加密流量洞察概述和优势
从 菜单访问此页面。
加密流量洞察可帮助您检测隐藏在加密流量中的恶意威胁,而无需拦截并解密流量。
加密流量洞察的优势
-
在不破坏流量加密的情况下监控网络流量的威胁,从而遵守数据隐私法。
-
消除了为设置和管理网络而更改其他硬件或网络的需要:
-
SRX 系列防火墙向 ATP 云提供所需的元数据(例如已知的恶意证书和连接详细信息)和连接模式。
-
ATP 云提供行为分析和机器学习 (ML) 功能。
-
-
提高对加密流量的可见性和策略实施,而无需进行资源密集型 SSL 解密:
-
根据 ATP 云分析的网络行为,将网络连接分类为恶意或良性。
-
-
在传统信息安全解决方案之外添加一层保护,帮助组织降低和管理风险。
-
确保没有延迟,因为我们不会解密流量。
表 1 列出了 Encrypted Traffic Insights 页面上提供的信息。
| 田 |
指引 |
|---|---|
| 外部服务器 IP |
外部服务器的 IP 地址 |
| 外部服务器主机名 |
外部服务器的主机名 |
| 最高威胁级别 |
基于加密流量洞察的外部服务器上的威胁级别。 |
| 计数 |
网络上的主机尝试联系此服务器的次数。 |
| 国家 |
外部服务器所在的国家/地区。 |
| 最后一次出现 |
最近一次外部服务器命中的日期和时间。 |
| 类别 |
关于此服务器的其他已知类别信息,例如僵尸网络、恶意软件等 |
工作流程
本部分提供用于执行加密流量洞察的拓扑和工作流。
图 2 显示了加密流量洞察工作流的逻辑拓扑。
的拓扑
| 步 |
描述 |
|---|---|
| 1 |
位于 SRX 系列防火墙后面的客户端主机请求从互联网下载文件。 |
| 2 |
SRX 系列防火墙接收来自互联网的响应。SRX 系列防火墙从会话中提取服务器证书,并将其签名与阻止列表证书签名进行比较。如果发生匹配,则连接将被阻止。
注意:
瞻博网络 ATP 云源通过与已知恶意软件站点关联的证书源使 SRX 系列防火墙保持最新状态。 |
| 3 |
SRX 系列防火墙会收集元数据和连接统计信息,并将其发送到 ATP 云进行分析。 |
| 4 |
ATP 云执行行为分析,将流量分类为良性或恶意。 |
| 5 |
如果检测到恶意连接,则会重新计算主机的威胁评分。如果新分数高于阈值,则客户端主机会添加到受感染的主机列表中,根据 SRX 系列防火墙上的策略配置,客户端主机可能会被阻止。 |
有关在 SRX 系列防火墙上启用加密流量洞察的信息,请参阅《 瞻博网络高级威胁防御云管理指南》。