Hallo zusammen! In Fortsetzung davon Ich möchte Ihnen mehr über die Funktionalität der Sophos XG Firewall-Lösung erzählen und Ihnen die Weboberfläche vorstellen. Kommerzielle Artikel und Dokumente sind gut, aber es ist immer interessant, wie sieht die Lösung im wirklichen Leben aus? Wie funktioniert dort alles? Beginnen wir also mit der Rezension.
Dieser Artikel zeigt den ersten Teil der Sophos XG Firewall-Funktionalität – „Überwachung und Analyse“. Die vollständige Rezension wird als Artikelserie veröffentlicht. Wir werden auf der Grundlage der Weboberfläche und Lizenzierungstabelle der Sophos XG Firewall fortfahren
Sicherheitskontrollzentrum
Nachdem wir den Browser gestartet und die Weboberfläche unserer NGFW geöffnet haben, werden wir aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben, um das Admin-Panel aufzurufen
Wir geben den Login und das Passwort ein, die wir bei der Erstaktivierung festgelegt haben, und gelangen in unser Kontrollzentrum. Er sieht so aus
Fast jedes dieser Widgets ist anklickbar. Sie können in den Vorfall hineinfallen und die Details sehen.
Werfen wir einen Blick auf die einzelnen Blöcke und beginnen mit dem Systemblock.
Blocksystem
Dieser Block zeigt den Zustand der Maschine in Echtzeit an. Wenn Sie auf eines der Symbole klicken, gelangen wir zu einer Seite mit detaillierteren Informationen zum Status des Systems
Wenn es Probleme im System gibt, signalisiert dieses Widget dies und auf der Informationsseite können Sie den Grund sehen
Durch Klicken auf die Registerkarten erhalten Sie weitere Informationen zu verschiedenen Aspekten der Firewall
Traffic-Insight-Block
Dieser Abschnitt gibt uns einen Überblick darüber, was derzeit in unserem Netzwerk passiert und was in den letzten 24 Stunden passiert ist. Top 5 Webkategorien und Anwendungen nach Datenverkehr, Netzwerkangriffen (IPS-Modul ausgelöst) und Top 5 blockierter Anwendungen.
Außerdem lohnt es sich, den Abschnitt „Cloud-Anwendungen“ gesondert hervorzuheben. Darin können Sie die Präsenz von Anwendungen im lokalen Netzwerk sehen, die Cloud-Dienste nutzen. Ihre Gesamtzahl, eingehender und ausgehender Verkehr. Wenn Sie auf dieses Widget klicken, gelangen wir zur Informationsseite zu Cloud-Anwendungen, wo wir detaillierter sehen können, welche Cloud-Anwendungen sich im Netzwerk befinden, wer sie nutzt und Informationen zum Datenverkehr
Block „Benutzer- und Geräteeinblicke“.
Dieser Block zeigt Informationen über Benutzer an. Die oberste Zeile zeigt uns Informationen über infizierte Benutzercomputer, sammelt Informationen vom Sophos Antivirus und übermittelt sie an die Sophos XG Firewall. Basierend auf diesen Informationen kann die Firewall im Falle einer Infektion den Computer des Benutzers vom lokalen Netzwerk oder Netzwerksegment auf L2-Ebene trennen und so die gesamte Kommunikation mit ihm blockieren. Weitere Informationen zu Security Heartbeat finden Sie unter . Die nächsten beiden Zeilen sind Anwendungssteuerung und Cloud-Sandbox. Da es sich um eine separate Funktionalität handelt, wird sie in diesem Artikel nicht berücksichtigt.
Es lohnt sich, auf die beiden unteren Widgets zu achten. Dies sind ATP (Advanced Threat Protection) und UTQ (User Threat Quotient).
Das ATP-Modul blockiert Verbindungen zu C&Cs, die Botnet-Netzwerkserver steuern. Wenn sich ein Gerät in Ihrem lokalen Netzwerk in einem Botnet-Netzwerk befindet, meldet dieses Modul dies und erlaubt Ihnen keine Verbindung zum Steuerungsserver. Es sieht aus wie das
Das UTQ-Modul weist jedem Benutzer einen Sicherheitsindex zu. Je öfter ein Benutzer versucht, verbotene Websites aufzurufen oder verbotene Anwendungen auszuführen, desto höher wird seine Bewertung. Basierend auf diesen Daten ist es möglich, solche Benutzer im Vorfeld zu schulen, ohne darauf warten zu müssen, dass ihr Computer am Ende mit Schadsoftware infiziert wird. Es sieht aus wie das
Als nächstes folgt ein Abschnitt mit allgemeinen Informationen zu aktiven Firewall-Regeln und Hot Reports, die schnell im PDF-Format heruntergeladen werden können
Kommen wir zum nächsten Menüabschnitt – Aktuelle Aktivitäten
Aktuelle Aktivitäten
Beginnen wir die Überprüfung mit der Registerkarte „Live-Benutzer“. Auf dieser Seite können wir sehen, welche Benutzer derzeit mit der Sophos XG Firewall verbunden sind, sowie die Authentifizierungsmethode, die IP-Adresse des Computers, die Verbindungszeit und das Verkehrsaufkommen.
Live-Verbindungen
Auf dieser Registerkarte werden aktive Sitzungen in Echtzeit angezeigt. Diese Tabelle kann nach Anwendungen, Benutzern und IP-Adressen von Client-Computern gefiltert werden.
IPsec-Verbindungen
Auf dieser Registerkarte werden Informationen zu aktiven IPsec-VPN-Verbindungen angezeigt
Registerkarte „Remote-Benutzer“.
Die Registerkarte „Remote-Benutzer“ enthält Informationen über Remote-Benutzer, die eine Verbindung über SSL VPN hergestellt haben
Außerdem können Sie auf dieser Registerkarte den Datenverkehr nach Benutzern in Echtzeit anzeigen und jeden Benutzer zwangsweise trennen.
Lassen Sie uns die Registerkarte „Berichte“ überspringen, da das Berichtssystem in diesem Produkt sehr umfangreich ist und einen separaten Artikel erfordert.
Diagnose
Es öffnet sich sofort eine Seite mit verschiedenen Dienstprogrammen zur Fehlerbehebung. Dazu gehören Ping, Traceroute, Namenssuche und Routensuche.
Als nächstes folgt eine Registerkarte mit Echtzeit-Systemdiagrammen zum Laden von Eisen und Häfen
Systemdiagramme
Dann eine Registerkarte, auf der Sie die Kategorie der Webressource überprüfen können
Suche nach URL-Kategorien
Die nächste Registerkarte „Paketerfassung“ ist im Wesentlichen die im Web integrierte tcpdump-Schnittstelle. Sie können auch Filter schreiben
Paketerfassung
Interessanterweise ist es erwähnenswert, dass die Pakete in eine Tabelle umgewandelt werden, in der Sie zusätzliche Spalten mit Informationen deaktivieren und aktivieren können. Diese Funktionalität ist sehr praktisch, um Netzwerkprobleme zu finden. So können Sie beispielsweise schnell nachvollziehen, welche Filterregeln auf den tatsächlichen Datenverkehr angewendet wurden.
Auf der Registerkarte Verbindungsliste können Sie alle bestehenden Verbindungen in Echtzeit und Informationen dazu anzeigen
Verbindungsliste
Abschluss
Damit ist der erste Teil der Rezension abgeschlossen. Wir haben nur den kleinsten Teil der verfügbaren Funktionalität berücksichtigt und die Schutzmodule überhaupt nicht berührt. Im nächsten Artikel analysieren wir die integrierten Berichtsfunktionen und Firewall-Regeln sowie deren Arten und Zwecke.
Danke für deine Zeit.
Wenn Sie Fragen zur kommerziellen Version der XG Firewall haben, können Sie uns – das Unternehmen – kontaktieren , Sophos-Händler. Es reicht aus, in freier Form darauf zu schreiben .
Source: habr.com