不可不知的解決方案:協同偵測與回應 Collaborative Detection & Response (CDR)

Zyxel_Kenny
Zyxel_Kenny 文章數: 77  Zyxel Employee
First Comment Friend Collector Third Anniversary
已編輯 6月 27 日 Nebula 常見問題

Zyxel防火牆如何與基地台協作在網路邊緣隔離威脅?

網路管理員都不希望用戶牽扯到惡意網路活動,"協同偵測與回應"(CDR)是我們相關的熱門解決方案,如果您對此還不熟悉,本文將展示 CDR 如何幫助您。

什麼是"協同偵測與回應"(CDR)?

CDR 用於識別複雜的組織工作人員、工作內容和工作場所所造成的威脅和風險。在設置的防火牆或Nebula防火牆上,提供網路管理員以規則為基礎的資安政策。

當防火牆在客戶端檢測到威脅時,會與Nebula智慧雲網路控制中心同步,並自動在網路邊緣設備(如無線基地台)上隔離受感染設備。

當CDR 中的客戶端流量達到其臨界值時,設備將阻止客戶端流量。它非常適合IT部門應對分散式網路基礎設施的要求,並提供自動保護。

*注意:CDR 僅由USG FLEX/ ATP系列支援

如何配置 CDR?

[本地管理防火牆]

請點擊連結了解配置流程。

[雲端防火牆]

1.前往【整個站點 > 設定 > 協作檢測和回應】,點擊“啟用"開啟 CDR 功能。

圖 1. 協作偵測與回應

2. 您可以在資安政策中配置準則和操作,如下圖所示:

圖 2. 協作偵測與回應

名詞解釋:

  • 出現次數:客戶端威脅命中次數。
  • 持續時間:在此時間內,CDR 偵測到一個威脅。
  • 包含:當兩個準則都被觸發時的動作。
  • 警示:當觸發時,Nebula會向管理員發送警報Email。非法流量將被安全服務功能阻擋。
  • 禁止:Nebula將向管理員發送警報Email。閘道器或基地台將阻止流量並將其重導向到阻止頁面。 *僅支持在基地台上阻止無線客戶端。在封鎖期間,客戶端無法連接到WiFi。
  • 隔離:Nebula會向管理員發送警報Email。基地台將中斷客戶端的WiFi連接,然後當客戶端再次連接到WiFi時,它將獲得隔離VLANIP。 *隔離功能僅在基地台上運行。

3. 在隔離區,您可以自定義被 CDR 阻擋的客戶端的通知消息和隔離時間間隔。

4. 封鎖用於防止惡意客戶端訪問無線網絡,而隔離則是用於支持 CDR 的基地台使用動態VLAN分配來隔離客戶端。

5. 例外清單(Exempt list)是一個白名單,您可以在其中輸入您不希望被 CDR 封鎖的設備的IP或MAC地址。

 圖 3. 例外清單

CDR阻擋客戶端的示例

當客戶端訪問了一個惡意網站,並且此行為觸發了 CDR 的準則時,客戶端的瀏覽器將彈出如下圖所示的警告訊息:

圖 4. CDR 警告訊息

管理員如何釋放被封鎖的用戶?

前往【整個站點 > 監控 > 異常用戶隔離區】,您可以選擇"釋放"“新增至豁免清單"

圖 5. 阻擋列表