Zdravo svima! U nastavku ovoga članci Želim da vam kažem više o funkcionalnosti koje nudi Sophos XG Firewall rešenje i da vas upoznam sa web interfejsom. Komercijalni članci i dokumenti su dobri, ali uvijek je zanimljivo, kako rješenje izgleda u stvarnom životu? Kako tamo sve funkcionira? Pa počnimo s recenzijom.

Ovaj članak će pokazati prvi dio funkcionalnosti Sophos XG Firewall - “Nadgledanje i analitika”. Cijela recenzija će biti objavljena kao serija članaka. Nastavićemo na osnovu veb interfejsa Sophos XG Firewall i tabele licenciranja

Centar za povjerenje

I tako, pokrenuli smo pretraživač i otvorili web sučelje našeg NGFW-a, vidimo upit za unos korisničkog imena i lozinke za ulazak u admin panel

Unosimo login i lozinku koje smo postavili prilikom inicijalne aktivacije i dolazimo do našeg kontrolnog centra. On izgleda ovako

Gotovo svaki od ovih widgeta može se kliknuti. Možete upasti u incident i vidjeti detalje.

Pogledajmo svaki od blokova i počećemo sa blokom Sistem

Blok sistem

Ovaj blok prikazuje stanje mašine u realnom vremenu. Ako kliknete na bilo koju od ikona, otići ćemo na stranicu sa detaljnijim informacijama o statusu sistema

Ako postoje problemi u sistemu, onda će ovaj widget to signalizirati, a na stranici sa informacijama možete vidjeti razlog

Klikom na kartice možete dobiti više informacija o različitim aspektima zaštitnog zida.

Blok za uvid u saobraćaj

Ovaj odjeljak nam daje ideju o tome šta se trenutno dešava na našoj mreži i šta se dogodilo u protekla 24 sata. Top 5 web kategorija i aplikacija prema prometu, mrežnim napadima (pokrenut IPS modul) i top 5 blokiranih aplikacija.

Također, odjeljak Cloud aplikacije vrijedi posebno istaknuti. U njemu možete vidjeti prisutnost aplikacija na lokalnoj mreži koje koriste usluge oblaka. Njihov ukupan broj, dolazni i odlazni saobraćaj. Ako kliknete na ovaj widget, bit ćemo preusmjereni na stranicu sa informacijama o aplikacijama u oblaku, gdje možemo detaljnije vidjeti koje su cloud aplikacije na mreži, ko ih koristi i informacije o prometu

Blok uvida u korisnike i uređaje

Ovaj blok prikazuje informacije o korisnicima. Gornja linija nam prikazuje informacije o zaraženim korisničkim računarima, prikupljanje informacija od Sophos antivirusnog programa i njihovo prenošenje na Sophos XG Firewall. Na osnovu ovih informacija, Firewall može, kada je zaražen, isključiti računar korisnika iz lokalne mreže ili mrežnog segmenta na nivou L2, blokirajući svaku komunikaciju s njim. Više informacija o Security Heartbeat-u je bilo u ovaj članak. Sljedeće dvije linije su kontrola aplikacija i cloud sandbox. Budući da je ovo zasebna funkcionalnost, neće se raspravljati u ovom članku.

Vrijedi obratiti pažnju na dva donja widgeta. To su ATP (Advanced Threat Protection) i UTQ (User Threat Quotient).

ATP modul blokira veze sa C&C, kontrolnim serverima botnet mreža. Ako je uređaj na vašoj lokalnoj mreži u botnet mreži, ovaj modul će to prijaviti i neće vam dozvoliti da se povežete na kontrolni server. To izgleda ovako

UTQ modul svakom korisniku dodjeljuje sigurnosni indeks. Što više korisnik pokušava otići na zabranjene stranice ili pokrenuti zabranjene aplikacije, njegova ocjena postaje veća. Na osnovu ovih podataka moguće je unaprijed obezbijediti obuku takvim korisnicima bez čekanja da će na kraju njihov računar biti zaražen malverom. To izgleda ovako

Slijedi dio općih informacija o aktivnim pravilima zaštitnog zida i vrućim izvještajima, koji se mogu brzo preuzeti u pdf formatu

Pređimo na sljedeći odjeljak menija - Trenutne aktivnosti

Tekuće aktivnosti

Započnimo pregled sa karticom Live korisnici. Na ovoj stranici možemo vidjeti koji su korisnici trenutno povezani na Sophos XG Firewall, način provjere autentičnosti, IP adresu uređaja, vrijeme povezivanja i promet.

Žive veze

Ova kartica prikazuje aktivne sesije u realnom vremenu. Ova tabela se može filtrirati prema aplikacijama, korisnicima i IP adresama klijentskih mašina.

IPsec veze

Ova kartica prikazuje informacije o aktivnim IPsec VPN vezama

Kartica Udaljeni korisnici

Kartica Udaljeni korisnici sadrži informacije o udaljenim korisnicima koji su se povezali putem SSL VPN-a

Također, na ovoj kartici možete vidjeti promet po korisniku u realnom vremenu i nasilno isključiti bilo kojeg korisnika.

Preskočimo karticu Izvještaji, jer je sistem izvješćivanja u ovom proizvodu vrlo obimni i zahtijeva poseban članak.

Dijagnostika

Odmah se otvara stranica sa različitim uslužnim programima za pronalaženje problema. To uključuje Ping, Traceroute, Traženje imena, Traženje rute.

Sljedeća je kartica sa sistemskim grafikonima učitavanja hardvera i porta u realnom vremenu

Sistemski grafovi

Zatim karticu na kojoj možete provjeriti kategoriju web resursa

Traženje URL kategorije

Sljedeća kartica, Packet capture, je u suštini tcpdump interfejs ugrađen u web. Takođe možete pisati filtere

Hvatanje paketa

Zanimljivo je napomenuti da se paketi pretvaraju u tabelu u kojoj možete onemogućiti i omogućiti dodatne kolone sa informacijama. Ova funkcionalnost je vrlo zgodna za pronalaženje mrežnih problema, na primjer - možete brzo razumjeti koja su pravila filtriranja primijenjena na stvarni promet.

Na kartici Lista veza možete vidjeti sve postojeće veze u realnom vremenu i informacije o njima

Lista veza

zaključak

Ovim je završen prvi dio pregleda. Ispitali smo samo najmanji dio dostupnih funkcionalnosti i uopće se nismo dotakli sigurnosnih modula. U sljedećem članku ćemo analizirati ugrađenu funkcionalnost izvješćivanja i pravila zaštitnog zida, njihove vrste i svrhu.

Hvala vam na izdvojenom vremenu.

Ako imate bilo kakvih pitanja o komercijalnoj verziji XG Firewall-a, možete nas kontaktirati, kompaniju Faktorska grupa, Sophos distributer. Sve što treba da uradite je da pišete u slobodnoj formi na [email zaštićen].

izvor: www.habr.com