PAN-OS 防止沙蒙 2 的配置建议

使用被盗凭据
A 的新功能，以防止基于凭据的攻击发布通过 PAN-OS 8.0。

通过扫描用户名和向网站提交密码，并将这些提交与有效的公司凭据进行比较，可防止凭据网络钓鱼。 管理员可以根据网站的类别选择允许、提醒或阻止公司凭据提交的内容 URL 。 或者， firewall 可以配置为显示一个页面，警告用户不要向某些类别分类的站点提交凭据 URL 。 该解决方案还可对凭据提交活动进行记录可见性。

有关更多信息，请参用此资源：

• PAN-OS® 8.0 新功能指南，凭证式网络钓鱼预防

使用远程桌面协议远程管理分发服务器
Palo Alto 网络应用程序 - ID 提供安全启用应用程序的能力，并提供对允许批准的应用程序流量进出网络的精细控制。 App- ID 可以在远程管理协议的安全性中执行 policy RDP ，例如确保仅允许授权用户和源访问网络资源。

• PAN-OS®管理员指南，应用程序 ID 概述 

GlobalProtect 还可用于使远程用户能够安全地远程访问网络资源：

• GlobalProtect

在 BAT 网络中复制可疑文件类型（如 EXE 和文件
）高效分割网络有助于控制流量和查看穿越网络不同部分的流量。 不同的界面类型和安全区域可以配置在 firewall 实现此目标：

• PAN-OS®管理员指南，使用界面和区域划分您的网络

此外， PAN-OS 还能够配置特定文件类型的阻止。 阻塞配置文件的文件可以用于确保只批准的文件类型遍历网络敏感人群。 A 覆盖该功能及其配置的视频可在：

• 从该字段提示： 文件阻塞配置文件

可执行恶意 Disttrack 的交付
除了文件阻止， WildFire 防病毒签名还提供对恶意文件的检测和预防。

• WildFire 恶意软件分析引擎
• PAN-OS®管理员指南》设置防病毒、防间谍软件和漏洞保护

应配置动态更新，以确保 firewall 始终接收和安装最新的 IPS 防病毒定义：

• 管理内容更新的提示
• Traps 端点安全管理器管理员指南，管理内容更新

其他功能，以帮助能见度和执法
最后，其他功能（如 SSL 解密、 URL 过滤、动态区块列表等）的配置可以提供对流量的更多可见性，并在攻击生命周期的不同阶段提供额外的执行能力。

以下几项建议详见下文：

• 勒索预防的最佳做法

尽管本文的编写重点是勒索软件感染预防，但本文中列出的不同威胁防护功能及其配置可极大地帮助减少攻击面，并提高对任何恶意活动的可见性和预防。