Escolar Documentos
Profissional Documentos
Cultura Documentos
www
Proxy Firewall
Diretório A Cache
Reporter
licença/feature.
• Simplicidade e segurança
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3
Arquitetura de um NGFW
DPI
tcp reset
www
NGFW
!
• IPS
• AV
• SSL Inspection
• Antispyware
• URL Filtering
Diretório A • Sandbox
De acordo com o Gartner: “O [Blue Coat] ProxySG é o proxy mais robusto do mercado
em termos de suporte a protocolos e quantidade de funcionalidades avançadas. Ele
suporta uma enorme quantidade de protocolos assim como extensivas opções de
autenticações e integrações com diretórios.”
Fonte: http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=24d3c229-4f2f-405d-b8db-a3a67f183883
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 9
Does the Palo Alto Networks
Compliance nas Políticas de Segurança Utilizando o ASG como gateway para o O365 evitamos o acesso direto de
dispositivos que não devem acessar a internet diretamente.
Verificação de Status do Certificado O método de acesso do O365 (nuvem) faz a Microsoft um alvo comum para
ataques de certificado. Na verdade, casos de comprometimento nos
certificados da Microsoft já ocorreram em 2001, 2008, e 2012. Para proteger
os usuários de tais ataques a Blue Coat aplica o Online Certificate
Status Protocol (OCSP) para verificar o status dos certificados do Office 365
em tempo real. Se o certificado foi comprometido ou revogado o ASG bloqueia
o acesso e notifica os usuários e administradores.
Custo de Operação de Firewall e Disponibilidade dos A Microsoft publica mais de 175 IPs publicos do O365, estes endereços
mudam constantemente. Desde janeiro a agosto de 2014, eles mudaram 216
Serviços. vezes. Portanto ao bypassar o proxy a equipe de firewall precisa sincronizar
manualmente um conjunto de regras de firewall que abrange esses
endereços. Esta é uma tarefa difícil para qualquer equipa firewall. Erros de
Sincronia e configuração levam a interrupção nos serviços aumentando o
custo e o risco de indisponibilidade.
Network Content Caching Ganhos de até 25% nos documentos do O365. Se Office 365 tráfego ignora o
proxy, esses ganhos são perdidos.
SSL Interception Integração com PKI do cliente, suporte Suporte limitado de cifras, o que
a mais de 19 cifras, disponível a mais significa bypass em diversos sites.
de 9 anos nas soluções.
Recomendação de bypassar o
tráfego O365 devido ao alto número
Tráfego O365 Suporte total ao tráfego do O365,
de conexões por usuário, o que afeta
fornecendo visibilidade e segurança
de forma consistente o desempenho
do equipamento.
Copyright © 2015 Blue Coat Systems Inc. All Rights Reserved. 12
Next Generation Firewalls
Rentável… comparação de compatibilidade de cifras
Blue Coat ProxySG NGFW – vendor X
AES128-SHA256 RSA-AES256-CBC-SHA
AES256-SHA256 RSA-AES128-CBC-SHA
AES128-SHA RSA-3DES-EDE-CBC-SHA
AES256-SHA RSA-RC4-128-SHA
DHE-RSA-AES128-SHA RSA-RC4-128-MD5
DHE-RSA-AES256-SHA TLS_RSA_WITH_AES_128_CBC_SHA256
DES-CBC3-SHA TLS_RSA_WITH_AES_256_CBC_SHA256
RC4-SHA
RC4-MD5
Por que me importar?
DES-CBC-SHA
EXP-DES-CBC-SHA
Muitos sites migraram para cifras mais
EXP-RC4-MD5
seguras e não mantém compatibilidade
EXP-RC2-CBC-MD5
com cifras antigas e inseguras.
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
Como resultado o NGFW não consegue
ECDHE-RSA-AES128-SHA256
interceptar ou bloquear esses sites
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-RC4-SHA