利基網路Instant Lock管理系統可額外偵測某些廠牌防火牆、防毒牆的事件記錄作為感應器(Sensor),例如Juniper和Dlink的防火牆、McAfee eShield 200/500/1000及WebShield防毒牆,從這些設備上的資料找到網路流量異常或已中毒感染的位置,接著區域聯防系統再通知L2/L3交換器,驅動這些設備扮演封鎖者(Locker)的角色,鎖定該網路埠,隔離網段。

InstantLock Co-Defense System目前支援的交換器品牌有Dlink、Cisco、Alcatel、Extreme、SMC等5個品牌,並有指定型號,可以跨廠牌與資安設備協同的InstantLock,能收集的設備包括Juniper和McAfee的網路安全設備記錄,未來利基將繼續增加Sensor和Locker,事件記錄繼續支援更多設備,以及不同廠牌/型號交換器的ACL和SNMP寫法。假如InstantLock Co-Defense System所支援的Sensor或Locker韌體大幅改版,利基這邊可能需要重新改寫。

針對可疑的電腦,這樣的協防架構會自動鎖定隔離,再定時放行,而不是如大廠的NAC架構先隔離至特定網段,等到該部電腦修補或更新病毒碼後,再讓它繼續上網。

InstantLock如果要鎖定目標,會找離用戶端最近、而且可以辨認出使用者身分的交換器暫時鎖定,經過一段時間後會自動解除鎖定。

假如Sensor收集的對象是IPS,為了減少誤判,系統可以自行調整IPS的反應等級,只針對最緊急的狀況反應。防毒牆的中毒警訊很明確,誤報機率不高,就可以直接鎖定。文⊙李宗翰


Advertisement

更多 iThome相關內容