Meriv çawa Bandoriya Sazkirina NGFW-ê dinirxîne
Karê herî gelemperî ev e ku hûn kontrol bikin ka dîwara weya firewa çawa bi bandor hatî mîheng kirin. Ji bo vê yekê, karûbar û karûbarên belaş ên pargîdaniyên ku bi NGFW re mijûl dibin hene.
Mînakî, hûn dikarin li jêr bibînin ku Tora Palo Alto xwedan kapasîteya ku rasterast ji wan heye analîzek statîstîkên dîwarê agir bimeşînin - Rapora SLR an analîzkirina lihevhatina bi pratîkên çêtirîn - rapora BPA. Vana karûbarên serhêl ên belaş in ku hûn dikarin bêyî ku tiştek saz bikin bikar bînin.
TABLE OF CONTENT
Expedition (Amûra Koçberiyê)
Vebijarkek tevlihevtir ji bo kontrolkirina mîhengên xwe dakêşandina amûrek belaş e (Berê Amûra Koçê). Ew ji bo VMware wekî Amûrek Virtual tê dakêşandin, tu mîheng bi wê re ne hewce ye - hûn hewce ne ku wêneyê dakêşin û wê di binê hîpervisorê VMware de bicîh bikin, wê bidin destpêkirin û biçin navrûya tevneyê. Vê karûbar çîrokek veqetandî hewce dike, tenê qursa li ser wê 5 rojan digire, naha ew qas fonksiyon hene, di nav de Fêrbûna Makîneyê û koçkirina cûrbecûr veavakirina polîtîkayan, NAT û tiştên ji bo hilberînerên cihêreng ên Firewall. Ez ê li jêr di nivîsê de li ser Fêrbûna Makîneyê bêtir binivîsim.
Siyaseta Optimizer
Vebijarka herî hêsan (IMHO), ya ku ez ê îro bi hûrgulî ji we re vebêjim, optimîzatora siyasetê ye ku di navbeyna Tora Palo Alto bixwe de hatî çêkirin. Ji bo nîşandana wê, min li malê dîwarek agir saz kir û qaîdeyek hêsan nivîsî: destûr bide her yekê. Di prensîbê de, ez carinan qaîdeyên weha di torên pargîdanî de jî dibînim. Bi xwezayî, min hemî profîlên ewlehiyê yên NGFW çalak kirin, wekî ku hûn di dîmenê de dibînin:
Wêneya jêrîn mînakek dîwarê dîwarê min a nevesazkirî nîşan dide, ku hema hema hemî girêdan dikevin qaîdeya paşîn: AllowAll, wekî ku ji statîstîkên di stûna Hit Count de tê dîtin.
Baweriya Zero
Nêzîkatiyek bi navê ewlehiyê heye . Wateya vê yekê: divê em rê bidin mirovên di nav torê de tam wan girêdanên ku ew hewce ne û her tiştê din înkar bikin. Ango divê em qaîdeyên zelal ji bo serîlêdan, bikarhêner, kategoriyên URL, celebên pelan zêde bikin; Hemî îmzeyên IPS û antivirus çalak bikin, sandboxing, parastina DNS-ê çalak bikin, IoC-ê ji databasên îstîxbarata Gefê yên berdest bikar bînin. Bi gelemperî, dema sazkirina dîwarê dîwarê jimareyek maqûl a peywiran hene.
Bi awayê, mîhengên herî kêm ên ji bo Tora Palo Alto NGFW di yek ji belgeyên SANS de têne diyar kirin: - Ez pêşniyar dikim ku bi wê dest pê bike. Û bê guman, komek pratîkên çêtirîn ên ji bo sazkirina dîwarek ji çêkerê heye: .
Ji ber vê yekê, min hefteyek li malê dîwarek agir hebû. Ka em bibînin ka çi celeb seyrûsefer li ser tora min heye:
Ger hûn li gorî hejmara danişînan rêz bikin, wê hingê piraniya wan ji hêla bittorent ve têne afirandin, paşê SSL tê, paşê QUIC. Vana statîstîk in hem ji bo seyrûsefera hatin û hem jî ji bo derketinê: gelek şopên derveyî yên routerê min hene. Li ser tora min 150 sepanên cuda hene.
Ji ber vê yekê, ev hemî ji hêla yek qaîdeyek ve hatî winda kirin. Ka em naha bibînin ka Policy Optimizer li ser vê yekê çi dibêje. Ger we li jor li dîmenê pêwendiya bi qaîdeyên ewlehiyê mêze kir, wê hingê li binê çepê we pencereyek piçûk dît ku ji min re destnîşan dike ku qaîdeyên ku dikarin xweşbîn in hene. Ka em li wir bitikînin.
Polîtîka Optimizer çi nîşan dide:
- 30 roj, 90 roj çi polîtîka qet nehat bikaranîn. Ev dibe alîkar ku biryara rakirina wan bi tevahî were girtin.
- Di polîtikayan de kîjan sepan hatin diyarkirin, lê di trafîkê de serîlêdanên wiha nehatin dîtin. Ev dihêle hûn di destûrê de serîlêdanên nehewce derxînin.
- Çi polîtîkayan destûr da her tiştî, lê bi rastî serîlêdanên ku xweş bû ku bi eşkereyî li gorî metodolojiya Zero Trust destnîşan bikin hebûn.
Ka em li ser Unused bikirtînin.
Ji bo ku nîşan bidim ka ew çawa dixebite, min çend rêzik lê zêde kir û heya nuha wan îro yek pakêtek jî ji bîr nekiriye. Li vir lîsteya wan e:
Dibe ku bi demê re li wir seyrûsefer hebe û paşê ew ji vê navnîşê winda bibin. Û heke ew 90 rojan di vê navnîşê de ne, wê hingê hûn dikarin biryar bidin ku van qaîdeyan jêbirin. Beriya her tiştî, her qaîdeyek ji bo hackerek fersendek peyda dike.
Di dema mîhengkirina dîwarê agir de pirsgirêkek rastîn heye: karmendek nû tê, li qaîdeyên dîwarê dîwarê dinêre, ger şîroveyên wan tune ne û ew nizane çima ev qaîdeyek hate afirandin, gelo ew bi rastî hewce ye, gelo ew dikare were jêbirin: ji nişka ve mirov di betlaneyê de ye û piştî Di nav 30 rojan de, trafîk dê dîsa ji karûbarê ku jê re hewce dike biherike. Û tenê ev fonksiyon ji wî re dibe alîkar ku biryarek bide - kes wê bikar nayîne - jêbirin!
Li Serlêdana Bêkarkirî bikirtînin.
Em di optimîzatorê de li Serlêdana Bêkarkirî bikirtînin û dibînin ku agahdariya balkêş di pencereya sereke de vedibe.
Em dibînin ku sê rêgez hene, ku hejmara serîlêdanên destûr û hejmara serlêdanên ku rastî vê qaîdeyê derbas bûne, cûda ne.
Em dikarin bikirtînin û navnîşek van serlêdanan bibînin û van navnîşan bidin ber hev.
Mînakî, ji bo qaîdeya Max li ser bişkoja Compare bikirtînin.
Li vir hûn dikarin bibînin ku serîlêdanên facebook, instagram, telegram, vkontakte hatine destûr kirin. Lê di rastiyê de, seyrûsefer tenê çû hin serîlêdanan. Li vir hûn hewce ne ku fêm bikin ku serîlêdana facebook-ê çend jêr-serlêdan dihewîne.
Tevahiya navnîşa serîlêdanên NGFW dikare li ser portalê were dîtin û di navbera firewall bixwe de, di beşa Objects->Applications de û di lêgerînê de, navê serîlêdanê binivîsin: facebook, hûn ê encama jêrîn bistînin:
Ji ber vê yekê, hin ji van serîlêdanan ji hêla NGFW ve hatin dîtin, lê hin nebûn. Di rastiyê de, hûn dikarin ji hev cuda cuda bin-fonksiyonên Facebookê qedexe bikin û destûr bidin. Mînakî, destûr bide dîtina peyaman, lê chat an veguheztina pelê qedexe bike. Li gorî vê yekê, Policy Optimizer li ser vê yekê diaxive û hûn dikarin biryarek bidin: nehêlin hemî serîlêdanên Facebook, lê tenê yên sereke.
Ji ber vê yekê, me fêm kir ku navnîşan cûda ne. Hûn dikarin pê ewle bin ku qaîdeyên tenê destûrê didin wan sepanên ku bi rastî li ser torê rêwîtiyê dikin. Ji bo vê yekê, hûn bişkojka MatchUsage bikirtînin. Bi vî rengî derdikeve:
Û hûn dikarin serîlêdanên ku hûn hewce dibînin jî lê zêde bikin - bişkoja Add li milê çepê yê pencereyê:
Û hingê ev qaîdeyek dikare were sepandin û ceribandin. Pîroz be!
Bikirtînin No Apps Specified.
Di vê rewşê de, pencereyek ewlehiyê ya girîng dê vebe.
Di tora we de bi îhtîmalek pir qaîdeyên weha hene ku serîlêdana asta L7 bi eşkere ne diyar e. Û di tora min de qaîdeyek wusa heye - bila ez ji we re bi bîr bînim ku min ew di dema sazkirina destpêkê de çêkir, nemaze da ku nîşan bidim ka Polîtîkaya Optimizer çawa dixebite.
Wêne destnîşan dike ku qaîdeya AllowAll di heyama 9-ê Adarê heya 17-ê Adarê de 220 gigabayt trafîkê destûr daye, ku di tora min de 150 serîlêdanên cûda ne. Û ev jî ne bes e. Bi gelemperî, torgilokek pargîdanî ya navînî 200-300 serîlêdanên cûda hene.
Ji ber vê yekê, yek qaîdeyek bi qasî 150 serlêdanan rê dide. Bi gelemperî ev tê vê wateyê ku dîwarê dîwarê rast nehatiye mîheng kirin, ji ber ku bi gelemperî yek qaîdeyek destûr dide 1-10 serîlêdanên ji bo mebestên cûda. Ka em bibînin ka ev serîlêdan çi ne: Bişkojka Berhevkirin bikirtînin:
Tiştê herî ecêb ji bo rêveberek di fonksiyona Optimizera Polîtîkayê de bişkoka Bikaranînê Match e - hûn dikarin bi yek klîk qaîdeyek biafirînin, ku hûn ê hemî 150 serlêdanan têxin nav qaîdeyê. Bi destan kirina vê yekê dê demek pir dirêj bigire. Hejmara peywirên ku rêveberek li ser bixebite, tewra li ser tora min a 10 cîhazan jî, pir e.
150 serîlêdanên min ên cihêreng hene ku li malê dixebitin, gigabytes trafîkê vediguhezînin! Û çiqas we heye?
Lê di tora 100 cîhazan an 1000 an 10000 de çi diqewime? Min dîwarên agir ên bi 8000 qaîdeyan dîtine û ez pir kêfxweş im ku rêveberan nuha xwedan amûrên otomasyonê yên weha hêsan in.
Hin serîlêdanên ku modula analîzê ya serîlêdana L7-ê di NGFW de dît û destnîşan kir ku hûn ê li ser torê ne hewce nebin, ji ber vê yekê hûn bi tenê wan ji navnîşa destûrnameyê derxînin, an bi karanîna bişkoka Clone (di navgîniya bingehîn de) qaîdeyan klon bikin û destûr bidin wan di yek qaîdeyek serîlêdanê de, û hûn ê serlêdanên din asteng bikin ji ber ku ew bê guman li ser tora we ne hewce ne. Serîlêdanên weha bi gelemperî bittorent, steam, ultrasurf, tor, tunelên veşartî yên wekî tcp-over-dns û yên din hene.
Were, em li ser qaîdeyek din bikirtînin û bibînin ka hûn dikarin li wir çi bibînin:
Erê, serîlêdanên ji bo multicast tîpîk hene. Divê em rê bidin wan ku temaşekirina vîdyoya serhêl bixebitin. Bikaranîna Maçê bikirtînin. Ecêb! Spas Polîtîka Optimizer.
Li ser Fêrbûna Makîneyê çi ye?
Naha ew moda ye ku meriv li ser otomatîkê biaxive. Ya ku min diyar kir derket holê - ew pir alîkar dike. Îhtîmalek din heye ku ez li ser biaxivim. Ev fonksiyona Fêrbûna Makîneyê ye ku di nav karûbarê Expedition de hatî çêkirin, ku berê li jor hatî behs kirin. Di vê amûreyê de, gengaz e ku meriv qaîdeyên ji dîwarê xweya kevin ji hilberînerek din veguhezîne. Di heman demê de şiyana analîzkirina têketinên seyrûsefera Tora Palo Alto ya heyî heye û pêşniyar dike ka çi qaîdeyên nivîsandinê. Ev dişibihe fonksiyona Policy Optimizer, lê di Expedition de ew hê berfirehtir e û ji we re navnîşek rêzikên amade têne pêşkêş kirin - hûn tenê hewce ne ku wan bipejirînin.
Ji bo ceribandina vê fonksiyonê, xebatek laboratîf heye - em jê re dibêjin ajokerek ceribandinê. Ev ceribandin dikare bi têketina dîwarên dîwarên virtual, ku xebatkarên ofîsa Palo Alto Networks li Moskowê li gorî daxwaza we dest pê bikin, were kirin.
Daxwaz dikare were şandin [email parastî] û di daxwaznameyê de binivîsin: "Ez dixwazim ji bo Pêvajoya Koçberiyê UTD bikim."
Bi rastî, xebata laboratîfê ya bi navê Unified Test Drive (UTD) gelek vebijark û hemî wan hene piştî daxwazê.
Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. ji kerema xwe.
Ma hûn dixwazin kesek ji we re bibe alîkar ku hûn polîtîkayên xweya dîwarê fireh çêtir bikin?
-
ku
-
na
-
Ez ê her tiştî bi xwe bikim
Hê kesî deng nedaye. Bê alî tune ne.
Source: www.habr.com