快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门新葡亰官网7598522:企业级防火墙应做到的十件事



在企业的IT系统中,传统的防火墙重在抵御简单的要挟和入侵进击。企业级防火墙增添了统一要挟治理(UTM)办事,如防病毒、防特工软件、入侵防御、内容过滤,以致一些防垃圾邮件办事,以增强要挟防御功能。穿越防火墙的大年夜多半流量都不具要挟性,而是些利用和数据。而这便是利用防火墙由来的缘故原由,利用防火墙可治理和节制穿越防火墙的数据和利用。

利用防火墙有什么感化?

利用防火墙供给了带宽治理和节制、利用层造访节制、数据泄露节制功能、对特定文件和文档传输进行限定及其它功能。

利用防火墙的事情道理是什么?

利用防火墙可根据用户、利用、进程或IP子网层容许自定义造访节制。这样,治理员可以创建各类利用策略,使利用可供造访并首次真正实现对利用的治理。利用防火墙可以赞助企业做十件事。

第一件事:治理流视频

造访流视频网站如youtube.com无意偶尔对我们异常有用,但平日会被滥用。拦截网站本身可能有效,但最好是限定分配给流视频网站的带宽。

创建策略来限定流视频:

应用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址=www.youtube.com。

将带脱期制利用于带此报头的流量。

第二件事:分组带宽治理

在第一件事中,我们对youtube.com等流视频网站运用了带脱期制。如今,公司首席履行官和首席财务官总在诉苦天天造访的“商业新闻视频”速率太慢。您可以经由过程放松对每小我的带脱期制来改良这种环境,但还有一个更好的措施,那便是进行分组带宽治理。

创建不限定治理层浏览流视频的策略,措施如下:

将此策略利用于LDAP办事器导入的“治理”组

应用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址=www.youtube.com

确保包孕此报头的流量具有足够的带宽

第三件事:邮件和数据损掉

假设公司现有的防垃圾邮件防护系统可以检测和阻拦包孕“公司机密”信息的外发电子邮件。然则,假如员工应用Yahoo或Gmail邮件办事来发送“公司机密”信息呢?

创建策略来拦截“公司机密”电子邮件:

应用深度包检测(DPI)引擎搜索电子邮件内容=“公司机密”

阻拦邮件发送,并看护发件人此邮件为“公司机密”

第四件事:利用应用强制

您的老板:盼望应用InternetExplorer(IE)7.0版本作为标准浏览器。

您的义务:确保公司所有系统都应用IE7.0版本,而不应用其它任何版本!

您可能采纳的办理规划如下:

1.天天澳门新葡亰官网7598522反省每小我的系统,查找“外来”浏览器。

2.安装一种脚原先反省每小我的系统,以查找出“外来”浏览器,同时确保脚本澳门新葡亰官网7598522天天都邑反省每小我的系统。

3.在利用防火墙中设置一种策略,从此便不再担心。

创建“我找到了更好的办理规划”策略:

应用深度包检测(DPI)引擎在HTTP报头中搜索用户代理=MSIE7.0

容许IE7.0流量,阻拦其它浏览器

第五件事:回绝FTP上传

您可以建立一个FTP网站,以便与营业相助伙伴互换大年夜型文件,同时,您盼望确保相助伙伴方面只有项目经理可以上传文件,其他任何人都不容许这样澳门新葡亰官网7598522做。

创建策略来容许FTP上传,但上传只限于少数人

应用深度包检测(DPI)引擎搜索FTP敕令=放置

应用DPI引擎搜索验证的用户名=“pm_partne澳门新葡亰官网7598522r”

假如两者均相符,就容许放置

第六件事:节制P2P利用

问题1:对等网(P2P)利用如BitTorrent可盗用宽带,同时会带来各类各样的恶意文件。

问题2:创建新的P2P利用或简单改动现有的P2P利用(如改动版本号)是常有的事。

创建策略来检测P2P利用,应用深度包检测(DPI)引擎搜索IPS署名表中的P2P利用署名

第七件事:治理流音乐

流音频网站和流广播网站占用了异常宝贵的带宽,然则,公司又不得不造访这类网站。今朝,只有两种法子可以应对这一寻衅。

(1)经由过程网站进行节制

创建一份您盼望治理的流音频网站名单

创建策略来检测流音频网站

应用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址=流音频网站拦截列表

(2)经由过程文件扩展名进行节制

创建一份您盼望治理的音频文件扩展名列表

创建策略来检测流音频内容

应用深度包检测(DPI)引擎在HTTP报头中搜索文件扩展名=流音频扩展名拦截列表

第八件事:对利用带宽进行优先排序

如今,许多症毕营业利用如SAP、Salesforce.com和SharePoint都是基于云谋略的利用,或者,它们的运行必要超过不合地舆位置的收集。确保这些利用可以优先得到运澳门新葡亰官网7598522行所需的带宽,从而改良营业效率。

创建策略为SAP利用分配带宽优先权:

应用深度包检测(DPI)引擎搜索利用署名或利用名称

为SAP利用分配更高的带宽优先级

第九件事:拦截机密文件

在一些公司内,外发电子邮件无法穿越电子邮件安然系统或系统无法反省电子邮件附件的内容。不管因此上哪种环境,作为电子邮件附件的“公司机密”文件可被轻松地带出公司外。

一旦外发收集流量穿越公司防火墙,您可以检测并拦截“移动中的数据”。

创建策略来拦截包孕加盖了“公司机密”水印的电子邮件附件

应用深度包检测(DPI)引擎搜索:电子邮件内容=“公司机密”和“公司专有”和“私有”……

第十件事:拦截被禁止文件并发出看护

贵公司防火墙可以拦截以下内容吗?

从网页中下载的EXE文件。

作为电子邮件附件的EXE文件。

经过FTP传输的EXE文件。

那么,PIF、SRC或VBS文件呢?

创建被禁止文件扩展名列表。

创建策略来拦截被禁止文件扩展名。

应用深度包检测(DPI)引擎搜索HTTP、电子邮件附件或FTP的文件扩展名=被禁止文件扩展名。

假如文件被拦截,对发件人发出看护。

您可能还会对下面的文章感兴趣: