在企業(yè)的IT系統(tǒng)中,傳統(tǒng)的防火墻重在抵御簡單的威脅和入侵攻擊。企業(yè)級(jí)防火墻增加了統(tǒng)一威脅管理(UTM)服務(wù),如防病毒、防間諜軟件、入侵防御、內(nèi)容過濾,甚至一些防垃圾郵件服務(wù),以增強(qiáng)威脅防御功能。穿越防火墻的大多數(shù)流量都不具威脅性,而是些應(yīng)用和數(shù)據(jù)。而這就是應(yīng)用防火墻由來的原因,應(yīng)用防火墻可管理和控制穿越防火墻的數(shù)據(jù)和應(yīng)用。
應(yīng)用防火墻有什么作用?
應(yīng)用防火墻提供了帶寬管理和控制、應(yīng)用層訪問控制、數(shù)據(jù)泄露控制功能、對(duì)特定文件和文檔傳輸進(jìn)行限制及其它功能。
應(yīng)用防火墻的工作原理是什么?
應(yīng)用防火墻可根據(jù)用戶、應(yīng)用、進(jìn)程或IP子網(wǎng)層允許自定義訪問控制。這樣,管理員可以創(chuàng)建各種應(yīng)用策略,使應(yīng)用可供訪問并首次真正實(shí)現(xiàn)對(duì)應(yīng)用的管理。應(yīng)用防火墻可以幫助企業(yè)做十件事。
第一件事:管理流視頻
訪問流視頻網(wǎng)站如youtube.com有時(shí)對(duì)我們非常有用,但通常會(huì)被濫用。攔截網(wǎng)站本身可能有效,但最好是限制分配給流視頻網(wǎng)站的帶寬。
創(chuàng)建策略來限制流視頻:
使用深度包檢測(cè)(DPI)引擎在HTTP報(bào)頭中搜索HTTP網(wǎng)址=www.youtube.com。
將帶寬限制應(yīng)用于帶此報(bào)頭的流量。
第二件事:分組帶寬管理
在第一件事中,我們對(duì)youtube.com等流視頻網(wǎng)站運(yùn)用了帶寬限制。如今,公司首席執(zhí)行官和首席財(cái)務(wù)官總在抱怨每天訪問的“商業(yè)新聞視頻”速度太慢。您可以通過放松對(duì)每個(gè)人的帶寬限制來改善這種情況,但還有一個(gè)更好的方法,那就是進(jìn)行分組帶寬管理。
創(chuàng)建不限制管理層瀏覽流視頻的策略,方法如下:
將此策略應(yīng)用于LDAP服務(wù)器導(dǎo)入的“管理”組
使用深度包檢測(cè)(DPI)引擎在HTTP報(bào)頭中搜索HTTP網(wǎng)址=www.youtube.com
確保包含此報(bào)頭的流量具有足夠的帶寬
第三件事:郵件和數(shù)據(jù)丟失
假設(shè)公司現(xiàn)有的防垃圾郵件防護(hù)系統(tǒng)可以檢測(cè)和阻止包含“公司機(jī)密”信息的外發(fā)電子郵件。但是,如果員工使用Yahoo或Gmail郵件服務(wù)來發(fā)送“公司機(jī)密”信息呢?
創(chuàng)建策略來攔截“公司機(jī)密”電子郵件:
使用深度包檢測(cè)(DPI)引擎搜索電子郵件內(nèi)容=“公司機(jī)密”
阻止郵件發(fā)送,并通知發(fā)件人此郵件為“公司機(jī)密”
第四件事:應(yīng)用使用強(qiáng)制
您的老板:希望使用InternetExplorer(IE)7.0版本作為標(biāo)準(zhǔn)瀏覽器。
您的任務(wù):確保公司所有系統(tǒng)都使用IE7.0版本,而不使用其它任何版本!
您可能采用的解決方案如下:
1.每天檢查每個(gè)人的系統(tǒng),查找“外來”瀏覽器。
2.安裝一種腳本來檢查每個(gè)人的系統(tǒng),以查找出“外來”瀏覽器,同時(shí)確保腳本每天都會(huì)檢查每個(gè)人的系統(tǒng)。
3.在應(yīng)用防火墻中設(shè)置一種策略,從此便不再擔(dān)心。
創(chuàng)建“我找到了更好的解決方案”策略:
使用深度包檢測(cè)(DPI)引擎在HTTP報(bào)頭中搜索用戶代理=MSIE7.0
允許IE7.0流量,阻止其它瀏覽器
第五件事:拒絕FTP上傳
您可以建立一個(gè)FTP網(wǎng)站,以便與業(yè)務(wù)合作伙伴交換大型文件,同時(shí),您希望確保合作伙伴方面只有項(xiàng)目經(jīng)理可以上傳文件,其他任何人都不允許這樣做。
創(chuàng)建策略來允許FTP上傳,但上傳只限于少數(shù)人
使用深度包檢測(cè)(DPI)引擎搜索FTP命令=放置
使用DPI引擎搜索驗(yàn)證的用戶名=“pm_partner”
如果兩者均符合,就允許放置
第六件事:控制P2P應(yīng)用
問題1:對(duì)等網(wǎng)(P2P)應(yīng)用如BitTorrent可盜用寬帶,同時(shí)會(huì)帶來各種各樣的惡意文件。
問題2:創(chuàng)建新的P2P應(yīng)用或簡單修改現(xiàn)有的P2P應(yīng)用(如修改版本號(hào))是常有的事。
創(chuàng)建策略來檢測(cè)P2P應(yīng)用,使用深度包檢測(cè)(DPI)引擎搜索IPS簽名表中的P2P應(yīng)用簽名
第七件事:管理流音樂
流音頻網(wǎng)站和流廣播網(wǎng)站占用了非常寶貴的帶寬,但是,公司又不得不訪問這類網(wǎng)站。目前,只有兩種辦法可以應(yīng)對(duì)這一挑戰(zhàn)。
(1)通過網(wǎng)站進(jìn)行控制
創(chuàng)建一份您希望管理的流音頻網(wǎng)站名單
創(chuàng)建策略來檢測(cè)流音頻網(wǎng)站
使用深度包檢測(cè)(DPI)引擎在HTTP報(bào)頭中搜索HTTP網(wǎng)址=流音頻網(wǎng)站攔截列表
(2)通過文件擴(kuò)展名進(jìn)行控制
創(chuàng)建一份您希望管理的音頻文件擴(kuò)展名列表
創(chuàng)建策略來檢測(cè)流音頻內(nèi)容
使用深度包檢測(cè)(DPI)引擎在HTTP報(bào)頭中搜索文件擴(kuò)展名=流音頻擴(kuò)展名攔截列表
第八件事:對(duì)應(yīng)用帶寬進(jìn)行優(yōu)先排序
如今,許多關(guān)鍵業(yè)務(wù)應(yīng)用如SAP、Salesforce.com和SharePoint都是基于云計(jì)算的應(yīng)用,或者,它們的運(yùn)行需要跨越不同地理位置的網(wǎng)絡(luò)。確保這些應(yīng)用可以優(yōu)先獲得運(yùn)行所需的帶寬,從而改善業(yè)務(wù)效率。
創(chuàng)建策略為SAP應(yīng)用分配帶寬優(yōu)先權(quán):
使用深度包檢測(cè)(DPI)引擎搜索應(yīng)用簽名或應(yīng)用名稱
為SAP應(yīng)用分配更高的帶寬優(yōu)先級(jí)
第九件事:攔截機(jī)密文件
在一些公司內(nèi),外發(fā)電子郵件無法穿越電子郵件安全系統(tǒng)或系統(tǒng)無法檢查電子郵件附件的內(nèi)容。不管是以上哪種情況,作為電子郵件附件的“公司機(jī)密”文件可被輕松地帶出公司外。
一旦外發(fā)網(wǎng)絡(luò)流量穿越公司防火墻,您可以檢測(cè)并攔截“移動(dòng)中的數(shù)據(jù)”。
創(chuàng)建策略來攔截包含加蓋了“公司機(jī)密”水印的電子郵件附件
使用深度包檢測(cè)(DPI)引擎搜索:電子郵件內(nèi)容=“公司機(jī)密”和“公司專有”和“私有”……
第十件事:攔截被禁止文件并發(fā)出通知
貴公司防火墻可以攔截以下內(nèi)容嗎?
從網(wǎng)頁中下載的EXE文件。
作為電子郵件附件的EXE文件。
經(jīng)由FTP傳輸?shù)腅XE文件。
那么,PIF、SRC或VBS文件呢?
創(chuàng)建被禁止文件擴(kuò)展名列表。
創(chuàng)建策略來攔截被禁止文件擴(kuò)展名。
使用深度包檢測(cè)(DPI)引擎搜索HTTP、電子郵件附件或FTP的文件擴(kuò)展名=被禁止文件擴(kuò)展名。
如果文件被攔截,對(duì)發(fā)件人發(fā)出通知。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)級(jí)防火墻應(yīng)做到的十件事
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112153747.html