ProHoster > Blog > Administratioun > Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Wéi bewäert d'Effektivitéit vun engem NGFW Setup

Déi heefegst Aufgab ass ze kontrolléieren wéi effektiv Är Firewall konfiguréiert ass. Fir dëst ze maachen, ginn et gratis Utilities a Servicer vu Firmen déi mat NGFW handelen.

Zum Beispill, kënnt Dir ënnert gesinn dass Palo Alto Networks d'Méiglechkeet huet direkt aus Ënnerstëtzung Portal lafen eng Analyse vu Firewall Statistiken - SLR Bericht oder Analyse vun der Konformitéit mat beschten Praktiken - BPA Bericht. Dëst si gratis Online Utilities déi Dir benotze kënnt ouni eppes ze installéieren.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer

TITEL VU CONTENT

Expeditioun (Migratiounsinstrument)
Politik Optimizer
Null Vertrauen
Klickt op Onbenotzt
Klickt op Onbenotzt App
Klickt Keng Apps spezifizéiert
Wat iwwer Machine Learning?
Ënnertitelen

Expeditioun (Migratiounsinstrument)

Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Eng méi komplex Optioun fir Är Astellungen ze kontrolléieren ass e gratis Utility erofzelueden Expeditioun (fréier Migratioun Tool). Et gëtt als Virtual Appliance fir VMware erofgelueden, keng Astellunge si erfuerderlech domat - Dir musst d'Bild eroflueden an et ënner dem VMware Hypervisor ofsetzen, starten a gitt op d'Webinterface. Dëst Utility erfuerdert eng separat Geschicht, nëmmen de Cours op et dauert 5 Deeg, et gi sou vill Funktiounen elo, dorënner Machine Learning a Migratioun vu verschiddene Konfiguratiounen vu Politiken, NAT an Objekter fir verschidde Firewall Hiersteller. Ech schreiwen méi iwwer Machine Learning ënnen am Text.

Politik Optimizer

An déi bequemste Optioun (IMHO), iwwer déi ech Iech haut méi am Detail erzielen, ass de Politikoptimizer, deen an der Palo Alto Networks Interface selwer gebaut ass. Fir et ze demonstréieren, hunn ech eng Firewall doheem installéiert an eng einfach Regel geschriwwen: Erlaabt iergendeen. Am Prinzip gesinn ech heiansdo esou Regelen och a Firmennetzwierker. Natierlech hunn ech all NGFW Sécherheetsprofile aktivéiert, wéi Dir am Screenshot kënnt gesinn:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer

De Screenshot hei drënner weist e Beispill vu menger Heem onkonfiguréierter Firewall, wou bal all Verbindungen an déi lescht Regel falen: AllowAll, wéi kann aus de Statistiken an der Hit Count Kolonn gesi ginn.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Null Vertrauen

Et gëtt eng Approche fir Sécherheet genannt Null Vertrauen. Wat dat heescht: Mir mussen de Leit am Netz genee déi Verbindungen erlaben, déi se brauchen an alles anescht ofleenen. Dat ass, mir mussen kloer Regele fir Uwendungen, Benotzer, URL Kategorien, Fichier Zorte derbäi; aktivéiert all IPS an Antivirus Ënnerschrëften, aktivéiert Sandboxing, DNS Schutz, benotzt IoC aus de verfügbaren Threat Intelligence Datenbanken. Am Allgemengen ginn et eng uerdentlech Unzuel vun Aufgaben wann Dir eng Firewall opstellt.

Iwwregens, de Minimum Set vun néideg Astellunge fir Palo Alto Networks NGFW ass an engem vun de SANS Dokumenter beschriwwen: Palo Alto Networks Sécherheetskonfiguratioun Benchmark - Ech recommandéieren et unzefänken. An natierlech gëtt et eng Rei vu beschten Praktiken fir eng Firewall vum Hiersteller opzestellen: Bescht Praxis.

Also, ech hat eng Firewall doheem fir eng Woch. Loosst eis kucken wéi eng Traffic et op mengem Netzwierk ass:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Wann Dir no der Unzuel vun de Sessiounen sortéiert, da ginn déi meescht vun hinnen duerch Bittorent erstallt, da kënnt SSL, dann QUIC. Dëst sinn Statistike souwuel fir den erakommen an ausgoende Verkéier: et gi vill extern Scans vu mengem Router. Et gi 150 verschidden Uwendungen op mengem Netz.

Also, all dëst gouf vun enger Regel verpasst. Loosst eis elo kucken wat Policy Optimizer iwwer dëst seet. Wann Dir uewen um Screenshot vun der Interface mat Sécherheetsregelen gekuckt hutt, dann ënnen lénks hutt Dir eng kleng Fënster gesinn, déi mir hint, datt et Regele gëtt, déi optimiséiert kënne ginn. Loosst eis do klickt.

Wat Politik Optimizer weist:

  • Wéi eng Politik goufen guer net benotzt, 30 Deeg, 90 Deeg. Dëst hëlleft d'Entscheedung fir se komplett ze läschen.
  • Wéi eng Uwendungen goufen an de Politiken spezifizéiert, awer keng esou Uwendungen goufen am Traffic festgestallt. Dëst erlaabt Iech onnéideg Uwendungen ze läschen wann Dir Regelen erlaabt.
  • Wéi eng Politik huet alles erlaabt, awer et goufen eigentlech Applikatiounen, déi schéi gewiescht wieren explizit no der Zero Trust Methodologie unzeginn.

Palo Alto Networks NGFW Sécherheetspolitik Optimizer

Loosst eis op Onbenotzt klickt.

Fir ze weisen wéi et funktionnéiert, hunn ech e puer Reegelen bäigefüügt a bis elo hunn se haut nach keen eenzege Paket verpasst. Hei ass hir Lëscht:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Vläicht gëtt et mat der Zäit Traffic do an da verschwannen se vun dëser Lëscht. A wa se op dëser Lëscht fir 90 Deeg sinn, da kënnt Dir décidéieren dës Regelen ze läschen. Iwwerhaapt gëtt all Regel eng Chance fir en Hacker.

Et gëtt e richtege Problem wann Dir eng Firewall konfiguréiert: en neien Employé kënnt, kuckt d'Firewall-Regelen, wa se keng Kommentarer hunn an hie weess net firwat dës Regel erstallt gouf, ob se wierklech gebraucht gëtt, ob et kann geläscht ginn: op eemol ass d'Persoun an der Vakanz an no Bannent 30 Deeg wäert de Verkéier erëm aus dem Service fléissen deen hien brauch. A just dës Funktioun hëlleft him eng Decisioun ze huelen - keen benotzt se - läschen!

Klickt op Onbenotzt App.

Mir klickt op Onbenotzt App am Optimizer a gesinn datt interessant Informatioun an der Haaptfenster opmaacht.

Mir gesinn datt et dräi Reegelen sinn, wou d'Zuel vun den erlaabten Uwendungen an d'Zuel vun den Uwendungen, déi dës Regel tatsächlech passéiert hunn, anescht sinn.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Mir kënnen klickt an eng Lëscht vun dësen Uwendungen gesinn an dës Lëschte vergläichen.
Zum Beispill, klickt op de Compare Knäppchen fir d'Max Regel.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Hei kënnt Dir gesinn datt d'Applikatiounen Facebook, Instagram, Telegram, VKontakte erlaabt waren. Awer a Wierklechkeet ass de Verkéier nëmmen op e puer vun den Ënnerapplikatiounen gaang. Hei musst Dir verstoen datt d'Facebook-Applikatioun verschidde Ënnerapplikatiounen enthält.

Déi ganz Lëscht vun NGFW Uwendungen kann um Portal gesi ginn applipedia.paloaltonetworks.com an an der Firewall Interface selwer, an der Sektioun Objekter-> Uwendungen an an der Sich, gitt den Numm vun der Applikatioun: facebook, Dir kritt dat folgend Resultat:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Also, e puer vun dësen Ënnerapplikatiounen goufen vum NGFW gesinn, awer e puer waren net. Tatsächlech kënnt Dir verschidden Ënnerfunktioune vu Facebook separat verbidden an erlaben. Zum Beispill, erlaabt Messagen ze gesinn, awer verbidden Chat oder Dateientransfer. Deementspriechend schwätzt Policy Optimizer iwwer dëst an Dir kënnt eng Entscheedung treffen: erlaabt net all Facebook Uwendungen, awer nëmmen déi Haapt.

Also hu mir gemierkt datt d'Lëschte anescht sinn. Dir kënnt sécherstellen datt d'Regele nëmmen déi Uwendungen erlaben déi tatsächlech um Netz reesen. Fir dëst ze maachen, klickt op de MatchUsage Knäppchen. Et stellt sech esou eraus:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
An Dir kënnt och Uwendungen addéieren, déi Dir als noutwendeg betruecht - de Knäppchen derbäi op der lénker Säit vun der Fënster:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
An da kann dës Regel applizéiert a getest ginn. Gratulatioun!

Klickt Keng Apps spezifizéiert.

An dësem Fall wäert eng wichteg Sécherheetsfenster opmaachen.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Et gi méiglecherweis vill esou Reegelen an Ärem Netz, wou d'L7 Niveau Applikatioun net explizit spezifizéiert ass. An a mengem Netz gëtt et esou eng Regel - loosst mech Iech drun erënneren datt ech et während dem initialen Setup gemaach hunn, speziell fir ze weisen wéi Policy Optimizer funktionnéiert.

D'Bild weist datt d'AllowAll Regel erlaabt 9 Gigabytes Traffic an der Period vum 17. Mäerz bis de 220. Mäerz, dat ass 150 verschidden Uwendungen a mengem Netzwierk. An dat geet net duer. Typesch huet en Duerchschnëttgréisst Firmennetz 200-300 verschidden Uwendungen.

Also, eng Regel léisst esou vill wéi 150 Uwendungen duerch. Typesch heescht dat datt d'Firewall net richteg konfiguréiert ass, well normalerweis eng Regel erlaabt 1-10 Uwendungen fir verschidden Zwecker. Loosst eis kucken wat dës Uwendungen sinn: klickt op de Compare Knäppchen:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Déi wonnerbarst Saach fir en Administrateur an der Policy Optimizer Funktioun ass de Match Usage Knäppchen - Dir kënnt eng Regel mat engem Klick erstellen, wou Dir all 150 Uwendungen an d'Regel gitt. Dëst manuell ze maachen géif zimmlech laang daueren. D'Zuel vun den Aufgaben fir en Administrateur ze schaffen, och a mengem Netzwierk vun 10 Apparater, ass enorm.

Ech hunn 150 verschidden Uwendungen déi doheem laafen, gigabytes Traffic transferéiert! A wéi vill hutt Dir?

Awer wat geschitt an engem Netzwierk vun 100 Apparater oder 1000 oder 10000? Ech hunn Firewalls mat 8000 Regelen gesinn an ech si ganz frou datt d'Administrateuren elo sou praktesch Automatisatiounsinstrumenter hunn.

E puer vun den Uwendungen, déi de L7 Applikatiounsanalysemodul am NGFW gesinn a gewisen huet, datt Dir net am Netz brauch, also läscht se se einfach aus der Lëscht vun Erlaabnisregelen, oder klon d'Regele mam Klon Knäppchen (an der Haaptinterface) an erlaabt hinnen an enger Applikatioun Regel, an Dir wäert aner Uwendungen blockéieren well se definitiv net op Ärem Netz gebraucht ginn. Esou Uwendungen enthalen dacks Bittorent, Damp, Ultrasurf, Tor, verstoppt Tunnel wéi tcp-over-dns an anerer.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Gutt, loosst eis op eng aner Regel klickt a kuckt wat Dir do kënnt gesinn:
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
Jo, et ginn Uwendungen typesch fir Multicast. Mir mussen hinnen erlaben online Video kucken ze schaffen. Klickt op Match Benotzung. Super! Merci Politik Optimizer.

Wat iwwer Machine Learning?

Elo ass et moudesch iwwer Automatiséierung ze schwätzen. Wat ech beschriwwen hunn ass erauskomm - et hëlleft vill. Et gëtt nach eng Méiglechkeet iwwer déi ech soll schwätzen. Dëst ass d'Maschinn Léieren Funktionalitéit agebaut an der Expeditioun Utility, déi schonn uewen ernimmt gouf. An dësem Utility ass et méiglech Regele vun Ärer aler Firewall vun engem aneren Hiersteller ze transferéieren. Et gëtt och d'Fäegkeet fir existent Palo Alto Networks Traffic Logbicher z'analyséieren an ze proposéieren wéi eng Regelen ze schreiwen. Dëst ass ähnlech wéi d'Funktionalitéit vum Policy Optimizer, awer an der Expeditioun ass et nach méi erweidert an Dir kritt eng Lëscht vu fäerdege Reegelen ugebueden - Dir musst se just stëmmen.
Fir dës Funktionalitéit ze testen, gëtt et e Laboratoire - mir nennen et en Testfahrt. Dësen Test kann gemaach ginn andeems Dir Iech an virtuelle Firewalls aloggen, déi Palo Alto Networks Büro Mataarbechter zu Moskau op Är Ufro lancéieren.
Palo Alto Networks NGFW Sécherheetspolitik Optimizer
D'Demande kann geschéckt ginn ze [Email geschützt] an an der Ufro schreift: "Ech wëll en UTD fir de Migratiounsprozess maachen."

Tatsächlech huet Laboraarbecht genannt Unified Test Drive (UTD) verschidde Méiglechkeeten an all vun hinnen Distanz verfügbar no Ufro.

Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. Umellen, wann ech glift.

Wëllt Dir datt een Iech hëllefe fir Är Firewall Politiken ze optimiséieren?

  • datt

  • Nee

  • Ech wäert alles selwer maachen

Keen huet nach gestëmmt. Et gi keng Enthalungen.

Source: will.com

Setzt e Commentaire