不管是为关键应用优先分配带宽还是限制生产力不高的用户组带宽,以最大程度地提高生产力,企业均可在每用户/用户组基础上结合所有控制能力,创建详细的策略。
创建拦截策略避免机密电子邮件外泄
在一些公司内,外发电子邮件系统无法检查电子邮件附件内容,作为邮件附件的“公司机密”文件可被轻松“带出”公司。即使公司现有的垃圾邮件防护系统可检测和阻止包含“公司机密”信息的外发电子邮件,但如何阻止员工使用Yahoo或Gmail邮件服务发送“公司机密”信息?事实上,NGFW可标记出通过上传方式或Webmail附件传输的敏感、带水印、公章或标签的数据,通过增强对加密流量的监管和控制,防止机密文件及数据外泄,避免敏感客户信息和知识产权不必要的暴露而蒙受损失。首先,使用深度包检测引擎搜索电子邮件内容=“公司机密”或“公司专有”,继而阻止邮件发送,并通知发件人此邮件为“公司机密”。一旦外发网络流量穿越公司防火墙,NGFW即可以检测并拦截“移动中的数据”。
创建FTP上传策略控制文件上载权限
许多公司会建立一个或多个FTP 网站,以便与业务合作伙伴交换大型文件,同时,希望确保合作伙伴方只有项目经理可以上传文件,其他任何人均不被授权。NGFW使用深度包检测引擎搜索FTP命令=“放置”,而后搜索验证用户名= “pm_partner”(项目经理),若两者均符合,便允许FTP上传放置。当然,NGFW还可以驳回任何企业认为指定FTP服务器不需要的FTP命令。
除上述创建不同策略以管理和控制网络应用外,NGFW还可利用带宽和时间限制阻止或限制对等网(P2P)应用,从而防止宽带盗用及恶意文件。此外,如今许多企业的关键业务如SAP、®Salesforce.com和 ®SharePoint都是基于云的应用,或者,它们的运行需要跨越不同地理位置的网络,NGFW能够确保这些应用可以优先获得运行所需的带宽,从而改善业务效率。
总而言之,下一代防火墙进一步增强了安全性,对传统的网络层威胁防御系统进行了扩展,纳入了应用层检测功能。其真正的价值在于智能流量管理,可根据应用、用户或用户组和内容来执行相应的策略。下一代防火墙无缝集成了应用智能以及入侵防御和防恶意软件等核心功能,打造全方位的网络安全平台。这就是防火墙技术的未来。
