Hoe kinne jo de effektiviteit fan in NGFW-opset evaluearje
De meast foarkommende taak is om te kontrolearjen hoe effektyf jo firewall is ynsteld. Om dit te dwaan, binne d'r fergese nutsbedriuwen en tsjinsten fan bedriuwen dy't dwaande binne mei NGFW.
Bygelyks, kinne jo sjen hjirûnder dat Palo Alto Networks hat de mooglikheid om direkt út útfiere in analyze fan firewall statistyk - SLR rapport of analyze fan neilibjen fan bêste praktiken - BPA rapport. Dit binne fergese online hulpprogramma's dy't jo kinne brûke sûnder neat te ynstallearjen.
TABLIN FAN INHALTEN
Ekspedysje (migraasje-ark)
In mear komplekse opsje foar it kontrolearjen fan jo ynstellingen is om in fergese hulpprogramma te downloaden (earder Migration Tool). It wurdt ynladen as in firtuele apparaat foar VMware, gjin ynstellingen binne dêrmei fereaske - jo moatte de ôfbylding downloade en ynsette ûnder de VMware hypervisor, starte it en gean nei de webynterface. Dit hulpprogramma fereasket in apart ferhaal, allinich de kursus dêrop duorret 5 dagen, d'r binne no safolle funksjes, ynklusyf Machine Learning en migraasje fan ferskate konfiguraasjes fan belied, NAT en objekten foar ferskate Firewall-fabrikanten. Ik sil hjirûnder mear skriuwe oer Machine Learning yn 'e tekst.
Belied Optimizer
En de meast handige opsje (IMHO), dêr't ik jo hjoed yn mear detail oer sil fertelle, is de beliedsoptimizer ynboud yn 'e Palo Alto Networks-ynterface sels. Om it te demonstrearjen, haw ik thús in brânmuorre ynstalleare en in ienfâldige regel skreaun: tastean elk ta. Yn prinsipe sjoch ik soms sokke regels sels yn bedriuwsnetwurken. Fansels haw ik alle NGFW-befeiligingsprofilen ynskeakele, lykas jo kinne sjen yn 'e skermôfbylding:
It skermôfbylding hjirûnder lit in foarbyld sjen fan myn net-konfigureare brânmuorre fan myn hûs, wêrby't hast alle ferbiningen yn 'e lêste regel falle: AllowAll, lykas te sjen is út 'e statistiken yn 'e Hit Count kolom.
Nul fertrouwen
Der is in oanpak fan feiligens neamd . Wat dit betsjut: wy moatte minsken binnen it netwurk krekt dy ferbiningen tastean dy't se nedich binne en al it oare wegerje. Dat is, wy moatte dúdlike regels tafoegje foar applikaasjes, brûkers, URL-kategoryen, triemtypen; ynskeakelje alle IPS en antivirus hantekeningen, ynskeakelje sandboxing, DNS beskerming, brûk IoC út de beskikbere Threat Intelligence databases. Yn 't algemien binne d'r in fatsoenlik oantal taken by it opsetten fan in firewall.
Trouwens, de minimale set fan nedige ynstellingen foar Palo Alto Networks NGFW wurdt beskreaun yn ien fan 'e SANS-dokuminten: - Ik advisearje dermei te begjinnen. En fansels is d'r in set fan bêste praktiken foar it ynstellen fan in firewall fan 'e fabrikant: .
Dus, ik hie in wike in firewall thús. Litte wy sjen wat foar ferkear d'r is op myn netwurk:
As jo sortearje op it oantal sesjes, dan wurde de measte fan harren makke troch bittorent, dan komt SSL, dan QUIC. Dit binne statistiken foar sawol ynkommende as útgeande ferkear: d'r binne in protte eksterne scans fan myn router. D'r binne 150 ferskillende applikaasjes op myn netwurk.
Dat, dit alles waard mist troch ien regel. Litte wy no sjen wat Policy Optimizer hjiroer seit. As jo hjirboppe seagen nei it skermôfbylding fan 'e ynterface mei feiligensregels, dan seagen jo links ûnder in lyts finster dat my oanjout dat d'r regels binne dy't kinne wurde optimalisearre. Litte wy dêr klikke.
Wat Policy Optimizer toant:
- Hokker belied waarden hielendal net brûkt, 30 dagen, 90 dagen. Dit helpt it beslút te meitsjen om se folslein te ferwiderjen.
- Hokker applikaasjes waarden spesifisearre yn it belied, mar gjin sokke applikaasjes waarden ûntdutsen yn it ferkear. Hjirmei kinne jo ûnnedige applikaasjes fuortsmite by it tastean fan regels.
- Hokker belied mocht alles, mar der wiene eins tapassingen dy't neffens de Zero Trust-metoade wol moai oanjûn hiene.
Litte wy klikke op Net brûkt.
Om sjen te litten hoe't it wurket, haw ik in pear regels tafoege en oant no ta hawwe se hjoed net ien pakket mist. Hjir is har list:
Miskien sil der yn 'e rin fan' e tiid ferkear komme en dan ferdwine se fan dizze list. En as se 90 dagen op dizze list steane, dan kinne jo beslute om dizze regels te wiskjen. Elke regel jout ommers in kâns foar in hacker.
D'r is in echt probleem by it konfigurearjen fan in firewall: in nije meiwurker komt, sjocht nei de firewall-regels, as se gjin opmerkings hawwe en hy wit net wêrom dizze regel makke is, oft it echt nedich is, oft it kin wurde wiske: ynienen de persoan is op fakânsje en nei Binnen 30 dagen, ferkear sil wer stream út de tsjinst er nedich. En krekt dizze funksje helpt him in beslút te nimmen - gjinien brûkt it - wiskje it!
Klikje op Net brûkte app.
Wy klikke op Net brûkte app yn 'e optimizer en sjogge dat ynteressante ynformaasje iepenet yn it haadfinster.
Wy sjogge dat d'r trije regels binne, wêrby't it oantal tastiene oanfragen en it oantal oanfragen dy't dizze regel eins passeare ferskille.
Wy kinne klikke en in list fan dizze applikaasjes sjen en dizze listen fergelykje.
Klikje bygelyks op de knop Fergelykje foar de Max-regel.
Hjir kinne jo sjen dat de applikaasjes facebook, instagram, telegram, vkontakte waarden tastien. Mar yn werklikheid gie ferkear mar nei guon fan 'e sub-applikaasjes. Hjir moatte jo begripe dat de facebook-applikaasje ferskate sub-applikaasjes befettet.
De folsleine list fan NGFW-applikaasjes is te sjen op it portaal en yn 'e firewall-ynterface sels, yn' e seksje Objekten-> Applikaasjes en yn it sykjen, typ de applikaasjenamme: facebook, jo krije it folgjende resultaat:
Dat, guon fan dizze sub-applikaasjes waarden sjoen troch NGFW, mar guon wiene net. Yn feite kinne jo ferskate subfunksjes fan Facebook apart ferbiede en tastean. Tastean bygelyks it besjen fan berjochten, mar ferbiede petear of triemferfier. Dêrtroch praat Policy Optimizer oer dit en jo kinne in beslút nimme: net alle Facebook-applikaasjes tastean, mar allinich de wichtichste.
Dat, wy realisearre dat de listen binne oars. Jo kinne derfoar soargje dat de regels allinich de applikaasjes tastean dy't eins reizgje op it netwurk. Om dit te dwaan, klikje jo op de MatchUsage-knop. It komt sa út:
En jo kinne ek applikaasjes tafoegje dy't jo nedich achtsje - de knop tafoegje oan 'e linkerkant fan it finster:
En dan kin dizze regel tapast en hifke wurde. Lokwinske!
Klikje Gjin apps oantsjutte.
Yn dit gefal sil in wichtich befeiligingsfinster iepenje.
D'r binne nei alle gedachten in protte fan sokke regels yn jo netwurk dêr't de L7 nivo applikaasje is net eksplisyt oantsjutte. En yn myn netwurk is d'r sa'n regel - lit my jo herinnerje dat ik it makke yn 'e earste opset, spesifyk om sjen te litten hoe't Policy Optimizer wurket.
De foto lit sjen dat de AllowAll-regel 9 gigabytes ferkear tastien hat yn 'e perioade fan 17 maart oant 220 maart, dat is 150 ferskillende applikaasjes yn myn netwurk. En dat is net genôch. Typysk hat in bedriuwsnetwurk fan gemiddelde grutte 200-300 ferskillende applikaasjes.
Dat, ien regel lit safolle as 150 applikaasjes troch. Typysk betsjut dit dat de brânmuorre net goed ynsteld is, om't meastentiids ien regel 1-10 applikaasjes foar ferskate doelen makket. Litte wy sjen wat dizze applikaasjes binne: klikje op de knop Ferlykje:
It moaiste ding foar in behearder yn 'e Policy Optimizer-funksje is de knop Match Usage - jo kinne in regel meitsje mei ien klik, wêr't jo alle 150 applikaasjes yn 'e regel sille ynfiere. Dit mei de hân dwaan soe nochal lang duorje. It oantal taken foar in behearder om oan te wurkjen, sels op myn netwurk fan 10 apparaten, is enoarm.
Ik haw 150 ferskillende applikaasjes dy't thús rinne, en oerdrage gigabytes oan ferkear! En hoefolle hasto?
Mar wat bart der yn in netwurk fan 100 apparaten of 1000 of 10000? Ik haw firewalls sjoen mei 8000 regels en ik bin heul bliid dat behearders no sokke handige automatisearringsark hawwe.
Guon fan 'e applikaasjes dy't de L7-applikaasje-analysemodule yn NGFW seach en liet sjen dat jo net nedich binne op it netwurk, dus jo ferwiderje se gewoan út' e list mei tastimmingregels, of klonje de regels mei de knop Clone (yn 'e haadynterface) en tastean se yn ien applikaasje regel, en yn Jo sille blokkearje oare applikaasjes as se binne perfoarst net nedich op jo netwurk. Sokke applikaasjes omfetsje faaks bittorent, steam, ultrasurf, tor, ferburgen tunnels lykas tcp-over-dns en oaren.
No, litte wy op in oare regel klikke en sjen wat jo dêr kinne sjen:
Ja, d'r binne applikaasjes typysk foar multicast. Wy moatte har tastean om online fideo's te besjen om te wurkjen. Klik op Match gebrûk. Grut! Betanke Policy Optimizer.
Hoe sit it mei Machine Learning?
No is it moade om te praten oer automatisearring. Wat ik beskreau kaam út - it helpt in protte. Der is noch ien mooglikheid dêr't ik oer prate moat. Dit is de Machine Learning-funksjonaliteit ynboud yn it Expedition-hulpprogramma, dat hjirboppe al neamd waard. Yn dit hulpprogramma is it mooglik om regels oer te setten fan jo âlde firewall fan in oare fabrikant. D'r is ek de mooglikheid om besteande ferkearslogboeken fan Palo Alto Networks te analysearjen en foar te stellen hokker regels te skriuwen. Dit is te fergelykjen mei de funksjonaliteit fan Policy Optimizer, mar yn Ekspedysje is it noch mear útwreide en jo krije in list mei klearmakke regels oanbean - jo moatte se gewoan goedkarre.
Om dizze funksjonaliteit te testen, is d'r in laboratoariumwurk - wy neame it in proefrit. Dizze test kin dien wurde troch yn te loggen op firtuele firewalls, dy't Palo Alto Networks-kantoarmeiwurkers yn Moskou op jo fersyk starte.
It fersyk kin stjoerd wurde nei [e-post beskerme] en skriuw yn it fersyk: "Ik wol in UTD meitsje foar it migraasjeproses."
Yn feite hat laboratoariumwurk neamd Unified Test Drive (UTD) ferskate opsjes en allegear nei fersyk.
Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. , asjebleaft.
Wolle jo dat immen jo helpt om jo firewallbelied te optimalisearjen?
-
dat
-
gjin
-
Ik sil it allegear sels dwaan
Der hat noch gjinien stimd. Der binne gjin ûnthâldens.
Boarne: www.habr.com