Срочно! Уведомление о безопасности - рекомендуется обновление прошивки для оптимальной защиты, а также проблемы со стабильностью VPN и GUI

Читать статью
Русский Български Čeština Dansk Deutsch English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Slovenčina svenska Türkçe

Передовой опыт - функции ATP UTM UTM Сервисы icon

Avatar
  • Обновлено
К началу страницы

В этой статье мы рассмотрим передовую настройку ATP в сетевой среде.

В качестве примера мы возьмем школьную среду, которую нам необходимо правильно защитить:

ADP, IDP, Content-, DNS-, веб-фильтр, антивирус, защита от вредоносных программ, Sandboxing, CDR, фильтр репутации.

 

Нашей топологией для этого будет школьная сеть.

 

mceclip0.png

Предположим следующее:

У нас есть школьная сеть со следующей подсетью.

Айпи адрес: 10.10.8.0
Сетевой адрес: 10.10.8.0
Используемый диапазон IP-адресов хоста: 10.10.8.1 - 10.10.15.254
Адрес трансляции: 10.10.15.255
Общее количество хостов: 2 048
Количество используемых хостов: 2,046
Маска подсети: 255.255.248.0
Подстановочная маска: 0.0.7.255
Двоичная маска подсети: 11111111.11111111.11111000.00000000
Класс IP: B
Обозначение CIDR: / 21
Тип IP: Частный

 

Теперь давайте посмотрим на различные службы UTM и настроим их в соответствии с нашими лучшими практиками.

App Patrol:

У нас уже есть «default_profile», который включает уже зашифрованное и анонимное туннелирование.

Мы также хотим заблокировать игры и социальные сети (например, Facebook и Instagram).

 

  1. Щелкните «Результат запроса».
  2. Теперь мы выбрали mceclip2.png
  3. Повторите вышеуказанные шаги, но выберите «Поиск приложений по имени».
  4. Найдите Facebook и Instagram и нажмите mceclip3.pngmceclip4.png
  5. Теперь нам нужно изменить «Действие» на «падение». Перейдите в «Мое приложение»> выберите все приложения, нажмите «Действие» и выберите «drop»> «Сохранить и выйти». mceclip5.png
  6. Теперь ATP спрашивает, хотите ли вы добавить профиль в политику безопасности.
  7. Выберите «Да» mceclip6.png
  8. В нашем случае мы используем LAN2, поэтому мы выбираем «LAN2_Outgoing». mceclip7.png

 

Фильтр содержимого:

Здесь мы создадим новый Профиль.

 

  1. Нажмите на добавление mceclip8.png
  2. Дайте ему имя и нажмите « Включить службу категорий фильтра содержимого». mceclip9.png
  3. Выберите Категории, которые вы хотите заблокировать, и нажмите «ОК». mceclip10.png
  4. Как и в случае с App Patrol ранее, примените профиль к политике безопасности.

 

Фильтр содержимого DNS:

Теперь мы настраиваем фильтр содержимого DNS:

 

  1. Щелкните вкладку «Фильтр содержимого DNS». mceclip0.png
  2. Зайдите в "Добавить"
    1. Пожалуйста, дайте ему имя
    2. В разделе «Клонировать настройки категорий из профиля» выберите профиль фильтра содержимого, который мы создали ранее.
    3. Нажмите «Клонировать» и «ОК». mceclip1.png
  3. Как и раньше, добавьте его в Политики безопасности. На этот раз мы также добавляем его в «LANX к устройству». mceclip2.png

 

Защита от вредоносных программ:

Теперь давайте настроим Anti-Malware.

 

mceclip3.png

По умолчанию уже есть базовая настройка безопасности.

Мы собираемся его улучшить.

  1. Оставляем гибридный режим как есть
  2. В разделе "Дополнительно"
    1. Выбираем все доступные типы файлов и добавляем их в список. mceclip4.png
      1. «Уничтожить зараженный файл» означает, что клиент все равно загрузит файл, но брандмауэр вставит случайный «0» в двоичный поток. Это приводит к уничтожению файла.
      2. Если Вы выберете « это означает, что, например, чистые (защищенные паролем) архивы также будут уничтожены, поскольку мы не сможем их распаковать. mceclip5.png
    2. Нажмите "Применить".

 

Фильтр репутации:

Когда дело доходит до фильтра репутации (включен по умолчанию), мы должны учитывать, что мы говорим о трех аспектах:

  • Репутация IP
  • Фильтр угроз DNS
  • Фильтр угроз URL

Настройки здесь (по умолчанию) блокируют все, и мы должны оставить это.

mceclip6.png

mceclip7.png

mceclip8.png

Вы можете добавить внешний черный список в «IP Reputation» и «URL Threat Filter», если хотите.

«Репутация IP»:

  • Файл внешнего черного списка должен быть в текстовом формате (* .txt), каждая запись должна быть разделена новой строкой.
  • Записи внешнего черного списка могут включать отдельные IP-адреса IPv4 / IPv6, диапазоны IP-адресов, CIDR (записи бесклассовой междоменной маршрутизации, такие как 192.168.1.1/24, 2001: 7300: 3500 :: 1/64. Это некоторые примеры для вашего ссылка только:
    • 4.4.4.4
    • 192.168.1.0/32
  • Если файл внешнего черного списка содержит недопустимые записи, Устройство Zyxel не будет использовать этот файл.
  • Файл внешнего черного списка может содержать до 50 000 записей. При достижении максимума отображается предупреждающее сообщение.

«Фильтр угроз URL»:

  • Файл внешнего черного списка должен быть в текстовом формате (* .txt), каждая запись должна быть разделена новой строкой.
  • Записи внешнего черного списка могут содержать полный URL-адрес или имя хоста, а также могут содержать подстановочные знаки. Вот несколько примеров только для справки:
    • https://www.zyxel.com/products_services/smb.shtml?t=s (полный URL)
    • www.zyxel.com (имя хоста)
    • * .zyxel. * (имя хоста с подстановочными знаками)
  • Если файл внешнего черного списка содержит недопустимые записи, Устройство Zyxel не будет использовать этот файл.
  • Файл внешнего черного списка может содержать до 50 000 записей. При достижении максимума отображается предупреждающее сообщение.

 

IPS (обнаружение вторжений, предотвращение):

IPS также является «модулем в один клик», обычно мы можем оставить настройки как есть (что мы и сделаем в этом случае).

При необходимости вы можете добавить пользовательские подписи или изменить поведение IPS для определенных подписей.

mceclip9.png

 

Sandboxing:

Sandboxing содержит все неизвестные пакеты или пользовательские шаблоны изолированно, затем имитирует запускаемые программы и определяет, являются ли они вредоносными.

Sandboxing обновит эту новую информацию о вредоносном ПО с помощью машинного обучения Threat Intelligence на Cloud-Server, если он является вредоносным.

Здесь должно быть достаточно «включить» Модуль.

При желании вы можете включить «Проверять выбранные загруженные файлы» и выбрать, какие файлы всегда следует рассматривать как угрозу и в первую очередь помещать в песочницу.

 

mceclip11.png

mceclip12.png

 

CDR:

Вышеупомянутые модули обнаруживают внешние угрозы, совместное обнаружение и реагирование заботится о внутренних угрозах.

CDR может обнаруживать вредоносные соединения или поведение клиентов внутри сети.

 

  1. Включить функцию mceclip13.png
  2. Нам нужно настроить оповещение по электронной почте. (Обратите внимание, что в разделе «Система> Уведомления» вам необходимо сначала настроить SMTP-сервер.) mceclip14.png
  3. Мы настроим локальную локальную сеть (заблокированные клиенты будут отправлены туда, чтобы предотвратить дальнейшее распространение вредоносных действий). Если вы используете ATP в качестве контроллера точки доступа, вы также сможете полностью заблокировать клиентов Wi-Fi. mceclip15.png
    1. Нажмите «Заблокировать беспроводной клиент».
    2. Нажмите «Добавить VLAN».
      1. Заполните VLAN как фиктивную несуществующую VLAN mceclip16.png
      2. Выберите его как «Quarantine VLAN» и нажмите «ОК».

 

ADP:

И последнее, но не менее важное: мы проверим ADP (Политика безопасности> ADP).

« Обнаружение и предотвращение аномалий» пытается обнаружить неизвестные в настоящее время угрозы с помощью известных шаблонов потоков.

Он включен по умолчанию, и мы обычно можем оставить его, как захотим.

 

mceclip17.png

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:

 Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия

Contact Us
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 4 из 4
Еще есть вопросы? Отправить запрос

Похожие статьи

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.