不可不知的解決方案:協同偵測與回應 Collaborative Detection & Response (CDR)
Zyxel_Kenny
文章數: 78 Zyxel Employee
Zyxel防火牆如何與基地台協作在網路邊緣隔離威脅?
網路管理員都不希望用戶牽扯到惡意網路活動,"協同偵測與回應"(CDR)是我們相關的熱門解決方案,如果您對此還不熟悉,本文將展示 CDR 如何幫助您。
什麼是"協同偵測與回應"(CDR)?
CDR 用於識別複雜的組織工作人員、工作內容和工作場所所造成的威脅和風險。在設置的防火牆或Nebula防火牆上,提供網路管理員以規則為基礎的資安政策。
當防火牆在客戶端檢測到威脅時,會與Nebula智慧雲網路控制中心同步,並自動在網路邊緣設備(如無線基地台)上隔離受感染設備。
當CDR 中的客戶端流量達到其臨界值時,設備將阻止客戶端流量。它非常適合IT部門應對分散式網路基礎設施的要求,並提供自動保護。
*注意:CDR 僅由USG FLEX/ ATP系列支援
如何配置 CDR?
[
本地管理防火牆
]
請點擊連結了解配置流程。
[
雲端防火牆
]
1.前往【整個站點 > 設定 > 協作檢測和回應】,點擊“啟用"開啟 CDR 功能。
圖 1. 協作偵測與回應
2. 您可以在資安政策中配置準則和操作,如下圖所示:
圖 2. 協作偵測與回應
名詞解釋:
- 出現次數:客戶端威脅命中次數。
- 持續時間:在此時間內,CDR 偵測到一個威脅。
- 包含:當兩個準則都被觸發時的動作。
- 警示:當觸發時,Nebula會向管理員發送警報Email。非法流量將被安全服務功能阻擋。
- 禁止:Nebula將向管理員發送警報Email。閘道器或基地台將阻止流量並將其重導向到阻止頁面。
*僅支持在基地台上阻止無線客戶端。在封鎖期間,客戶端無法連接到WiFi。
- 隔離:Nebula會向管理員發送警報Email。基地台將中斷客戶端的WiFi連接,然後當客戶端再次連接到WiFi時,它將獲得隔離VLANIP。
*隔離功能僅在基地台上運行。
3. 在隔離區,您可以自定義被 CDR 阻擋的客戶端的通知消息和隔離時間間隔。
4. 封鎖用於防止惡意客戶端訪問無線網絡,而隔離則是用於支持 CDR 的基地台使用動態VLAN分配來隔離客戶端。
5. 例外清單(Exempt list)是一個白名單,您可以在其中輸入您不希望被 CDR 封鎖的設備的IP或MAC地址。
圖 3. 例外清單
CDR阻擋客戶端的示例
當客戶端訪問了一個惡意網站,並且此行為觸發了 CDR 的準則時,客戶端的瀏覽器將彈出如下圖所示的警告訊息:
圖 4. CDR 警告訊息
管理員如何釋放被封鎖的用戶?
前往【整個站點 > 監控 > 異常用戶隔離區】,您可以選擇"釋放"或“新增至豁免清單"。
圖 5. 阻擋列表
0