鑒于內(nèi)容更新不斷推出全新或者修訂的威脅簽名和應(yīng)用，對內(nèi)容更新進(jìn)行部署已經(jīng)成為最佳實(shí)踐，有助于安全策略的無縫執(zhí)行。由于策略會受到全新應(yīng)用和威脅簽名的影響，當(dāng)我們應(yīng)用最佳實(shí)踐時需要將網(wǎng)絡(luò)安全和可用性要求考慮在內(nèi)，包括：

◆如果一家企業(yè)，其安全態(tài)勢設(shè)定為優(yōu)先級，那么這家企業(yè)將傾向于使用最新威脅簽名而不是應(yīng)用可用性來進(jìn)行保護(hù)。它會使用防火墻的威脅防御功能來實(shí)現(xiàn)。

◆如果這家企業(yè)為任務(wù)關(guān)鍵型網(wǎng)絡(luò)，其使用最新威脅簽名的目的則傾向于應(yīng)用可用性而非保護(hù)。其網(wǎng)絡(luò)會對宕機(jī)零容忍，并且，防火墻會以在線部署的形式來執(zhí)行安全策略。如果在安全策略中采用了App-ID識別技術(shù)，一旦對內(nèi)容進(jìn)行更改并有可能影響到App-ID，則宕機(jī)就此發(fā)生。

您可以采取任務(wù)關(guān)鍵型或安全優(yōu)先的方式來部署內(nèi)容更新，也可以將這兩種方法混合應(yīng)用以滿足業(yè)務(wù)需求。 遵循這些最佳實(shí)踐可以最有效地使用這些在內(nèi)容更新中交付到防火墻的最新應(yīng)用和威脅簽名：

◆請定期查看內(nèi)容發(fā)布說明，了解最新識別和修訂的應(yīng)用和威脅簽名列表。此外，內(nèi)容發(fā)布說明還介紹了更新是如何影響現(xiàn)有安全策略實(shí)施的，并就如何修改安全策略以最大限度地利用新功能提供建議。

如果想訂閱內(nèi)容更新通知，煩請登錄Palo Alto Networks支持門戶 https://support.paloaltonetworks.com/，輸入您的個人偏好(Preferences)，然后選擇Subscribe to Content Updates Emails(訂閱內(nèi)容更新電子郵件)。

您還可以在Palo Alto Networks支持門戶或直接在防火墻Web界面上查看Content Release Notes for apps and threats (應(yīng)用程序和威脅的內(nèi)容版本說明)：選擇DeviceDynamic Updates并打開Release Note(發(fā)布說明)來瀏覽特定內(nèi)容版本。

“內(nèi)容發(fā)布說明”的“說明”部分重點(diǎn)介紹了Palo Alto Networks未來有很大可能會產(chǎn)生重大影響的更新，例如，新的App-ID或解碼器。 所以一定要查看這些即將推出的更新，要對更新發(fā)布給政策所帶來的影響做好充分了解。

規(guī)劃內(nèi)容更新時間，確保實(shí)現(xiàn)自動下載和安裝，同時基于網(wǎng)絡(luò)安全和可用性要求，設(shè)定閾值，一旦防火墻等待時間超過此閾值便對最新內(nèi)容進(jìn)行安裝：

◆如果安全態(tài)勢設(shè)定為安全優(yōu)先，請勿設(shè)定閾值以免造成最新安全更新接收延遲。要保證只要內(nèi)容更新準(zhǔn)備就緒，防火墻便可進(jìn)行下載和安裝，從而保證您所配備的始終都是最新威脅防御簽名。

◆如果您的網(wǎng)絡(luò)為任務(wù)關(guān)鍵型，將閾值設(shè)定為24小時后更新內(nèi)容。24小時的延遲，可保證這些內(nèi)容在發(fā)布后至少24小時之內(nèi)，驗(yàn)證能否在用戶環(huán)境里正常運(yùn)行，確保只有經(jīng)過驗(yàn)證的內(nèi)容才可以被安裝。

◆為了削弱全新應(yīng)用和威脅所所帶來的風(fēng)險，可嘗試對內(nèi)容進(jìn)行跨地域安裝運(yùn)行?？蓪?nèi)容提供給那些具有較少商業(yè)風(fēng)險的遠(yuǎn)程站點(diǎn)(分支機(jī)構(gòu)會有較少的使用者)，之后再在那些有較多商業(yè)風(fēng)險的站點(diǎn)(比如部署了關(guān)鍵應(yīng)用)進(jìn)行部署。在某些最新內(nèi)容全網(wǎng)部署之前，將其設(shè)定為禁用于某些防火墻，這樣可比較容易的對出現(xiàn)的問題進(jìn)行解決。

使用Panorama中央管理平臺可將這些排位規(guī)劃交付給不同防火墻和設(shè)備群組。

為了規(guī)劃內(nèi)容更新，選擇DeviceDynamic Updates，將Schedule配置為Applications and Threats updates (應(yīng)用和威脅更新)，將Schedule中的Action配置為download-and-install(下載與安裝)，并將可選項(xiàng)Threshold(閾值)設(shè)定為24小時。

◆對Content Release(發(fā)布內(nèi)容)中最新推出的App-ID識別技術(shù)進(jìn)行管理。始終對Content Release中推出的全新App-ID識別技術(shù)進(jìn)行審核，并對識別出的全新應(yīng)用實(shí)施策略影響評估。在任務(wù)關(guān)鍵型環(huán)境下，可在策略影響審核結(jié)束后再行安裝全新應(yīng)用。如果你無法在安裝最新內(nèi)容更新之前對安全策略進(jìn)行修訂，你將無法啟動內(nèi)容更新里面的全新應(yīng)用，同時會在稍后時間里對這些應(yīng)用的策略影響進(jìn)行評估。

◆如果您所處的恰恰是任務(wù)關(guān)鍵型環(huán)境，在這些全新應(yīng)用真正運(yùn)行于生產(chǎn)環(huán)境之前，要在專有測試環(huán)境下對這些全新應(yīng)用和威脅內(nèi)容進(jìn)行測試，而測試這些應(yīng)用和威脅內(nèi)容的最簡便方法，便是將測試防火墻加入生產(chǎn)流量。在測試防火墻上安裝最新內(nèi)容，并嚴(yán)密監(jiān)測防火墻對生產(chǎn)環(huán)境流量進(jìn)行處理的情況。此外，您也可以通過測試客戶、防火墻以及數(shù)據(jù)包捕獲(PCAPs)來模擬生產(chǎn)流量。PCAPs非常適合用來模擬流量，特別適用于由于站點(diǎn)不同造成的防火墻安全策略也不同的情況。