最新的防火墙和入侵保护系统(IPS)的关键特性之一是增加了一种叫做GeoBlocking的功能. 此功能允许管理员关闭来自世界上特定国家或地区和本地网络的流量,而不管是否有任何其他防火墙权限.
例如, 您可能在防火墙中设置了一条规则,授予从任何地方到您的web服务器在端口80和443上的入站权限. 这对于web服务器正常工作和服务客户端请求来说是很正常的. 现在让我们假设您已经决定,您的网络没有充分的理由与位于朝鲜的设备进行通信. GeoBlocking规则将导致防火墙拒绝来自朝鲜客户端设备的web请求(端口80或443), 尽管防火墙规则在访问web服务器的权限规则中有一个源“any”.
使用该功能可以显著增强我们保护网络的能力. 我们不仅可以抑制来自外部的潜在恶意流量, 但是,我们也可以中断网络中可能受到威胁的机器的出站流量. 这可以帮助防止恶意程序或行为者在恶意软件感染后在我们的内部网络中获得适当的立足点,从而减少发生的损害范围.
为我们的客户, CSI传统上总是将8个国家加入默认的GeoBlocking表, 包括朝鲜等地, 俄罗斯, 和伊朗.
去年春末, US-CERT发布了一份关于恶意活动的建议,他们认为这些恶意活动来自14个国家的相当多的网络(当时大约有90个),并鼓励在所有这些网络上设置防火墙. 让我们担心的是,虽然最初的报告显示有90个网络(这是足够大的,必须处理),但我们担心下周会有10个以上, 之后还有10个, 等.
经过与几位客户的讨论和咨询, 我们决定进行试验,将所有14个新国家添加到这些客户的GeoBlocking表中. 虽然这种更激进的地理阻塞立场确实没有带来什么不好的事情, 我们发现了一些有趣的项目.
有一次, 我们最终打开了一个APP客户端支持案例,因为有问题的地区的商业办公室在从他们的银行获得安全通信方面遇到了问题. 我们最终可以确定,尽管该银行是一家总部位于美国的大型银行, 或者我们是这么认为的, 该服务使用的安全邮件服务器位于阿根廷, 阿根廷也在“地理封锁”名单上. 让人大开眼界的是,他们“当地银行”的部分通信是, 事实上, 途经阿根廷. 谁知道?
在另一个案例中, 该地区正在安装一个新的安全系统,其中包括与基于云的监控平台通信的IP安全摄像头. 涉及的供应商在连接摄像头和云平台时遇到了困难. 我们最终确定有问题的相机供应商, 轴, 是一家总部位于瑞典的公司,其云平台位于他们在瑞典的一个数据中心内, 这个国家现在又上了地理封锁名单.
在这种情况下, 我们很容易确定属于制造商的IP范围,以便我们可以在GeoBlocking表中添加此通信的异常. 但它引发了一场关于意识的讨论,以及他们是否愿意让他们所在地区的安全系统的部分数据由位于瑞典的应用程序和服务器存储和控制.
这两个实例都强调了所有网络管理员今后的一些重要事项:
1. 对于关键系统, 尤其是涉及安全的, 涉及包含您的员工或学生的个人身份信息的数据的财务或系统, 如果您使用云服务来保存或发送这些信息,您将需要向供应商查询他们的系统保存这些数据的实际位置. 你可能会对你得到的答案感到惊讶,在某些情况下甚至有点不舒服, 而且它可能会影响您对供应商解决方案提供商的最终选择.
2. 如果您正在使用启用了GeoBlocking功能的新一代防火墙之一,并且您对系统不工作(或停止工作)的原因感到挠头,那么您将希望快速查看IPS日志(这是发生GeoBlocking的地方). 也许你的系统的某些部分实际上位于世界上你没有预料到的某个地方.
互联网是一个真正的全球社区,不管你是否使用本地供应商的项目,如果它涉及到将数据发送到“云”,你永远不知道这些信息可能会在哪里结束. 在某些情况下, 您可能不一定喜欢这个答案,并选择在提供者中做出另一个选择.
最近的评论