Mar a nÏ thu measadh air èifeachd suidheachadh NGFW
Is e an obair as cumanta sgrĂšdadh a dhèanamh air dè cho èifeachdach sa tha am balla-teine ââââagad air a rèiteachadh. Gus seo a dhèanamh, tha goireasan agus seirbheisean an-asgaidh bho chompanaidhean a tha aâ dèiligeadh ri NGFW.
Mar eisimpleir, chĂŹ thu gu h-ĂŹosal gu bheil comas aig Palo Alto Networks gu dĂŹreach bho ruith mion-sgrĂšdadh air staitistig balla-teine ââ- aithisg SLR no mion-sgrĂšdadh air gèilleadh ris na cleachdaidhean as fheĂ rr - aithisg BPA. Is iad sin goireasan air-loidhne an-asgaidh as urrainn dhut a chleachdadh gun a bhith aâ stĂ ladh dad.
CLĂR-INNSE
Turas (Inneal Imrich)
Is e roghainn nas iom-fhillte airson sgrĂšdadh a dhèanamh air na roghainnean agad goireas an-asgaidh a luchdachadh sĂŹos (Inneal Imrich roimhe). Tha e air a luchdachadh sĂŹos mar inneal brĂŹgheil airson VMware, chan eil feum air suidheachaidhean leis - feumaidh tu an ĂŹomhaigh a luchdachadh sĂŹos agus a chuir a-steach fon hypervisor VMware, a chuir air bhog agus a dhol chun eadar-aghaidh lĂŹn. Feumaidh an goireas seo sgeulachd air leth, is e dĂŹreach an cĂšrsa a bheir e 5 latha, tha uimhir de dhleastanasan ann a-nis, aâ toirt a-steach Ionnsachadh Inneal agus imrich diofar rèiteachaidhean de phoileasaidhean, NAT agus stuthan airson diofar luchd-saothrachaidh Firewall. SgrĂŹobhaidh mi barrachd mu dheidhinn Ionnsachadh Inneal gu h-ĂŹosal anns an teacsa.
Optimizer poileasaidh
Agus is e an roghainn as freagarraiche (IMHO), air am bi mi ag innse dhut nas mionaidiche an-diugh, an optimizer poileasaidh a chaidh a thogail a-steach do eadar-aghaidh Palo Alto Networks fhèin. Gus a shealltainn, chuir mi balla-teine ââââa-steach aig an taigh agus sgrĂŹobh mi riaghailt shĂŹmplidh: cead a thoirt do dhuine sam bith. Ann am prionnsabal, bidh mi uaireannan a 'faicinn riaghailtean mar sin eadhon ann an lĂŹonraidhean corporra. Gu nĂ darra, thug mi comas do phròifil tèarainteachd NGFW gu lèir, mar a chĂŹ thu san dealbh:
Tha an dealbh-sgrĂŹn gu h-ĂŹosal aâ sealltainn eisimpleir de bhalla-teine ââââan dachaigh agam gun rèiteachadh, far a bheil cha mhòr a h-uile ceangal aâ tighinn a-steach don riaghailt mu dheireadh: Ceadaich Uile, mar a chithear bho na staitistig sa cholbh Hit Count.
Urras Zero
Tha dòigh-obrach a thaobh tèarainteachd ris an canar . Na tha seo aâ ciallachadh: feumaidh sinn na ceanglaichean sin a tha a dhĂŹth orra a cheadachadh do dhaoine taobh a-staigh an lĂŹonra agus a h-uile cĂ il eile a dhiĂšltadh. Is e sin, feumaidh sinn riaghailtean soilleir a chuir ris airson tagraidhean, luchd-cleachdaidh, roinnean URL, seòrsaichean faidhle; comas a thoirt do gach ainm-sgrĂŹobhte IPS agus antivirus, comas a thoirt do bhogsa-gainmhich, dĂŹon DNS, cleachd IoC bho na stòran-dĂ ta Threat Intelligence a tha rim faighinn. San fharsaingeachd, tha Ă ireamh mhath de ghnĂŹomhan ann nuair a bhios tu aâ stèidheachadh balla-teine.
Air an t-slighe, tha an seata as lugha de shuidheachaidhean riatanach airson Palo Alto Networks NGFW air a mhĂŹneachadh ann an aon de na sgrĂŹobhainnean SANS: - Tha mi aâ moladh tòiseachadh leis. Agus gu dearbh, tha seata de chleachdaidhean as fheĂ rr ann airson balla-teine ââââa stèidheachadh bhon neach-dèanamh: .
Mar sin, bha balla-teine ââââagam aig an taigh airson seachdain. ChĂŹ sinn dè an seòrsa trafaic a tha air an lĂŹonra agam:
Ma rèiticheas tu a rèir an Ă ireamh de sheiseanan, bidh aâ mhòr-chuid dhiubh air an cruthachadh le bittorent, an uairsin thig SSL, an uairsin QUIC. Is e seo staitistig airson an dĂ chuid trafaic a-steach agus a-mach: tha tòrr sganaidhean bhon taobh a-muigh den router agam. Tha 150 diofar thagraidhean air an lĂŹonra agam.
Mar sin, chaidh seo uile a chall le aon riaghailt. ChĂŹ sinn a-nis na tha Policy Optimizer ag rĂ dh mu dheidhinn seo. Ma choimheadas tu gu h-Ă rd air an dealbh-sgrĂŹn den eadar-aghaidh le riaghailtean tèarainteachd, an uairsin aig aâ bhonn air an taobh chlĂŹ chunnaic thu uinneag bheag a tha aâ nochdadh dhomh gu bheil riaghailtean ann a ghabhas an Ăšrachadh. Cliogaidh sinn an sin.
Na tha Poileasaidh Optimizer aâ sealltainn:
- Dè na poileasaidhean nach deach a chleachdadh idir, 30 latha, 90 latha. Bidh seo a 'cuideachadh le bhith a' co-dhÚnadh an toirt air falbh gu tur.
- Dè na tagraidhean a chaidh a shònrachadh anns na poileasaidhean, ach cha deach tagraidhean mar sin a lorg anns an trafaic. Leigidh seo leat aplacaidean neo-riatanach a thoirt air falbh ann an riaghailtean a cheadachadh.
- Dè na poileasaidhean a leig leis a h-uile cà il, ach gu dearbh bha tagraidhean ann a bhiodh air a bhith math a chomharrachadh gu soilleir a rèir modh Zero Trust.
Cliogaidh sinn air Unused.
Gus sealltainn mar a tha e ag obair, chuir mi beagan riaghailtean ris agus gu ruige seo chan eil iad air aon phacaid a chall an-diugh. Seo an liosta aca:
Is dòcha thar Ăšine gum bi trafaic ann agus an uairsin falbhaidh iad bhon liosta seo. Agus ma tha iad air an liosta seo airson 90 latha, faodaidh tu co-dhĂšnadh na riaghailtean sin a dhubhadh Ă s. Ăs deidh na h-uile, tha a h-uile riaghailt a 'toirt cothrom do neach-tarraing.
Tha fĂŹor dhuilgheadas ann nuair a bhios tu aâ rèiteachadh balla-teine: thig neach-obrach Ăšr, thoir sĂšil air na riaghailtean balla-teine, mura h-eil beachdan sam bith aca agus nach eil fios aige carson a chaidh an riaghailt seo a chruthachadh, co dhiubh a tha fĂŹor fheum air, an urrainn dha. a dhubhadh Ă s: gu h-obann tha an neach air saor-lĂ ithean agus Ă s deidh Taobh a-staigh 30 latha, bidh trafaic aâ sruthadh a-rithist bhon t-seirbheis a tha a dhĂŹth air. Agus tha dĂŹreach an gnĂŹomh seo ga chuideachadh gus co-dhĂšnadh a dhèanamh - chan eil duine ga chleachdadh - cuir Ă s dha!
Cliog air App gun chleachdadh.
Cliogaidh sinn air App gun chleachdadh anns an optimizer agus chĂŹ sinn gu bheil fiosrachadh inntinneach aâ fosgladh sa phrĂŹomh uinneag.
ChĂŹ sinn gu bheil trĂŹ riaghailtean ann, far a bheil an Ă ireamh de thagraidhean ceadaichte agus an Ă ireamh de thagraidhean a chaidh seachad air an riaghailt seo eadar-dhealaichte.
Faodaidh sinn briogadh agus liosta de na tagraidhean sin fhaicinn agus coimeas a dhèanamh eadar na liostaichean sin.
Mar eisimpleir, cliog air aâ phutan Dèan coimeas airson an riaghailt Max.
An seo chĂŹ thu gun robh na h-aplacaidean facebook, instagram, telegram, vkontakte ceadaichte. Ach ann an da-rĂŹribh, cha deach trafaic ach gu cuid de na fo-iarrtasan. An seo feumaidh tu tuigsinn gu bheil grunn fo-iarrtasan anns an tagradh facebook.
Chithear an liosta iomlan de thagraidhean NGFW air an portal agus anns an eadar-aghaidh balla-teine ââââfhèin, anns an roinn Rudan-> Tagraidhean agus anns an rannsachadh, dèan ainm an tagraidh: facebook, gheibh thu an toradh a leanas:
Mar sin, chaidh cuid de na fo-iarrtasan sin fhaicinn le NGFW, ach cha robh cuid dhiubh. Gu dearbh, faodaidh tu toirmeasg agus cead a thoirt do dhiofar fo-ghnĂŹomhan Facebook. Mar eisimpleir, ceadaich coimhead air teachdaireachdan, ach cuir casg air cabadaich no gluasad fhaidhlichean. A rèir sin, tha Policy Optimizer aâ bruidhinn mu dheidhinn seo agus faodaidh tu co-dhĂšnadh a dhèanamh: na leig leis a h-uile tagradh Facebook, ach dĂŹreach na prĂŹomh fheadhainn.
Mar sin, thuig sinn gu bheil na liostaichean eadar-dhealaichte. Faodaidh tu dèanamh cinnteach nach eil na riaghailtean aâ ceadachadh ach na tagraidhean sin a bhios aâ siubhal air an lĂŹonra. Gus seo a dhèanamh, cliogaidh tu air aâ phutan MatchUsage. Tha e a 'tionndadh a-mach mar seo:
Agus faodaidh tu cuideachd tagraidhean a tha thu aâ meas riatanach a chuir ris - am putan Add air taobh clĂŹ na h-uinneige:
Agus an uairsin faodar an riaghailt seo a chuir an sàs agus deuchainn a dhèanamh. Mealaibh ur naidheachd!
Cliog No Apps Specified.
Anns a 'chÚis seo, fosglaidh uinneag tèarainteachd cudromach.
Tha e coltach gu bheil tòrr riaghailtean mar sin anns an lĂŹonra agad far nach eil an tagradh ĂŹre L7 air a shònrachadh gu soilleir. Agus anns an lĂŹonra agam tha a leithid de riaghailt - leig dhomh do chuir an cuimhne gun do rinn mi e rè a âchiad stèidheachadh, gu sònraichte gus sealltainn mar a tha Policy Optimizer ag obair.
Tha an dealbh aâ sealltainn gun do cheadaich an riaghailt AllowAll 9 gigabytes de thrafaig san Ăšine bho 17 MĂ rt gu 220 MĂ rt, a tha na 150 tagradh eadar-dhealaichte anns an lĂŹonra agam. Agus chan eil sin gu leòr. Mar as trice, tha 200-300 diofar thagraidhean aig lĂŹonra corporra meadhanach mòr.
Mar sin, tha aon riaghailt aâ leigeil seachad suas ri 150 tagradh. Mar as trice tha seo a 'ciallachadh nach eil am balla-teine ââââair a rèiteachadh gu ceart, oir mar as trice tha aon riaghailt a' ceadachadh 1-10 iarrtasan airson diofar adhbharan. ChĂŹ sinn dè na tagraidhean a thâ ann: cliog air aâ phutan Dèan coimeas:
Is e an rud as iongantaiche airson rianadair ann an gnÏomh Poileasaidh Optimizer am putan Match Usage - faodaidh tu riaghailt a chruthachadh le aon bhriogadh, far an cuir thu a-steach a h-uile 150 tagradh a-steach don riaghailt. Bheireadh e Úine mhòr airson seo a dhèanamh le là imh. Tha an à ireamh de ghnÏomhan airson rianadair a bhith ag obair air, eadhon air an lÏonra agam de 10 innealan, fÏor mhòr.
Tha 150 diofar thagraidhean agam aâ ruith aig an taigh, aâ gluasad gigabytes de thrafaig! Agus dè an ĂŹre a thâ agad?
Ach dè a thachras ann an lĂŹonra de 100 inneal no 1000 no 10000? Tha mi air ballachan-teine ââââfhaicinn le 8000 riaghailt agus tha mi glè thoilichte gu bheil innealan fèin-ghluasaid cho goireasach aig luchd-rianachd a-nis.
Cuid de na tagraidhean a chunnaic agus a sheall modal anailis tagraidh L7 ann an NGFW nach fheum thu air an lĂŹonra, agus mar sin bidh thu dĂŹreach gan toirt air falbh bhon liosta de riaghailtean ceadachaidh, no aâ gleusadh na riaghailtean aâ cleachdadh aâ phutan Clone (anns aâ phrĂŹomh eadar-aghaidh) agus cead a thoirt dhaibh ann an aon riaghailt tagraidh, agus ann an Bidh thu a 'bacadh iarrtasan eile oir tha iad gu cinnteach nach eil feum air air an lĂŹonra agad. Bidh tagraidhean mar seo gu tric aâ toirt a-steach bittorent, smĂšid, ultrasurf, tor, tunailean falaichte leithid tcp-over-dns agus feadhainn eile.
Uill, cliogamaid air riaghailt eile agus chĂŹ thu na chĂŹ thu an sin:
Tha, tha tagraidhean à bhaisteach ann airson multicast. Feumaidh sinn leigeil leotha coimhead bhidio air-loidhne a bhith ag obair. Cliog air Cleachdadh Match . Sgoinneil! Mòran taing Policy Optimizer.
Dè mu dheidhinn Ionnsachadh Inneal?
A-nis tha e fasanta bruidhinn mu dheidhinn fèin-ghluasad. ThĂ inig na thuirt mi a-mach - tha e na chuideachadh mòr. Tha aon chothrom eile ann air am bu chòir dhomh bruidhinn. Is e seo an goireas Ionnsachadh Inneal a chaidh a thogail a-steach don ghoireas Expedition, a chaidh ainmeachadh gu h-Ă rd mar-thĂ . Anns aâ ghoireas seo, tha e comasach riaghailtean a ghluasad bhon t-seann bhalla-teine ââââagad bho neach-dèanamh eile. Tha comas ann cuideachd sgrĂšdadh a dhèanamh air logaichean trafaic Palo Alto Networks a tha ann mar-thĂ agus moladh dè na riaghailtean a bu chòir a sgrĂŹobhadh. Tha seo coltach ri gnĂŹomhachd Poileasaidh Optimizer, ach ann an Expedition tha e eadhon nas leudaichte agus thathas aâ tabhann liosta de riaghailtean deiseil dhut - chan fheum thu ach an aontachadh.
Gus an gnĂŹomh seo a dhearbhadh, tha obair-lann ann - is e draibhear deuchainn a chanas sinn ris. Faodar an deuchainn seo a dhèanamh le bhith aâ logadh a-steach do bhallachan-teine ââmas-fhĂŹor, a chuireas luchd-obrach oifis Palo Alto Networks ann am Moscow air bhog air dâ iarrtas.
Faodaidh tu an t-iarrtas agad a chur gu Russia@paloaltonetworks.com agus sgrĂŹobhadh san iarrtas: âTha mi airson UTD a dhèanamh airson aâ Phròiseas Imrichâ.
Gu dearbh, tha grunn roghainnean aig obair obair-lann ris an canar Unified Test Drive (UTD) agus iad uile an dèidh iarrtas.
Chan fhaod ach luchd-cleachdaidh clĂ raichte pĂ irt a ghabhail san sgrĂšdadh. , mas e do thoil e.
Am bu toil leat cuideigin do chuideachadh gus na poileasaidhean balla-teine ââââagad a bharrachadh?
gu bheil
Chan eil
nĂŹ mi e uile mi-fhĂŹn
Chan eil duine air bhòtadh fhathast. Chan eil staonadh ann.
Source: www.habr.com
