防火墻理應具備的十大超酷功能
傳統的防火墻,其功能主要集中在阻止一些簡單的安全威脅和入侵上面。而企業級防火墻則添加有統一威脅管理(UTM)服務,比如防病毒、反間諜軟件、入侵防護、內容過濾甚至還包括有反垃圾郵件服務,以增強安全防護功能。
穿過防火墻的大部分網絡流量并不具有安全威脅,它們僅僅是一般性的應用服務和數據。這就促進了可以管理和控制應用和數據的應用防火墻的出現。
 |
| 圖1 |
應用防火墻
它能做什么?
一個應用防火墻可以提供帶寬管理和控制、應用級別訪問控制、數據防泄露保護、限制某些具體文件的傳輸等等。
它如何工作?
應用防火墻可以根據用戶、應用程序、時間段或者IP地址進行自定義訪問控制。這就使得管理員能夠據此創建使用政策,更好地管理各種各樣的應用服務。
 |
| 圖2 |
功能之一:管理視頻流
有時候訪問一些視頻網站比如youtube.com,是很令人開心的,但用戶經常會受到一些“虐待”。阻止該網站的訪問可能會些作用,但最好的做法應該是限制這種視頻流網站的帶寬。
創建限制視頻流的政策
*使用深度報文檢測DPI(Deep packet inspection,簡稱DPI)引擎來檢測www.youtube.com網站HTTP報頭中的HTTP HOST(HTTP Host=www.youtube.com)
*根據該報頭使用帶寬流量限制措施
 |
| 圖3 |
功能之二:基于組的帶寬管理
在前文中我們講到,可以利用帶寬限制某些視頻流網站的訪問。如果公司的CEO或者CFO抱怨:每天觀看的商業新聞視頻節目緩沖速度太慢,在這種情況下,你可以放開帶寬限制,不過你還有一種更好的方法——基于組的帶寬管理。
創建對一些執行長官取消視頻流限制的政策
*從你的LDAP服務器上導入執行長官組信息,并對他們單獨使用這種取消限制的政策
*使用深度報文檢測DPI引擎來檢測www.youtube.com網站HTTP報頭中的HTTP HOST(HTTP Host=www.youtube.com)
*根據該報頭使用帶寬流量放行措施
 |
| 圖4 |
功能之三:Web郵件和數據保護
假設你已經擁有了反垃圾郵件的保護措施,并且可以檢測和有效攔截常見的包含有“企業機密”信息的郵件。但是,如果有員工使用Web郵件比如Yahoo或者Gmail給外界發送“企業機密”郵件,你又該如何做呢?
創建一個攔截“企業機密”電子郵件的政策
*使用深度報文檢測DPI引擎來檢測郵件內容是否含有企業機密信息(E-mail Body="Company Confidential")
*攔截郵件并通知發送者該郵件涉及到“企業機密”
 |
| 圖5 |
功能之四:自定義使用應用程序
你的老板:想使用IE7作為公司的標準瀏覽器
你的任務:確保公司的所有系統都使用IE7瀏覽器——不能有其他任何瀏覽器!
你可能采取的解決方案:
1、每天對每個員工的系統都進行物理檢查,嚴防其他瀏覽器
2、編寫一些腳本,自動檢測每個員工所使用的瀏覽器,并且每天都進行檢查
3、應用防火墻中創建某種政策,過濾外來瀏覽器
創建政策
*使用深度報文檢測DPI引擎,在HTTP報頭中使用User Agent=MSIE 7.0
*允許IE 7.0通過,禁止其他瀏覽器
功能之五:拒絕FTP上傳
也許你會設立一個ftp站點,實現與業務伙伴共享大型文件的目的,并且,只能讓合作方的項目經理才能上傳文件。
創建一個運行上傳并且只向特定的人開放
*使用深度報文檢測DPI引擎,FTP Command=PUT
*深度報文檢測DPI引擎,Authenticated User Name="pm_partner"
*如果這二者都為True,那么可以允許PUT
#p#
 |
| 圖6 |
功能之六:讓P2P軟件處在監控之下
問題1:Peer-To-Peer(P2P)應用軟件比如BitTorrent會搶占帶寬,而且會下載到很多不合法的文件。
問題2:多種P2P工具或者現有P2P工具的版本號,經常會出現變化,不容易實施管理。
創建刪除P2P工具的政策
深度報文檢測DPI引擎,在IPS signature list一項列出所有P2P工具不同版本信息
 |
| 圖7 |
功能之七:管理流式音頻
流式音頻和流媒體廣播網站會消耗大量的帶寬資源,不過,有些流式音頻也是正當商業往來的需要。如何處理這種關系,下面將介紹兩種方法:
1、利用網站進行控制
創建一組需要管理的流式音頻站點
創建檢測流式音頻站點的政策
*使用深度報文檢測DPI引擎,在HTTP報頭中設置HTTP=Streaming Audio Site block list
2、利用文件擴展名進行控制
創建一組需要管理的音頻文件擴展名
創建檢測音頻內容的政策
*使用深度報文檢測DPI引擎,在HTTP報頭中設置File extension=Streaming Audio Extensions block list
功能之八:優先保證應用帶寬
有很多重要級任務需要足夠的帶寬資源進行保證。確保這些任務應用程序在網絡帶寬資源中占有優先地位,有利于保障工作的穩定和工作效率的提高。
創建帶寬優先分配給SAP應用的政策
*使用深度報文檢測DPI引擎,找到應用程序簽名或者應用程序名稱
*給這些SAP應用程序分配帶寬優先級
 |
| 圖8 |
功能之九:攔截機密文件
在一些公司中,電子郵件無需經過郵件安全系統或者過濾系統就可以發出去。為此,你可以利用網絡流量通過防火墻的特點,在防火墻中設置對機密文件的攔截。
創建一個攔截包含有“公司機密”水印文檔的電子郵件的政策
*使用深度報文檢測DPI引擎,尋找
E-mail Content="Company Confidential"或者
E-mail Content="Company Proprietary"或者
E-mail Content="Private Proprietary"等
功能之十:攔截禁止的文件并進行報告
你的防火墻能攔截一些內容嗎?
*從web頁面下載下來的exe文件
*電子郵件附件中的exe文件
*通過ftp傳輸過來的exe文件
創建一個被禁止的文件擴展名列表
創建一個攔截這些文件擴展名的政策
*使用深度報文檢測DPI引擎,找到File Extension in HTTP,設置Emai Attachment or FTP=Forbidden File Extensions
如果文件被攔截,發送一個反饋報告
 |
| 圖9 |
【編輯推薦】
