Overview
XG Firewall v18 MR1 hiện đã được tung ra trên toàn cầu, mang lại mức độ hiển thị, bảo vệ và hiệu suất mới cho tường lửa của bạn. Khi thông báo về bản cập nhật firmware mới nhất xuất hiện trong bảng điều khiển, sophos khuyến khích mọi người tận dụng quy trình dễ dàng chỉ một vài cú nhấp chuột để tiến hành nâng cấp.
Và nếu bạn đã thực hiện được điều đó, thì bây giờ là lúc để nâng cấp tường lửa XG của bạn lên v18. Vì có nhiều tính năng mới tuyệt vời trong XG Firewall v18, chẳng hạn như kiến trúc Xstream mới, bảo vệ mối đe dọa zero-day, Sophos Central Management and Reporting và làm thế nào bạn có thể tận dụng tối đa chúng.
1. Kiến trúc Xstream
Một trong những tính năng hàng đầu trong v18 là kiến trúc Xstream mới, bao gồm một công cụ DPI Engine và TLS 1.3 Inspection cho lưu lượng được mã hóa.
Kiến trúc này khác với giải pháp web proxy cũ như thế nào? Nói một cách đơn giản, công cụ Xstream DPI mới được thiết kế đặc biệt để đạt được hiệu suất tối ưu và hiệu quả xử lý kết nối. Nó sử dụng một công cụ streaming duy nhất để kiểm tra lưu lượng giữa một host trên mạng và server hoặc dịch vụ bên ngoài. Điều này cung cấp tất cả các bảo vệ thiết yếu trong một lần duy nhất:
- Quét phần mềm độc hại tệp và web
- Ngăn chặn xâm nhập (IPS) hoặc cố gắng khai thác lỗ hổng mạng
- Nhận dạng và kiểm soát ứng dụng
Bằng cách quét các tệp khi chúng được tải xuống từ máy chủ web, nó có thể chuyển nội dung cho người dùng cuối trong khi chỉ giữ phần cuối của tệp để hoàn tất quá trình quét trước khi chặn hoặc cho phép tải xuống. Nó không cần phải giữ toàn bộ tập tin trong khi nó được quét.
Không giống như công cụ Xstream DPI, cách bảo vệ cũ trong XG Firewall sử dụng các công cụ khác nhau cho các công việc khác nhau. Có một proxy web để kiểm tra và lọc nội dung web, công cụ IPS và giải pháp kiểm soát ứng dụng.
Thay vì quét luồng khi lưu lượng truy cập đi qua, web proxy hoạt động như một chuyển tiếp giữa máy khách và máy chủ bên ngoài. Điều này có lợi thế khi cần sửa đổi tiêu đề gói để hỗ trợ các tính năng như tìm kiếm an toàn, hạn chế YouTube hoặc hạn chế tên miền Google vì chỉ có web proxy cũ mới có thể hỗ trợ các tính năng này. Tuy nhiên, trong tất cả các trường hợp khác, điều đó chỉ có nghĩa là nó xử lý nhiều kết nối hơn và thực hiện nhiều công việc hơn.
2. Tận dụng tối đa công cụ Xstream DPI mới và TLS Inspection.
Khi bạn nâng cấp tường lửa XG của bạn lên v18, tất cả các quy tắc tường lửa hiện tại của bạn sẽ được sử dụng web proxy theo mặc định để đảm bảo khả năng tương thích nâng cấp liền mạch. Nếu bạn không yêu cầu các tính năng như tìm kiếm an toàn, hạn chế YouTube hoặc hạn chế tên miền Google, bạn nên chuyển các quy tắc tường lửa này sang sử dụng công cụ DPI Xstream mới. Nó yêu cầu thay đổi thành một cài đặt duy nhất:
Cài đặt này xác định xem bạn có sử dụng web proxy cũ (đã chọn) hoặc công cụ DPI Xstream mới (không được chọn).
Bằng cách chuyển đổi nhiều quy tắc tường lửa của bạn sang công cụ DPI Xstream mới, bạn có thể thấy một lợi ích hiệu suất rất lớn.
Tận dụng công cụ kiểm tra TLS mới với sự hỗ trợ cho TLS 1.3 cũng rất đơn giản để cấu hình. Về cơ bản, nó yêu cầu 1 bước nhấn check trong tường lửa của bạn để kích hoạt và sau đó tạo quy tắc mới trên SSL/TLS Inspection Rules tab như dưới đây.
Giống như bất kỳ giải pháp kiểm tra TLS nào, bạn cũng sẽ cần triển khai chứng chỉ CA của thiết bị đến các hosts trên mạng mà bạn muốn kiểm tra. Bạn nên sử dụng trình hướng dẫn được tích hợp trong các công cụ quản lý chính sách nhóm Microsoft Active Directory để thực hiện việc này nhanh chóng và dễ dàng.
Không phải tất cả các ứng dụng và máy chủ đều hỗ trợ kiểm tra TLS đầy đủ và đúng cách, vì vậy hãy xem Control Center để biết lỗi và tận dụng các công cụ tích hợp thuận tiện để loại trừ các trang web hoặc dịch vụ có vấn đề.
Khi bạn cảm thấy thoải mái với công cụ DPI và kiểm tra TLS, bạn nên áp dụng rộng rãi hơn trên mạng của mình. Tuy nhiên, với lưu lượng truy cập được mã hóa hiện chiếm hơn 80% lưu lượng truy cập internet, hãy nhớ rằng việc kiểm tra TLS tốn nhiều tài nguyên do bản chất của thuật toán giải mã / mã hóa.
Nếu thiết bị tường lửa XG của bạn đã sử dụng lâu và đang chạy ở mức tải cao, có lẽ đã đến lúc làm mới phần cứng hoặc một mô hình hiệu suất cao mới. Cho phép kiểm tra TLS trên hầu hết lưu lượng truy cập internet của bạn hiện là sự bảo vệ thiết yếu trước các mối đe dọa và ransomware mới nhất vì ngày càng nhiều tin tặc sử dụng mã hóa TLS để truy cập mạng và không bị phát hiện.