当前,威胁体系结构正在发生变化,安全系统的数量和复杂性急剧增加,当然,包括防火墙在内的安全工具的开发也在不断发展。
下一代防火墙(NGFW)是一个集成平台,将经典的ME和路由与最新的流量过滤思想结合在一起,例如深度数据包检测(DPI)流量分析,以任何方式进行用户身份验证,预防系统入侵防御系统(IPS)入侵等
在本文中,我将尝试揭示NGFW类的一般功能 ,尤其是Sophos XG Firewall解决方案的功能。 我将告诉您有关ME和工作场所之间的互动,识别风险用户并进行审核的信息-大楼中的所有技术都可以使您自动响应事件,从而大大减少了解决事件所需的时间。
目录内容
今天的防火墙
Sophos XG防火墙
识别隐患
控制中心
同步应用程序控制
受威胁的主要用户
开箱即用的各种报告
阻止未知威胁
统一规则管理
安全管理一目了然
企业网页过滤
业务应用程序和NAT规则模板
沙尘暴沙箱
先进的威胁防护
8秒内自动响应事件
安全心跳
将XG防火墙添加到任何网络-简单
今天的防火墙
以前,防火墙在网络堆栈的较低层运行,提供基本的路由以及基于端口和协议检查的数据包筛选,以转发或重置流量。 他们的时间很有效。
随着威胁已从攻击直接转移到网络以感染内部系统(通常是通过应用程序和服务器中的漏洞或使用社交工程),必须开发网络保护解决方案以承受新的攻击媒介。 组织必须不断向其网络外围添加和更新网络安全设备,以防止入侵,Web过滤,反垃圾邮件和Web应用程序防火墙(WAF)招致材料和时间成本。 由于需要管理一系列网络安全产品,因此创建了统一威胁管理(UTM)-这种解决方案使组织可以将所有内容组合在一个设备中。
防火墙技术也得到了发展,将堆栈提升到了7级及更高级别,以便能够识别和控制来自应用程序的流量。 防火墙也已开始采用技术来更深入地了解网络数据包的内容和搜索威胁。 他们有机会对用户或应用程序创建的流量进行分类和管理,而不仅仅是依靠协议和端口。 这种过渡催生了网络安全的新类别:下一代防火墙(NGFW)下一代防火墙。
下一代防火墙将传统方法与深度包检查结合在一起,包括入侵防御,应用程序信息,用户策略以及扫描加密流量的功能。
为了应对不断变化的威胁,网络安全不断发展和壮大。 勒索软件和僵尸网络等现代威胁比以往任何时候都更先进,更难以捉摸且更具针对性。 这些高级威胁(APT)使用零时差方法,很难检测到。
许多组织在一个“完美”的时刻破坏了其网络上的系统,成为APT或僵尸网络的受害者,而且在许多情况下,他们甚至都没有意识到这些感染。 不幸的是,这是一个普遍的问题。
当前威胁和现代网络基础结构的性质导致需要对网络安全方法进行根本性的改变:
- 当今的网络安全系统必须集成新技术,以在不使用传统防病毒签名的情况下检测有效负载网络中的恶意行为。 直到最近,诸如沙盒之类的技术都是大公司买不起的解决方案,成为中小型组织可以使用的解决方案,并且是有效防御现代恶意软件的组成部分。
- 以前被隔离和独立的安全系统(例如防火墙和防病毒软件)现在需要集成和协作,以快速有效地检测,识别和响应高级威胁,以免造成严重破坏。
- 鉴于用于识别最新应用程序协议,用户应用程序和使用通用HTTP / HTTPS协议的签名机制的效率日益低下,需要新的动态应用程序管理技术来正确识别和管理未知应用程序。
更糟糕的是,大多数现代防火墙都变得越来越复杂,它们使用了几种单独的弱集成解决方案来应对各种威胁向量并满足不同的要求。 结果,管理这样的解决方案动物园变得非常困难,并且这些系统产生的信息和数据量非常庞大。
实际上,最近对IT管理员对防火墙的满意度的评论(IT管理员的防火墙满意度调查)显示,当今使用的大多数防火墙存在许多常见问题:
- 获取必要的信息需要很长时间。
- 未提供可接受的网络威胁和风险检测级别
- 功能很多,但是很难理解如何使用它们
Sophos XG防火墙
从一开始, Sophos XG Firewall就旨在解决当今和新出现的挑战,并提供适应不断变化的网络体系结构的平台。 XG防火墙提供了一种新的方法来识别隐藏的风险,保护网络,识别并响应威胁。
XG防火墙为高风险用户,不需要的应用程序,可疑数据和持久威胁提供了无与伦比的可见性。 它具有用于防御威胁的一整套现代技术,同时易于配置和维护。 与之前的其他防火墙不同,XG Firewall与网络上的其他安全系统进行交互,从而使其能够有效地成为可靠的保护点,阻止威胁,阻止恶意软件自动实时地从网络传播或泄露数据。
与其他防火墙相比,Sophos XG Firewall具有三个主要优点:
- 识别隐藏的风险:XG Firewall在使用可视仪表盘,大量现成的报告和独特的风险信息来识别隐藏的风险方面做得非常出色。
- 阻止未知威胁:XG Firewall借助一整套易于配置和管理的高级攻击防护方法,可以更轻松有效地阻止未知威胁。
- 自动事件响应:具有同步安全性的 XG防火墙通过安全性心跳技术自动响应网络事件。
识别隐患
至关重要的是,现代防火墙必须分析其收集的大量数据,并在可能的情况下关联数据,并仅突出显示需要采取措施的最重要信息-理想情况下,为时已晚。
控制中心
XG防火墙管理中心为您的网络活动,风险和威胁提供了前所未有的可见性。
它使用“交通灯”样式指示符来吸引您注意真正重要的内容:
如果某些内容以红色突出显示,则需要立即注意。 如果某些内容以黄色突出显示,则表明存在潜在问题。 如果所有内容均为绿色,则无需采取进一步措施。 控制中心中的每个小部件都提供了其他信息,只需单击此小部件即可轻松打开这些信息。 例如,只需单击控制中心中的“接口”小部件,即可轻松获得设备上接口的状态。
只需单击仪表板上的ATP(高级威胁防护)小组件,也可以轻松识别高级威胁的主机,用户和来源。
系统图表还显示了时间轴上的带宽以及选择的时间段,无论您需要查看最近两个小时还是最后一个月或一年。 而且,它们可以快速访问常用的故障排除工具。
只需单击一下,就可以从每个屏幕实时查看日志。 您可以在新窗口中打开它,以在控制台上工作时监视相应的日志。 它由两个选项卡组成,一个基于防火墙模块的简单列格式,还提供了一个更详细的统一视图,其中具有广泛的过滤器和排序选项,可将整个系统中的日志实时聚合到一个视图中。
如果您像大多数网络管理员一样想知道,是否有太多的规则,哪些是真正必要的,哪些是未实际使用的? 使用Sophos XG Firewall,这将使您免除担忧。
“活动防火墙规则”小组件显示实时处理的流量图,按规则类型分类:业务应用程序,用户和网络规则。 它还显示每个规则和状态的活动总计,包括可以删除的未使用规则。 与“控制中心”的其他区域一样,单击任何一个区域都会展开规则表,并按规则的类型或状态进行排序。
同步应用程序控制
如今,在每个下一代防火墙上管理应用程序的问题是大多数应用程序流量仍然无法识别。
这个问题的原因很简单:所有应用程序控制机制都使用签名和模板来标识应用程序。 而且,如您所料,任何自定义营销应用程序(例如医疗或金融应用程序)将永远不会具有签名,并且某些类型的应用程序(例如bittorrent客户端或VoIP和消息传递应用程序)会不断更改其行为和签名,以避免检测和控制。 许多应用程序使用加密来避免检测,而另一些应用程序只是通过使用诸如Web浏览器之类的通用连接来通过防火墙进行通信,因为端口80和443通常在大多数端口上都是未锁定的。
最终结果是完全缺乏网络上应用程序的可见性,并且您无法控制看不到的内容。
这个问题的解决方案非常优雅和有效: 同步应用程序控制 ,它结合了独特的同步安全技术和终端设备上的Sophos产品。
当XG防火墙看到它无法通过签名识别的应用程序流量时,它可以询问端点哪个应用程序生成了此流量。 然后,端点上的软件可以查看可执行文件,路径,并且通常可以确定应用程序的类别,并将此信息传递回XG。 然后,在大多数情况下,XG防火墙可以使用此信息来自动分类和管理应用程序。
如果XG防火墙无法自动为应用程序确定适当的类别,则管理员可以设置所需的类别或为该应用程序分配现有策略。
在对应用程序进行分类之后(无论是自动的还是由网络管理员分类的),该应用程序都应与该类别中的所有其他应用程序一样受相同的策略约束,这可以轻松阻止所有不需要的未识别应用程序,并对所需的应用程序进行优先级排序。
同步应用程序控制是应用程序显示和控制方面的一项突破,它为以前在网络上工作但仍未被识别和控制的所有应用程序提供了绝对的目的清晰性。
受威胁的主要用户
研究证明,用户是安全链中最薄弱的环节,人类行为模型可用于预测和预防攻击。 另外,使用模式可以帮助说明如何有效地使用公司资源以及微调用户策略的需求。
用户威胁因素(UTQ)可帮助安全管理员根据可疑的Internet行为以及威胁和感染的历史来识别构成风险的用户。 由于缺乏安全意识,恶意软件感染或有意采取的措施,对用户UTQ进行高风险评估可能表明采取了意外措施。
意识到引起风险的用户行为可以帮助网络安全管理员采取必要的措施,并以较高的UTQ来教育其用户,或者应用更严格或更合适的策略来控制其行为。
开箱即用的各种报告
XG防火墙是一种独特的UTM产品,无需额外费用即可提供广泛的现成报告选择。 当然,如果您需要在单独的服务器上汇总来自不同XG的报告,则还可以提供集中的独立Sophos iView报告平台。 Sophos iView最多可以释放100 GB的日志。 但是,大多数中小型组织都喜欢在设备本身上接收报告的能力,而无需花费额外的存储系统。
XG Firewall提供了一套完整的报告,可以按类型方便地进行组织,并具有多个内置仪表板供您选择。 在XG防火墙的所有区域中,实际上有数百个报告具有可自定义的设置,包括流量活动,安全性,用户,应用程序,Web,网络,威胁,VPN,电子邮件以及符合行业要求。 根据审核结果,您可以轻松生成有关整个网络安全状态的PDF报告-安全审核报告。 您可以通过电子邮件安排定期报告给您或您的预定收件人,并将报告保存为HTML,PDF或CSV格式。
阻止未知威胁
要防御最新的网络威胁,需要使用多种技术,这些技术可以协同工作并由管理员进行管理。 不幸的是,大多数产品更像是“掷刀游戏”,在一个区域中设置防火墙规则,在另一个区域中设置Web策略,在其他地方进行SSL检查,并在产品的完全不同的部分中进行应用程序控制。
Sophos认为,迫切需要最先进的安全技术,它应该易于配置和管理,因为配置不当的保护通常比没有保护更糟糕。
对简单性的承诺一直是Sophos的关键部分。 但更重要的是,Sophos准备接受更改并采取大胆的步骤以提供最佳的保护级别和最佳的用户界面。
统一规则管理
防火墙管理非常复杂。 为此,可以创建分布在不同功能区域中的许多规则,策略和安全设置。
XG Firewall完全重新定义了规则的组织方式和安全性规定的管理方式。 无需在管理控制台上寻找正确的策略,而是将所有内容组装在一个屏幕中-规则和控件。 现在,您可以在一个地方查看,过滤,搜索,编辑,添加,修改和组织所有防火墙规则。
用户,业务应用程序,NAT和网络的规则使仅查看必要策略变得容易,从而提供了一个方便的管理屏幕。
指示器图标提供有关策略的重要信息,例如类型,状态,使用情况等。
安全管理一目了然
通过将所有设置放在一个屏幕上,XG防火墙简化了高级保护的配置和管理。
, SSL, , IPS, , -, , Heartbeat , NAT, , .
, , , , .
, , , Active Directory, eDirectory LDAP, NTLM, RADIUS, TACACS+, RSA, Captive Portal. Sophos Transparent Authentication Suite (STAS) , Microsoft Active Directory, , . SATC (Sophos Authentication For Thin Client), , XG — .
-
- , , , . - Sophos - -, SWG . , . , , — , . , XG , .
, Sophos , - — . , (, ) URL-, , , .
- , . , , , , . XG Firewall - -, , .
, , . , .
- .
- NAT
, - -, Exchange, SharePoint -, , . . - , . .
-, , , . , , , .
WAF , . . XG Firewall.
Sandstorm
, , , ( ). , , . , , Sophos Sandstorm, . , .
Sophos Sandstorm , , , - — . XG Firewall , , . , , .
Sophos Sandstorm XG Firewall Control Center , .
, XG Firewall Sophos Sandstorm , .
Advanced Threat Protection
Advanced Threat Protection , , . XG Firewall , - C&C. IPS, DNS URL-, , .
, . , XG Firewall Control Center . , , . Sophos Synchronized Security XG Firewall, , , .
8
.
Sophos XG Firewall — , . Sophos Security Heartbeat , .
XG Firewall , , . , .
Security Heartbeat
Sophos Security Heartbeat ( Synchronized Security) , https , . , , .
安全性心跳不仅可以立即检测到高级威胁的存在,还可以用于传输有关威胁的性质,主机系统和用户的重要信息。 而且,也许最重要的是,安全心跳还可以用于自动采取措施隔离或限制对受感染系统的访问,直到将其清除为止。 这是一项令人兴奋的技术,它改变了信息安全解决方案的工作方式并响应复杂的威胁。
安全性心跳在工作站或服务器上运行。 心跳可能处于以下三种状态之一:
绿色心跳状态表示工作场所正在运行,并且将允许访问所有相关的网络资源。
黄色的心跳状态表示警告,表明系统可能具有潜在有害的应用程序(PUA),不满足要求或存在任何其他问题。 您可以选择允许哪些网络资源访问黄色状态的系统,直到问题解决。
红色心跳状态表示系统有被高级威胁感染的风险,并且可能尝试联系僵尸网络或C&C服务器。 使用心跳线安全策略,您可以轻松隔离具有此状态的系统,直到将其清除为止,以降低数据丢失或进一步感染的风险。
只有Sophos可以提供像Security Heartbeat这样的解决方案,因为只有Sophos是端点和网络安全解决方案的软件领导者。 例如,您可以查看NSS Labs Advanced Endpoint Protection 2019的测试:
将XG防火墙添加到任何网络-简单
最新的XG系列硬件通过在所有1U型号以及新FleXi Port的最新 2U 设备上的故障开放端口提供了更灵活的部署。 新的端口允许XG防火墙与现有设备以桥接模式安装,并且如果XG防火墙已关闭或重新引导以更新固件,则这些端口将允许流量继续进行而不会失败-硬件旁路。 此功能使您可以使用完全安全,简单的新安装参数,而无需替换现有的网络基础结构。 而且,下一代防病毒Intercept X可以与任何现有的防病毒产品一起使用,使您可以在任何网络上部署完整的Sophos Synchronized Security解决方案,而无需进行任何替换。
安全变得简单。
本文是使用Sophos XG Firewall解决方案摘要撰写的。
如果您对该解决方案感兴趣,可以联系我们-Factor Group公司,Sophos分销商。 以自由格式写信到sophos@fgts.ru就足够了。