不可不知的解決方案：協同偵測與回應 Collaborative Detection & Response (CDR)

Zyxel_Kenny

Zyxel防火牆如何與基地台協作在網路邊緣隔離威脅？

網路管理員都不希望用戶牽扯到惡意網路活動，"協同偵測與回應"(CDR)是我們相關的熱門解決方案，如果您對此還不熟悉，本文將展示 CDR 如何幫助您。

什麼是"協同偵測與回應"(CDR)?

CDR 用於識別複雜的組織工作人員、工作內容和工作場所所造成的威脅和風險。在設置的防火牆或Nebula防火牆上，提供網路管理員以規則為基礎的資安政策。

當防火牆在客戶端檢測到威脅時，會與Nebula智慧雲網路控制中心同步，並自動在網路邊緣設備（如無線基地台）上隔離受感染設備。

當CDR 中的客戶端流量達到其臨界值時，設備將阻止客戶端流量。它非常適合IT部門應對分散式網路基礎設施的要求，並提供自動保護。

*注意：CDR 僅由USG FLEX/ ATP系列支援

如何配置 CDR？

[本地管理防火牆]

請點擊連結了解配置流程。

[雲端防火牆]

1.前往【整個站點 > 設定 > 協作檢測和回應】，點擊“啟用"開啟 CDR 功能。

圖 1. 協作偵測與回應

2. 您可以在資安政策中配置準則和操作，如下圖所示：

圖 2. 協作偵測與回應

名詞解釋：

• 出現次數：客戶端威脅命中次數。
  
• 持續時間：在此時間內，CDR 偵測到一個威脅。
  
• 包含：當兩個準則都被觸發時的動作。
  
• 警示：當觸發時，Nebula會向管理員發送警報Email。非法流量將被安全服務功能阻擋。
  
• 禁止：Nebula將向管理員發送警報Email。閘道器或基地台將阻止流量並將其重導向到阻止頁面。 *僅支持在基地台上阻止無線客戶端。在封鎖期間，客戶端無法連接到WiFi。
  
• 隔離：Nebula會向管理員發送警報Email。基地台將中斷客戶端的WiFi連接，然後當客戶端再次連接到WiFi時，它將獲得隔離VLANIP。 *隔離功能僅在基地台上運行。

3. 在隔離區，您可以自定義被 CDR 阻擋的客戶端的通知消息和隔離時間間隔。

4. 封鎖用於防止惡意客戶端訪問無線網絡，而隔離則是用於支持 CDR 的基地台使用動態VLAN分配來隔離客戶端。

5. 例外清單(Exempt list)是一個白名單，您可以在其中輸入您不希望被 CDR 封鎖的設備的IP或MAC地址。

 圖 3. 例外清單

CDR阻擋客戶端的示例

當客戶端訪問了一個惡意網站，並且此行為觸發了 CDR 的準則時，客戶端的瀏覽器將彈出如下圖所示的警告訊息：

圖 4. CDR 警告訊息

管理員如何釋放被封鎖的用戶？

前往【整個站點 > 監控 > 異常用戶隔離區】，您可以選擇"釋放"或“新增至豁免清單"。

圖 5. 阻擋列表