Ўсім прывітанне! У працяг дадзенай
У дадзеным артыкуле будзе паказана першая частка функцыяналу Sophos XG Firewall – гэта "Маніторынг і аналітыка". Поўны агляд выйдзе як цыкл артыкулаў. Ісці мы будзем, адштурхваючыся ад вэб інтэрфейсу Sophos XG Firewall і табліцы ліцэнзавання
Цэнтр кіравання бяспекай
І вось, мы запусцілі браўзэр і адкрылі вэб інтэрфейс нашага NGFW, мы бачым запрашэнне ўвесці лагін і пароль для ўваходу ў адмінку
Уводзім лагін і пароль, які мы задавалі пры першапачатковай актывацыі і пападаем у наш цэнтр кіравання. Выглядае ён так
Амаль кожны з дадзеных віджэтаў клікабелен. Можна праваліцца ў інцыдэнт і паглядзець падрабязнасці.
Давайце разбяром кожны з блокаў, і пачнем мы з блока System
Блок System
Дадзены блок адлюстроўвае стан машыны ў рэальным часе. Калі націснуць на любую з абразкоў, то мы пяройдзем на старонку з больш падрабязнай інфармацыяй аб стане сістэмы
Калі ў сістэме ёсць праблемы, то дадзены віджэт пра гэта прасігналізуе, а на старонцы інфармацыі можна паглядзець прычыну
Пераходзячы па ўкладках, можна атрымаць больш інфармацыі аб розных аспектах працы міжсеткавага экрана.
Блок Traffic insight
Дадзеная частка дае нам уяўленне пра тое, што адбываецца ў нас у сетцы на дадзены момант і што адбывалася за апошнія 24 гадзіны. Топ 5 вэб катэгорый і прыкладанняў па трафіку, сеткавыя напады (спрацоўванне IPS модуля) і топ 5 заблакаваных прыкладанняў.
Таксама, асобна варта вылучыць падзел Cloud Applications. У ім можна паглядзець наяўнасць у лакальнай сетцы прыкладанняў, якія выкарыстоўваюць хмарныя сэрвісы. Агульны іх лік, уваходны і выходны трафік. Калі націснуць на дадзены віджэт, то мы правалімся на старонку інфармацыі па хмарных прыкладаннях, дзе зможам больш падрабязней паглядзець, якія хмарныя прыкладанні ёсць у сетцы, хто імі карыстаецца і інфармацыю аб трафіку
Блок User & device insights
У дадзеным блоку паказана інфармацыя аб карыстальніках. Верхні радок паказвае нам інфармацыю аб заражаных кампутарах карыстачоў, збіраючы інфармацыю з антывіруса ад Sophos і перадаючы яе ў Sophos XG Firewall. Па гэтай інфармацыі Firewall можа, пры заражэнні, адключаць кампутар карыстача ад лакальнай сеткі ці сегмента сеткі на L2 узроўні блакуючы ўсе сувязі з ім. Больш падрабязней аб Security Heartbeat было ў
Варта звярнуць увагу на два ніжнія фішкі. Гэта ATP (Advanced Threat Protection) і UTQ (User Threat Quotient).
Модуль ATP блакуе злучэнні з C&C, якія кіруюць серверамі ботнет сетак. Калі прылада ў вашай лакальнай сетцы патрапіла ў ботнет сетку, то дадзены модуль паведаміць пра гэта і не дасць падлучыцца да кіраўніка сервера. Выглядае гэта такім чынам
Модуль UTQ прысвойвае кожнаму карыстачу азначнік бяспекі. Чым больш карыстач імкнецца перайсці на забароненыя сайты ці запусціць забароненыя прыкладанні, тым вышэй становіцца яго рэйтынг. Абапіраючыся на гэтыя дадзеныя, можна загадзя правесці навучанне для такіх карыстальнікаў не чакаючы таго, што, у канчатковым выніку, яго кампутар будзе заражаны шкоднасным ПЗ. Выглядае гэта так
Далей ідзе раздзел агульнай інфармацыі аб актыўных фаервольных правілах і гарачыя справаздачы, якія можна хутка спампаваць у pdf фармаце
Пяройдзем да наступнай часткі меню — Current activities
Бягучая дзейнасць
Пачнём агляд з укладкі Live users. На дадзенай старонцы мы можам паглядзець, хто з карыстачоў падлучаны на дадзены момант да Sophos XG Firewall, метад аўтэнтыфікацыі, ip адрас машыны, час падключэння і аб'ём трафіку.
Live connections
На дадзенай укладцы адлюстроўваюцца актыўныя сесіі ў рэальным часе. Дадзеную табліцу можна фільтраваць па дадатках, карыстальнікам і IP адрасах кліенцкіх машын.
IPsec connections
На дадзенай укладцы адлюстроўваецца інфармацыя аб актыўных злучэннях IPsec VPN
Укладка Remote users
На ўкладцы Remote users знаходзіцца інфармацыя аб выдаленых карыстальніках, якія падключыліся праз SSL VPN
Таксама, на гэтай укладцы можна паглядзець трафік па карыстальніках у рэальным часе і прымусова адключыць любога карыстальніка.
Прапусцім укладку Reports, бо сістэма справаздач у дадзеным прадукце вельмі аб'ёмная і патрабуе асобнага артыкула.
Дыягностыка
Адразу адкрываецца старонка з рознымі ўтылітамі пошуку праблемы. У іх уваходзіць Ping, Traceroute, Name lookup, Route lookup.
Далей ідзе ўкладка з сістэмнымі графікамі загрузкі жалеза і партоў у рэальным часе
System graphs
Затым ўкладка, дзе можна праверыць катэгорыю вэб рэсурса
URL category lookup
Наступная ўкладка Packet capture – гэта, па сутнасці, убудаваны ў вэб інтэрфейс tcpdump. Можна таксама пісаць фільтры
Захоп пакетаў
З цікавага варта адзначыць тое, што пакеты пераўтворацца ў табліцу, дзе можна адключаць і ўключаць дадатковыя слупкі з інфармацыяй. Гэты функцыянал вельмі зручны для пошуку сеткавых праблем, напрыклад - можна хутка зразумець якія правілы фільтрацыі прымяніліся на рэальны трафік.
На ўкладцы Connection List можна паглядзець усе існуючыя канекты ў рэальным часе і інфармацыю па іх
Спіс злучэнняў
Заключэнне
На гэтым мы скончым першую частку агляду. Мы разгледзелі толькі самую малую частку наяўнага функцыяналу і наогул не дакраналіся модуляў абароны. У наступным артыкуле разбяром убудаваны функцыянал справаздачнасці і фаервольныя правілы, іх віды і прызначэнні.
Дзякуй за нададзенае час.
Калі ў Вас будуць пытанні па камерцыйнай версіі XG Firewall, Вы можаце звяртацца да нас - кампанію
Крыніца: habr.com