Sut i Werthuso Effeithiolrwydd Gosodiad NGFW
Y dasg fwyaf cyffredin yw gwirio pa mor effeithiol y mae eich wal dân wedi'i ffurfweddu. I wneud hyn, mae yna gyfleustodau a gwasanaethau am ddim gan gwmnïau sy'n delio â NGFW.
Er enghraifft, gallwch weld isod bod gan Palo Alto Networks y gallu i wneud hynny'n uniongyrchol cynnal dadansoddiad o ystadegau mur gwarchod - adroddiad SLR neu ddadansoddiad o gydymffurfiaeth ag arferion gorau - adroddiad BPA. Mae'r rhain yn gyfleustodau ar-lein rhad ac am ddim y gallwch eu defnyddio heb osod unrhyw beth.
CYNNWYS
Alldaith (Offeryn Mudo)
Opsiwn mwy cymhleth ar gyfer gwirio'ch gosodiadau yw lawrlwytho cyfleustodau am ddim (Migration Tool gynt). Mae'n cael ei lawrlwytho fel Offer Rhithwir ar gyfer VMware, nid oes angen unrhyw osodiadau ag ef - mae angen i chi lawrlwytho'r ddelwedd a'i defnyddio o dan yr hypervisor VMware, ei lansio a mynd i'r rhyngwyneb gwe. Mae'r cyfleustodau hwn yn gofyn am stori ar wahân, dim ond y cwrs arno sy'n cymryd 5 diwrnod, mae cymaint o swyddogaethau nawr, gan gynnwys Dysgu Peiriant a mudo gwahanol gyfluniadau o bolisïau, NAT a gwrthrychau ar gyfer gwahanol wneuthurwyr Firewall. Byddaf yn ysgrifennu mwy am Machine Learning isod yn y testun.
Optimizer Polisi
A'r opsiwn mwyaf cyfleus (IMHO), y byddaf yn dweud wrthych yn fwy manwl heddiw, yw'r optimeiddiwr polisi sydd wedi'i ymgorffori yn rhyngwyneb Palo Alto Networks ei hun. Er mwyn ei ddangos, gosodais wal dân gartref ac ysgrifennais reol syml: caniatáu unrhyw un i unrhyw un. Mewn egwyddor, rwy'n gweld rheolau o'r fath weithiau hyd yn oed mewn rhwydweithiau corfforaethol. Yn naturiol, fe alluogais holl broffiliau diogelwch NGFW, fel y gwelwch yn y llun:
Mae'r sgrinlun isod yn dangos enghraifft o wal dân heb ei ffurfweddu fy nghartref, lle mae bron pob cysylltiad yn disgyn i'r rheol olaf: Caniatáu Pawb, fel y gwelir o'r ystadegau yn y golofn Taro Cyfrif.
Ymddiriedolaeth Dim
Mae agwedd at ddiogelwch o'r enw . Beth mae hyn yn ei olygu: rhaid inni ganiatáu i bobl o fewn y rhwydwaith yr union gysylltiadau hynny sydd eu hangen arnynt a gwadu popeth arall. Hynny yw, mae angen inni ychwanegu rheolau clir ar gyfer ceisiadau, defnyddwyr, categorïau URL, mathau o ffeiliau; galluogi pob llofnod IPS a gwrthfeirws, galluogi bocsio tywod, amddiffyniad DNS, defnyddio IoC o'r cronfeydd data Threat Intelligence sydd ar gael. Yn gyffredinol, mae nifer dda o dasgau wrth sefydlu wal dân.
Gyda llaw, disgrifir y set leiaf o osodiadau angenrheidiol ar gyfer Palo Alto Networks NGFW yn un o ddogfennau SANS: - Rwy'n argymell dechrau ag ef. Ac wrth gwrs, mae set o arferion gorau ar gyfer gosod wal dân gan y gwneuthurwr: .
Felly, roedd gen i wal dân gartref am wythnos. Gawn ni weld pa fath o draffig sydd ar fy rhwydwaith:
Os ydych chi'n didoli yn ôl nifer y sesiynau, yna mae'r rhan fwyaf ohonyn nhw'n cael eu creu gan bittorent, yna daw SSL, yna QUIC. Ystadegau yw'r rhain ar gyfer traffig sy'n dod i mewn ac yn mynd allan: mae llawer o sganiau allanol o'm llwybrydd. Mae yna 150 o wahanol gymwysiadau ar fy rhwydwaith.
Felly, collwyd hyn oll gan un rheol. Gadewch i ni nawr weld beth mae Policy Optimizer yn ei ddweud am hyn. Os edrychwch uchod ar y sgrin o'r rhyngwyneb â rheolau diogelwch, yna ar y chwith isaf fe welwch ffenestr fach sy'n awgrymu i mi fod yna reolau y gellir eu hoptimeiddio. Gadewch i ni glicio yno.
Beth mae Polisi Optimizer yn ei ddangos:
- Pa bolisïau na ddefnyddiwyd o gwbl, 30 diwrnod, 90 diwrnod. Mae hyn yn helpu i wneud y penderfyniad i gael gwared arnynt yn gyfan gwbl.
- Pa geisiadau a nodwyd yn y polisïau, ond ni chanfuwyd unrhyw geisiadau o'r fath yn y traffig. Mae hyn yn caniatáu ichi gael gwared ar gymwysiadau diangen wrth ganiatáu rheolau.
- Pa bolisïau oedd yn caniatáu popeth, ond mewn gwirionedd roedd yna geisiadau y byddai wedi bod yn braf eu nodi'n benodol yn unol â methodoleg Zero Trust.
Gadewch i ni glicio ar Heb ei Ddefnyddio.
I ddangos sut mae'n gweithio, ychwanegais ychydig o reolau a hyd yn hyn nid ydynt wedi methu un pecyn heddiw. Dyma eu rhestr:
Efallai dros amser y bydd traffig yno ac yna byddant yn diflannu o'r rhestr hon. Ac os ydynt ar y rhestr hon am 90 diwrnod, yna gallwch benderfynu dileu'r rheolau hyn. Wedi'r cyfan, mae pob rheol yn rhoi cyfle i haciwr.
Mae problem wirioneddol wrth ffurfweddu wal dân: mae gweithiwr newydd yn dod, yn edrych ar y rheolau wal dân, os nad oes ganddynt unrhyw sylwadau ac nid yw'n gwybod pam y crëwyd y rheol hon, a oes ei hangen mewn gwirionedd, a all cael ei ddileu: yn sydyn mae'r person ar wyliau ac ar ôl O fewn 30 diwrnod, bydd traffig eto'n llifo o'r gwasanaeth sydd ei angen arno. Ac mae'r swyddogaeth hon yn ei helpu i wneud penderfyniad - does neb yn ei ddefnyddio - ei ddileu!
Cliciwch ar Ap Heb ei Ddefnyddio.
Rydyn ni'n clicio ar App Heb ei Ddefnyddio yn yr optimeiddiwr ac yn gweld bod gwybodaeth ddiddorol yn agor yn y brif ffenestr.
Gwelwn fod tair rheol, lle mae nifer y ceisiadau a ganiateir a nifer y ceisiadau a basiodd y rheol hon mewn gwirionedd yn wahanol.
Gallwn glicio a gweld rhestr o'r cymwysiadau hyn a chymharu'r rhestrau hyn.
Er enghraifft, cliciwch ar y botwm Cymharu ar gyfer y rheol Max.
Yma gallwch weld bod y ceisiadau facebook, instagram, telegram, vkontakte wedi'u caniatáu. Ond mewn gwirionedd, dim ond i rai o'r is-geisiadau yr aeth traffig. Yma mae angen i chi ddeall bod y cymhwysiad facebook yn cynnwys sawl is-gymhwysiad.
Gellir gweld y rhestr gyfan o geisiadau NGFW ar y porth ac yn y rhyngwyneb wal dân ei hun, yn yr adran Gwrthrychau-> Ceisiadau ac yn y chwiliad, teipiwch enw'r cais: facebook, fe gewch y canlyniad canlynol:
Felly, gwelwyd rhai o’r is-geisiadau hyn gan NGFW, ond ni welodd rhai. Mewn gwirionedd, gallwch chi wahardd a chaniatáu gwahanol is-swyddogaethau Facebook ar wahân. Er enghraifft, caniatáu gwylio negeseuon, ond gwahardd sgwrsio neu drosglwyddo ffeil. Yn unol â hynny, mae Policy Optimizer yn siarad am hyn a gallwch wneud penderfyniad: peidio â chaniatáu pob cais Facebook, ond dim ond y prif rai.
Felly, sylweddolon ni fod y rhestrau’n wahanol. Gallwch wneud yn siŵr bod y rheolau yn caniatáu dim ond y ceisiadau hynny sy'n teithio mewn gwirionedd ar y rhwydwaith. I wneud hyn, cliciwch y botwm MatchUsage. Mae'n troi allan fel hyn:
A gallwch hefyd ychwanegu cymwysiadau rydych chi'n eu hystyried yn angenrheidiol - y botwm Ychwanegu ar ochr chwith y ffenestr:
Ac yna gellir cymhwyso a phrofi'r rheol hon. Llongyfarchiadau!
Cliciwch Dim Apps Penodedig.
Yn yr achos hwn, bydd ffenestr ddiogelwch bwysig yn agor.
Mae'n debyg bod llawer o reolau o'r fath yn eich rhwydwaith lle nad yw'r cymhwysiad lefel L7 wedi'i nodi'n benodol. Ac yn fy rhwydwaith mae rheol o'r fath - gadewch imi eich atgoffa fy mod wedi ei wneud yn ystod y gosodiad cychwynnol, yn benodol i ddangos sut mae Polisi Optimizer yn gweithio.
Mae'r llun yn dangos bod y rheol Caniatáu wedi caniatáu 9 gigabeit o draffig yn y cyfnod rhwng Mawrth 17 a Mawrth 220, sef 150 o wahanol gymwysiadau yn fy rhwydwaith. Ac nid yw hynny'n ddigon. Yn nodweddiadol, mae gan rwydwaith corfforaethol maint cyfartalog 200-300 o wahanol gymwysiadau.
Felly, mae un rheol yn caniatáu cymaint â 150 o geisiadau. Yn nodweddiadol mae hyn yn golygu nad yw'r wal dân wedi'i ffurfweddu'n gywir, oherwydd fel arfer mae un rheol yn caniatáu 1-10 cais at wahanol ddibenion. Gadewch i ni weld beth yw'r cymwysiadau hyn: cliciwch ar y botwm Cymharu:
Y peth mwyaf gwych i weinyddwr yn y swyddogaeth Optimizer Polisi yw'r botwm Match Usage - gallwch greu rheol gydag un clic, lle byddwch chi'n nodi pob un o'r 150 o geisiadau yn y rheol. Byddai gwneud hyn â llaw yn cymryd amser hir. Mae nifer y tasgau i weinyddwr weithio arnynt, hyd yn oed ar fy rhwydwaith o 10 dyfais, yn enfawr.
Mae gen i 150 o wahanol gymwysiadau yn rhedeg gartref, gan drosglwyddo gigabeit o draffig! A faint sydd gennych chi?
Ond beth sy'n digwydd mewn rhwydwaith o 100 o ddyfeisiau neu 1000 neu 10000? Rwyf wedi gweld waliau tân gyda 8000 o reolau ac rwy'n falch iawn bod gan weinyddwyr offer awtomeiddio mor gyfleus erbyn hyn.
Mae rhai o'r cymwysiadau a welodd ac a ddangosodd modiwl dadansoddi cymwysiadau L7 yn NGFW na fydd eu hangen arnoch ar y rhwydwaith, felly rydych yn syml yn eu tynnu oddi ar y rhestr o reolau caniatáu, neu'n clonio'r rheolau gan ddefnyddio'r botwm Clone (yn y prif ryngwyneb) a caniatáu iddynt mewn un rheol cais, ac yn Byddwch yn rhwystro ceisiadau eraill gan nad oes eu hangen yn bendant ar eich rhwydwaith. Mae cymwysiadau o'r fath yn aml yn cynnwys bittorent, steam, ultrasurf, tor, twneli cudd fel tcp-over-dns ac eraill.
Wel, gadewch i ni glicio ar reol arall a gweld beth allwch chi ei weld yno:
Oes, mae yna geisiadau sy'n nodweddiadol ar gyfer aml-ddarllediad. Rhaid inni ganiatáu iddynt wylio fideos ar-lein i weithio. Cliciwch Match Use. Gwych! Diolch Optimizer Polisi.
Beth am Ddysgu Peiriannau?
Nawr mae'n ffasiynol siarad am awtomeiddio. Daeth yr hyn a ddisgrifiais allan - mae'n helpu llawer. Mae un posibilrwydd arall y dylwn siarad amdano. Dyma'r swyddogaeth Dysgu Peiriant sydd wedi'i ymgorffori yn y cyfleustodau Alldaith, y soniwyd amdano eisoes uchod. Yn y cyfleustodau hwn, mae'n bosibl trosglwyddo rheolau o'ch hen wal dân gan wneuthurwr arall. Mae yna hefyd y gallu i ddadansoddi logiau traffig presennol Palo Alto Networks ac awgrymu pa reolau i'w hysgrifennu. Mae hyn yn debyg i ymarferoldeb Polisi Optimizer, ond yn Expedition mae hyd yn oed yn fwy ehangedig a chynigir rhestr o reolau parod i chi - does ond angen i chi eu cymeradwyo.
Er mwyn profi'r swyddogaeth hon, mae yna waith labordy - rydyn ni'n ei alw'n gyriant prawf. Gellir gwneud y prawf hwn trwy fewngofnodi i waliau tân rhithwir, y bydd gweithwyr swyddfa Palo Alto Networks ym Moscow yn eu lansio ar eich cais.
Gellir anfon y cais i [e-bost wedi'i warchod] ac yn y cais ysgrifennwch: “Rydw i eisiau gwneud UTD ar gyfer y Broses Ymfudo.”
Mewn gwirionedd, mae gan waith labordy o'r enw Gyriant Prawf Unedig (UTD) sawl opsiwn a phob un ohonynt ar ôl cais.
Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. os gwelwch yn dda.
Hoffech chi gael rhywun i'ch helpu i wneud y gorau o'ch polisïau wal dân?
-
Oes
-
Dim
-
Byddaf yn gwneud y cyfan fy hun
Does neb wedi pleidleisio eto. Nid oes unrhyw ymatal.
Ffynhonnell: hab.com