ፕሮሆስተር > ጦማር > አስተዳደር > የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

የNGFW ቅንብርን ውጤታማነት እንዴት መገምገም እንደሚቻል

በጣም የተለመደው ተግባር ፋየርዎል ምን ያህል ውጤታማ እንደሆነ መፈተሽ ነው። ይህንን ለማድረግ ከ NGFW ጋር ከሚገናኙ ኩባንያዎች ነፃ መገልገያዎች እና አገልግሎቶች አሉ።

ለምሳሌ, Palo Alto Networks በቀጥታ የማግኘት ችሎታ እንዳለው ከዚህ በታች ማየት ይችላሉ የድጋፍ ፖርታል የፋየርዎል ስታቲስቲክስ ትንተና ያካሂዱ - የ SLR ሪፖርት ወይም ከምርጥ ልምዶች ጋር መጣጣምን ትንተና - BPA ሪፖርት። እነዚህ ምንም ሳይጭኑ ሊጠቀሙባቸው የሚችሉ ነፃ የመስመር ላይ መገልገያዎች ናቸው።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

ይዘት

ጉዞ (የስደት መሳሪያ)
ፖሊሲ አመቻች
ዜሮ ትረስት
ጥቅም ላይ ያልዋለ ላይ ጠቅ ያድርጉ
ጥቅም ላይ ያልዋለ መተግበሪያን ጠቅ ያድርጉ
ምንም መተግበሪያዎች አልተገለጹም የሚለውን ጠቅ ያድርጉ
ስለ ማሽን መማርስ?
ዩቲ

ጉዞ (የስደት መሳሪያ)

የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

ቅንብሮችዎን ለመፈተሽ የበለጠ ውስብስብ አማራጭ ነፃ መገልገያ ማውረድ ነው። ጉዞ (የቀድሞው የፍልሰት መሳሪያ)። እንደ ቨርቹዋል አፕሊያንስ ለ VMware ይወርዳል፣ ከእሱ ጋር ምንም ቅንጅቶች አያስፈልጉም - ምስሉን ማውረድ እና በ VMware hypervisor ስር ማሰማራት ያስፈልግዎታል ፣ ያስጀምሩት እና ወደ የድር በይነገጽ ይሂዱ። ይህ መገልገያ የተለየ ታሪክ ይፈልጋል ፣ በእሱ ላይ ያለው ኮርስ 5 ቀናት ብቻ ይወስዳል ፣ አሁን በጣም ብዙ ተግባራት አሉ ፣ የማሽን መማር እና የተለያዩ የፖሊሲ ውቅሮች ፍልሰት ፣ NAT እና ለተለያዩ የፋየርዎል አምራቾች ዕቃዎች። ስለ ማሽን ትምህርት ከዚህ በታች በጽሁፉ እጽፋለሁ።

ፖሊሲ አመቻች

እና በጣም ምቹ አማራጭ (IMHO), ዛሬ በበለጠ ዝርዝር ውስጥ የምነግርዎት, በፓሎ አልቶ አውታረመረብ በይነገጽ ውስጥ በራሱ ውስጥ የተገነባው የፖሊሲ አመቻች ነው. ለማሳየት፣ ቤት ውስጥ ፋየርዎል ጫንኩ እና ቀላል ህግን ጻፍኩ፡ ለማንኛውም ፍቀድ። በመርህ ደረጃ, አንዳንድ ጊዜ በድርጅታዊ አውታረ መረቦች ውስጥ እንኳን እንደዚህ አይነት ደንቦችን አያለሁ. በቅጽበታዊ ገጽ እይታው ላይ እንደምታዩት በተፈጥሮ ሁሉንም የNGFW የደህንነት መገለጫዎችን አንቅቻለሁ፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

ከታች ያለው ቅጽበታዊ ገጽ እይታ የቤቴን ያልተዋቀረ ፋየርዎል ምሳሌ ያሳያል፣ ሁሉም ማለት ይቻላል ግንኙነቶች በመጨረሻው ደንብ ውስጥ የሚወድቁበት፡ AllowAll፣ በ Hit Count አምድ ውስጥ ካለው ስታቲስቲክስ እንደሚታየው።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

ዜሮ ትረስት

ለደህንነት ሲባል የሚባል አካሄድ አለ። ዜሮ ትረስት. ይህ ምን ማለት ነው፡ ሰዎች በአውታረ መረቡ ውስጥ የሚያስፈልጋቸውን ግንኙነቶች በትክክል መፍቀድ እና ሁሉንም ነገር መከልከል አለብን። ማለትም ለመተግበሪያዎች, ተጠቃሚዎች, የዩአርኤል ምድቦች, የፋይል ዓይነቶች ግልጽ የሆኑ ደንቦችን ማከል አለብን; ሁሉንም የአይፒኤስ እና የጸረ-ቫይረስ ፊርማዎችን ያንቁ፣ ማጠሪያን ያንቁ፣ የዲኤንኤስ ጥበቃ፣ IoC ከሚገኙት የስጋት ኢንተለጀንስ የመረጃ ቋቶች ይጠቀሙ። በአጠቃላይ ፋየርዎልን በሚያዘጋጁበት ጊዜ ጥሩ ቁጥር ያላቸው ተግባራት አሉ።

በነገራችን ላይ ለፓሎ አልቶ አውታረ መረቦች NGFW ዝቅተኛው አስፈላጊ ቅንብሮች ስብስብ በ SANS ሰነዶች ውስጥ በአንዱ ውስጥ ተገልጿል. የፓሎ አልቶ አውታረ መረቦች የደህንነት ውቅር ቤንችማርክ - በእሱ እንዲጀምሩ እመክራለሁ. እና በእርግጥ ፣ ከአምራቹ ፋየርዎል ለማቋቋም በጣም ጥሩ ልምዶች ስብስብ አለ- ምርጥ ልምምድ.

ስለዚህ፣ ለአንድ ሳምንት ያህል ቤት ውስጥ ፋየርዎል ነበረኝ። በእኔ አውታረ መረብ ላይ ምን አይነት ትራፊክ እንዳለ እንይ፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

በክፍለ-ጊዜዎች ብዛት ከደረደሩ አብዛኛዎቹ የተፈጠሩት በቢትቶረንት ነው፣ ከዚያ SSL ይመጣል፣ ከዚያ QUIC። እነዚህ ለገቢ እና ወጪ ትራፊክ ሁለቱም ስታቲስቲክስ ናቸው፡ የእኔ ራውተር ብዙ ውጫዊ ቅኝቶች አሉ። በእኔ አውታረ መረብ ላይ 150 የተለያዩ መተግበሪያዎች አሉ።

ስለዚህ, ይህ ሁሉ በአንድ ህግ አምልጦ ነበር. አሁን ፖሊሲ አመቻች ስለዚህ ጉዳይ ምን እንደሚል እንመልከት። ከላይ ከደህንነት ደንቦች ጋር የበይነገፁን ቅጽበታዊ ገጽ እይታ ከተመለከቱ ፣ ከዚያ ከታች በስተግራ በኩል ሊመቻቹ የሚችሉ ህጎች እንዳሉ የሚጠቁም ትንሽ መስኮት አዩ ። እዚያ ጠቅ እናድርግ።

የፖሊሲ አመቻች የሚያሳየው፡-

  • የትኞቹ ፖሊሲዎች 30 ቀናት፣ 90 ቀናት ጥቅም ላይ አልዋሉም። ይህም እነሱን ሙሉ በሙሉ ለማስወገድ ውሳኔ ለማድረግ ይረዳል.
  • በመመሪያዎቹ ውስጥ የትኞቹ መተግበሪያዎች ተገልጸዋል፣ ነገር ግን በትራፊክ ውስጥ እንደዚህ ያሉ መተግበሪያዎች አልተገኙም። ይህ ደንቦችን በመፍቀድ ውስጥ አላስፈላጊ መተግበሪያዎችን እንዲያስወግዱ ያስችልዎታል።
  • ምን ፖሊሲዎች ሁሉንም ነገር ፈቅደዋል፣ ግን በእውነቱ በዜሮ ትረስት ስልት መሰረት በግልፅ ቢጠቁሙ ጥሩ የሆኑ መተግበሪያዎች ነበሩ።

የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች

ጥቅም ላይ ያልዋለ የሚለውን ጠቅ እናደርጋለን።

እንዴት እንደሚሰራ ለማሳየት ጥቂት ደንቦችን ጨምሬያለሁ እና እስካሁን አንድም ፓኬት አላመለጡም። ዝርዝራቸው እነሆ፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
ምናልባት በጊዜ ሂደት እዚያ ትራፊክ ይኖራል እና ከዚያ ከዚህ ዝርዝር ውስጥ ይጠፋሉ. እና በዚህ ዝርዝር ውስጥ ለ 90 ቀናት ከሆኑ, እነዚህን ደንቦች ለመሰረዝ መወሰን ይችላሉ. ከሁሉም በላይ, እያንዳንዱ ህግ ለጠላፊ እድል ይሰጣል.

ፋየርዎልን ሲያዋቅሩ እውነተኛ ችግር አለ፡ አዲስ ሰራተኛ መጥቶ የፋየርዎልን ህግጋት ይመለከታል፣ ምንም አይነት አስተያየት ከሌላቸው እና ይህ ህግ ለምን እንደተፈጠረ ካላወቀ፣ በእርግጥ የሚያስፈልገው እንደሆነ፣ ይችል እንደሆነ አያውቅም። ይሰረዙ: በድንገት ግለሰቡ በእረፍት ላይ ነው እና በ 30 ቀናት ውስጥ, ትራፊክ ከሚያስፈልገው አገልግሎት እንደገና ይፈስሳል. እና ይህ ተግባር ብቻ ውሳኔ እንዲያደርግ ያግዘዋል - ማንም አይጠቀምበትም - ይሰርዙት!

ጥቅም ላይ ያልዋለ መተግበሪያን ጠቅ ያድርጉ።

በአመቻች ውስጥ ጥቅም ላይ ያልዋለ መተግበሪያን ጠቅ እናደርጋለን እና አስደሳች መረጃ በዋናው መስኮት ውስጥ ሲከፈት እናያለን።

ሶስት ደንቦች እንዳሉ እናያለን, የተፈቀዱ ማመልከቻዎች ብዛት እና ይህን ህግ በትክክል ያወጡት ማመልከቻዎች ብዛት የተለያዩ ናቸው.
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
የእነዚህን መተግበሪያዎች ዝርዝር ጠቅ አድርገን ማየት እና እነዚህን ዝርዝሮች ማወዳደር እንችላለን።
ለምሳሌ፣ ለማክስ ደንብ አወዳድር የሚለውን ቁልፍ ጠቅ ያድርጉ።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
እዚህ ማየት ይችላሉ መተግበሪያዎች facebook, instagram, ቴሌግራም, vkontakte ተፈቅዶላቸዋል. ነገር ግን በእውነቱ፣ ትራፊክ ወደ አንዳንድ ንዑስ መተግበሪያዎች ብቻ ሄዷል። እዚህ የፌስቡክ አፕሊኬሽኑ በርካታ ንዑስ አፕሊኬሽኖችን እንደያዘ መረዳት አለቦት።

አጠቃላይ የ NGFW አፕሊኬሽኖች ዝርዝር በፖርታሉ ላይ ሊታይ ይችላል። applipedia.paloaltonetworks.com እና በፋየርዎል በይነገጽ በራሱ፣ በ Objects->መተግበሪያዎች ክፍል እና በፍለጋው ውስጥ የመተግበሪያውን ስም-ፌስቡክ ይተይቡ ፣ የሚከተለውን ውጤት ያገኛሉ።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
ስለዚህ፣ ከእነዚህ ንዑስ መተግበሪያዎች ውስጥ አንዳንዶቹ በNGFW ታይተዋል፣ አንዳንዶቹ ግን አልነበሩም። እንደ እውነቱ ከሆነ የተለያዩ የፌስቡክ ንዑስ ተግባራትን መከልከል እና መፍቀድ ይችላሉ። ለምሳሌ መልዕክቶችን ለማየት ፍቀድ፣ ነገር ግን ውይይትን ወይም ፋይል ማስተላለፍን ከልክል። በዚህ መሠረት የፖሊሲ አመቻች ስለዚህ ጉዳይ ይናገራል እና እርስዎ ውሳኔ ማድረግ ይችላሉ: ሁሉንም የፌስቡክ መተግበሪያዎች አይፍቀዱ, ግን ዋና ዋናዎቹን ብቻ.

ስለዚህ, ዝርዝሮቹ የተለያዩ መሆናቸውን ተገነዘብን. ህጎቹ በትክክል በአውታረ መረቡ ላይ የሚጓዙትን መተግበሪያዎች ብቻ የሚፈቅዱ መሆናቸውን ማረጋገጥ ትችላለህ። ይህንን ለማድረግ የ MatchUsage ቁልፍን ጠቅ ያድርጉ። እንደሚከተለው ይሆናል፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
እና አስፈላጊ ናቸው ብለው የሚያስቧቸውን መተግበሪያዎች ማከል ይችላሉ - በመስኮቱ በግራ በኩል ያለው አክል ቁልፍ:
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
እና ከዚያ ይህ ህግ ሊተገበር እና ሊሞከር ይችላል. እንኳን ደስ አላችሁ!

ምንም መተግበሪያዎች አልተገለጹም የሚለውን ጠቅ ያድርጉ።

በዚህ አጋጣሚ አስፈላጊ የደህንነት መስኮት ይከፈታል.
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
በኔትወርኩዎ ውስጥ የL7 ደረጃ አፕሊኬሽኑ በግልፅ ያልተገለፀባቸው ብዙ እንደዚህ ያሉ ህጎች ሊኖሩ ይችላሉ። እና በእኔ አውታረመረብ ውስጥ እንደዚህ ያለ ደንብ አለ - በመጀመሪያ ማዋቀር ላይ እንዳደረግኩት ላስታውስዎ ፣ በተለይም የፖሊሲ አመቻች እንዴት እንደሚሰራ ለማሳየት።

ስዕሉ እንደሚያሳየው የAllowAll ህግ ከማርች 9 እስከ ማርች 17 ባለው ጊዜ ውስጥ 220 ጊጋባይት ትራፊክ ፈቅዷል፣ ይህም በእኔ አውታረ መረብ ውስጥ 150 የተለያዩ መተግበሪያዎች ነው። ይህ ደግሞ በቂ አይደለም። በተለምዶ አማካይ መጠን ያለው የኮርፖሬት ኔትወርክ 200-300 የተለያዩ አፕሊኬሽኖች አሉት።

ስለዚህ አንድ ደንብ እስከ 150 መተግበሪያዎችን ይፈቅዳል። በተለምዶ ይህ ማለት ፋየርዎል በትክክል አልተዋቀረም ማለት ነው, ምክንያቱም ብዙውን ጊዜ አንድ ህግ ለተለያዩ ዓላማዎች 1-10 መተግበሪያዎችን ይፈቅዳል. እነዚህ መተግበሪያዎች ምን እንደሆኑ እንይ፡ አወዳድር የሚለውን ቁልፍ ተጫን፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
በፖሊሲ አመቻች ተግባር ውስጥ ለአስተዳዳሪው በጣም አስደናቂው ነገር የግጥሚያ አጠቃቀም ቁልፍ ነው - በአንድ ጠቅታ ህግ መፍጠር ይችላሉ ፣ ሁሉንም 150 መተግበሪያዎች ወደ ደንቡ ያስገቡ። ይህንን በእጅ ማድረግ ብዙ ጊዜ ይወስዳል። በአስተዳዳሪው የሚሰራባቸው የተግባሮች ብዛት፣ በእኔ የ10 መሳሪያዎች አውታረመረብ ላይ እንኳን፣ በጣም ትልቅ ነው።

ጊጋባይት ትራፊክን በማስተላለፍ ቤት ውስጥ 150 የተለያዩ አፕሊኬሽኖች አሉኝ! እና ምን ያህል አለህ?

ግን በ 100 መሳሪያዎች ወይም 1000 ወይም 10000 አውታረመረብ ውስጥ ምን ይሆናል? ፋየርዎል 8000 ህጎችን አይቻለሁ እና አስተዳዳሪዎች አሁን እንደዚህ አይነት ምቹ አውቶማቲክ መሳሪያዎች ስላላቸው በጣም ደስተኛ ነኝ።

በNGFW ውስጥ ያለው የL7 አፕሊኬሽን ትንተና ሞጁል አይቶ ያሳያችሁ አንዳንድ አፕሊኬሽኖች በኔትወርኩ ላይ አያስፈልጉም ፣ስለዚህ በቀላሉ ከተፈቀደላቸው ህጎች ዝርዝር ውስጥ ያስወግዷቸዋል ፣ወይም ህጎቹን በ Clone ቁልፍ (በዋናው በይነገጽ) ያጠጋጉ እና በአንድ የመተግበሪያ ህግ ውስጥ ፍቀድላቸው እና በአውታረ መረብዎ ላይ በእርግጠኝነት ስለማይፈለጉ ሌሎች መተግበሪያዎችን ያግዳሉ። እንደዚህ አይነት አፕሊኬሽኖች ብዙ ጊዜ bittorent፣ steam፣ ultrasurf፣ tor፣ ድብቅ ዋሻዎች እንደ tcp-over-dn እና ሌሎችም ያካትታሉ።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
ደህና፣ ሌላ ህግ ላይ ጠቅ እናድርግ እና እዚያ ምን ማየት እንደምትችል እንይ፡-
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
አዎ፣ ለመልቲካስት የተለመዱ መተግበሪያዎች አሉ። በመስመር ላይ የቪዲዮ እይታ እንዲሰራ መፍቀድ አለብን። ተዛማጅ አጠቃቀምን ጠቅ ያድርጉ። በጣም ጥሩ! የምስጋና ፖሊሲ አመቻች።

ስለ ማሽን መማርስ?

አሁን ስለ አውቶሜሽን ማውራት ፋሽን ነው. የገለጽኩት ወጣ - ብዙ ይረዳል። ልናገርበት የሚገባኝ አንድ ተጨማሪ ዕድል አለ። ይህ ቀደም ሲል ከላይ የተጠቀሰው በ Expedition utility ውስጥ የተገነባው የማሽን መማሪያ ተግባር ነው። በዚህ መገልገያ ውስጥ ደንቦችን ከድሮው ፋየርዎል ከሌላ አምራች ማስተላለፍ ይቻላል. እንዲሁም ያሉትን የፓሎ አልቶ ኔትወርኮች የትራፊክ ምዝግብ ማስታወሻዎችን የመተንተን እና ምን አይነት ደንቦችን እንደሚጽፉ የመጠቆም ችሎታም አለ. ይህ ከፖሊሲ አመቻች አሠራር ጋር ተመሳሳይ ነው ፣ ግን በጉዞው ውስጥ የበለጠ የተስፋፋ እና ዝግጁ የሆኑ ህጎች ዝርዝር ይሰጥዎታል - እነሱን ማፅደቅ ብቻ ያስፈልግዎታል።
ይህንን ተግባር ለመፈተሽ የላቦራቶሪ ስራ አለ - የሙከራ አንፃፊ ብለን እንጠራዋለን. ይህ ሙከራ በሞስኮ የፓሎ አልቶ ኔትወርክ ቢሮ ሰራተኞች በጠየቁት መሰረት ወደ ቨርቹዋል ፋየርዎል በመግባት ሊከናወን ይችላል።
የፓሎ አልቶ አውታረ መረቦች NGFW የደህንነት ፖሊሲ አመቻች
ጥያቄው ሊላክ ይችላል። [ኢሜል የተጠበቀ] እና በጥያቄው ውስጥ፡ "ለስደት ሂደት UTD መስራት እፈልጋለሁ።"

እንደ እውነቱ ከሆነ የተዋሃደ የሙከራ ድራይቭ (UTD) ተብሎ የሚጠራው የላብራቶሪ ሥራ ብዙ አማራጮች አሉት እና ሁሉም በርቀት ይገኛል። ከተጠየቀ በኋላ.

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

የፋየርዎል ፖሊሲዎችዎን ለማሻሻል አንድ ሰው እንዲረዳዎት ይፈልጋሉ?

  • የለም

  • እኔ ራሴ አደርገዋለሁ

እስካሁን ማንም አልመረጠም። ምንም ተአቅቦ የለም።

ምንጭ: hab.com

አስተያየት ያክሉ