各位先進大家好: 小弟又來和大家討論和請益問題了 :p 現階段單位OA對外僅開放80及443 Port 近來想評估有關藏在加密連線內的惡意指令或連線的阻擋機制(Anti-C&C) 參考了 Gartner 相關資料指出，現階段愈來愈多惡意程式會躲在合法的連線內 如果有電腦不幸成為 Botnet 其中一台成員，就會回傳 Callback 指令回去 原有的防火牆、入侵偵測等資安設備可能無法辨識 因此研究了一下廠商相關的解決方案，首先就是要處理加解密問題 接下來就是掃瞄連線內容是否有問題 目前看到下列產品 1. A10 Thunder ADC + FireEye 2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis 3. Palo Alto ?? 4. F5 ?? 目前是考量二點 1. 處理加解密的效能 2. 掃瞄機制的效能與辨識度是否完善 不知道是否有其它先進有研究此議題或是有推薦相關設備呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.19.241.192 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1443085329.A.64B.html ※ 編輯: bojack (117.19.241.192), 09/24/2015 17:02:39 謝謝樓上各位先進的意見，小弟整理一下 1. 目前都是得透過 Proxy 出去，會再確認是否可以在 Proxy 端就做掉這功能 2. 目前看到的設備有這些 (都有Encryption/Decryption 功能) 2.1 A10 - SSL Insight 2.2 Blue Coat - SSL Visibility Appliance 2.3 F5 - BIG-IP System 2.4 Palo Alto - Wildwire 2.5 Cisco - ASA Firepower Service 3. 的確是只特別想看藏在內對外HTTPS裡的東西而已 ※ 編輯: bojack (117.19.241.192), 09/25/2015 13:46:55