Разширена конфигурация на защитната стена на сървърите

Информатек Дигитал » Ресурси » Разширена конфигурация на защитната стена на сървърите

Овладейте разширена конфигурация на защитната стена на сървърите Това вече не е само въпрос на големи корпорации. Всяка компания, която приема киберсигурността сериозно, трябва да разбира как да сегментира мрежата, да дефинира зони, да създава подробни правила и да извлече максимума както от периметърната защитна стена, така и от самата защитна стена на Windows на всеки компютър и сървър.

В това ръководство ще видите, в значителни подробности, как Защитни стени от следващо поколение (NGFW)Как да се проектират зони (LAN, WAN, DMZ, VLAN), какви видове правила да се прилагат (програма, порт, протокол, IP...), как да се възползвате от... Защитна стена на Windows с разширена защитаКаква роля играят инструменти като SimpleWall и какви най-добри практики трябва да се следват, за да се предотврати превръщането на цялата тази структура в неуправляем хаос?

Защитни стени от следващо поколение на сървъри: много повече от филтриране на портове

Защитни стени от следващо поколение, като например FortiGate NGFWТе съчетават усъвършенствани мрежови функции и дълбока сигурност в едно устройство. Те не просто отварят или затварят портове; те анализират трафика на ниво приложение, проверяват криптирано съдържание и се интегрират със сложни облачни, LAN, WLAN и архитектури за отдалечен достъп.

В случая с FortiGate, сърцето на системата е FortiOSСпецифична операционна система, която обединява политиките за сигурност и мрежовите функции: интегрирана SD-WAN, универсална ZTNA, контрол на трафика в безжични и кабелни мрежи и централизирано управление благодарение на FortiManager.

Освен това, тези екипи разчитат на патентована ASIC архитектура (специализирани чипове) за ускоряване на проверката и декриптирането на пакети, без да се нарушава производителността или да се наблюдава пикова консумация на енергия, дори когато мрежата е под голямо натоварване и има стотици или хиляди едновременни сесии.

Защитата срещу заплахи е засилена с Услуги на FortiGuardкоито добавят изкуствен интелект за откриване на зловреден софтуер, подозрителен трафик, експлойти и целенасочени атаки, вписвайки всичко в концепцията на Fortinet Security Fabric: защитна структура, която обхваща мрежа, крайни точки и облак, за да реагира координирано на инциденти.

Проектиране на защитни стени и сегментиране на мрежата на сървъри

Преди да започнете да създавате правила, сякаш няма утре, трябва да проектирате... архитектура на зоните и сегментиране на мрежатаКолкото по-плоска е мрежата, толкова по-лесно е за нападателя да се движи странично, след като влезе вътре.

Първата стъпка е да се идентифицират ключови активи и услугиУеб сървъри, бази данни, вътрешни приложения, устройства за продажба, VoIP PBX, мрежи за гости и др. В зависимост от тяхната критичност и експозиция, те са групирани в различни логически зони.

Стандартна практика е да се създаде ДМЗ (демилитаризирана зона) За сървъри, които предоставят услуги директно на интернет (имейл, VPN, уеб приложения, публични портали и др.), тези системи трябва да бъдат изолирани както от външната мрежа, така и от най-чувствителната вътрешна мрежа, като се ограничи максимално трафикът, който може да тече между различните области.

Сървърите, до които е достъпно само от организацията, се намират в вътрешни сървърни областиТе от своя страна са отделени от потребителската мрежа, мрежата за управление и всяка лабораторна или тестова среда. За да бъде това практично, е обичайно да се използват комутатори с поддръжка на VLAN да се поддържа разделение и на ниво 2.

В IPv4 среди всички вътрешни мрежи трябва да използват частни греди (RFC1918) и разчитат на NAT механизми за достъп до интернет. Преводът обикновено се извършва на периметърната защитна стена, която също така налага политики за входящ и изходящ трафик за всяка конкретна зона.

Списъци за контрол на достъпа (ACL) и правила за междузонови връзки

След като зоните са дефинирани и присвоени на интерфейсите или подинтерфейсите на защитната стена, е време да... ACL (Списъци за контрол на достъпа)кои са правилата, които решават какъв трафик е разрешен и какъв е отхвърлен между тези зони.

Идеята е да се дефинира, за всеки интерфейс или подинтерфейс, набор от правила, които са възможно най-прости. специфични и гранулирани Възможните изисквания включват: IP адрес или подмрежа на източника, IP адрес или подмрежа на местоназначението, протокол (TCP, UDP, ICMP и др.), участващи портове и действие (разрешаване или отказ). Колкото по-малко общи са правилата, толкова по-малко пропуски в сигурността ще има.

Добра практика е всеки ACL да завършва с правило за имплицитно „отричане на всичко“Това действа като предпазна мрежа: ако даден пакет не съответства на никое предварително съществуващо правило за разрешения, той се блокира. След това се създават много специфични изключения за потоците, които действително са необходими.

Препоръчително е също да деактивирате публичен достъп до административни интерфейси на защитната стена (HTTP, HTTPS, SSH и др.), позволявайки управление само от много специфични вътрешни мрежи или чрез защитена VPN мрежа за управление.

Съвременните NGFW могат да надхвърлят портовете и IP, използвайки... контрол на приложениетоУеб категории, IPS и разширен анализ на файлове (sandboxing). Ако вече сте платили за тези функции, има смисъл да ги активирате и конфигурирате в критични работни процеси, особено тези, които пресичат периметъра.

Разрешителна защитна стена срещу рестриктивна защитна стена на сървъри

Ключов момент при проектирането на политика за защитна стена (независимо дали е периметър или операционна система) е решението дали да се започне от позиция разрешителен или ограничителен.

В един разрешителна защитна стена Крайното имплицитно правило е „разреши всичко“. Блокира се само това, което е изрично дефинирано от правилата за отказ. Този подход обикновено се използва в надеждни локални мрежи (LAN) или на компютри, конфигурирани като „частна мрежа“ в Windows.

В един ограничителна защитна стена Обратното се случва: основното правило е „забрани всичко“. Разрешен е само трафик, който отговаря на изрични правила за разрешаване. Тази философия е често срещана в широкообхватни мрежи (WAN), защитни стени като pfSense или корпоративни защитни стени от следващо поколение (NGFW) и в устройства, конфигурирани като „публична мрежа“.

Windows, например, използва по подразбиране ограничителна политика за входящи връзки (блокира всичко, което не е изрично разрешено) и разрешителна политика по отношение на разходите (Позволява всичко, освен това, което сте блокирали.) Това може да се регулира от разширените свойства на защитната стена.

Какво всъщност може да предложи защитната стена на Windows на сървърите?

El Защитна стена на Windows с разширена защита Той е много по-мощен, отколкото много хора осъзнават. Може да контролира входящия и изходящия трафик, да филтрира по IP адрес, порт, протокол, услуга, мрежов интерфейс, тип профил (домейн, частен, публичен) и дори по потребител или група в някои сценарии.

Сред възможностите му се открояват следните: филтриране на пакети На ниско ниво, той генерира подробни регистрационни файлове (които след това могат да бъдат анализирани с инструмента за преглед на събития или изпратени до SIEM), открива публични мрежи, за да приложи автоматично по-строг профил и се интегрира с други слоеве за сигурност, като например Windows Defender.

За малкия бизнес и много сървърни среди, добре конфигуриран сървър може да бъде повече от достатъчноОсобено когато се комбинира с надежден антивирусен софтуер и добри практики за администриране. Важно е обаче да се имат предвид ограниченията му: той не е заместител на периметърна NGFW или специализирана IPS.

Като слаби страни трябва да се спомене, че защитната стена на Windows не предлага тази функция по подразбиране. дълбока проверка на пакети С разширените сигнатури, той не блокира автоматично телеметрията на системата, известията му са дискретни (едва ли ви предупреждават за нови връзки) и начинът за справка с лог файловете не е лесен за ползване от нетехнически потребители.

Достъп до защитната стена на Windows с разширена защита

За да управлявате разширените настройки на защитната стена в среда на Домейн на Active DirectoryВ идеалния случай човек трябва да работи с GPO (Обекти на групови правила)Важно е да принадлежите към групата „Администратори на домейн“ или да имате делегирани разрешения за GPO.

От конзолата за управление на правила можете да навигирате през Политики > Компютърна конфигурация > Настройки на Windows > Настройки за сигурност > Защитна стена на Windows с разширена защитаТам могат да се дефинират общи правила за клиентски компютри и сървъри, присъединени към домейна.

Ако е така един сървър или локален компютърНеобходими са ви само администраторски права на това устройство. Най-бързият начин да отворите конзолата е да натиснете СТАРТ и да въведете wf.msc и натиснете Enter. Ще се отвори конзолата на защитната стена на Windows с разширена защита за този компютър.

Главният екран показва входящи правила, изходящи правила, правила за сигурност на връзката и конфигурацията на различните профили (домейн, частен, публичен), заедно с област за наблюдение, където са видими само активните правила.

Профили, глобални политики и поведение по подразбиране

Панелът със свойства на защитната стена контролира глобалните опции за всеки мрежов профил (домейн, частна, публична). Тези опции определят как ще се държи защитната стена, когато мрежов адаптер е свързан с определен тип мрежа.

За всеки профил можете да решите дали защитната стена е активирана. включен или изключенДали входящите връзки, които не отговарят на никое правило, са блокирани или разрешени, и същото важи и за изходящите връзки.

Параметри като следните също могат да бъдат коригирани: известия при блокиране на програма, мястото, където регистрационни файлове на защитната стена, максималният размер на тези лог файлове и специалното третиране на трафика, защитен от IPsec VPN тунели, което обикновено се счита за по-надеждно.

В надзор Показват се всички активни в момента правила, включително тези от обекти на групови правила (GPO) и тези, дефинирани локално. Това е мястото, където можете да видите кои правила са действително активни и с какви параметри, а оттам можете да отваряте и променяте техните свойства.

Правила за влизане и излизане: посока на движението

При работа с правила в защитната стена на Windows, една от най-често срещаните грешки е объркване на посоката на движениетоВходящите правила се прилагат за пакети, пристигащи на компютъра; изходящите правила се прилагат за пакети, напускащи компютъра за друга машина.

Ако целта е да се предотвратят връзки от интернет към сървър, ще е необходимо да се създаде или промени правила за влизанеАко, от друга страна, целта е да се предотврати свързването на сървърна услуга или програма с външната среда, трябва да се предприемат действия по отношение на правила за излизане.

Всеки запис в списъка показва дали правилото е активирано (икона със зелена отметка) или деактивирано. Деактивираните правила не влияят на трафика, въпреки че все още са дефинирани. Често срещано е да се намерят много предварително дефинирани правила на Windows, които са налични, но не са активни, докато не са необходими.

Да разбереш добре поток източник/цель и локален/отдалечен порт Това е от съществено значение, за да се избегне създаването на правила, които никога не се прилагат или които се отварят повече, отколкото е наистина необходимо, нещо много често срещано при конфигурирането на сложни услуги.

Видове правила в защитната стена на Windows

Съветникът за нови правила на защитната стена на Windows предлага четири основни категории: програма, порт, предварително зададени и персонализираниВсеки един е предназначен за различен сценарий и е важно да изберете внимателно в зависимост от това, което искате да постигнете.

Правила програма фокусират се върху конкретен изпълним файл; тези на порт Те филтрират по TCP или UDP номер на порт; предварително зададен Те опростяват управлението на познати услуги на Windows; и обичай Те позволяват много фина настройка чрез комбиниране на множество критерии едновременно.

Във всички случаи, съветникът завършва с въпрос какво действие искаме да приложим (разрешаване, разрешаване само при защитено с IPsec или блокиране) и към кои мрежови профили ще се прилага това правило (домейн, частен, публичен). Накрая, име и описание за да може лесно да се разпознае по-късно.

На критични сървъри си струва да отделите време за правилно документиране на правилата, като посочите каква услуга защитава и защо съществуватака че при бъдещи одити или промени да няма съмнение относно неговата полезност.

Правила по програми: фино управление на специфични услуги

Правила за тип програма Те са удобен начин за контрол на трафика на приложението, без да е необходимо да запомняте всички портове, които то използва. Могат да се прилагат както за входящ, така и за изходящ трафик.

В съветника изберете опцията „Път до тази програма“ и посочете път към изпълним файлВъзможно е да се използват променливи на средата, за да се гарантира правилното прилагане на правилото, дори ако програмата е инсталирана в различни пътища на различни компютри.

На сървъри, които хостват услуги в рамките на svchost.exe За други контейнери с множество услуги е възможно да персонализирате правилото да се прилага само за конкретни услуги, като изберете услугата по нейното кратко име. Това ви позволява да разграничите например трафика на определена RPC услуга в рамките на един и същ процес.

Силно препоръчително е да комбинирате програмно правило с ограничения в раздела на Протоколи и портовеизрично посочване на кои портове може да слуша или използва приложението. Ако се опитате да отворите друг порт, защитната стена ще го блокира.

Правила за портове: класическо TCP/UDP филтриране

Правила за тип порт Те ви позволяват да разрешавате или блокирате трафик въз основа на локалния или отдалечения номер на порт и протокола (предимно TCP или UDP). Могат да се използват както за входящи, така и за изходящи правила.

В типично входящо правило за отваряне, например, TCP порт 21Избира се TCP, указва се „специфични локални портове“ и се въвежда 21. Могат да се зададат множество портове, разделени със запетаи (напр. 21, 20, 22) или диапазони като 5000-5100, дори смесване на отделни портове и диапазони в едно и също правило.

След това решавате действието (разрешаване, разрешаване, ако е защитено, блокиране) и профилите, където то ще бъде приложено. Това е лесен начин за отваряне на определени стандартни услуги (HTTP, HTTPS, RDP и др.), без да навлизате в подробности за конкретни програми.

В случай на правила за излизанеНай-често срещаната практика е да се посочи отдалеченият порт, тъй като това е дестинацията, към която сървърът се опитва да се свърже. Типичен случай на употреба би бил да се блокира целият изходящ трафик към подозрителни портове или да се ограничи комуникацията на определени приложения само през много специфични портове.

Предварително дефинирани и персонализирани правила

на предварително дефинирани правила Те групират готови конфигурации за често срещани услуги на Windows (Споделяне на файлове и принтери, Отдалечен работен плот и др.). Просто изберете услугата, посочете дали да я разрешите или блокирате, изберете профили и сте готови.

Тази опция е удобна, когато искате бързо да активирате или ограничите вътрешна услуга, без да е необходимо да проучвате кои портове и протоколи използва във всеки отделен случай. Зад кулисите системата създава няколко специфични правила, които покриват тази услуга.

на персонализирани правила Те са най-изчерпателните и предлагат най-голям контрол. Те ви позволяват да зададете всички параметри: програма (или всички програми), тип услуга, IP протокол (със списък от TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route и др.), комбинация от локални и отдалечени портове, IP адреси на източник и получател (включително диапазони и подмрежи) и допълнителни условия.

В протоколи като ICMPv4 или ICMPv6 можете да изберете дали да Те поддържат всички видове ICMP или само определени съобщения (заявка за ехо, отговор на ехо, изтекло време и др.). Можете дори да дефинирате специфични типове и кодове, които не се показват в общия списък.

Също така, когато дефинира IP адреси в секцията за обхват, съветникът позволява добавяне на цели диапазони или подмрежи (например, 192.168.10.0/24), за да стесните допълнително кръга от устройства, които могат да използват това правило, както локално, така и отдалечено.

ICMP входящи правила на сървърите

Дали да се разреши ICMP трафик към сървър е стратегическо решение. входящо ICMP правило Това позволява на устройството да реагира на ping-ове и определени мрежови диагностични съобщения, което е много полезно за административни задачи, но може също така да предостави информация на нападател.

За да създадете правило за входящ ICMP в защитната стена на Windows, отворете разширената конзола, отидете на Правила за влизане и се създава ново персонализирано правило. В секцията с програми обикновено избирате „Всички програми“.

На екрана с протокола изберете ICMPv4 или ICMPv6 Това зависи от използвания мрежов стек. Ако работите както с IPv4, така и с IPv6, ще трябва да създадете правило за всеки от тях. Опцията за персонализиране ви позволява да изберете конкретните ICMP типове, които искате да разрешите (само echo request/echo reply или по-широк набор).

След това се определят обхватът (кои IP адреси могат да бъдат ping-вани), действието (обикновено разрешаване на връзката) и мрежовите профили, където правилото ще влезе в сила. Накрая, на правилото се присвоява описателно име за лесно идентифициране.

Правила за входящи и изходящи услуги или програми

В някои сценарии желанието е да се позволи на Специфична услуга, слушане на входящия трафик във всеки порт, от който се нуждае, или точно обратното: да се предотврати комуникацията на програма с външния свят през който и да е порт.

За входящата част се създава персонализирано правило, избира се „Пътят до тази програма“ и се посочва изпълнимият файл на услугата. След това това може да се персонализира така, че правилото да се прилага само за услуги, хоствани в този изпълним файл, като се избере услугата по краткото ѝ име.

Има дори опция за регулиране на тип SID на услугата използвайки командата sc sidtype Това влияе върху начина, по който услугата може да се използва в рамките на правилата на защитната стена. Промяната ѝ на ОГРАНИЧЕНО може да попречи на стартирането ѝ, така че това трябва да се прави внимателно и само когато е необходим този тип защита.

За изходящата част процесът е подобен, но създаването на правило за излизанеАко искате напълно да блокирате достъпа на тази програма до интернет, дефинирайте пътя до изпълнимия файл, задайте действието на „Блокиране на връзката“ и изберете профилите, които искате да ограничите.

Специални конфигурации за RPC и динамични портове

Услугите, които използват RPC (отдалечено извикване на процедура) Този трафик може да бъде особено чувствителен, защото използва динамични портове, които системата присвоява по време на изпълнение. За да се разреши този трафик по контролиран начин през защитната стена на Windows, обикновено е необходимо да се създадат две специфични правила.

Първият се отправя към Услуга за присвояване на крайни точки на RPC, намиращ се в %systemroot%\system32\svchost.exe. Правилото е персонализирано да се прилага към услугата RpcSs, TCP е зададен като протокол и опцията „RPC Endpoint Mapper“ е избрана за локалния порт.

Второто правило е създадено за Мрежова услуга с активиран RPC който искаме да разрешим, като посочим пътя до изпълнимия файл, който го хоства, и го свържем с тази конкретна услуга. В този случай за локалния порт са избрани „RPC динамични портове“.

И в двете правила обхватът (разрешените IP адреси), действието (разрешаване на връзката) и профилите се коригират. По този начин само устройства и услуги, които отговарят на тези условия, могат да се възползват от RPC пренасочването на портове.

Регистриране, одитиране и отстраняване на проблеми със защитните стени на Windows

Когато нещо не работи както трябва, логът на защитната стена и събитията за одит са първи източник на информацияПрепоръчително е да конфигурирате правилно събирането на лог файлове, преди да ви е необходимо.

В свойствата на защитната стена, в раздела на всеки профил, можете да персонализирате път на лог файлаМаксималният размер в KB и дали се регистрират изгубени пакети, успешни връзки или и двете. В сървърни среди обикновено е добра идея да се регистрират и двете, за да има ясна представа.

От друга страна, с инструмента за команден ред auditpol.exe Могат да бъдат активирани специфични подкатегории за одит, като например промени в политиките, така че системата да генерира подробни събития, когато политиките на защитната стена или IPsec бъдат променени.

Когато се разследва проблем, е полезно да се запише състоянието на мрежата с netstat -ano > netstat.txt и списъкът с процеси с списък със задачи > tasklist.txtЧрез кръстосано сравняване на PID на процесите в списъка със задачи с активни връзки в netstat е възможно да се установи коя програма използва определен порт.

В сложни сценарии Microsoft предоставя скриптове като например TSS.ps1 за събиране на разширени следи от филтриращия механизъм на Windows (WFP), които след това се пакетират в ZIP файл и могат да бъдат анализирани или изпратени до техническа поддръжка.

Външни инструменти: SimpleWall и защитни стени на трети страни

Вградената в Windows защитна стена работи добре, но често се пропуска. по-интуитивен интерфейс и ясни известия, когато дадено приложение се опитва да осъществи достъп до интернет за първи път. Тук се намесват решенията на трети страни.

Една от леките опции с отворен код за Windows е SimpleWallТой разчита на платформата за филтриране на Windows (WFP), но не променя директно защитната стена на Windows. Вместо това създава свои собствени правила чрез WFP, за да контролира кои приложения имат достъп.

Сред неговите характеристики са прост редактор на правилаВътрешни списъци за блокиране на телеметрията и шпионирането на Windows, регистрационни файлове за блокирани пакети, съвместимост с IPv6 и поддръжка за системни услуги и приложения от Microsoft Store.

SimpleWall ви позволява да създавате постоянни или временни правила (които изчезват след рестартиране), да активирате филтри глобално и да класифицирате програми като разрешени, блокирани или тихо блокирани. За да влязат в сила обаче правилата ви, самият SimpleWall трябва да работи във фонов режим.

Освен SimpleWall, някои потребители избират търговски защитни стени с повече функции: задълбочена проверка на пакети, предварително конфигурирани списъци за борба с проследяването, пясъчник, поведенчески анализ, разширени графични табла за управление и подобрена видимост на изходящия трафик. Много от тези продукти се интегрират със защитната стена на Windows или частично я заместват.

Производителност, предимства и недостатъци на използването на защитни стени на сървъри

Използването на защитна стена, независимо дали е на ниво периметър или операционна система, има малък цена на изпълнениеЗащото всеки мрежов пакет се анализира спрямо едно или повече правила. Това може да се забележи при оборудване с много ограничен или много стар хардуер. Проверете Ръководство за оптимизация на Linux сървъри за смекчаване на въздействията.

Въпреки това, предимството да имаш първата бариера на защитата Това е огромно: намалява излагането на външни атаки, контролира кои приложения могат да се свързват отвън, генерира полезни регистрационни файлове за одит и адаптира нивото на защита в зависимост от това дали сте в надеждна мрежа или в публична мрежа.

Основните недостатъци, освен влиянието върху производителността, са сложност на поддръжката (особено за неопитни потребители) и фалшивото чувство за сигурност: защитната стена не замества добрия антивирус, системните актуализации или, разбира се, здравия разум на администратора.

Освен това, правилното управление на правилата отнема време: преглед на това, което действително се използва, премахване на остарели правила, документиране на промените и проверка дали не са оставени неволно отворени вратички при извършване на бързи тестове или временни изключения.

Най-добри практики за разширена защита на защитните стени на сървърите

В сериозна сървърна среда не е достатъчно просто да настроите четири правила и да забравите за тях. Има редица добри практики които помагат за поддържане на контрол и намаляване на дългосрочните рискове.

Първото е да се приложи принцип на най-малко привилегии (PoLP)Това се отнася както за потребителите, така и за правилата. Избягва общи правила като „разрешаване на всичко от всеки IP адрес“ и вместо това определя правила, съобразени с конкретни IP адреси или подмрежи, конкретни портове и известни приложения.

Друг ключов фактор е поддръжката на защитната стена и нейните компоненти. винаги актуализиранТова включва прилагане на корекции на операционната система, фърмуер на физическа защитна стена, IPS сигнатури и всички актуализации, издадени от доставчика, за предпочитане след тестване в тестова среда.

Накрая е важно да се внедри ефективно наблюдение и записванеИзпращайте лог файловете до SIEM, дефинирайте предупреждения за подозрителни модели (например, много пакети, блокирани от един и същ IP адрес) и периодично преглеждайте отчетите, а не просто ги събирайте „за всеки случай“.

В допълнение към логическия слой, физическа охрана Важните характеристики на защитната стена включват: оборудване в затворени стелажи, ограничен достъп до техническото помещение и архивиране на конфигурацията, което позволява бързо връщане към предишните настройки, ако нещо се повреди след промяна.

Допълнителни слоеве: филтриране на URL адреси, VPN, IPS, QoS и контрол на приложенията

Повечето съвременни NGFW ви позволяват да активирате разширени функции, които допълват основното филтриране на пакети и правилата за IP/портове.

El Филтриране на URL адреси Позволява ви да класифицирате уебсайтове по категории (зловреден софтуер, социални мрежи, съдържание за възрастни, P2P изтегляния и др.) и да блокирате тези, които се считат за неподходящи или опасни, което помага както за засилване на сигурността, така и за прилагане на политики за приемливо ползване.

на VPNНезависимо дали става въпрос за достъп от място до място или отдалечен достъп, VPN мрежите разчитат на протоколи като IPsec или SSL/TLS, за да криптират трафика между офиси и отдалечени потребители. Защитните стени обикновено интегрират терминирането на тези VPN мрежи и прилагат същите правила за контрол към криптирания трафик, както към останалата част от мрежата.

Un Система за предотвратяване на прониквания (IPS) Той проверява трафика в реално време, търсейки известни модели на атаки или странно поведение, и може автоматично да блокира връзки, които се опитват да използват системни или приложни уязвимости.

El контрол на приложението Той осигурява много по-голяма видимост от просто порта: позволява ви да решите кои конкретни приложения (напр. Skype, Dropbox, приложения за игри и др.) са разрешени или блокирани, дори когато използват стандартни или криптирани портове.

Накрая на Качество на услугата (QoS) Това позволява приоритизиране на критичния трафик (глас, видеоконферентна връзка, бизнес приложения) пред други по-маловажни потоци, предотвратявайки масово изтегляне или архивиране да се превърне в мрежа, неизползваема за крайния потребител.

Грижете се старателно разширена конфигурация на защитната стена на сървъритеОт проектирането на зони и подробни правила до използването на функции от следващо поколение, регистриране, одит и инструменти като SimpleWall или специализиран NGFW, това прави разликата между мрежа, която „горе или по-малко се справя“ и инфраструктура, наистина подготвена да издържи на атаки, да расте без загуба на контрол и да отговаря на настоящите изисквания за сигурност.