Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Sophos XG PoC的建議事項 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2369

shunze 離線
《分享》Sophos XG PoC的建議事項引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Sophos XG的PoC上,常聽到客戶說要全功能或Enterprise Guard測試,
事實上不論全功能或Enterprise Guard,兩者包含的功能都相當多,
若真要逐一進行測試,我想我們測試人員留在客戶那一週都不見得夠用,
因此如何適切的定義出客戶真正的需求,顯得相當重要。
一來可以直接命中客戶需求,二來可以縮短PoC時間,
對客戶在Sophos XG的測試上,也能獲得較好的印象。


Sophos XG是New Generation(新世代)的防火牆,
除了基本的內外進出管制外,跟上一個世代的防火牆比較下來,有哪些重點是值得客戶去測試的?
順子個人認為有以下幾點。

  1. 身份驗證(不用額外授權費用)
    而且可以與AD整合,進行SSO單一驗證,或透過網頁驗證,
    驗證後的user/group可套用個別的web/application filter與QoS,
    在設定上相當靈活。

  2. 防毒(需Web ProtectionEmail Protection授權)
    搭配Web Protection授權,可在HTTP/HTTPS/FTP協定中進行特徵碼比對的掃毒;
    搭配Email Protection授權,則可在email的傳遞過程中進行郵件掃毒。

  3. Web/Application Filter(需Web Protection授權)
    若客戶需要針對host/user/group進行個別的網頁類別及應用程式過濾,
    那就需要此模組。

  4. 入侵偵測防護(需Network Protection授權)
    若客戶有主機架在內部(例如DNS,Web Server),那可透過相關IPS模組的過濾來達到部分保護效果。
    當然也可以套用在內對外的全面防護上,
    但套用的IPS模組愈外,耗能也愈大,嚴重的話會造成防火牆效能低落,
    設定上務必小心。

  5. 郵件防護(需Email Protection授權)
    透過email protection可以做病毒與垃圾郵件的防護,
    也可以透過隔離郵件與摘要機制讓user決定哪些郵件要重新釋放。
    對內部有email server的環境適用;
    相對的,若使用Gmail,Office 365等外部信箱的環境則不適合。

  6. Wireless整合(不用額外授權費用)
    與無線整合是Sophos XG的附加功能,
    之所以說是附加功能,那是因為它不見得能與大型、專業的無線solution相提並論。
    但在客戶已使用Sophos XG防火牆的前提下,不失為一個好的附加功能供客戶選用。

  7. Web Application Firewall(需Webserver Protection授權)
    若內部有網頁主機提供對外服務,希望在外對內的網頁存取上多加一層防護,
    避免如SQL injection、XSS、Generic Attacks等,
    那可以透過WAF的防謢功能來進行保護。

  8. 沙箱(需Sandstorm授權)
    Sophos XG的沙箱是基於HTTP/HTTPS防毒掃描與郵件防護(MTA mode)上的再一層保護,
    透過Sophos LAB的沙箱機制來分析未能識別的檔案.
    若環境中沒有使用HTTP/HTTPS防毒掃描,也沒有使用MTA mode的郵件防護,
    那沒必要購買沙箱授權。

  9. VPN(不用額外授權費用)
    在Sophos XG上,不論是站台對站台,或是提供遠端user連回公司的remote VPN均不需額外授權。
    在站台對站台的VPN上,Sophos XG提供了IPsec VPN與新的Client/Server架構的SSL VPN,
    其中IPsec VPN的異質平台介接,我們有相當多成功經驗,包含Forti,SonicWall,新軟,甚至是中華電信HiCloud我們都有客戶在使用。
    在remote VPN上,XG提供了SSL VPN, L2TP, PPTP等多種VPN供使用者選擇,
    在Windows/MAC/行動裝置上都可使用,且這些VPN都不用額外授權。

  10. RED(需Network Protection授權)
    RED是唯一一個需要授權的VPN類型.
    透過簡單的設定,將設定檔透過Sophos的Provision server進行派送。
    只要RED能夠上網,就可成功連線回XG,是個相當方便、簡單又好用的硬體VPN裝置。

  11. ATP(需Network Protection授權)
    ATP近來是個熱門的話題,在XG上透過IPS、AV、Web Filtering、Spam、WAF等各種類型的安全模組,來防護C&C連線的威脅。
    只要在安全模組中偵測到這類型的活動,
    該封包就會被記錄或阻擋,以防止惡意程式於背景作業中的連線。

  12. Security Heartbeat(與Sophos EndPoint聯防,需Network Protection授權)
    若user環境中已使用Sophos EndPoint,那麼透過Security Heartbeat來進行聯合防禦是個棒的構想。
    管理者可以設定使用者的電腦需達一定等級才可以對內或對外連結,
    對於使用者層級的安全級可做一定範圍的提升!


以上提了順子認為值得使用者PoC的重點,
那麼有哪些環境不適合Sophos進行部署呢?
  • 在實測中我們發現,強制user掛proxy的環境是不適合XG的
    因為XG目前還沒有能解析Proxy中X-Forwarded-For參數的功能,無法解析內部user真正的IP,
    因此在Proxy環境中,我們較其它競爭對手(PA,CheckPoint)相對弱勢,Forti則與我們相同無法解析...

    但若能說服使用者廢掉Proxy,上網過濾改由我們XG來執行,
    不僅可以簡化環境配置,又可幫使用者節省Proxy的建置/維護費用,
    不論對我們或是對客戶都是有助益的,可謂一舉兩得。

  • 另外在Wireless的部分,我們Sophos XG的無線架構是可以減少維護人力,單一部署的Thin AP架構。
    若客戶環境中只有一兩個無線AP的需求,改用Thin AP是不實際的...
    主因是Thin AP單價高,且在數量少的情況下,user透過單一部署與個別部署的成本差不多,
    在這種條件下,推Thin AP架構有其難度!


在談過了測試重點與不適合環境後,真正PoC時,我們有哪些模式可供客戶選擇呢?
  1. 首先是直接取代客戶既有的防火牆這種方式。


    不過這種方式需逐一抄寫原防火牆中的規則,耗費時間最多!
    但建置後若沒問題,日後買正式機時,可直接匯入設定檔進行取代,
    相對少了重新建置的時間。
    在這種模式下,任何功能都可以進行測試。

  2. 再來是小範圍的測試


    客戶環境中若有多餘的外部IP,則可進行小範圍的測試。
    測試時內部user的default gateway只要指向我們XG即可進行各種測試。
    唯獨email server有IP識別的問題,任意重新指派email server的IP有可能被外部郵件伺服器識為假冒主機。
    不建議郵件防護在此類型中進行測試。


  3. 橋接模式


    Sophos XG居中過濾防火牆到交換器間的封包。
    在這種模式下,不影響使用者既有的網路環境,是最普遍的測試方式。
    但在這種模式下,郵件防護只能用Legacy Mode,且不支援Site to Site/Remote Access VPN與WAF的測試。
    測試前請溝通清楚。

  4. Sniffer模式


    Sniffer Mode在測試時,需請user在交換器上產生一份副本(Mirror),然後餵給Sophos XG進行分析。
    在這種模式下,什麼功能都無法使用,只能分析交換器餵過來的封包,
    然後透過報表功能來查看我們XG能解析到哪些網頁或應用軟體的類別,
    無法做重點功能的試用測試!


順子認為,在明白客戶的需求,PoC測試也都成功後,
這時再來談哪種授權組合包比較適合客戶也不遲∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-08-21, 12:08 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR