Hvernig á að meta skilvirkni NGFW uppsetningar

Algengasta verkefnið er að athuga hversu vel eldveggurinn þinn er stilltur. Til að gera þetta eru ókeypis tól og þjónusta frá fyrirtækjum sem fást við NGFW.

Til dæmis, þú getur séð hér að neðan að Palo Alto Networks hefur getu til að beint frá stuðningsgátt keyra greiningu á eldveggtölfræði - SLR skýrsla eða greining á samræmi við bestu starfsvenjur - BPA skýrsla. Þetta eru ókeypis tól á netinu sem þú getur notað án þess að setja neitt upp.

EFNISYFIRLIT

Leiðangur (flutningsverkfæri)
Fínstilling stefnu
Núll traust
Smelltu á Ónotað
Smelltu á Ónotað forrit
Smelltu á Engin forrit tilgreind
Hvað með vélanám?
UTD

Leiðangur (flutningsverkfæri)

Flóknari valkostur til að athuga stillingarnar þínar er að hlaða niður ókeypis tóli Expedition (áður Migration Tool). Það er sótt sem sýndartæki fyrir VMware, engar stillingar eru nauðsynlegar með því - þú þarft að hlaða niður myndinni og dreifa henni undir VMware hypervisor, ræsa hana og fara í vefviðmótið. Þetta tól krefst sérstakrar sögu, aðeins námskeiðið um það tekur 5 daga, það eru svo margar aðgerðir núna, þar á meðal vélanám og flutning á ýmsum uppsetningum stefnu, NAT og hlutum fyrir mismunandi eldveggsframleiðendur. Ég mun skrifa meira um Machine Learning hér að neðan í textanum.

Fínstilling stefnu

Og þægilegasti kosturinn (IMHO), sem ég mun segja þér nánar frá í dag, er hagræðingin sem er innbyggð í Palo Alto Networks viðmótið sjálft. Til að sýna fram á það setti ég upp eldvegg heima og skrifaði einfalda reglu: leyfa hvaða sem er. Í grundvallaratriðum sé ég stundum slíkar reglur jafnvel í fyrirtækjanetum. Auðvitað virkjaði ég alla NGFW öryggissnið, eins og þú sérð á skjáskotinu:


Skjáskotið hér að neðan sýnir dæmi um óstilltan eldvegg heima hjá mér, þar sem næstum allar tengingar falla undir síðustu regluna: AllowAll, eins og sjá má af tölfræðinni í Hit Count dálknum.

Núll traust

Það er nálgun til öryggis sem kallast Núll traust. Hvað þýðir þetta: við verðum að leyfa fólki innan netsins nákvæmlega þær tengingar sem þeir þurfa og neita öllu öðru. Það er, við þurfum að bæta við skýrum reglum fyrir forrit, notendur, vefslóðaflokka, skráargerðir; virkjaðu allar IPS- og vírusvarnarundirskriftir, virkjaðu sandkassa, DNS-vörn, notaðu IoC úr tiltækum Threat Intelligence gagnagrunnum. Almennt séð er ágætis fjöldi verkefna þegar þú setur upp eldvegg.

Við the vegur, lágmarks sett af nauðsynlegum stillingum fyrir Palo Alto Networks NGFW er lýst í einu af SANS skjölunum: Palo Alto Networks öryggisstillingarviðmið - Ég mæli með því að byrja á því. Og auðvitað, það er sett af bestu starfsvenjum til að setja upp eldvegg frá framleiðanda: Besta æfingin.

Svo var ég með eldvegg heima í viku. Við skulum sjá hvers konar umferð er á netinu mínu:


Ef þú flokkar eftir fjölda lota, þá eru flestar þeirra búnar til af bittorent, þá kemur SSL, síðan QUIC. Þetta eru tölfræði fyrir bæði komandi og útleið: það er mikið af ytri skönnunum á beini mínum. Það eru 150 mismunandi forrit á netinu mínu.

Svo, allt þetta var misst af einni reglu. Við skulum nú sjá hvað Policy Optimizer segir um þetta. Ef þú skoðaðir hér að ofan skjáskotið af viðmótinu með öryggisreglum, þá sástu neðst til vinstri lítinn glugga sem gefur mér í skyn að það séu til reglur sem hægt er að fínstilla. Við skulum smella þar.

Það sem fínstilling stefnu sýnir:

• Hvaða stefnur voru alls ekki notaðar, 30 dagar, 90 dagar. Þetta hjálpar til við að taka ákvörðun um að fjarlægja þá alveg.
• Hvaða forrit voru tilgreind í stefnunum en engin slík forrit greindust í umferðinni. Þetta gerir þér kleift að fjarlægja óþarfa forrit í leyfisreglum.
• Hvaða stefnur leyfðu allt, en það voru í raun og veru forrit sem gaman hefði verið að gefa til kynna með skýrum hætti samkvæmt Zero Trust aðferðafræðinni.

Smellum á Ónotað.

Til að sýna hvernig það virkar bætti ég við nokkrum reglum og hingað til hafa þær ekki misst af einum pakka í dag. Hér er listi þeirra:

Kannski verður umferð þangað með tímanum og þá hverfa þeir af þessum lista. Og ef þeir eru á þessum lista í 90 daga, þá geturðu ákveðið að eyða þessum reglum. Þegar öllu er á botninn hvolft gefur hver regla tölvuþrjóta tækifæri.

Það er raunverulegt vandamál þegar þú stillir eldvegg: nýr starfsmaður kemur, skoðar eldveggsreglurnar, ef þeir hafa engar athugasemdir og hann veit ekki hvers vegna þessi regla var búin til, hvort hún sé raunverulega þörf, hvort hún getur verði eytt: skyndilega er viðkomandi í fríi og eftir Innan 30 daga mun umferð aftur streyma frá þeirri þjónustu sem hann þarfnast. Og bara þessi aðgerð hjálpar honum að taka ákvörðun - enginn notar hana - eyða henni!

Smelltu á Ónotað forrit.

Við smellum á Ónotað forrit í fínstillingu og sjáum að áhugaverðar upplýsingar opnast í aðalglugganum.

Við sjáum að það eru þrjár reglur, þar sem fjöldi leyfilegra umsókna og fjöldi umsókna sem raunverulega stóðust þessa reglu er mismunandi.

Við getum smellt og séð lista yfir þessi forrit og borið saman þessa lista.
Til dæmis, smelltu á Berðu saman hnappinn fyrir Max regluna.

Hér geturðu séð að forritin facebook, instagram, símskeyti, vkontakte voru leyfð. En í raun og veru fór umferð aðeins í sumar undirumsóknirnar. Hér þarftu að skilja að facebook forritið inniheldur nokkur undirforrit.

Hægt er að sjá allan listann yfir NGFW umsóknir á vefsíðunni applipedia.paloaltonetworks.com og í eldveggviðmótinu sjálfu, í hlutanum Objects->Applications og í leitinni, sláðu inn nafn forritsins: facebook, þú færð eftirfarandi niðurstöðu:

Þannig að sumar þessara undirumsókna sáu NGFW, en sumar ekki. Reyndar geturðu sérstaklega bannað og leyft mismunandi undiraðgerðir Facebook. Leyfðu til dæmis að skoða skilaboð, en bannaðu spjall eða skráaflutning. Samkvæmt því talar Policy Optimizer um þetta og þú getur tekið ákvörðun: ekki leyfa öll Facebook forrit, heldur aðeins þau helstu.

Svo komumst við að því að listarnir eru mismunandi. Þú getur tryggt að reglurnar leyfa aðeins þau forrit sem raunverulega ferðast á netinu. Til að gera þetta smellirðu á MatchUsage hnappinn. Það kemur svona út:

Og þú getur líka bætt við forritum sem þú telur nauðsynleg - Bæta við hnappinn vinstra megin í glugganum:

Og þá er hægt að beita þessari reglu og prófa. Til hamingju!

Smelltu á Engin forrit tilgreind.

Í þessu tilviki opnast mikilvægur öryggisgluggi.

Það eru líklegast margar slíkar reglur á netinu þínu þar sem L7 stigi forritið er ekki sérstaklega tilgreint. Og á netinu mínu er slík regla - ég minni þig á að ég gerði hana við upphaflega uppsetningu, sérstaklega til að sýna hvernig stefnufínstilling virkar.

Myndin sýnir að AllowAll reglan leyfði 9 gígabæta umferð á tímabilinu 17. mars til 220. mars, sem er 150 mismunandi forrit á netinu mínu. Og það er ekki nóg. Venjulega hefur meðalstór fyrirtækjanet 200-300 mismunandi forrit.

Þannig að ein regla hleypir í gegnum allt að 150 umsóknir. Venjulega þýðir þetta að eldveggurinn er ekki rétt stilltur, því venjulega leyfir ein regla 1-10 forrit í mismunandi tilgangi. Við skulum sjá hvað þessi forrit eru: smelltu á Bera saman hnappinn:

Það dásamlegasta fyrir stjórnanda í stefnu fínstillingu aðgerðinni er hnappurinn Match Usage - þú getur búið til reglu með einum smelli þar sem þú setur öll 150 forritin inn í regluna. Að gera þetta handvirkt myndi taka nokkuð langan tíma. Fjöldi verkefna sem kerfisstjóri þarf að vinna að, jafnvel á 10 tækjunum mínum, er gríðarlegur.

Ég er með 150 mismunandi forrit í gangi heima, flytja gígabæta af umferð! Og hvað áttu mikið?

En hvað gerist í neti með 100 tækjum eða 1000 eða 10000? Ég hef séð eldveggi með 8000 reglum og ég er mjög ánægður með að stjórnendur séu nú með svona þægileg sjálfvirkniverkfæri.

Sum forritanna sem L7 forritagreiningareiningin í NGFW sá og sýndi að þú þarft ekki á netinu, svo þú fjarlægir þau einfaldlega af listanum yfir leyfilegar reglur, eða klónar reglurnar með því að nota Clone hnappinn (í aðalviðmótinu) og leyfa þeim í einni umsóknarreglu, og í Þú munt loka fyrir önnur forrit þar sem þeirra er örugglega ekki þörf á netinu þínu. Slík forrit innihalda oft bittorent, steam, ultrasurf, tor, falin göng eins og tcp-over-dns og fleira.

Jæja, við skulum smella á aðra reglu og sjá hvað þú getur séð þar:

Já, það eru dæmigerð forrit fyrir fjölvarp. Við verðum að leyfa þeim að horfa á myndband á netinu til að virka. Smelltu á Passa notkun. Frábært! Takk fyrir stefnufínstillingu.

Hvað með vélanám?

Nú er í tísku að tala um sjálfvirkni. Það sem ég lýsti kom út - það hjálpar mikið. Það er einn möguleiki í viðbót sem ég ætti að tala um. Þetta er vélanámsvirkni sem er innbyggð í leiðangurstækið, sem þegar var nefnt hér að ofan. Í þessu tóli er hægt að flytja reglur úr gamla eldveggnum þínum frá öðrum framleiðanda. Það er líka möguleiki á að greina núverandi Palo Alto Networks umferðarskrár og stinga upp á hvaða reglur eigi að skrifa. Þetta er svipað og virkni Policy Optimizer, en í Expedition er það enn stækkað og þér er boðið upp á lista yfir tilbúnar reglur - þú þarft bara að samþykkja þær.
Til að prófa þessa virkni er rannsóknarstofuvinna - við köllum það reynsluakstur. Þetta próf er hægt að gera með því að skrá sig inn í sýndareldveggi, sem starfsmenn Palo Alto Networks skrifstofunnar í Moskvu munu opna að beiðni þinni.

Hægt er að senda beiðnina á [netvarið] og skrifaðu í beiðninni: „Ég vil gera UTD fyrir flutningsferlið.

Reyndar hefur rannsóknarstofuvinna sem kallast Unified Test Drive (UTD) nokkra möguleika og þá alla fáanleg í fjarska eftir beiðni.

Aðeins skráðir notendur geta tekið þátt í könnuninni. Skráðu þig inn, takk.

Viltu að einhver hjálpi þér að fínstilla eldveggsstefnuna þína?

• Já

• No

• Ég geri þetta allt sjálfur

Enginn hefur enn kosið. Engir sitja hjá.

Heimild: www.habr.com