- Содержание электронной почты = «Частная собственность» и т. Д.
- Предотвратить утечку данных через веб-почту
Теперь предположим, что ваша существующая защита от спама может обнаруживать и блокировать обычную исходящую электронную почту, которая содержит «конфиденциальную информацию компании». Но что, если сотрудник использует почтовую веб-службу, такую как Yahoo или Gmail, для рассылки «конфиденциальной информации компании»?
Создайте политику для блокировки вложений «конфиденциальной информации компании» в веб-трафике:
- Механизм Deep Packet Inspection ищет «конфиденциальную информацию компании» в файлах, передаваемых через http или https.
- Заблокировать сообщение и уведомить отправителя о том, что сообщение «конфиденциально».
- Управление пропускной способностью потокового аудио и видео
Доступ к потоковому видео с таких сайтов, как YouTube.com, иногда бывает полезен, но часто им злоупотребляют. Блокировка этих сайтов может сработать, но предпочтительным подходом является ограничение общей полосы пропускания, предоставляемой для потокового видео, независимо от того, откуда оно поступает. Это также относится к сайтам потокового аудио, таким как музыкальные онлайн-радиостанции и сервисы потоковой передачи музыки, такие как Spotify и Apple Music. Этот трафик не обязательно должен поступать с хорошо известных сайтов, но он также может размещаться в блогах. Таким образом, цель состоит в том, чтобы идентифицировать этот трафик по тому, что он собой представляет, а не по его происхождению.
Создайте политику для ограничения потокового аудио и потокового видео с помощью предварительно определенного списка сигнатур
- Выберите "Потоковое видео" и "Потоковое аудио" в качестве категорий приложений.
- Установите объем полосы пропускания, который вы хотите выделить для этих категорий приложений (например, 10%)
- Создайте правило, которое заставляет потоковое видео и потоковое аудио использовать максимум 10% полосы пропускания для всех (возможно, за исключением отдельных групп отделов, например, в группе обучения)
- При желании можно запланировать действие правила в стандартные рабочие часы, но не в обеденное время или после 6:XNUMX.
- Подтвердите эффективность вашей новой политики с помощью визуализации в реальном времени, войдя в Application Flow Monitor.
