Hola a tots! A continuació d'això Vull explicar-vos més sobre la funcionalitat que ofereix la solució Sophos XG Firewall i presentar-vos la interfície web. Els articles i documents comercials són bons, però sempre és interessant, com és la solució a la vida real? Com funciona tot allà? Així que comencem amb la revisió.
Aquest article mostrarà la primera part de la funcionalitat de Sophos XG Firewall: "Monitorització i anàlisi". La revisió completa es publicarà com una sèrie d'articles. Seguirem basant-nos en la interfície web i la taula de llicències de Sophos XG Firewall
Centre de confiança
I així, vam llançar el navegador i vam obrir la interfície web del nostre NGFW, veiem un missatge per introduir el vostre nom d'usuari i contrasenya per entrar al tauler d'administració
Introduïm el login i la contrasenya que vam establir durant l'activació inicial i arribem al nostre centre de control. Es veu així
Gairebé tots aquests widgets es poden fer clic. Podeu caure en l'incident i veure'n els detalls.
Mirem cadascun dels blocs i començarem pel bloc System
Sistema de blocs
Aquest bloc mostra l'estat de la màquina en temps real. Si feu clic a qualsevol de les icones, anirem a una pàgina amb informació més detallada sobre l'estat del sistema
Si hi ha problemes al sistema, aquest giny ho indicarà i a la pàgina d'informació podeu veure'n el motiu
Si feu clic a les pestanyes, podeu obtenir més informació sobre diferents aspectes del tallafoc.
Bloc d'informació de trànsit
Aquesta secció ens dóna una idea del que està passant a la nostra xarxa en aquest moment i del que ha passat durant les últimes 24 hores. Les 5 principals categories i aplicacions web per trànsit, atacs a la xarxa (activat el mòdul IPS) i les 5 principals aplicacions bloquejades.
A més, la secció d'aplicacions al núvol val la pena destacar per separat. En ell es pot veure la presència d'aplicacions a la xarxa local que utilitzen serveis al núvol. El seu nombre total, trànsit entrant i sortint. Si feu clic a aquest giny, ens portarà a la pàgina d'informació sobre aplicacions al núvol, on podrem veure amb més detall quines aplicacions al núvol hi ha a la xarxa, qui les utilitza i informació de trànsit.
Bloqueig de dades d'usuari i dispositiu
Aquest bloc mostra informació sobre els usuaris. La línia superior ens mostra informació sobre els ordinadors dels usuaris infectats, recopilant informació de l'antivirus Sophos i transmetent-la a Sophos XG Firewall. A partir d'aquesta informació, Firewall pot, quan està infectat, desconnectar l'ordinador de l'usuari de la xarxa local o del segment de xarxa a nivell L2, bloquejant totes les comunicacions amb ell. Hi havia més informació sobre Security Heartbeat . Les dues línies següents són el control d'aplicacions i el sandbox del núvol. Com que aquesta és una funcionalitat independent, no es tractarà en aquest article.
Val la pena parar atenció als dos ginys inferiors. Aquests són ATP (Advanced Threat Protection) i UTQ (User Threat Quotient).
El mòdul ATP bloqueja les connexions amb C&C, els servidors de control de les xarxes de botnets. Si un dispositiu de la vostra xarxa local es troba en una xarxa de botnets, aquest mòdul ho informarà i no us permetrà connectar-vos al servidor de control. Sembla això
El mòdul UTQ assigna un índex de seguretat a cada usuari. Com més un usuari intenta anar a llocs prohibits o executar aplicacions prohibides, més alta serà la seva puntuació. A partir d'aquestes dades, és possible proporcionar formació a aquests usuaris amb antelació sense esperar que, al final, el seu ordinador s'infecti amb programari maliciós. Es veu així
A continuació hi ha una secció d'informació general sobre regles de tallafocs actives i informes calents, que es poden descarregar ràpidament en format pdf
Passem a la següent secció del menú - Activitats actuals
Activitats actuals
Comencem la revisió amb la pestanya Usuaris en directe. En aquesta pàgina podem veure quins usuaris estan connectats actualment a Sophos XG Firewall, el mètode d'autenticació, l'adreça IP de la màquina, el temps de connexió i el volum de trànsit.
Connexions en directe
Aquesta pestanya mostra les sessions actives en temps real. Aquesta taula es pot filtrar per aplicacions, usuaris i adreces IP de les màquines client.
Connexions IPsec
Aquesta pestanya mostra informació sobre les connexions VPN IPsec actives
Pestanya d'usuaris remots
La pestanya Usuaris remots conté informació sobre usuaris remots que es van connectar mitjançant VPN SSL
A més, en aquesta pestanya podeu visualitzar el trànsit per usuari en temps real i desconnectar força qualsevol usuari.
Ometem la pestanya Informes, ja que el sistema d'informes d'aquest producte és molt voluminós i requereix un article separat.
Diagnòstic
S'obre immediatament una pàgina amb diferents utilitats per trobar problemes. Aquests inclouen Ping, Traceroute, cerca de nom, cerca de ruta.
A continuació, hi ha una pestanya amb gràfics del sistema de maquinari i càrrega de ports en temps real
Gràfics del sistema
A continuació, una pestanya on podeu comprovar la categoria del recurs web
Cerca de categories d'URL
La següent pestanya, Captura de paquets, és essencialment una interfície tcpdump integrada al web. També podeu escriure filtres
Captura de paquets
Una cosa interessant a tenir en compte és que els paquets es converteixen en una taula on podeu desactivar i habilitar columnes addicionals amb informació. Aquesta funcionalitat és molt convenient per trobar problemes de xarxa, per exemple: podeu entendre ràpidament quines regles de filtrat s'han aplicat al trànsit real.
A la pestanya Llista de connexions podeu veure totes les connexions existents en temps real i informació sobre elles
Llista de connexions
Conclusió
Així conclou la primera part de la revisió. Vam examinar només la part més petita de la funcionalitat disponible i no vam tocar en absolut els mòduls de seguretat. En el següent article analitzarem la funcionalitat d'informes integrada i les regles del tallafoc, els seus tipus i finalitats.
Gràcies pel teu temps.
Si teniu cap pregunta sobre la versió comercial de XG Firewall, podeu contactar amb nosaltres, l'empresa , distribuïdor de Sophos. Tot el que has de fer és escriure en forma lliure a .
Font: www.habr.com