Carane Evaluasi Efektivitas NGFW Setup
Tugas sing paling umum yaiku mriksa sepira efektif firewall sampeyan dikonfigurasi. Kanggo nindakake iki, ana utilitas lan layanan gratis saka perusahaan sing ngurusi NGFW.
Contone, sampeyan bisa ndeleng ing ngisor iki sing Palo Alto Networks nduweni kemampuan kanggo langsung saka mbukak analisis statistik firewall - laporan SLR utawa analisis selaras karo praktik paling apik - laporan BPA. Iki minangka sarana online gratis sing bisa digunakake tanpa nginstal apa-apa.
DAFTAR KONTEN
Ekspedisi (Alat Migrasi)
Pilihan sing luwih rumit kanggo mriksa setelan sampeyan yaiku ndownload sarana gratis (sadurunge Alat Migrasi). Diundhuh minangka Perkakas Virtual kanggo VMware, ora ana setelan sing dibutuhake - sampeyan kudu ndownload gambar kasebut lan pasang ing hypervisor VMware, bukak lan pindhah menyang antarmuka web. Utilitas iki mbutuhake crita sing kapisah, mung kursus kasebut njupuk 5 dina, saiki ana akeh fungsi, kalebu Learning Machine lan migrasi saka macem-macem konfigurasi kabijakan, NAT lan obyek kanggo manufaktur Firewall sing beda. Aku bakal nulis liyane babagan Machine Learning ing ngisor iki ing teks.
Pangoptimal Kebijakan
Lan pilihan sing paling trep (IMHO), sing bakal dakcritakake kanthi luwih rinci dina iki, yaiku pangoptimal kabijakan sing dibangun ing antarmuka Palo Alto Networks dhewe. Kanggo nduduhake, aku nginstal firewall ing omah lan nulis aturan sing prasaja: ngidini apa wae. Ing asas, aku kadhangkala ndeleng aturan kasebut sanajan ing jaringan perusahaan. Alami, aku ngaktifake kabeh profil keamanan NGFW, kaya sing sampeyan deleng ing gambar:
Gambar ing ngisor iki nuduhake conto firewall sing ora dikonfigurasi ing omahku, ing ngendi meh kabeh sambungan ana ing aturan pungkasan: AllowAll, kaya sing bisa dideleng saka statistik ing kolom Hit Count.
Trust Nol
Ana pendekatan kanggo keamanan disebut . Apa tegese: kita kudu ngidini wong ing jaringan kasebut persis sambungan sing dibutuhake lan nolak kabeh liyane. Yaiku, kita kudu nambah aturan sing jelas kanggo aplikasi, pangguna, kategori URL, jinis file; ngaktifake kabeh teken IPS lan antivirus, ngaktifake sandboxing, pangayoman DNS, nggunakake IoC saka database Ancaman Intelligence kasedhiya. UmumΓ©, ana sawetara tugas sing cukup nalika nyiyapake firewall.
Miturut cara, setelan minimal sing dibutuhake kanggo Palo Alto Networks NGFW diterangake ing salah sawijining dokumen SANS: - Aku nyaranake miwiti karo. Lan mesthi, ana sawetara praktik paling apik kanggo nyetel firewall saka pabrikan: .
Dadi, aku duwe firewall ing omah sajrone seminggu. Ayo ndeleng apa jenis lalu lintas ing jaringanku:
Yen sampeyan ngurutake jumlah sesi, mula umume digawe dening bittorent, banjur teka SSL, banjur QUIC. Iki minangka statistik kanggo lalu lintas mlebu lan metu: ana akeh scan eksternal saka routerku. Ana 150 macem-macem aplikasi ing jaringanku.
Dadi, kabeh iki ora kejawab dening siji aturan. Ayo ndeleng apa sing diomongake Policy Optimizer babagan iki. Yen sampeyan ndeleng ing ndhuwur layar antarmuka kanthi aturan keamanan, banjur ing sisih kiwa ngisor sampeyan ndeleng jendhela cilik sing menehi tandha manawa ana aturan sing bisa dioptimalake. Ayo klik ing kono.
Apa sing dituduhake dening Policy Optimizer:
- Kawicaksanan sing ora digunakake, 30 dina, 90 dina. Iki mbantu nggawe keputusan kanggo mbusak kabeh.
- Aplikasi apa sing ditemtokake ing kabijakan kasebut, nanging ora ana aplikasi kasebut sing dideteksi ing lalu lintas. Iki ngidini sampeyan mbusak aplikasi sing ora perlu kanggo ngidini aturan.
- Kabijakan apa sing diidinake kabeh, nanging ana aplikasi sing apik kanggo nuduhake kanthi jelas miturut metodologi Zero Trust.
Ayo klik Unused.
Kanggo nuduhake cara kerjane, aku nambah sawetara aturan lan nganti saiki padha ora kejawab paket siji. Punika dhaptaripun:
Mbok menawa liwat wektu bakal ana lalu lintas ing kana lan banjur bakal ilang saka dhaptar iki. Lan yen ana ing dhaptar iki sajrone 90 dina, sampeyan bisa mutusake mbusak aturan kasebut. Sawise kabeh, saben aturan menehi kesempatan kanggo peretas.
Ana masalah nyata nalika ngatur firewall: pegawe anyar teka, katon ing aturan firewall, yen padha ora duwe komentar lan ora ngerti apa aturan iki digawe, apa iku pancene perlu, apa bisa. dibusak: dumadakan wong lagi preian lan sawise 30 dina, lalu lintas bakal maneh mili saka layanan kang perlu. Lan mung fungsi iki mbantu dheweke nggawe keputusan - ora ana sing nggunakake - mbusak!
Klik ing Unused App.
Kita ngeklik Aplikasi sing Ora Digunakake ing pangoptimal lan ndeleng manawa informasi sing menarik mbukak ing jendela utama.
We ndeleng sing ana telung aturan, ngendi nomer aplikasi diijini lan nomer aplikasi sing bener liwati aturan iki beda.
Kita bisa ngeklik lan ndeleng dhaptar aplikasi kasebut lan mbandhingake dhaptar kasebut.
Contone, klik tombol Bandingake kanggo aturan Max.
Ing kene sampeyan bisa ndeleng manawa aplikasi facebook, instagram, telegram, vkontakte diidini. Nanging nyatane, lalu lintas mung menyang sawetara sub-aplikasi. Ing kene sampeyan kudu ngerti yen aplikasi facebook ngemot sawetara sub-aplikasi.
Kabeh dhaptar aplikasi NGFW bisa dideleng ing portal kasebut lan ing antarmuka firewall dhewe, ing Objects-> bagean Aplikasi lan ing panelusuran, ketik jeneng aplikasi: facebook, sampeyan bakal entuk asil ing ngisor iki:
Dadi, sawetara sub-aplikasi kasebut katon dening NGFW, nanging sawetara ora. Nyatane, sampeyan bisa nglarang lan ngidini macem-macem sub-fungsi Facebook. Contone, ngidini ndeleng pesen, nanging nglarang chatting utawa transfer file. Mulane, Policy Optimizer ngomong babagan iki lan sampeyan bisa nggawe keputusan: ora ngidini kabeh aplikasi Facebook, nanging mung sing utama.
Dadi, kita ngerti manawa dhaptar kasebut beda-beda. Sampeyan bisa nggawe manawa aturan mung ngidini aplikasi sing bener lelungan ing jaringan. Kanggo nindakake iki, klik tombol MatchUsage. Pranyata kaya mangkene:
Lan sampeyan uga bisa nambah aplikasi sing dianggep perlu - tombol Tambah ing sisih kiwa jendhela:
Banjur aturan iki bisa ditrapake lan diuji. Sugeng rawuh!
Klik No Apps Specified.
Ing kasus iki, jendhela keamanan penting bakal mbukak.
Ana kemungkinan akeh aturan kasebut ing jaringan sampeyan ing ngendi aplikasi level L7 ora ditemtokake kanthi jelas. Lan ing jaringanku ana aturan kasebut - supaya aku ngelingake yen aku nggawe nalika persiyapan awal, khusus kanggo nuduhake cara kerja Pengoptimal Kebijakan.
Gambar kasebut nuduhake yen aturan AllowAll ngidini lalu lintas 9 gigabyte ing periode saka 17 Maret nganti 220 Maret, yaiku 150 macem-macem aplikasi ing jaringanku. Lan iku ora cukup. Biasane, jaringan perusahaan ukuran rata-rata duwe 200-300 aplikasi sing beda-beda.
Dadi, siji aturan ngidini nganti 150 aplikasi. Biasane iki tegese firewall ora dikonfigurasi kanthi bener, amarga biasane siji aturan ngidini 1-10 aplikasi kanggo macem-macem tujuan. Ayo ndeleng apa aplikasi kasebut: klik tombol Bandingake:
Sing paling apik kanggo administrator ing fungsi Policy Optimizer yaiku tombol Panggunaan Cocokake - sampeyan bisa nggawe aturan kanthi siji klik, ing ngendi sampeyan bakal ngetik kabeh 150 aplikasi menyang aturan kasebut. Nindakake iki kanthi manual mbutuhake wektu sing cukup suwe. Jumlah tugas sing kudu ditindakake administrator, sanajan ing jaringanku 10 piranti, akeh banget.
Aku duwe 150 macem-macem aplikasi sing mlaku ing omah, nransfer lalu lintas gigabyte! Lan pira sampeyan duwe?
Nanging apa sing kedadeyan ing jaringan 100 piranti utawa 1000 utawa 10000? Aku wis ndeleng firewalls karo 8000 aturan lan aku bungah banget sing administrator saiki duwe alat otomatis trep.
Sawetara aplikasi sing modul analisis aplikasi L7 ing NGFW weruh lan nuduhake sampeyan ora perlu ing jaringan, supaya sampeyan mung mbusak saka dhaftar ngidini aturan, utawa Klone aturan nggunakake tombol Klone (ing antarmuka utama) lan ngidini ing siji aturan aplikasi, lan ing Sampeyan bakal mblokir aplikasi liyane amarga padha ora perlu ing jaringan. Aplikasi kasebut asring kalebu bittorent, steam, ultrasurf, tor, terowongan sing didhelikake kayata tcp-over-dns lan liya-liyane.
Inggih, ayo ngeklik aturan liyane lan ndeleng apa sing bisa dideleng ing kana:
Ya, ana aplikasi khas kanggo multicast. Kita kudu ngidini supaya ndeleng video online bisa digunakake. Klik Match Usage. apik tenan! Matur nuwun Policy Optimizer.
Kepiye babagan Machine Learning?
Saiki modis kanggo ngomong babagan otomatisasi. Apa sing dakgambarake metu - mbantu banget. Ana siji liyane kamungkinan sing aku kudu ngomong bab. Iki minangka fungsi Pembelajaran Mesin sing dibangun ing utilitas Ekspedisi, sing wis kasebut ing ndhuwur. Ing sarana iki, sampeyan bisa nransfer aturan saka firewall lawas saka pabrikan liyane. Ana uga kemampuan kanggo nganalisa log lalu lintas Palo Alto Networks sing ana lan menehi saran babagan aturan sing kudu ditulis. Iki padha karo fungsi Policy Optimizer, nanging ing Ekspedisi malah luwih ditambahi lan sampeyan ditawakake dhaptar aturan sing wis siap - sampeyan mung kudu nyetujoni.
Kanggo nguji fungsi iki, ana karya laboratorium - kita nyebat test drive. Tes iki bisa ditindakake kanthi mlebu menyang firewall virtual, sing bakal diluncurake karyawan kantor Palo Alto Networks ing Moskow miturut panjaluk sampeyan.
Panjaluk bisa dikirim menyang [email dilindhungi] lan ing panyuwunan nulis: "Aku pengin nggawe UTD kanggo Proses Migrasi."
Nyatane, karya laboratorium sing diarani Unified Test Drive (UTD) duwe sawetara pilihan lan kabeh mau sawise request.
Mung pangguna pangguna sing bisa melu survey. nggih.
Apa sampeyan pengin wong mbantu sampeyan ngoptimalake kabijakan firewall?
-
Ya
-
Ora
-
Aku bakal nindakake kabeh dhewe
Durung ana sing milih. Ora ana abstain.
Source: www.habr.com