Search
次世代網路防火牆(NGFW)發展多年,已成為這類資安防護產品的主流解決方案,而隨著加密網路流量的普遍使用,以及加密傳輸協定標準的翻新,次世代防火牆也必須緊追不捨,提供相關支援,而且在處理這些負載的同時,又不能影響網路傳輸效能。
而身為網路防火牆廠商之一的Sophos,今年發表了XGS系列機型硬體設備,特別配備了專屬流量處理器來強化SSL/TLS加密流量的效能,此外,採用的作業系統SFOS也升級至v18.5。
https://www.ithome.com.tw/review/144853
次世代網路防火牆(NGFW)發展多年,已成為這類資安防護產品的主流解決方案,而隨著加密網路流量的普遍使用,以及加密傳輸協定標準的翻新,次世代防火牆也必須緊追不捨,提供相關支援,而且在處理這些負載的同時,又不能影響網路傳輸效能。
而身為網路防火牆廠商之一的Sophos,今年發表了XGS系列機型硬體設備,特別配備了專屬流量處理器來強化SSL/TLS加密流量的效能,此外,採用的作業系統SFOS也升級至v18.5。
https://www.ithome.com.tw/review/144853
2021全新主題【數位轉型攻略II:後疫新常態企業加速心法】線上研討會
時間:2021/3/9首播14:35~15:15
講師:Sophos 資深技術顧問 周裕華
網站:https://webinar.ithome.com.tw/
講題:【相輔相成:對付勒索軟體的端點和防火牆最佳作法】
摘要:Ransomware 勒索軟體擁有不死身,未見減退而不時攻擊大小機構圖利 - 超過半數企業承認去年受勒索軟體攻擊,而平均補救成本是高得令人咋舌的 761,106 美元!另外,當中近4 分之 3 的攻擊事件中,攻擊者成功把檔案加密!*
面對變本加厲的勒索軟體,最佳防禦方法之一,當然是採用先進的端點和防火牆防護方案,更重要是它們具有適當設定以發揮最大功能,否則得物無所用。 請參加本網上研討會,我們安全專家會告訴您 7 大端點及 5 大防火牆和網路配置的最佳作法。而端點和防火牆可如何相輔相成,發揮最有效網路防護力量。
*The State of Ransomware 2020
在四小時簡報課程中,識別目前常見的威脅資訊並了解到SOPHOS防火牆能提供的保護並進一步了解如何初始化設定防火牆、了解防火牆規則的配置方式、VPN建置以及網路模組配置。 ... <看更多>
sophos防火牆 在 Re: [請益] 30人公司資安/檔案外流控管DLP - 看板MIS - 批踢踢 ... 的推薦與評價
※ 引述《hooboa1122 (伯樂)》之銘言:
: 標題: Re: [請益] 30人公司資安/檔案外流控管DLP
: 時間: Fri Sep 20 11:56:49 2019
:
上次就想回覆,不過小弟公司中勒索,我就沒時間回應了
看了一下,通常這種文章建議還是簡單畫個網路架構圖
:
: 方案一
: Sophos + Sophos XG135防火牆 + SmartIT Desktop Manager(端點+資產+加密)
:
: 1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
: 有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器
: 沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽
:
: 2.Sophos防毒、防勒索
Sophos 防毒就可以控管設備了,插usb可以鎖定不能使用,也可以限制到那個部門能用
那個部門不能用的群組設定
:
: 3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備
資產管理,open source的ocs inventory可以滿足你的需求
安裝上網路一堆教學,如果還是要做資產管理,有人說不建議這家,如果要花錢可以找它家
至於關掉所有usb sophos就可以做到了,不論是Sophos Central、Sophos Endpoint
Sophos Central可以控管到藍芽,Sophos Endpoint 小弟公司用的版本不是最新
所以能不能控管到藍芽,這點可能要查一下,但控管usb的確做得到
資產管理我是不知道你要只做到電腦,還是周邊設備都要有,不然OCS可以做到電腦
: 4.SmartIT Desktop Manager作檔案加密
:
: 5.資安政策 - 鎖Bios、PC權限使用者設定
LDAP,我是不知道你的NAS是用那一家,仿間市面上都有這類功能
三十人左右可以利用這個功能作控管,包括你下面留的那一台可以連到那台Server
最省成本的方法就是上面,不然牙一咬就買個server 2019來架AD,攤下來的成本應該
會讓公司比較好接受點
:
: 方案二
: IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)
:
: 1.IP Guard做端點管理、加密、關閉上傳及下傳
:
: 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON
:
: 3.加密NAS備份 (原本已有一台NAS)
不評論
:
: 方案三
: 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
: 【PC端點-防火牆-NAS,變成一個區域內網,
: PC端點 不能使用硬體存取、也不可以上傳資料
: 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
: 至於 檔案加密 暫時不做】
:
: PaloAlto + Traps
: CheckPoint + SandBlast
: Fortigate + Forticlient
:
:
綁在一起不是不好,每年繳的保護費公司願不願意付
要買之前請廠商提出三到五年所需要付的費用
就算漲價也不會漲太多,先知道每年要付的成本再來考慮
: 想請教各位前輩的建議
:
:
: --
: 經過與老闆的討論還有與SI專案經理的意見
: 希望達成的效果是
:
: ●檔案不外流
: 1.建立內網,PC-防火牆-伺服器
老實講,用畫圖的會比講得更容易看,你所謂的伺服器,到底是fire server
還是web server、到底server做什麼作用
到底要用Firewall當gateway還是有一台L3 switch當gateway
一般做法,我就不說正確作法,對外server是要納在防火牆底下,至少也是DMZ上
廠商要連進來可以透過防火牆的VPN連進來看,這樣確保那台server不會被植入奇怪的東西
(如挖礦軟體)
: 2.工作用PC(設備)都被管制,被認證的PC才能連入伺服器
這一些都可以用防火牆做控制,要連出去連進來都不是要透過防火牆
防火牆可以做到mac過濾,在不濟 L3 switch也可以做到ACL控管
: 3.封掉所有上傳機制 (雲端硬碟均封鎖)
防火牆可以做到,無論是Sophos XG135、PaloAlto
你所列的防火牆都可以做到,只是價格差異而已,PaloAlto價格應該最貴
: 4.封掉所有外傳機制
防火牆可以做到
: 5.關閉PC硬體存取設備
Sophos可以做到
:
: ●檔案加密
: 就算檔案外流,至少檔案有加密,流出去的話,別人也不能讀取
這個沒接觸過,不評論
:
: ●防勒索病毒
: 先做PC防毒軟體的採購,之後會針對伺服器的防護以及備份機制再做方案
如果是我會先做你所謂的伺服器防護、備份機制,PC端基本防毒就可以
後續再加強PC端
: : 2.把linux改成windows系統
Linux是否有windows的授權
不是說改就可以改
: : 3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
: : (Secure Boot / Multiboot/ USB Boot)
防毒跟防火牆並用
: : 4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理
這樣就本機設定就好,正確來講是建網域你才不會累死
: : 5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
防毒跟防火牆效果可以達到
: : 6.確認工程師所用的軟體,不會有雲端備份功能
: : 7.禁止使用teamviewer之類軟體
同上
: : 三、檔案瀏覽(如何避免外流)
: : 1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入
: : 2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能
: : 四、勒索病毒
: : 1.採購comodo並設置中控密碼,員工不能任意變更
: : 五、資料備份
: : 1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用
: : 2.所有人憑帳號、密碼登入
NAS可以建LDAP讀取權限可以設定,也可以做到備份
只是願意花多少錢而已
而不是買一台server架fire server,你的授權勒?
還是dell那台主機要架free NAS?
: : 3.異地備援(是否有便宜的雲端?)
便宜不見得好用
: : 六、事後追蹤
: : 1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤
: : (希望知道是哪台電腦、傳了什麼檔)
Syslog,但要知道那麼細,請找si廠商有沒有相關的軟體
價格應該會很可觀,畢竟牽扯到ssl加密的關係
不然大部分流量、連結到那,防火牆也可做到
: : 2.更換fire server?
一樣是NAS 你的Fire server的作業系統是?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 124.219.42.230 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1569301295.A.639.html
※ 編輯: arsehole (124.219.42.230 臺灣), 09/24/2019 13:06:30
... <看更多>