在卡托的防火墙和网址过滤之上,还有其他安全服务:反恶意软件和入侵防护系统(IPS)。 这两个服务可以立即启用,几乎无需配置。 这些服务为WAN流量、互联网流量或两者提供了额外的安全层。
-
简而言之,反恶意软件将检测并阻止恶意文件。 可以将其视为云中的反病毒网关。
-
另一方面,IPS将检测并阻止利用主机漏洞的行为。 例如,如果用户使用未打补丁的 Windows(没有最新安全更新),远程服务器可以利用主机的特定漏洞并在工作站上执行恶意代码。 IPS通常被认为是一个"虚拟补丁"服务器。 IT大多在努力确保所有主机都有最新的安全更新和补丁。 IPS是新漏洞的即时解决方案。
强烈推荐启用反恶意软件和IPS服务。 终端用户由于反恶意软件处理没有延迟体验。 当检测到恶意文件时,用户访问将被阻止,并被重定向到阻止页面。
没有理由不启用这些服务。 Cato的安全团队始终根据全球威胁情报数据库保持恶意软件防护数据库的最新状态,以确保对当前威胁的有效保护。
作为启用反恶意软件和IPS服务的最佳实践,建议以下工作流程:
-
在 监控 模式下启用反恶意软件和 IPS 以用于 WAN 和互联网流量。 在 监控 模式下,恶意流量仅会被记录,而不会被停止。
-
如有需要,您可以设置跟踪以在检测到恶意软件时接收电子邮件警报(但未被阻止,因为它在监控模式下)。
-
在几天内审查AM和IPS事件,并逐步将服务切换到阻止模式。
注意
注意:为了获得最高的检测效果,必须启用TLS检查。
TLS检查使安全引擎能够分析可能包含恶意文件或代码的加密流量。 启用TLS检查是启用反恶意软件和IPS的最后一步。 关于启用 TLS 检查和使用 GPO 分发卡托证书的指南可以在 这里 找到。
下面是配置安全服务和审查结果的分步指南。
-
在导航窗格中,单击安全性>反恶意软件。
-
点击左侧的滑块以启用(绿色)或禁用(灰色)账户的 反恶意软件 保护。
-
点击右侧的滑块以启用(绿色)或禁用(灰色)的 下一代反恶意软件 引擎。
现在反恶意软件引擎已启用。 下一步是配置恶意软件保护设置。
对于每条反恶意软件规则,在操作列中单击并选择以下选项之一:
-
阻止 - 阻止恶意文件继续到目标。 当适用时,将用户重定向到专门的阻止网页。
-
允许 - 让恶意文件继续到目的地。
要在不阻止的情况下监控,请将规则设置为 允许,并在 跟踪 部分开启 事件 选项。 这会创建您可以在事件页面(主页 > 事件)中查看的事件日志。 您还可以发送通知,触发条件为流量类型。 在安全事件(恶意软件检测)发生时,将向预定义的订阅组、邮件列表和警报集成发送通知。 有关这些通知类型的更多信息,请参阅 警报 部分中的相关文章。
-
在导航窗格中,单击安全性> IPS。
-
点击 IPS 滑块以启用(绿色)或禁用(灰色)账户的 IPS 保护。
与AM引擎类似,现在启用对WAN流量、入站流量和出站流量的IPS保护。 WAN被视为连接到卡托的网络元素(站点和用户)之间的任何类型的流量。 入站保护适用于来自互联网并使用远程端口转发传输到内部主机的流量。 出站是任何来源于内部主机到互联网的流量 - 常规互联网浏览。
如上所述,一旦激活安全服务,安全引擎将确定哪些流量实际上被检测到并可能被阻止。
事件页面(主页 > 事件)显示在特定时间段内发生在任何或所有站点和用户上的事件数据。
要仅过滤AM事件,请从选择预设下拉菜单中选择反恶意软件。
要仅过滤IPS事件,请从选择预设下拉菜单中选择IPS。
向下滚动,您将找到事件。 对于每个事件,您可以展开以获取更多详细信息。
* 如果反恶意软件和/或IPS不存在,则意味着未生成事件。 在这种情况下,您可以过滤更大的时间范围。
一旦反恶意软件和入侵防护系统已启用,您可以尝试下载恶意文件进行测试,参见 推荐用于测试反恶意软件和入侵防护系统的站点
-
网络流量由广域网防火墙检查 - 安全管理员可以允许或阻止站点、用户、主机、子网等组织实体之间的流量。 默认情况下,卡托的广域网防火墙采用允许列表方法,具有隐式的任意-任意阻止规则。
-
互联网防火墙 - 安全管理员可以在站点、单个用户、子网等网络实体到各个应用程序、服务和网站之间设置允许或阻止规则。 默认情况下,卡托的互联网防火墙采用阻止列表方法,具有隐式的任意-任意允许规则。 因此,为了阻止访问,您必须定义明确阻止从一个或多个网络实体到应用程序的连接的规则。
-
网址过滤 - 增强互联网防火墙。 卡托提供了几十种不同的 URL 分类的预定义策略,包括以安全为导向的类别,例如怀疑垃圾邮件和怀疑恶意软件。 虽然互联网防火墙提供对互联网应用程序的静态访问预防,但网址过滤通过动态保护完善了网络安全。
-
反恶意软件 - 可以被认为是云中的杀毒网关。 客户可以使用此服务检查WAN和互联网流量中的恶意软件。 反恶意软件处理包括以下内容:
-
对流量负载进行深度数据包检查,以用于清除和加密的流量(如果已启用)。
-
真实文件类型检测用于识别通过网络传输文件的实际类型,而不论其文件扩展名或内容类型头。
-
使用基于全局威胁情报数据库的签名和启发式数据库进行恶意软件检测,以确保始终保持更新,从而有效防御当前威胁。 卡托不会与基于云的存储库分享任何文件或数据,以确保客户数据的保密性。
-
-
入侵防护系统 - 卡托的基于云的网络入侵防护系统(IPS)检查入站、出站和WAN流量,包括SSL流量。 入侵防护系统可以在监控模式(IDS)下运行,并且不进行阻止操作。 在IDS模式下,所有流量都被评估,并生成安全事件。
0 条评论
请登录写评论。