生命科学 医药健康 基础科学 工程技术 信息科学 资源环境 前沿交叉 政策管理
 
作者:汪 洋 来源:科学时报 发布时间:2009-5-13 14:42:36
公司防火墙应做的10 件事
 
应用防火墙可根据用户、应用、进程或IP子网层允许自定义访问控制。这样,管理员可以创建各种应用策略,使应用可供访问并首次真正实现对应用的管理。应用防火墙提供了带宽管理和控制、应用层访问控制、数据泄露控制功能、对特定文件和文档传输进行限制及其它功能。同时,应用防火墙允许管理者对穿越防火墙的应用和数据进行分类、控制和管理。
 
传统的防火墙重在抵御简单的威胁和入侵攻击。企业级防火墙增加了统一威胁管理(UTM)服务,如防病毒、防间谍软件、入侵防御、内容过滤,甚至一些防垃圾邮件服务,以增强威胁防御功能。穿越防火墙的大多数流量都不具威胁性,而是些应用和数据。而这就是应用防火墙由来的原因,应用防火墙可管理和控制穿越防火墙的数据和应用。
 
第一件事:管理流视频
 
访问流视频网站如youtube.com 有时对我们非常有用,但通常会被滥用。拦截网站本身可能有效,但最好是限制分配给流视频网站的带宽。管理者可以通过创建策略来限制流视频,使用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址=www.youtube.com,将带宽限制应用于带此报头的流量,可在特定时间段内限制应用的带宽,例如从早上9点到下午5点。
 
第二件事:分组带宽管理
 
在第一件事中,我们对youtube.com等流视频网站运用了带宽限制。如今,公司首席执行官和首席财务官总在抱怨每天访问的“商业新闻视频”速度太慢。您可以通过放松对每个人的带宽限制来改善这种情况,但还有一个更好的方法,那就是进行分组带宽管理。通过创建不限制管理层浏览流视频的策略,将此策略应用于LDAP 服务器导入的“管理”组,使用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址=www.youtube.com,确保包含此报头的流量具有足够的带宽。
 
第三件事:邮件和数据丢失
 
假设公司现有的防垃圾邮件防护系统可以检测和阻止包含“公司机密”信息的外发电子邮件。但是,如果员工使用Yahoo或Gmail邮件服务来发送“公司机密”信息呢?管理员可以创建策略来拦截“公司机密”电子邮件,使用深度包检测(DPI)引擎搜索电子邮件内容为“公司机密”,以阻止邮件发送,并通知发件人此邮件为“公司机密”。
 
第四件事:应用使用强制
 
如果老板希望使用Internet Explorer(IE)7.0版本作为标准浏览器。那么管理遇员可以通过防火墙确保公司所有系统都使用IE 7.0 版本,而不使用其它任何版本。防火墙可以每天检查每个人的系统,查找“外来”浏览器;安装一种脚本来检查每个人的系统,以查找出“外来”浏览器,同时确保脚本每天都会检查每个人的系统;在应用防火墙中设置一种策略,从此便不再担心。甚至允许 IE 7.0 流量,阻止其它浏览器
 
第五件事:拒绝FTP上传
 
您可以建立一个FTP 网站,以便与业务合作伙伴交换大型文件,同时,您希望确保合作伙伴方面只有项目经理可以上传文件,其他任何人都不允许这样做。
 
创建策略来允许FTP上传,但上传只限于少数人;使用深度包检测(DPI)引擎搜索FTP命令=放置;使用DPI引擎搜索验证的用户名= “pm_partner”;如果两者均符合,就允许放置
 
您也可以驳回任何您认为指定FTP服务器不需要的FTP命令。
 
第六件事:控制P2P应用
 
问题1:对等网(P2P)应用如BitTorrent 可盗用宽带,同时会带来各种各样的恶意文件。
 
问题2:创建新的P2P应用或简单修改现有的P2P应用(如修改版本号)是常有的事。
 
创建策略来检测P2P应用;使用深度包检测(DPI)引擎搜索IPS签名表中的P2P应用签名;利用带宽和时间限制可以阻止或仅限制P2P应用
 
第七件事:管理流音乐
 
流音频网站和流广播网站占用了非常宝贵的带宽,但是,公司又不得不访问这类网站。目前,只有两种办法可以应对这一挑战:一是通过网站进行控制,创建一份您希望管理的流音频网站名单或者创建策略来检测流音频网站,然后使用深度包检测(DPI)引擎在HTTP报头中搜索HTTP网址= 流音频网站来进行建立拦截列表。
 
另一个是通过文件扩展名进行控制。创建一份您希望管理的音频文件扩展名列表、创建策略来检测流音频内容或者使用深度包检测(DPI)引擎在HTTP报头中搜索文件扩展名= 流音频扩展名拦截列表,一旦“检测”出符合搜索条件的网站或扩展名,您可以阻止流音频或仅对流音频进行带宽管理。
 
第八件事:对应用带宽进行优先排序
 
如今,许多关键业务应用如SAP、Salesforce.com和SharePoint都是基于云的应用,或者,它们的运行需要跨越不同地理位置的网络。确保这些应用可以优先获得运行所需的带宽,从而改善业务效率。
 
第九件事:拦截机密文件
 
在一些公司内,外发电子邮件无法穿越电子邮件安全系统或系统无法检查电子邮件附件的内容。不管是以上哪种情况,作为电子邮件附件的“公司机密”文件可被轻松地带出公司外。
 
一旦外发网络流量穿越公司防火墙,您可以检测并拦截“移动中的数据”。
 
创建策略来拦截包含加盖了“公司机密”水印的电子邮件附件;使用深度包检测(DPI)引擎搜索;电子邮件内容 包含“公司机密”和“公司专有”和“私有”等等也可以采用此方法来搜索基于FTP的内容。
 
第十件事:拦截被禁止文件并发出通知以及创建被禁止文件扩展名列表
 
SonicWALl网络安全设备整合了以上所有功能,为企业提供全面的安全防护,性能、防护和精确控制高性能防火墙 + 统一威胁管理+ 应用防火墙 = SonicWALL 网络安全设备。(汪 洋)
 
《科学时报》 (2009-5-16 B2 产经)
发E-mail给: 
    
| 打印 | 评论 | 论坛 | 博客 |

小字号

中字号

大字号