Wéi bewäert d'Effektivitéit vun engem NGFW Setup
Déi heefegst Aufgab ass ze kontrolléieren wéi effektiv Är Firewall konfiguréiert ass. Fir dëst ze maachen, ginn et gratis Utilities a Servicer vu Firmen déi mat NGFW handelen.
Zum Beispill, kënnt Dir ënnert gesinn dass Palo Alto Networks d'Méiglechkeet huet direkt aus
TITEL VU CONTENT
Expeditioun (Migratiounsinstrument)
Eng méi komplex Optioun fir Är Astellungen ze kontrolléieren ass e gratis Utility erofzelueden
Politik Optimizer
An déi bequemste Optioun (IMHO), iwwer déi ech Iech haut méi am Detail erzielen, ass de Politikoptimizer, deen an der Palo Alto Networks Interface selwer gebaut ass. Fir et ze demonstréieren, hunn ech eng Firewall doheem installéiert an eng einfach Regel geschriwwen: Erlaabt iergendeen. Am Prinzip gesinn ech heiansdo esou Regelen och a Firmennetzwierker. Natierlech hunn ech all NGFW Sécherheetsprofile aktivéiert, wéi Dir am Screenshot kënnt gesinn:
De Screenshot hei drënner weist e Beispill vu menger Heem onkonfiguréierter Firewall, wou bal all Verbindungen an déi lescht Regel falen: AllowAll, wéi kann aus de Statistiken an der Hit Count Kolonn gesi ginn.
Null Vertrauen
Et gëtt eng Approche fir Sécherheet genannt
Iwwregens, de Minimum Set vun néideg Astellunge fir Palo Alto Networks NGFW ass an engem vun de SANS Dokumenter beschriwwen:
Also, ech hat eng Firewall doheem fir eng Woch. Loosst eis kucken wéi eng Traffic et op mengem Netzwierk ass:
Wann Dir no der Unzuel vun de Sessiounen sortéiert, da ginn déi meescht vun hinnen duerch Bittorent erstallt, da kënnt SSL, dann QUIC. Dëst sinn Statistike souwuel fir den erakommen an ausgoende Verkéier: et gi vill extern Scans vu mengem Router. Et gi 150 verschidden Uwendungen op mengem Netz.
Also, all dëst gouf vun enger Regel verpasst. Loosst eis elo kucken wat Policy Optimizer iwwer dëst seet. Wann Dir uewen um Screenshot vun der Interface mat Sécherheetsregelen gekuckt hutt, dann ënnen lénks hutt Dir eng kleng Fënster gesinn, déi mir hint, datt et Regele gëtt, déi optimiséiert kënne ginn. Loosst eis do klickt.
Wat Politik Optimizer weist:
- Wéi eng Politik goufen guer net benotzt, 30 Deeg, 90 Deeg. Dëst hëlleft d'Entscheedung fir se komplett ze läschen.
- Wéi eng Uwendungen goufen an de Politiken spezifizéiert, awer keng esou Uwendungen goufen am Traffic festgestallt. Dëst erlaabt Iech onnéideg Uwendungen ze läschen wann Dir Regelen erlaabt.
- Wéi eng Politik huet alles erlaabt, awer et goufen eigentlech Applikatiounen, déi schéi gewiescht wieren explizit no der Zero Trust Methodologie unzeginn.
Loosst eis op Onbenotzt klickt.
Fir ze weisen wéi et funktionnéiert, hunn ech e puer Reegelen bäigefüügt a bis elo hunn se haut nach keen eenzege Paket verpasst. Hei ass hir Lëscht:
Vläicht gëtt et mat der Zäit Traffic do an da verschwannen se vun dëser Lëscht. A wa se op dëser Lëscht fir 90 Deeg sinn, da kënnt Dir décidéieren dës Regelen ze läschen. Iwwerhaapt gëtt all Regel eng Chance fir en Hacker.
Et gëtt e richtege Problem wann Dir eng Firewall konfiguréiert: en neien Employé kënnt, kuckt d'Firewall-Regelen, wa se keng Kommentarer hunn an hie weess net firwat dës Regel erstallt gouf, ob se wierklech gebraucht gëtt, ob et kann geläscht ginn: op eemol ass d'Persoun an der Vakanz an no Bannent 30 Deeg wäert de Verkéier erëm aus dem Service fléissen deen hien brauch. A just dës Funktioun hëlleft him eng Decisioun ze huelen - keen benotzt se - läschen!
Klickt op Onbenotzt App.
Mir klickt op Onbenotzt App am Optimizer a gesinn datt interessant Informatioun an der Haaptfenster opmaacht.
Mir gesinn datt et dräi Reegelen sinn, wou d'Zuel vun den erlaabten Uwendungen an d'Zuel vun den Uwendungen, déi dës Regel tatsächlech passéiert hunn, anescht sinn.
Mir kënnen klickt an eng Lëscht vun dësen Uwendungen gesinn an dës Lëschte vergläichen.
Zum Beispill, klickt op de Compare Knäppchen fir d'Max Regel.
Hei kënnt Dir gesinn datt d'Applikatiounen Facebook, Instagram, Telegram, VKontakte erlaabt waren. Awer a Wierklechkeet ass de Verkéier nëmmen op e puer vun den Ënnerapplikatiounen gaang. Hei musst Dir verstoen datt d'Facebook-Applikatioun verschidde Ënnerapplikatiounen enthält.
Déi ganz Lëscht vun NGFW Uwendungen kann um Portal gesi ginn
Also, e puer vun dësen Ënnerapplikatiounen goufen vum NGFW gesinn, awer e puer waren net. Tatsächlech kënnt Dir verschidden Ënnerfunktioune vu Facebook separat verbidden an erlaben. Zum Beispill, erlaabt Messagen ze gesinn, awer verbidden Chat oder Dateientransfer. Deementspriechend schwätzt Policy Optimizer iwwer dëst an Dir kënnt eng Entscheedung treffen: erlaabt net all Facebook Uwendungen, awer nëmmen déi Haapt.
Also hu mir gemierkt datt d'Lëschte anescht sinn. Dir kënnt sécherstellen datt d'Regele nëmmen déi Uwendungen erlaben déi tatsächlech um Netz reesen. Fir dëst ze maachen, klickt op de MatchUsage Knäppchen. Et stellt sech esou eraus:
An Dir kënnt och Uwendungen addéieren, déi Dir als noutwendeg betruecht - de Knäppchen derbäi op der lénker Säit vun der Fënster:
An da kann dës Regel applizéiert a getest ginn. Gratulatioun!
Klickt Keng Apps spezifizéiert.
An dësem Fall wäert eng wichteg Sécherheetsfenster opmaachen.
Et gi méiglecherweis vill esou Reegelen an Ärem Netz, wou d'L7 Niveau Applikatioun net explizit spezifizéiert ass. An a mengem Netz gëtt et esou eng Regel - loosst mech Iech drun erënneren datt ech et während dem initialen Setup gemaach hunn, speziell fir ze weisen wéi Policy Optimizer funktionnéiert.
D'Bild weist datt d'AllowAll Regel erlaabt 9 Gigabytes Traffic an der Period vum 17. Mäerz bis de 220. Mäerz, dat ass 150 verschidden Uwendungen a mengem Netzwierk. An dat geet net duer. Typesch huet en Duerchschnëttgréisst Firmennetz 200-300 verschidden Uwendungen.
Also, eng Regel léisst esou vill wéi 150 Uwendungen duerch. Typesch heescht dat datt d'Firewall net richteg konfiguréiert ass, well normalerweis eng Regel erlaabt 1-10 Uwendungen fir verschidden Zwecker. Loosst eis kucken wat dës Uwendungen sinn: klickt op de Compare Knäppchen:
Déi wonnerbarst Saach fir en Administrateur an der Policy Optimizer Funktioun ass de Match Usage Knäppchen - Dir kënnt eng Regel mat engem Klick erstellen, wou Dir all 150 Uwendungen an d'Regel gitt. Dëst manuell ze maachen géif zimmlech laang daueren. D'Zuel vun den Aufgaben fir en Administrateur ze schaffen, och a mengem Netzwierk vun 10 Apparater, ass enorm.
Ech hunn 150 verschidden Uwendungen déi doheem laafen, gigabytes Traffic transferéiert! A wéi vill hutt Dir?
Awer wat geschitt an engem Netzwierk vun 100 Apparater oder 1000 oder 10000? Ech hunn Firewalls mat 8000 Regelen gesinn an ech si ganz frou datt d'Administrateuren elo sou praktesch Automatisatiounsinstrumenter hunn.
E puer vun den Uwendungen, déi de L7 Applikatiounsanalysemodul am NGFW gesinn a gewisen huet, datt Dir net am Netz brauch, also läscht se se einfach aus der Lëscht vun Erlaabnisregelen, oder klon d'Regele mam Klon Knäppchen (an der Haaptinterface) an erlaabt hinnen an enger Applikatioun Regel, an Dir wäert aner Uwendungen blockéieren well se definitiv net op Ärem Netz gebraucht ginn. Esou Uwendungen enthalen dacks Bittorent, Damp, Ultrasurf, Tor, verstoppt Tunnel wéi tcp-over-dns an anerer.
Gutt, loosst eis op eng aner Regel klickt a kuckt wat Dir do kënnt gesinn:
Jo, et ginn Uwendungen typesch fir Multicast. Mir mussen hinnen erlaben online Video kucken ze schaffen. Klickt op Match Benotzung. Super! Merci Politik Optimizer.
Wat iwwer Machine Learning?
Elo ass et moudesch iwwer Automatiséierung ze schwätzen. Wat ech beschriwwen hunn ass erauskomm - et hëlleft vill. Et gëtt nach eng Méiglechkeet iwwer déi ech soll schwätzen. Dëst ass d'Maschinn Léieren Funktionalitéit agebaut an der Expeditioun Utility, déi schonn uewen ernimmt gouf. An dësem Utility ass et méiglech Regele vun Ärer aler Firewall vun engem aneren Hiersteller ze transferéieren. Et gëtt och d'Fäegkeet fir existent Palo Alto Networks Traffic Logbicher z'analyséieren an ze proposéieren wéi eng Regelen ze schreiwen. Dëst ass ähnlech wéi d'Funktionalitéit vum Policy Optimizer, awer an der Expeditioun ass et nach méi erweidert an Dir kritt eng Lëscht vu fäerdege Reegelen ugebueden - Dir musst se just stëmmen.
D'Demande kann geschéckt ginn ze [Email geschützt] an an der Ufro schreift: "Ech wëll en UTD fir de Migratiounsprozess maachen."
Tatsächlech huet Laboraarbecht genannt Unified Test Drive (UTD) verschidde Méiglechkeeten an all vun hinnen
Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen.
Wëllt Dir datt een Iech hëllefe fir Är Firewall Politiken ze optimiséieren?
-
datt
-
Nee
-
Ech wäert alles selwer maachen
Keen huet nach gestëmmt. Et gi keng Enthalungen.
Source: will.com