FreeBuf■SASE是一个什么样的黑科技( 六 )
1.用户名和密码
2.多因素认证(MFA)
3.单点登录(SSO)
安全即服务
安全即服务是一组企业级、敏捷的网络安全功能 , 作为紧密集成的软件堆栈的一部分直接构建到云网络中 。 目前的服务包括下一代防火墙(NGFW)、安全Web网关(SWG)、高级威胁预防、安全分析和管理威胁检测和响应(MDR)服务 。 因为云平台控制代码 , 所以可以快速引入新的服务 , 而不会对客户环境造成影响 。 客户可以有选择地启用服务 , 配置它们来执行公司策略 。
下一代防火墙
1)应用感知
NGFW提供完整的应用程序感知 , 无论端口、协议、规避技术或SSL加密 。 DPI引擎分类相关的上下文 , 如应用程序或服务 , 早在第一个包且没有SSL检查时 。 相关的信息是提取自网络元数据 。 Cato研究实验室不断丰富应用程序库 , 以扩大覆盖面 。
对于网络和安全监控 , 整个Cato都可以使用DPI分类的上下文;对“影子IT”识别和其他趋势的网络可视化;或者用于像强制执行阻塞/允许/监视/提示规则这类的强制执行 。
平台提供了一个签名和解析器的完整列表 , 用于识别常见的应用程序 。 此外 , 自定义应用程序定义根据端口、IP地址或域标识特定于帐户的应用程序 , 这两类应用程序定义可供运行在云中的安全规则使用 。
2)用户感知
平台使管理员能够创建上下文安全策略 , 方法是基于单个用户、组或角色定义和启用对资源的访问控制 。 此外 , 平台的内置分析可以被网站、用户、组或应用程序查看 , 以分析用户活动、安全事件和网络使用情况 。
Lan划分
VLANs
Routed Range(通过路由器连接到套接口)
Direct Range(直接到套接口的LAN段 , 不通过路由器)
根据定义 , 不同的段之间不允许流量通信 , 允许这样的连接需要创建局部划分规则 , 由平台socket执行 , 或者创建WAN防火墙规则 , 由云在完全检查流量的情况下执行 。
3)WAN流量保护
利用WAN防火墙 , 安全管理员可以允许或阻止组织实体(如站点、用户、主机、子网等)之间的通信 。 默认情况下 , 平台的广域网络防火墙遵循一种白名单方法 , 有一个隐式的任意块规则 。 管理员可以采用这种方法 , 也可以切换到黑名单方式 。
4)Internet流量保护
通过使用Internet防火墙 , 安全管理员可以为各种应用程序、服务和网站设置允许或阻止网络实体(如站点、个人用户、子网等)之间的规则 。 默认情况下 , 平台的Internet防火墙遵循黑名单方法 , 有一个隐式的any-any permit规则 。 因此 , 要阻止访问 , 必须定义显式阻止一个或多个网络实体到应用程序的连接规则 。 管理员可以在必要时切换到白名单方式 。
安全Web网关
SWG允许客户根据预定义和/或自定义的类别监视、控制和阻止对网站的访问 。 云在对特定可配置类别的每个访问上创建安全事件的审计跟踪 。 管理员可以根据URL类别配置访问规则 。
URL分类与过滤规则
即来即用,平台提供了一个预定义策略的几十种不同的URL类别 , 包括安全类别、疑似垃圾邮件和恶意软件 。 作为默认策略的一部分,每个类别设置一个可定制的默认行为 。 使管理员能够创建自己的类别和使用自定义规则,提高网络访问控制的细粒度 。
URL过滤操作
每一类URL过滤规则都可进行以下操作:
允许
阻断
监控
提示
反恶意软件
作为先进的威胁防护的一部分 , 平台提供了一系列优质服务 。 其中之一是反恶意软件保护 。 客户可以使用这项服务来检查广域网和互联网流量中的恶意软件 。 反恶意软件的处理包括:
1)深度包检测
对流量有效载荷的深度包检查 , 用于普通和加密的流量(如果启用) 。 文件对象从流量流中提取 , 检查 , 并在适当的时候阻塞 。
2)真实文件类型检测
推荐阅读
- 金融墙|两首富为何都重回中国?一个在英国亏了千亿,一个在美国亏了百亿
- RedmiRedmi 10X Pro 体验:性能、低价和 5G 一个都不漏
- 大肥皂|一个让我们连喊「YES」的手机,iQOO Z1体验评测
- 搜狐新闻|又一个中国企业“打破”技术垄断,跃居世界第一,年收入达1160亿
- 微信号|微信终于有这个功能了!网友:一个重新做人的机会
- 马路边老张|给大家说一个比华为更厉害的公司,专利全球第三,强大到令人发指
- 生活小蒙娜|小伙花5000块买了部手机为啥用一个月就后悔了?来听听小伙咋说
- 铁鑫地源热泵|暖通新手必看!水地源热泵和水环热泵的区别?
- 花儿街参考|一个程序猿决定去当摇滚歌手
- |一张壁纸让三星手机集体崩溃:原来是色域作怪