Cato Cloud包含强大的安全服务,这些服务易于配置,帮助保护您的网络安全。 本文解释了不同威胁防护服务的建议和最佳实践。
Cato Cloud为您的账户提供这两层保护:
-
访问层 - 包括WAN和互联网流量的防火墙
-
安全层 - 包括Cato威胁防护服务:反恶意软件、NG反恶意软件和入侵防护系统
Cato Cloud在防火墙中应用规则,以决定是否允许或阻止流量。 此外,威胁防护服务对流量进行的分析包括恶意软件、基于网络的漏洞、恶意网络活动等。
每个网络流量都由WAN和互联网防火墙进行检查。 WAN防火墙使您能够允许或阻止站点、用户、主机、子网等组织实体之间的流量。 互联网防火墙使您可以控制对网站和基于Web的应用程序的访问。
默认情况下,Cato的WAN防火墙使用白名单方法,只允许防火墙规则明确定义的流量,阻止所有未识别的流量。 互联网防火墙控制流向互联网的出站流量,并采用黑名单方法。 最终的互联网防火墙规则是一个隐式的任意-任意允许规则,因此您必须定义规则来明确阻止连接到互联网。
Cato开箱即用地提供了许多预定义类别,包含数十种服务和应用程序,以帮助管理网络流量。 Cato安全团队定期更新这些类别。
默认情况下,互联网防火墙包含一个规则,用于阻止潜在的危险流量类别。 我们强烈建议不要禁用此规则,并为您的网络提供最佳安全性。
Cato安全层具有多个引擎,可以分析WAN和互联网流量中的恶意软件和安全风险。
-
反恶意软件是在云中的反病毒网关,并包括以下内容:
-
对清晰和加密流量的数据包载荷进行深度数据包检查(如果启用了TLS 检查)。
-
真正的文件类型检测识别在网络上传输的文件的实际类型,而不管其文件扩展名或内容类型头。
-
使用基于全球威胁情报数据库的签名和启发式数据库进行恶意软件检测,以保护当前已知的威胁。 Cato不会与基于云的存储库共享任何文件或数据,以确保客户数据保密。
-
-
下一代反恶意软件实现了SentinelOne引擎,该引擎使用AI模型来检测便携式可执行文件、PDF和Office文档中的威胁。 AI模型通过从恶意软件存储库中的数百万个恶意软件样本中提取特征来开发。 然后,使用监督的机器学习来识别和关联良性和恶意文件的不同特征。 下一代反恶意软件可以预测和防止未知的恶意软件和病毒。
-
IPS - Cato基于云的网络入侵防护系统(IPS)检查入站、出站和WAN流量,包括TLS流量(如果启用了TLS 检查)。 IPS也可以在监视模式(IDS)下运行,并且不会阻止流量。 在IDS模式下,所有流量都会被评估,并生成安全事件。
我们强烈建议您为您的账户启用威胁防护服务。 终端用户没有因反恶意软件和入侵防护系统处理而导致的延迟。 当检测到恶意文件时,用户访问被阻止,用户被重定向到阻止页面。
Cato的安全团队始终基于全球威胁情报数据库来更新威胁防护数据库,以确保对当前威胁的有效保护。
以下工作流程是启用威胁防护服务的最佳实践:
-
为所有流量启用在监控模式下的威胁防护策略。 在监控模式下,恶意流量只会被记录,并不会被阻止。
-
如果有必要,您可以配置追踪选项来在检测到恶意软件时发送电子邮件警报(在监控模式下,不会对阻止流量进行警报)。
-
几天后,查看威胁防护事件,并逐步将策略切换到阻止模式。
-
启用TLS检查以让威胁防护引擎分析加密流量。
注意
注意: 为了获得最大的检测效果,必须启用TLS检查。 TLS检查允许安全引擎分析可能包含恶意文件或代码的加密流量。 启用TLS检查是启用反恶意软件和入侵防护系统的最后一步。
0 条评论
请登录写评论。