Mar a nì thu measadh air èifeachd suidheachadh NGFW
Is e an obair as cumanta sgrùdadh a dhèanamh air dè cho èifeachdach sa tha am balla-teine agad air a rèiteachadh. Gus seo a dhèanamh, tha goireasan agus seirbheisean an-asgaidh bho chompanaidhean a tha a’ dèiligeadh ri NGFW.
Mar eisimpleir, chì thu gu h-ìosal gu bheil comas aig Palo Alto Networks gu dìreach bho ruith mion-sgrùdadh air staitistig balla-teine - aithisg SLR no mion-sgrùdadh air gèilleadh ris na cleachdaidhean as fheàrr - aithisg BPA. Is iad sin goireasan air-loidhne an-asgaidh as urrainn dhut a chleachdadh gun a bhith a’ stàladh dad.
CLÀR-INNSE
Turas (Inneal Imrich)
Is e roghainn nas iom-fhillte airson sgrùdadh a dhèanamh air na roghainnean agad goireas an-asgaidh a luchdachadh sìos (Inneal Imrich roimhe). Tha e air a luchdachadh sìos mar inneal brìgheil airson VMware, chan eil feum air suidheachaidhean leis - feumaidh tu an ìomhaigh a luchdachadh sìos agus a chuir a-steach fon hypervisor VMware, a chuir air bhog agus a dhol chun eadar-aghaidh lìn. Feumaidh an goireas seo sgeulachd air leth, is e dìreach an cùrsa a bheir e 5 latha, tha uimhir de dhleastanasan ann a-nis, a’ toirt a-steach Ionnsachadh Inneal agus imrich diofar rèiteachaidhean de phoileasaidhean, NAT agus stuthan airson diofar luchd-saothrachaidh Firewall. Sgrìobhaidh mi barrachd mu dheidhinn Ionnsachadh Inneal gu h-ìosal anns an teacsa.
Optimizer poileasaidh
Agus is e an roghainn as freagarraiche (IMHO), air am bi mi ag innse dhut nas mionaidiche an-diugh, an optimizer poileasaidh a chaidh a thogail a-steach do eadar-aghaidh Palo Alto Networks fhèin. Gus a shealltainn, chuir mi balla-teine a-steach aig an taigh agus sgrìobh mi riaghailt shìmplidh: cead a thoirt do dhuine sam bith. Ann am prionnsabal, bidh mi uaireannan a 'faicinn riaghailtean mar sin eadhon ann an lìonraidhean corporra. Gu nàdarra, thug mi comas do phròifil tèarainteachd NGFW gu lèir, mar a chì thu san dealbh:
Tha an dealbh-sgrìn gu h-ìosal a’ sealltainn eisimpleir de bhalla-teine an dachaigh agam gun rèiteachadh, far a bheil cha mhòr a h-uile ceangal a’ tighinn a-steach don riaghailt mu dheireadh: Ceadaich Uile, mar a chithear bho na staitistig sa cholbh Hit Count.
Urras Zero
Tha dòigh-obrach a thaobh tèarainteachd ris an canar . Na tha seo a’ ciallachadh: feumaidh sinn na ceanglaichean sin a tha a dhìth orra a cheadachadh do dhaoine taobh a-staigh an lìonra agus a h-uile càil eile a dhiùltadh. Is e sin, feumaidh sinn riaghailtean soilleir a chuir ris airson tagraidhean, luchd-cleachdaidh, roinnean URL, seòrsaichean faidhle; comas a thoirt do gach ainm-sgrìobhte IPS agus antivirus, comas a thoirt do bhogsa-gainmhich, dìon DNS, cleachd IoC bho na stòran-dàta Threat Intelligence a tha rim faighinn. San fharsaingeachd, tha àireamh mhath de ghnìomhan ann nuair a bhios tu a’ stèidheachadh balla-teine.
Air an t-slighe, tha an seata as lugha de shuidheachaidhean riatanach airson Palo Alto Networks NGFW air a mhìneachadh ann an aon de na sgrìobhainnean SANS: - Tha mi a’ moladh tòiseachadh leis. Agus gu dearbh, tha seata de chleachdaidhean as fheàrr ann airson balla-teine a stèidheachadh bhon neach-dèanamh: .
Mar sin, bha balla-teine agam aig an taigh airson seachdain. Chì sinn dè an seòrsa trafaic a tha air an lìonra agam:
Ma rèiticheas tu a rèir an àireamh de sheiseanan, bidh a’ mhòr-chuid dhiubh air an cruthachadh le bittorent, an uairsin thig SSL, an uairsin QUIC. Is e seo staitistig airson an dà chuid trafaic a-steach agus a-mach: tha tòrr sganaidhean bhon taobh a-muigh den router agam. Tha 150 diofar thagraidhean air an lìonra agam.
Mar sin, chaidh seo uile a chall le aon riaghailt. Chì sinn a-nis na tha Policy Optimizer ag ràdh mu dheidhinn seo. Ma choimheadas tu gu h-àrd air an dealbh-sgrìn den eadar-aghaidh le riaghailtean tèarainteachd, an uairsin aig a’ bhonn air an taobh chlì chunnaic thu uinneag bheag a tha a’ nochdadh dhomh gu bheil riaghailtean ann a ghabhas an ùrachadh. Cliogaidh sinn an sin.
Na tha Poileasaidh Optimizer a’ sealltainn:
- Dè na poileasaidhean nach deach a chleachdadh idir, 30 latha, 90 latha. Bidh seo a 'cuideachadh le bhith a' co-dhùnadh an toirt air falbh gu tur.
- Dè na tagraidhean a chaidh a shònrachadh anns na poileasaidhean, ach cha deach tagraidhean mar sin a lorg anns an trafaic. Leigidh seo leat aplacaidean neo-riatanach a thoirt air falbh ann an riaghailtean a cheadachadh.
- Dè na poileasaidhean a leig leis a h-uile càil, ach gu dearbh bha tagraidhean ann a bhiodh air a bhith math a chomharrachadh gu soilleir a rèir modh Zero Trust.
Cliogaidh sinn air Unused.
Gus sealltainn mar a tha e ag obair, chuir mi beagan riaghailtean ris agus gu ruige seo chan eil iad air aon phacaid a chall an-diugh. Seo an liosta aca:
Is dòcha thar ùine gum bi trafaic ann agus an uairsin falbhaidh iad bhon liosta seo. Agus ma tha iad air an liosta seo airson 90 latha, faodaidh tu co-dhùnadh na riaghailtean sin a dhubhadh às. Às deidh na h-uile, tha a h-uile riaghailt a 'toirt cothrom do neach-tarraing.
Tha fìor dhuilgheadas ann nuair a bhios tu a’ rèiteachadh balla-teine: thig neach-obrach ùr, thoir sùil air na riaghailtean balla-teine, mura h-eil beachdan sam bith aca agus nach eil fios aige carson a chaidh an riaghailt seo a chruthachadh, co dhiubh a tha fìor fheum air, an urrainn dha. a dhubhadh às: gu h-obann tha an neach air saor-làithean agus às deidh Taobh a-staigh 30 latha, bidh trafaic a’ sruthadh a-rithist bhon t-seirbheis a tha a dhìth air. Agus tha dìreach an gnìomh seo ga chuideachadh gus co-dhùnadh a dhèanamh - chan eil duine ga chleachdadh - cuir às dha!
Cliog air App gun chleachdadh.
Cliogaidh sinn air App gun chleachdadh anns an optimizer agus chì sinn gu bheil fiosrachadh inntinneach a’ fosgladh sa phrìomh uinneag.
Chì sinn gu bheil trì riaghailtean ann, far a bheil an àireamh de thagraidhean ceadaichte agus an àireamh de thagraidhean a chaidh seachad air an riaghailt seo eadar-dhealaichte.
Faodaidh sinn briogadh agus liosta de na tagraidhean sin fhaicinn agus coimeas a dhèanamh eadar na liostaichean sin.
Mar eisimpleir, cliog air a’ phutan Dèan coimeas airson an riaghailt Max.
An seo chì thu gun robh na h-aplacaidean facebook, instagram, telegram, vkontakte ceadaichte. Ach ann an da-rìribh, cha deach trafaic ach gu cuid de na fo-iarrtasan. An seo feumaidh tu tuigsinn gu bheil grunn fo-iarrtasan anns an tagradh facebook.
Chithear an liosta iomlan de thagraidhean NGFW air an portal agus anns an eadar-aghaidh balla-teine fhèin, anns an roinn Rudan-> Tagraidhean agus anns an rannsachadh, dèan ainm an tagraidh: facebook, gheibh thu an toradh a leanas:
Mar sin, chaidh cuid de na fo-iarrtasan sin fhaicinn le NGFW, ach cha robh cuid dhiubh. Gu dearbh, faodaidh tu toirmeasg agus cead a thoirt do dhiofar fo-ghnìomhan Facebook. Mar eisimpleir, ceadaich coimhead air teachdaireachdan, ach cuir casg air cabadaich no gluasad fhaidhlichean. A rèir sin, tha Policy Optimizer a’ bruidhinn mu dheidhinn seo agus faodaidh tu co-dhùnadh a dhèanamh: na leig leis a h-uile tagradh Facebook, ach dìreach na prìomh fheadhainn.
Mar sin, thuig sinn gu bheil na liostaichean eadar-dhealaichte. Faodaidh tu dèanamh cinnteach nach eil na riaghailtean a’ ceadachadh ach na tagraidhean sin a bhios a’ siubhal air an lìonra. Gus seo a dhèanamh, cliogaidh tu air a’ phutan MatchUsage. Tha e a 'tionndadh a-mach mar seo:
Agus faodaidh tu cuideachd tagraidhean a tha thu a’ meas riatanach a chuir ris - am putan Add air taobh clì na h-uinneige:
Agus an uairsin faodar an riaghailt seo a chuir an sàs agus deuchainn a dhèanamh. Mealaibh ur naidheachd!
Cliog No Apps Specified.
Anns a 'chùis seo, fosglaidh uinneag tèarainteachd cudromach.
Tha e coltach gu bheil tòrr riaghailtean mar sin anns an lìonra agad far nach eil an tagradh ìre L7 air a shònrachadh gu soilleir. Agus anns an lìonra agam tha a leithid de riaghailt - leig dhomh do chuir an cuimhne gun do rinn mi e rè a ’chiad stèidheachadh, gu sònraichte gus sealltainn mar a tha Policy Optimizer ag obair.
Tha an dealbh a’ sealltainn gun do cheadaich an riaghailt AllowAll 9 gigabytes de thrafaig san ùine bho 17 Màrt gu 220 Màrt, a tha na 150 tagradh eadar-dhealaichte anns an lìonra agam. Agus chan eil sin gu leòr. Mar as trice, tha 200-300 diofar thagraidhean aig lìonra corporra meadhanach mòr.
Mar sin, tha aon riaghailt a’ leigeil seachad suas ri 150 tagradh. Mar as trice tha seo a 'ciallachadh nach eil am balla-teine air a rèiteachadh gu ceart, oir mar as trice tha aon riaghailt a' ceadachadh 1-10 iarrtasan airson diofar adhbharan. Chì sinn dè na tagraidhean a th’ ann: cliog air a’ phutan Dèan coimeas:
Is e an rud as iongantaiche airson rianadair ann an gnìomh Poileasaidh Optimizer am putan Match Usage - faodaidh tu riaghailt a chruthachadh le aon bhriogadh, far an cuir thu a-steach a h-uile 150 tagradh a-steach don riaghailt. Bheireadh e ùine mhòr airson seo a dhèanamh le làimh. Tha an àireamh de ghnìomhan airson rianadair a bhith ag obair air, eadhon air an lìonra agam de 10 innealan, fìor mhòr.
Tha 150 diofar thagraidhean agam a’ ruith aig an taigh, a’ gluasad gigabytes de thrafaig! Agus dè an ìre a th’ agad?
Ach dè a thachras ann an lìonra de 100 inneal no 1000 no 10000? Tha mi air ballachan-teine fhaicinn le 8000 riaghailt agus tha mi glè thoilichte gu bheil innealan fèin-ghluasaid cho goireasach aig luchd-rianachd a-nis.
Cuid de na tagraidhean a chunnaic agus a sheall modal anailis tagraidh L7 ann an NGFW nach fheum thu air an lìonra, agus mar sin bidh thu dìreach gan toirt air falbh bhon liosta de riaghailtean ceadachaidh, no a’ gleusadh na riaghailtean a’ cleachdadh a’ phutan Clone (anns a’ phrìomh eadar-aghaidh) agus cead a thoirt dhaibh ann an aon riaghailt tagraidh, agus ann an Bidh thu a 'bacadh iarrtasan eile oir tha iad gu cinnteach nach eil feum air air an lìonra agad. Bidh tagraidhean mar seo gu tric a’ toirt a-steach bittorent, smùid, ultrasurf, tor, tunailean falaichte leithid tcp-over-dns agus feadhainn eile.
Uill, cliogamaid air riaghailt eile agus chì thu na chì thu an sin:
Tha, tha tagraidhean àbhaisteach ann airson multicast. Feumaidh sinn leigeil leotha coimhead bhidio air-loidhne a bhith ag obair. Cliog air Cleachdadh Match . Sgoinneil! Mòran taing Policy Optimizer.
Dè mu dheidhinn Ionnsachadh Inneal?
A-nis tha e fasanta bruidhinn mu dheidhinn fèin-ghluasad. Thàinig na thuirt mi a-mach - tha e na chuideachadh mòr. Tha aon chothrom eile ann air am bu chòir dhomh bruidhinn. Is e seo an goireas Ionnsachadh Inneal a chaidh a thogail a-steach don ghoireas Expedition, a chaidh ainmeachadh gu h-àrd mar-thà. Anns a’ ghoireas seo, tha e comasach riaghailtean a ghluasad bhon t-seann bhalla-teine agad bho neach-dèanamh eile. Tha comas ann cuideachd sgrùdadh a dhèanamh air logaichean trafaic Palo Alto Networks a tha ann mar-thà agus moladh dè na riaghailtean a bu chòir a sgrìobhadh. Tha seo coltach ri gnìomhachd Poileasaidh Optimizer, ach ann an Expedition tha e eadhon nas leudaichte agus thathas a’ tabhann liosta de riaghailtean deiseil dhut - chan fheum thu ach an aontachadh.
Gus an gnìomh seo a dhearbhadh, tha obair-lann ann - is e draibhear deuchainn a chanas sinn ris. Faodar an deuchainn seo a dhèanamh le bhith a’ logadh a-steach do bhallachan-teine mas-fhìor, a chuireas luchd-obrach oifis Palo Alto Networks ann am Moscow air bhog air d’ iarrtas.
Faodar an t-iarrtas a chuir gu [post-d fo dhìon] agus san iarrtas sgrìobh: “Tha mi airson UTD a dhèanamh airson a’ phròiseas imrich. ”
Gu dearbh, tha grunn roghainnean aig obair obair-lann ris an canar Unified Test Drive (UTD) agus iad uile an dèidh iarrtas.
Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. , mas e do thoil e.
Am bu toil leat cuideigin do chuideachadh gus na poileasaidhean balla-teine agad a bharrachadh?
-
gu bheil
-
Chan eil
-
nì mi e uile mi-fhìn
Chan eil duine air bhòtadh fhathast. Chan eil staonadh ann.
Source: www.habr.com