Tärkeä huomautus: |
Itsesuojaus
Self-Protection-ominaisuus parantaa USG FLEX H -sarjan tietoturvaa korjaamalla IKE-porttiin (UDP 500) liittyviä haavoittuvuuksia. Tätä porttia käyttävät yleisesti hyväkseen pahantahtoiset käyttäjät palvelunestohyökkäysten (DoS) tai muunlaisten hyökkäysten suorittamiseen. Versiossa 1.20 palomuuri sisältää mekanismeja näiden riskien vähentämiseksi poistamalla IKE-portin käytöstä, ellei sitä aktiivisesti tarvita VPN-palveluissa.
IKE-portti (UDP 500) Oletusarvoisesti poistettu käytöstä:
-
Palomuuri poistaa nyt oletusarvoisesti käytöstä UDP-portin 500 mahdollisten hyökkäysten estämiseksi. Tämä portti pysyy suljettuna, ellei VPN-palvelua oteta aktiivisesti käyttöön.
IKE-portin dynaaminen käyttöönotto:
-
Jos VPN-sääntö tai VPN-profiili on luotu ja aktiivinen, IKE-palvelu UDP-portissa 500 otetaan käyttöön. Näin varmistetaan, että portti on auki vain silloin, kun se on tarpeen VPN-toiminnalle.
IP-maine järjestelmän suojaamiseksi:
-
-
Itse palomuuri on nyt suojattu IP-mainepalvelulla sen lisäksi, että se suojaa asiakkaita, jotka käyttävät Internetiä. Tämä tarkoittaa sitä, että IP-maine-tietokannan perusteella estetään kaikki palomuuria luvattomasti käyttämään pyrkivä haitallinen liikenne.
-
Ulkoinen estoluettelo
Ulkoinen estoluettelo (External Block List, EBL) on ominaisuus, jonka avulla palomuuri voi tuoda ulkoisella verkkopalvelimella isännöidyn tekstitiedoston. Tämä estoluettelo sisältää IP-osoitteita tai URL-osoitteita, jotka palomuurin tulisi estää. Tämä on hyödyllistä turvallisuuden parantamiseksi estämällä pääsy tunnetuille haitallisille sivustoille tai IP-osoitteille.
-
Estoluetteloiden tuominen: Estoluettelot voidaan tuoda eri muodoissa (esim. CSV).
-
Estoluetteloiden soveltaminen: Kun nämä luettelot on tuotu, niitä voidaan soveltaa tiettyihin suojauskäytäntöihin estämään pääsy haitallisiin IP-osoitteisiin tai verkkotunnuksiin.
Määrityksen vaiheet:
-
Siirry osoitteeseen: Suojauskäytäntö > Ulkoinen estoluettelo.
-
Tuo luettelo: Lataa estoluettelotiedosto.
-
Sovelletaan käytäntöihin: Liitä estoluettelo asiaankuuluviin turvallisuuskäytäntöihin.
Istunnon valvonta
Istunnonvalvonta on ominaisuus, jonka tarkoituksena on hallita asiakkaiden palomuurin kautta käynnistettävien samanaikaisten istuntojen määrää. Tämä on erityisen hyödyllistä estettäessä asiakkaita käyttämästä liikaa istuntoresursseja, mikä voi vaikuttaa verkkopalvelujen suorituskykyyn ja käytettävyyteen muille käyttäjille.
Istunnonvalvonnan merkitys
Palomuureilla on rajallinen määrä istuntoja, joita ne voivat käsitellä kerrallaan. Kun yksittäinen asiakas tai muutama asiakas aloittaa liian monta istuntoa, se voi johtaa istunnon loppumiseen, mikä vaikuttaa muiden asiakkaiden kykyyn käyttää verkon resursseja. Istunnonvalvonta auttaa lieventämään tätä ongelmaa rajoittamalla yhtäaikaisten istuntojen määrää, joita kukin asiakas voi luoda.
-
Istuntojen oletusrajoitus: Oletusarvo on 2000 istuntoa asiakasta kohti.
-
Määritys:
-
Siirry osoitteeseen: Security Policy > Session Control.
-
Aseta istuntorajoitus: Säädä oletusrajaa tarpeen mukaan.
-
Käytä ja tallenna: Tallenna määritys uuden rajan käyttöön ottamiseksi.
-
Istuntorajojen valvonta ja hallinta auttavat varmistamaan verkon suorituskyvyn ja käytettävyyden. Järjestelmänvalvojien tulisi tarkastella säännöllisesti istuntolokeja ja säätää rajoituksia verkon käyttötapojen perusteella.
Käytännön vinkkejä
-
Säännöllinen seuranta: Seuraa säännöllisesti tietoturvalokeja ja säädä määrityksiä kehittyvien uhkien mukaan.
-
Turvallisuuden ja suorituskyvyn tasapainottaminen: Varmista, että turvatoimet eivät rajoita liikaa verkon laillista käyttöä.
-
Käyttäjäkoulutus: Tiedota käyttäjille turvatoimien tärkeydestä ja siitä, miten ne voivat vaikuttaa verkon käyttöön.
Yksityiskohtaisia ohjeita ja lisätietoja on Zyxel-yhteisön keskusteluissa osoitteessa
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.