Важное уведомление: |
Самозащита
Функция Self-Protection повышает безопасность серии USG FLEX H, устраняя уязвимости, связанные с портом IKE (UDP 500). Этот порт часто используется злоумышленниками для атак типа "отказ в обслуживании" (DoS) или других типов атак. В версии 1.20 брандмауэр включает механизмы для снижения этих рисков путем отключения порта IKE, если он не требуется для работы служб VPN.
Порт IKE (UDP 500) отключен по умолчанию:
-
Теперь брандмауэр отключает порт UDP 500 по умолчанию, чтобы предотвратить потенциальные атаки. Этот порт будет оставаться закрытым, пока не будет активно включена служба VPN.
Динамическое включение порта IKE:
-
Если создано и активно правило VPN или профиль VPN, служба IKE на порту UDP 500 будет включена. Это гарантирует, что порт будет открыт только тогда, когда это необходимо для работы VPN.
IP-репутация для защиты системы:
-
-
Сам брандмауэр теперь защищен службой IP-репутации в дополнение к защите клиентов, выходящих в Интернет. Это означает, что любой вредоносный трафик, пытающийся использовать брандмауэр для несанкционированного доступа, будет блокироваться на основе базы данных IP-репутации.
-
Список внешних блокировок
Внешний список блокировки (External Block List, EBL) - это функция, позволяющая брандмауэру импортировать текстовый файл, размещенный на внешнем веб-сервере. Этот список блокировки содержит IP-адреса или URL-адреса, которые должны быть заблокированы брандмауэром. Это полезно для повышения безопасности путем предотвращения доступа к известным вредоносным сайтам или IP-адресам.
-
Импорт списков блокировки: Списки блокировки можно импортировать в различных форматах (например, CSV).
-
Применение списков блокировки: После импорта эти списки можно применить к определенным политикам безопасности, чтобы заблокировать доступ к вредоносным IP-адресам или доменам.
Этапы настройки:
-
Перейдите в: Политика безопасности > Внешний список блокировки.
-
Импортировать список: Загрузите файл списка блокировки.
-
Применить к политикам: Привязать список блокировок к соответствующим политикам безопасности.
Контроль сеансов
Контроль сеансов - это функция, предназначенная для управления количеством одновременных сеансов, которые клиент может инициировать через брандмауэр. Это особенно полезно для предотвращения чрезмерного потребления клиентами ресурсов сеанса, что может повлиять на производительность и доступность сетевых служб для других пользователей.
Важность контроля сеансов
Брандмауэры имеют ограниченное количество сеансов, которые они могут обрабатывать в каждый момент времени. Когда один клиент или несколько клиентов инициируют слишком много сеансов, это может привести к исчерпанию ресурсов сеанса, что повлияет на способность других клиентов получать доступ к сетевым ресурсам. Контроль сеансов помогает снизить эту проблему, ограничивая количество одновременных сеансов, которые может создать каждый клиент.
-
Ограничение сеансов по умолчанию: По умолчанию установлено 2000 сеансов на клиента.
-
Конфигурация:
-
Перейдите к: Политика безопасности > Контроль сеансов.
-
Установите ограничение сеанса: при необходимости настройте ограничение по умолчанию.
-
Применить и сохранить: Сохраните конфигурацию, чтобы ввести новый лимит.
-
Мониторинг и управление лимитами сеансов помогают обеспечить производительность и доступность сети. Администраторы должны регулярно просматривать журналы сеансов и корректировать лимиты в зависимости от моделей использования сети.
Практические советы
-
Регулярный мониторинг: Регулярно просматривайте журналы безопасности и корректируйте конфигурацию, чтобы адаптироваться к меняющимся угрозам.
-
Баланс между безопасностью и производительностью: Убедитесь, что меры безопасности не слишком ограничивают законное использование сети.
-
Обучение пользователей: Информируйте пользователей о важности мер безопасности и о том, как они могут повлиять на доступ к сети.
Подробные инструкции и дополнительные сведения см. в обсуждениях сообщества Zyxel по следующим темам
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.