防火墙理应具备的十大超酷功能

企业动态 安全
防火墙理应具备的十大超酷功能。

传统的防火墙,其功能主要集中在阻止一些简单的安全威胁和入侵上面。而企业级防火墙则添加有统一威胁管理(UTM)服务,比如防病毒、反间谍软件、入侵防护、内容过滤甚至还包括有反垃圾邮件服务,以增强安全防护功能。

穿过防火墙的大部分网络流量并不具有安全威胁,它们仅仅是一般性的应用服务和数据。这就促进了可以管理和控制应用和数据的应用防火墙的出现。

 
图1

应用防火墙

它能做什么?

一个应用防火墙可以提供带宽管理和控制、应用级别访问控制、数据防泄露保护、限制某些具体文件的传输等等。

它如何工作?

应用防火墙可以根据用户、应用程序、时间段或者IP地址进行自定义访问控制。这就使得管理员能够据此创建使用政策,更好地管理各种各样的应用服务。

 
图2

功能之一:管理视频流

有时候访问一些视频网站比如youtube.com,是很令人开心的,但用户经常会受到一些“虐待”。阻止该网站的访问可能会些作用,但最好的做法应该是限制这种视频流网站的带宽。

创建限制视频流的政策

*使用深度报文检测DPI(Deep packet inspection,简称DPI)引擎来检测www.youtube.com网站HTTP报头中的HTTP HOST(HTTP Host=www.youtube.com)

*根据该报头使用带宽流量限制措施

 
图3

功能之二:基于组的带宽管理

在前文中我们讲到,可以利用带宽限制某些视频流网站的访问。如果公司的CEO或者CFO抱怨:每天观看的商业新闻视频节目缓冲速度太慢,在这种情况下,你可以放开带宽限制,不过你还有一种更好的方法——基于组的带宽管理。

创建对一些执行长官取消视频流限制的政策

*从你的LDAP服务器上导入执行长官组信息,并对他们单独使用这种取消限制的政策

*使用深度报文检测DPI引擎来检测www.youtube.com网站HTTP报头中的HTTP HOST(HTTP Host=www.youtube.com)

*根据该报头使用带宽流量放行措施

 
图4

功能之三:Web邮件和数据保护

假设你已经拥有了反垃圾邮件的保护措施,并且可以检测和有效拦截常见的包含有“企业机密”信息的邮件。但是,如果有员工使用Web邮件比如Yahoo或者Gmail给外界发送“企业机密”邮件,你又该如何做呢?

创建一个拦截“企业机密”电子邮件的政策

*使用深度报文检测DPI引擎来检测邮件内容是否含有企业机密信息(E-mail Body="Company Confidential")

*拦截邮件并通知发送者该邮件涉及到“企业机密”

 
图5

功能之四:自定义使用应用程序

你的老板:想使用IE7作为公司的标准浏览器

你的任务:确保公司的所有系统都使用IE7浏览器——不能有其他任何浏览器!

你可能采取的解决方案:

1、每天对每个员工的系统都进行物理检查,严防其他浏览器

2、编写一些脚本,自动检测每个员工所使用的浏览器,并且每天都进行检查

3、应用防火墙中创建某种政策,过滤外来浏览器

创建政策

*使用深度报文检测DPI引擎,在HTTP报头中使用User Agent=MSIE 7.0

*允许IE 7.0通过,禁止其他浏览器

功能之五:拒绝FTP上传

也许你会设立一个ftp站点,实现与业务伙伴共享大型文件的目的,并且,只能让合作方的项目经理才能上传文件。

创建一个运行上传并且只向特定的人开放

*使用深度报文检测DPI引擎,FTP Command=PUT

*深度报文检测DPI引擎,Authenticated User Name="pm_partner"

*如果这二者都为True,那么可以允许PUT

#p#

 
图6

功能之六:让P2P软件处在监控之下

问题1:Peer-To-Peer(P2P)应用软件比如BitTorrent会抢占带宽,而且会下载到很多不合法的文件。

问题2:多种P2P工具或者现有P2P工具的版本号,经常会出现变化,不容易实施管理。

创建删除P2P工具的政策

深度报文检测DPI引擎,在IPS signature list一项列出所有P2P工具不同版本信息

 
图7

功能之七:管理流式音频

流式音频和流媒体广播网站会消耗大量的带宽资源,不过,有些流式音频也是正当商业往来的需要。如何处理这种关系,下面将介绍两种方法:

1、利用网站进行控制

创建一组需要管理的流式音频站点

创建检测流式音频站点的政策

*使用深度报文检测DPI引擎,在HTTP报头中设置HTTP=Streaming Audio Site block list

2、利用文件扩展名进行控制

创建一组需要管理的音频文件扩展名

创建检测音频内容的政策

*使用深度报文检测DPI引擎,在HTTP报头中设置File extension=Streaming Audio Extensions block list

功能之八:优先保证应用带宽

有很多重要级任务需要足够的带宽资源进行保证。确保这些任务应用程序在网络带宽资源中占有优先地位,有利于保障工作的稳定和工作效率的提高。

创建带宽优先分配给SAP应用的政策

*使用深度报文检测DPI引擎,找到应用程序签名或者应用程序名称

*给这些SAP应用程序分配带宽优先级

 
图8

功能之九:拦截机密文件

在一些公司中,电子邮件无需经过邮件安全系统或者过滤系统就可以发出去。为此,你可以利用网络流量通过防火墙的特点,在防火墙中设置对机密文件的拦截。

创建一个拦截包含有“公司机密”水印文档的电子邮件的政策

*使用深度报文检测DPI引擎,寻找

E-mail Content="Company Confidential"或者

E-mail Content="Company Proprietary"或者

E-mail Content="Private Proprietary"等

功能之十:拦截禁止的文件并进行报告

你的防火墙能拦截一些内容吗?

*从web页面下载下来的exe文件

*电子邮件附件中的exe文件

*通过ftp传输过来的exe文件

创建一个被禁止的文件扩展名列表

创建一个拦截这些文件扩展名的政策

*使用深度报文检测DPI引擎,找到File Extension in HTTP,设置Emai Attachment or FTP=Forbidden File Extensions

如果文件被拦截,发送一个反馈报告

 
图9

【编辑推荐】

  1. 如何让Cisco防火墙启动密钥更安全
  2. 防火墙:多核,指引安全未来
  3. 有防火墙 网络安全就可以高枕无忧?
责任编辑:夏雨 来源: 中国IT实验室
相关推荐

2010-04-22 10:29:56

2010-12-08 09:31:50

下一代防火墙

2014-01-21 09:30:09

2010-01-21 11:35:19

安全硬件防火墙

2017-05-27 16:05:34

360防火墙网络安全

2012-12-28 13:48:16

2010-09-03 11:50:03

2010-09-14 13:08:52

2010-11-08 11:41:38

2010-08-30 11:28:13

2012-12-10 10:40:25

2011-05-18 11:06:46

2010-09-14 13:10:36

2010-09-25 17:13:40

2010-12-21 18:04:26

2014-12-17 09:25:35

2011-04-11 09:49:42

2010-12-08 09:29:27

下一代防火墙

2010-01-21 11:52:56

Windows 200防火墙

2010-10-28 11:25:10

防火墙XTM产品WatchGuard
点赞
收藏

51CTO技术栈公众号