在网络边缘阻止恶意软件和网络钓鱼

您好，欢迎收听本期Purple技术简报。我是主持人，今天我们将深入探讨场馆运营商的一个关键架构决策：在网络边缘阻止恶意软件和网络钓鱼。我们面向管理酒店、零售连锁、体育场馆和公共部门场所网络的IT经理、网络架构师、CTO和运营总监。如果您管理访客WiFi或大型公共网络，您就会知道未受管理设备带来的头痛问题。您无法在访客的智能手机上安装终端代理，当然也无法控制他们点击哪些链接。 那么，解决方案是什么？网络边缘保护。通过将安全执行点转移到网关，您可以在威胁到达设备之前就将其阻止。让我们从DNS过滤开始，分析技术架构。 当设备连接到您的网络并尝试访问恶意域时——比如隐藏在短信中的网络钓鱼链接——DNS查询首先到达您的边缘网关。边缘网关不会解析IP地址并让流量通过，而是根据实时威胁情报源检查该域。如果该域被标记为恶意，DNS请求将被沉洞处理。连接在恶意软件下载哪怕一个字节之前就被丢弃。这是主动的，而不是被动的。 让我们看一个现实场景。考虑一家提供免费访客WiFi的大型零售连锁店。在假日季节，客流激增，每天有数千台未受管理的设备连接。一次目标性网络钓鱼活动袭击该地区，模仿一家流行的快递服务。如果没有边缘保护，访客点击链接，设备在您的网络上被攻破，突然您的IP声誉直线下降，或者更糟的是，有人试图针对您的POS VLAN进行横向移动。 有了网络边缘保护，当访客点击恶意链接的那一刻，DNS查询就被拦截。边缘网关发现该域是三小时前注册的，并被威胁情报标记。连接被阻止，访客看到一个安全的阻止页面，您的网络保持安全。无需终端代理。 这种架构还简化了合规性。无论您是在处理零售业的PCI DSS、欧洲的GDPR，还是英国公共WiFi网络的IWF合规性，边缘过滤都为审计提供了所需的集中式日志记录和执行。您拥有DNS查询和被阻止威胁的完整审计跟踪。 现在，让我们讨论实施。最常见的陷阱是过度阻止，这会产生服务台工单并让访客感到沮丧。关键是精细的策略执行。如果您的营销团队经常快速推出临时活动网站，您不会希望对新注册域进行一刀切的封锁。 您需要一种分层方法。第一层是上游威胁情报——阻止已知的恶意行为者、僵尸网络命令与控制服务器以及恶意软件分发点。第二层是基于类别的内容过滤，确保符合当地法规。第三层是访问控制，根据用户角色应用不同的策略。访客获得限制性策略，而使用企业SSID的场馆员工获得不同的策略。 那么加密DNS呢？诸如DNS over HTTPS（DoH）和DNS over TLS（DoT）之类的协议，如果处理不当，可能会绕过传统的边缘过滤。您的边缘架构必须考虑到这一点，要么阻止已知的公共DoH解析器以强制回退到您的安全DNS，要么对受管理设备实施SSL检查，但后者对于访客网络并不可行。对于访客WiFi，通过您的安全DNS强制流量并阻止替代端口是标准方法。 让我们进入基于常见客户问题的快速问答环节。 问题1：边缘过滤会增加延迟吗？ 回答：微乎其微。强大的边缘网关会缓存DNS响应，并使用任播路由到最近的威胁情报节点。增加的延迟通常为个位数毫秒，用户察觉不到。 问题2：这对投资回报率有何影响？ 回答：投资回报率通过减少事件和简化管理来衡量。您消除了BYOD设备终端安全的每设备许可成本。您还大大减少了用于调查受感染设备或处理被列入黑名单的IP地址的服务台时间。 问题3：这能保护物联网设备吗？ 回答：能。这是一个巨大的优势。酒店房间中的智能电视、零售业的数字标牌或销售点终端通常无法运行终端代理。边缘保护会自动覆盖它们，因为它们的所有流量都必须经过网关。 总之，仅靠终端保护不足以保护现代场馆网络。您需要为所有流量提供一个单一的执行点。网络边缘保护是主动的、具有成本效益的，并且覆盖每台设备，无论是否受管理。这是安全访客WiFi和场馆网络的架构标准。 感谢您收听本期技术简报。请务必查阅完整参考指南，以获取详细的架构图、实施步骤以及关于WiFi分析和特定行业部署的进一步阅读。保持安全。