鉴于内容更新不断推出新的或修订的威胁签名和应用程序,内容更新的部署已成为帮助无缝执行安全策略的最佳实践。由于策略受到新应用程序和威胁签名的影响,因此我们在应用最佳实践时需要考虑网络安全和可用性要求,包括:使用最新的威胁签名而不是应用程序可用性来提供保护。它使用防火墙的威胁防御功能来做到这一点。◆如果企业拥有关键任务网络,那么使用最新威胁签名的目的往往是应用程序可用性,而不是保护。其网络将对宕机零容忍,防火墙将以在线部署的形式实施安全策略。如果在安全策略中采用了App-ID识别技术,一旦内容发生变化,可能会影响到App-ID,导致宕机。您可以以任务关键型或安全第一的方式部署内容更新,或者混合使用这两种方式来满足业务需求。遵循这些最佳实践,以充分利用这些在内容更新中传送到防火墙的最新应用程序和威胁签名:◆定期检查内容发行说明,了解已识别和修订的应用程序和威胁签名的最新列表。此外,内容发行说明还描述了更新如何影响现有安全策略的实施,并提供了有关如何修改安全策略以最大限度地利用新功能的建议。要订阅内容更新通知,请登录PaloAltoNetworks支持门户网站https://support.paloaltonetworks.com/,输入您的偏好(Preferences),然后选择订阅内容更新电子邮件。您还可以在帕洛阿尔托网络支持门户或直接在防火墙Web界面上查看应用程序和威胁的内容发行说明:选择DeviceDynamic更新并打开发行说明以浏览特定内容版本。内容发行说明的注释部分重点介绍了PaloAltoNetworks的未来更新,这些更新很可能会产生重大影响,例如,新的App-ID或解码器。因此,请务必查看这些即将发布的更新,并充分了解其发布的政策影响。规划内容更新时间,确保自动下载安装。同时,根据网络安全性和可用性要求设置阈值。一旦防火墙的等待时间超过这个阈值,就会安装最新的内容:如果安全情况设置为安全优先级,则不要设置阈值,以免延迟接收最新的安全更新。确保防火墙在内容更新准备就绪时下载并安装它们,确保您始终配备最新的威胁防御签名。◆如果您的网络是关键任务,请设置阈值以在24小时后更新内容。24小时延迟确保内容在发布后至少24小时内可以验证在用户环境中正常运行,确保只有经过验证的内容才能安装。◆为了减弱新应用和威胁带来的风险,您可以尝试跨区域安装和运行内容。可以将内容提供给业务风险较小的远程站点(分支机构的用户较少),然后再部署到业务风险较大的站点(例如,部署关键应用程序的地方)。一些最新的内容在全网部署之前,在一些防火墙中设置为禁用,这样出现的问题解决起来也比较容易。这些排名计划可以使用Panorama中央管理平台交付给不同的防火墙和设备组。为了计划内容更新,选择DeviceDynamicUpdates,将Schedule配置为ApplicationsandThreatsupdates(应用程序和威胁更新),将Schedule中的Action配置为download-and-install(下载和安装),并设置可选的Threshold(阈值)设置为24小时。◆在ContentRelease(发布内容)中管理最新的App-ID识别技术。持续审查内容发布中引入的新App-ID识别技术,并对识别出的新应用进行政策影响评估。在关键任务环境中,可以在政策影响审查完成后安装新的应用程序。如果您在安装最新的内容更新前未对安全政策进行修改,您将无法启动包含在内容更新中的全新应用,而这些应用的政策影响将在稍后进行评估。◆如果是在关键任务环境中,在这些新应用真正运行到生产环境之前,先在专门的测试环境中测试这些新应用和威胁内容,最后对这些应用和威胁内容进行测试是一个简单的方法这是为了向生产流量添加测试防火墙。在测试防火墙上安装最新内容并密切监控防火墙如何处理生产流量。此外,您可以通过测试客户端、防火墙和数据包捕获(PCAP)来模拟生产流量。PCAPs非常适合模拟流量,特别是针对不同站点防火墙安全策略不同的情况。
