加密流量洞察概述和优势
从监控>加密流量菜单访问此页面。
加密流量洞察可帮助您检测隐藏在加密流量中的恶意威胁,而无需拦截和解密流量。
加密流量洞察的优势
-
在不破坏流量加密的情况下监控网络流量是否存在威胁,从而遵守数据隐私法。
-
无需额外更改硬件或网络即可设置和管理网络:
-
SRX 系列防火墙向 ATP 云提供所需的元数据(例如已知恶意证书和连接详细信息)和连接模式。
-
ATP 云提供行为分析和机器学习功能。
-
-
提高对加密流量的可见性和策略实施,而无需进行资源密集型 SSL 解密:
-
根据ATP云分析的网络行为,网络连接分为恶意连接或良性连接。
-
-
在传统信息安全解决方案之外增加一层保护,帮助组织降低和管理风险。
-
确保无延迟,因为我们不解密流量。
表 1 列出了“加密流量洞察”页面上提供的信息。
领域 |
指引 |
---|---|
外部服务器 IP |
外部服务器的 IP 地址。 |
外部服务器主机名 |
外部服务器的主机名。 |
最高威胁级别 |
基于加密流量洞察的外部服务器上的威胁级别。 |
计数 |
网络上的主机尝试与此服务器联系的次数。 |
国家 |
外部服务器所在的国家/地区。 |
上次出现时间 |
最近外部服务器命中的日期和时间。 |
类别 |
有关此服务器的已知其他类别信息,例如僵尸网络、恶意软件等。 |
流程
本部分提供用于执行加密流量洞察的拓扑和工作流。
图 2 显示了加密流量洞察工作流的逻辑拓扑。
步 |
描述 |
---|---|
1 |
位于 SRX 系列防火墙后面的客户端主机请求从互联网下载文件。 |
2 |
SRX 系列防火墙接收来自互联网的响应。SRX 系列防火墙从会话中提取服务器证书,并将其签名与阻止列表证书签名进行比较。如果发生匹配,则会阻止连接。
注意:
瞻博网络 ATP 云源可通过与已知恶意软件站点关联的证书源使 SRX 系列防火墙保持最新状态。 |
3 |
SRX 系列防火墙收集元数据和连接统计信息,并将其发送到 ATP 云进行分析。 |
4 |
ATP 云执行行为分析,将流量分类为良性或恶意。 |
5 |
如果检测到恶意连接,则会重新计算主机的威胁分数。如果新分数高于阈值,则会将客户端主机添加到受感染主机列表中,根据 SRX 系列防火墙上的策略配置,客户端主机可能会被阻止。 |
有关在 SRX 系列防火墙上启用加密流量洞察的信息,请参阅 《瞻博网络高级威胁防御云管理指南》。