加密流量洞察概述
加密流量洞察可帮助您检测隐藏在加密流量中的恶意威胁,而无需拦截并解密流量。
加密流量洞察的优势
-
在不破坏流量加密的情况下监控网络流量的威胁,从而遵守数据隐私法。
-
消除了为设置和管理网络而更改其他硬件或网络的需要:
-
SRX 系列防火墙向 ATP 云提供所需的元数据(例如已知的恶意证书和连接详细信息)和连接模式。
-
ATP 云提供行为分析和机器学习 (ML) 功能。
-
-
提高对加密流量的可见性和策略实施,而无需进行资源密集型 SSL 解密:
-
根据 ATP 云分析的网络行为,将网络连接分类为恶意或良性。
-
-
在传统信息安全解决方案之外再增加一层保护,帮助组织降低和管理风险。
-
确保没有延迟,因为我们不会解密流量。
工作流程
本部分提供用于执行加密流量洞察的拓扑和工作流。
图 2 显示了加密流量洞察工作流的逻辑拓扑。
图 2:用于加密流量洞察
的拓扑
的拓扑
| 步 |
描述 |
|---|---|
| 1 |
位于 SRX 系列防火墙后面的客户端主机请求从互联网下载文件。 |
| 2 |
SRX 系列防火墙接收来自互联网的响应。SRX 系列防火墙从会话中提取服务器证书,并将其签名与阻止列表证书签名进行比较。如果发生匹配,则连接将被阻止。
注意:
瞻博网络 ATP 云源通过与已知恶意软件站点关联的证书源使 SRX 系列防火墙保持最新状态。 |
| 3 |
SRX 系列防火墙会收集元数据和连接统计信息,并将其发送到 ATP 云进行分析。 |
| 4 |
ATP 云执行行为分析,将流量分类为良性或恶意。 |
| 5 |
如果检测到恶意连接,则会重新计算主机的威胁评分。如果新分数高于阈值,则客户端主机会添加到受感染的主机列表中,根据 SRX 系列防火墙上的策略配置,客户端主机可能会被阻止。 |