Ki jan yo evalye efikasite nan akor NGFW
Travay ki pi komen se tcheke kijan firewall ou a byen konfigirasyon. Pou fè sa, gen sèvis piblik gratis ak sèvis nan men konpayi ki fè fas ak NGFW.
Pou egzanp, anba a ou ka wè ke Palo Alto Networks gen kapasite nan dirèkteman nan kouri analiz estatistik firewall - rapò SLR oswa analiz konfòmite pi bon pratik - rapò BPA. Sa yo se sèvis piblik gratis sou entènèt ke ou ka itilize san yo pa enstale anyen.
SAK NAN GID LA
Ekspedisyon ( Zouti Migrasyon )
Yon opsyon ki pi konplike pou tcheke anviwònman ou yo se telechaje yon sèvis piblik gratis (ansyen Zouti Migrasyon). Li telechaje kòm yon Aparèy Virtuel pou VMware, pa gen okenn anviwònman obligatwa avèk li - ou bezwen telechaje imaj la epi deplwaye li anba hypervisor VMware, kouri li epi ale nan koòdone entènèt la. Sa a sèvis piblik mande pou yon istwa separe, se sèlman kou a sou li pran 5 jou, gen anpil fonksyon kounye a la, ki gen ladan Machine Learning ak migrasyon nan konfigirasyon divès kalite politik, NAT ak objè pou diferan manifaktirè Firewall. Mwen pral ekri plis sou Machine Learning anba a nan tèks la.
Policy Optimizer
Ak opsyon ki pi pratik (IMHO), ke mwen pral pale sou an plis detay jodi a, se optimize politik la ki te bati nan koòdone nan Palo Alto Networks tèt li. Pou demontre li, mwen enstale yon firewall lakay mwen epi mwen ekri yon règ senp: pèmèt nenpòt ki nenpòt. Nan prensip, pafwa mwen wè règ sa yo menm nan rezo antrepriz. Natirèlman, mwen te pèmèt tout pwofil sekirite NGFW, jan ou ka wè nan ekran an:
Ekran ki anba a montre yon egzanp pare-feu lakay mwen ki pa konfigirasyon, kote prèske tout koneksyon tonbe nan dènye règ la: AllowAll, jan yo ka wè nan estatistik yo ki nan kolòn nan Hit Count.
Zewo Trust
Gen yon apwòch sekirite ki rele . Ki sa sa vle di: nou dwe pèmèt moun ki nan rezo a egzakteman koneksyon yo ke yo bezwen epi entèdi tout lòt bagay. Sa vle di, nou bezwen ajoute règ klè pou aplikasyon, itilizatè, kategori URL, kalite dosye; pèmèt tout IPS ak siyati antivirus, pèmèt sandbox, pwoteksyon DNS, sèvi ak IoC nan baz done entèlijans menas ki disponib. An jeneral, gen yon kantite lajan desan nan travay lè mete kanpe yon firewall.
By wout la, seri minimòm de paramèt obligatwa pou Palo Alto Networks NGFW yo dekri nan youn nan dokiman SANS yo: - Mwen rekòmande kòmanse avèk li. Ak nan kou, gen yon seri pi bon pratik pou mete kanpe yon firewall soti nan manifakti a: .
Se konsa, mwen te gen yon firewall nan kay la pou yon semèn. Ann wè ki trafik sou rezo mwen an:
Si klase pa kantite sesyon yo, Lè sa a, pifò nan yo se kreye pa bittorent, Lè sa a, vini SSL, Lè sa a, QUIC. Sa yo se estatistik pou tou de fèk ap rantre ak sortan trafik: gen yon anpil nan analiz ekstèn nan routeur mwen an. Gen 150 aplikasyon diferan nan rezo mwen an.
Se konsa, tout bagay sa yo te rate pa yon règ. Ann wè sa Policy Optimizer di sou sa. Si ou te gade D' koòdone ak règ sekirite pi wo pase, lè sa a ou te wè yon ti fennèt nan bounda bough @ branch gòch, ki sijesyon pou mwen ke genyen règ ki kapab optimisé. Ann klike la.
Ki sa Policy Optimizer montre:
- Ki politik yo pat itilize ditou, 30 jou, 90 jou. Sa a ede pran desizyon pou retire yo tout ansanm.
- Ki aplikasyon yo te espesifye nan règleman yo, men pa gen okenn aplikasyon sa yo te jwenn nan trafik la. Sa a pèmèt ou retire aplikasyon ki pa nesesè nan règ pèmèt.
- Ki politik ki pèmèt tout bagay nan yon ranje, men te vrèman gen aplikasyon ke li ta bon pou endike klèman dapre metodoloji Zero Trust la.
Klike sou ki pa itilize.
Pou montre kouman li fonksyone, mwen te ajoute kèk règ e jiskaprezan yo pa rate yon sèl pake jiskaprezan. Men lis yo:
Petèt, apre yon sèten tan, trafik pral pase la ak Lè sa a, yo pral disparèt nan lis sa a. Men, si yo sou lis sa a pou 90 jou, Lè sa a, ou ka deside retire règ sa yo. Apre yo tout, chak règ bay yon opòtinite pou yon pirate.
Gen yon pwoblèm reyèl ak konfigirasyon firewall la: yon nouvo anplwaye vini, gade nan règ yo firewall, si yo pa gen okenn kòmantè epi yo pa konnen poukisa règ sa a te kreye, èske li vrèman nesesè, èske li ka efase: toudenkou moun nan se an vakans ak atravè 30 jou trafik pral ankò soti nan sèvis li bezwen an. Epi jis fonksyon sa a ede l pran yon desizyon - pèsonn pa sèvi ak li - efase li!
Klike sou aplikasyon ki pa itilize.
Nou klike sou Aplikasyon ki pa itilize nan optimize a epi wè enfòmasyon enteresan yo ap louvri nan fenèt prensipal la.
Nou wè ke gen twa règ, kote kantite aplikasyon yo pèmèt ak kantite aplikasyon ki aktyèlman te pase règ sa a yo diferan.
Nou ka klike epi wè yon lis aplikasyon sa yo epi konpare lis sa yo.
Pa egzanp, ann klike sou bouton Konpare pou règ Max la.
Isit la ou ka wè ke aplikasyon facebook, instagram, telegram, vkontakte yo te pèmèt. Men, an reyalite, trafik la te ale sèlman nan yon pati nan sub-aplikasyon yo. Isit la ou bezwen konprann ke aplikasyon facebook la gen plizyè sous-aplikasyon.
Ou ka wè tout lis aplikasyon NGFW sou pòtal la ak nan koòdone nan firewall li menm, nan la Objè-> Aplikasyon seksyon ak nan rechèch la, tape non aplikasyon an: facebook, w ap jwenn rezilta sa a:
Se konsa, NGFW te wè kèk nan sub-aplikasyon sa yo, ak kèk pa t '. An reyalite, ou ka separeman enfim ak pèmèt diferan subfonctions facebook. Pou egzanp, pèmèt ou wè mesaj, men entèdi chat oswa transfè dosye. An konsekans, Policy Optimizer pale sou sa a epi ou ka pran yon desizyon: pa pèmèt tout aplikasyon Facebook, men se sèlman sa yo prensipal yo.
Se konsa, nou reyalize ke lis yo diferan. Ou ka asire w ke règ yo pèmèt sèlman aplikasyon sa yo ki aktyèlman Roaming rezo a. Pou fè sa, ou klike sou bouton MatchUsage. Li sanble tankou sa a:
Epi ou ka ajoute tou aplikasyon ke ou konsidere nesesè - bouton Ajoute sou bò gòch fenèt la:
Lè sa a, règ sa a ka aplike ak teste. Felisitasyon!
Klike sou Pa gen okenn aplikasyon ki espesifye.
Nan ka sa a, yon fenèt sekirite enpòtan ap louvri.
Gen plis chans anpil règ sa yo kote aplikasyon nivo L7 pa espesifye klèman nan rezo w la. Ak nan rezo mwen an gen yon règ konsa - kite m 'fè ou sonje ke mwen te fè li pandan konfigirasyon inisyal la, espesyalman pou montre ki jan Policy Optimizer travay.
Foto a montre règ AllowAll la te rate 9 gigabyte trafik pandan peryòd 17 mas rive 220 mas, ki se yon total 150 aplikasyon diferan nan rezo mwen an. Lè sa a se toujou pa ase. Tipikman, yon rezo antrepriz gwosè mwayen gen 200-300 aplikasyon diferan.
Se konsa, yon règ rate otan 150 aplikasyon. Sa a anjeneral vle di ke firewall la configuré mal, paske anjeneral 1-10 aplikasyon pou diferan rezon yo sote nan yon sèl règ. Ann wè ki aplikasyon sa yo ye: klike sou bouton Konpare:
Bagay ki pi bèl pou administratè a nan karakteristik Optimizer politik la se bouton Itilizasyon Koresponn ak - ou ka kreye yon règ ak yon sèl klike sou, kote ou pral antre nan tout aplikasyon 150 nan règ la. Fè li manyèlman ta pran twò lontan. Nimewo a nan travay pou administratè a, menm sou rezo mwen an ki gen 10 aparèy, se gwo.
Mwen gen 150 aplikasyon diferan ki kouri lakay, transmèt gigabyte nan trafik! E konbyen ou genyen?
Men, sa k ap pase nan yon rezo ki gen 100 aparèy oswa 1000 oswa 10000? Mwen te wè firewall ki gen 8000 règ e mwen trè kontan ke administratè yo kounye a gen zouti automatisation pratik sa yo.
Ou pa pral bezwen kèk nan aplikasyon yo ke modil analiz aplikasyon L7 nan NGFW te wè ak montre sou rezo a, kidonk, ou tou senpleman retire yo nan lis la nan règ la pèmèt, oswa klonaj règ yo ak bouton klonaj la (nan koòdone prensipal la) ak pèmèt nan yon règ aplikasyon, ak nan Bloke lòt aplikasyon kòm si yo definitivman pa nesesè sou rezo ou. Aplikasyon sa yo souvan vin bittorent, vapè, ultrasurf, tor, tinèl kache tankou tcp-over-dns ak lòt moun.
Oke, klike sou yon lòt règ - sa ou ka wè la:
Wi, gen aplikasyon espesifik pou multicast. Nou dwe pèmèt yo nan lòd pou gade videyo sou rezo a travay. Klike sou Itilizasyon Koresponn ak. Gwo! Mèsi Policy Optimizer.
Ki sa ki sou Machine Learning?
Koulye a, li alamòd pale sou automatisation. Sa mwen te dekri soti - li ede anpil. Gen yon lòt posibilite ke mwen dwe mansyone. Sa a se fonksyonalite Machine Learning ki te bati nan sèvis piblik Expedition mansyone pi wo a. Nan sèvis piblik sa a, li posib transfere règ soti nan firewall fin vye granmoun ou a soti nan yon lòt manifakti. Epi gen tou kapasite pou analize mòso bwa trafik Palo Alto Networks ki egziste deja epi sijere ki règ yo ekri. Sa a se menm jan ak fonksyonalite Policy Optimizer, men nan Expedition li se menm plis avanse epi yo ofri w yon lis règ pare-fè - ou jis bezwen apwouve yo.
Pou teste fonksyonalite sa a, gen yon travay laboratwa - nou rele li yon tès kondwi. Ou ka fè tès sa a lè w ale nan firewall vityèl anplwaye biwo Palo Alto Networks Moskou pral lanse sou demann ou an.
Ou ka voye demann lan bay [imèl pwoteje] epi nan demann lan ekri: "Mwen vle fè yon UTD pou Pwosesis Migrasyon an."
An reyalite, gen plizyè opsyon pou laboratwa yo rele Unified Test Drive (UTD) ak yo tout apre demann.
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. , tanpri.
Èske w vle yon moun ede w optimize règleman pare-feu ou a?
-
Да
-
Pa gen
-
Mwen pral fè tout bagay mwen menm
Okenn moun poko vote. Pa gen abstansyon.
Sous: www.habr.com