Ahoana ny fanombanana ny fahombiazan'ny fametrahana NGFW
Ny asa mahazatra indrindra dia ny manamarina ny fahombiazan'ny firewall-nao. Mba hanaovana izany dia misy kojakoja sy serivisy maimaim-poana avy amin'ny orinasa misahana ny NGFW.
Ohatra, azonao jerena eto ambany fa ny Palo Alto Networks dia manana fahafahana mivantana avy manao famakafakana ny antontan'isa firewall - tatitra SLR na famakafakana ny fanarahana ny fanao tsara indrindra - tatitra BPA. Ireo dia fitaovana an-tserasera maimaim-poana izay azonao ampiasaina tsy misy fametrahana na inona na inona.
Firafitra
Expedition (Fitaovana fifindra-monina)
Safidy sarotra kokoa amin'ny fanamarinana ny fandrindranao dia ny misintona fitaovana maimaim-poana (Fitaovana Fifindra-monina taloha). Izy io dia alaina ho Virtual Appliance ho an'ny VMware, tsy misy fanovana ilaina miaraka aminy - mila misintona ny sary ianao ary mametraka azy eo ambanin'ny hypervisor VMware, atombohy ary mandehana amin'ny interface interface. Mitaky tantara mitokana ity fitaovana ity, 5 andro ihany ny fampianarana momba azy, be dia be ny asa ankehitriny, ao anatin'izany ny Machine Learning sy ny fifindra-monina amin'ny politika samihafa, NAT ary zavatra ho an'ny mpanamboatra Firewall samihafa. Hanoratra bebe kokoa momba ny Machine Learning eto ambany aho amin'ny lahatsoratra.
Policy Optimizer
Ary ny safidy mety indrindra (IMHO), izay holazaiko aminao amin'ny antsipiriany bebe kokoa anio, dia ny optimizer politika natsangana tao amin'ny interface Palo Alto Networks. Mba hanehoana izany dia nametraka firewall tao an-trano aho ary nanoratra fitsipika tsotra: avelao na iza na iza. Amin'ny ankapobeny dia mahita fitsipika toy izany aho indraindray na dia amin'ny tambajotran'ny orinasa aza. Mazava ho azy fa navelako ny mombamomba ny fiarovana NGFW rehetra, araka ny hitanao amin'ny pikantsary:
Ny pikantsary eto ambany dia mampiseho ohatra iray amin'ny firewall tsy voarindra ao an-tranoko, izay saika tafiditra ao anatin'ny fitsipika farany ny fifandraisana rehetra: AllowAll, araka ny hita amin'ny antontan'isa ao amin'ny tsanganana Hit Count.
ZeroTrust
Misy ny fomba fiasa amin'ny fiarovana antsoina . Inona no dikan'izany: tsy maintsy avelan'ny olona ao anatin'ny tambajotra ireo fifandraisana ilainy sy mandΓ ny zavatra hafa rehetra. Izany hoe mila manampy fitsipika mazava ho an'ny fampiharana, mpampiasa, sokajy URL, karazana rakitra; avelao ny sonia IPS sy antivirus rehetra, avelao ny sandboxing, fiarovana DNS, ampiasao ny IoC avy amin'ny angon-drakitra Threat Intelligence misy. Amin'ny ankapobeny, misy asa mendrika rehefa manangana firewall.
Raha ny tokony ho izy, dia voalaza ao amin'ny iray amin'ireo antontan-taratasin'ny SANS ny filaharana kely indrindra ilaina ho an'ny Palo Alto Networks NGFW: - Manoro hevitra aho manomboka amin'izany. Ary mazava ho azy, misy andiana fanao tsara indrindra amin'ny fametrahana firewall avy amin'ny mpanamboatra: .
Noho izany, nanana firewall tao an-trano aho nandritra ny herinandro. Andeha hojerentsika ny karazana fifamoivoizana misy ao amin'ny tambajotrako:
Raha mandamina araka ny isan'ny sessions ianao, dia ny ankamaroan'izy ireo dia noforonin'ny bittorent, dia tonga ny SSL, avy eo QUIC. Ireo dia antontan'isa momba ny fifamoivoizana miditra sy mivoaka: be dia be ny fizahana ivelany amin'ny router-ko. Misy fampiharana 150 samihafa ao amin'ny tambajotrako.
Noho izany, izany rehetra izany dia nanjavona tamin'ny fitsipika iray. Andeha hojerentsika izay lazain'ny Policy Optimizer momba izany. Raha nijery teo ambony ianao teo amin'ny pikantsarin'ny interface misy fitsipika fiarovana, dia eo amin'ny farany ambany havia ianao dia nahita varavarankely kely izay manondro ahy fa misy fitsipika azo amboarina. Aleo tsindrio eo.
Inona no asehon'ny Policy Optimizer:
- Inona no politika tsy nampiasaina mihitsy, 30 andro, 90 andro. Izany dia manampy amin'ny fandraisana fanapahan-kevitra hanesorana azy ireo tanteraka.
- Inona no fampiharana nofaritana tao amin'ny politika, saingy tsy nisy fampiharana toy izany hita tao amin'ny fifamoivoizana. Izany dia ahafahanao manaisotra fampiharana tsy ilaina amin'ny famelana ny fitsipika.
- Inona ny politika namela ny zava-drehetra, saingy nisy ny fampiharana izay mety ho nahafinaritra ny nanondro mazava araka ny fomba fiasa Zero Trust.
Aleo tsindrio ny Unused.
Mba hampisehoana ny fomba fiasan'izy io dia nampiako fitsipika vitsivitsy ary hatramin'izao dia mbola tsy nisy na iray aza izy ireo androany. Ity ny lisitr'izy ireo:
Angamba rehefa mandeha ny fotoana dia hisy fifamoivoizan'ny fifamoivoizana any ary hanjavona amin'ity lisitra ity izy ireo. Ary raha ao anatin'ity lisitra ity mandritra ny 90 andro izy ireo, dia azonao atao ny manapa-kevitra ny hamafa ireo fitsipika ireo. Rehefa dinihina tokoa, ny fitsipika rehetra dia manome fahafahana ho an'ny mpijirika.
Misy olana tokoa rehefa manamboatra firewall: misy mpiasa vaovao tonga, mijery ny fitsipiky ny firewall, raha tsy misy fanehoan-kevitra izy ireo ary tsy fantany ny antony namoronana io fitsipika io, na tena ilaina izany, na azo atao. ho voafafa: tampoka dia miala sasatra ilay olona ary ao anatin'ny 30 andro dia hiverina indray ny fifamoivoizana amin'ny serivisy ilainy. Ary io fiasa io ihany no manampy azy handray fanapahan-kevitra - tsy misy mampiasa azy - hamafa izany!
Tsindrio ny Unused App.
Tsindrio ny Unused App ao amin'ny optimizer ary mahita fa misokatra amin'ny varavarankely lehibe ny fampahalalana mahaliana.
Hitanay fa misy fitsipika telo, izay tsy mitovy ny isan'ny fangatahana navela sy ny isan'ny fangatahana izay tena nandany io fitsipika io.
Afaka manindry sy mahita lisitr'ireo fampiharana ireo isika ary mampitaha ireo lisitra ireo.
Ohatra, tsindrio ny bokotra Compare ho an'ny fitsipika Max.
Eto ianao dia afaka mahita fa navela ny fampiharana facebook, instagram, telegrama, vkontakte. Saingy raha ny zava-misy dia nandeha tany amin'ireo sub-application ihany ny fifamoivoizana. Eto ianao dia mila mahatakatra fa ny fampiharana facebook dia misy sub-application maromaro.
Ny lisitry ny fangatahana NGFW manontolo dia azo jerena ao amin'ny vavahadin-tserasera ary ao amin'ny rindrankajy firewall mihitsy, ao amin'ny fizarana Objects-> Applications ary amin'ny fikarohana, soraty ny anaran'ny rindranasa: facebook, dia ho azonao izao vokatra manaraka izao:
Noho izany, ny sasany amin'ireo sub-fampiharana ireo dia hitan'ny NGFW, fa ny sasany tsy hita. Raha ny marina, azonao atao ny mandrara sy mamela ny sub-functions samihafa amin'ny Facebook. Ohatra, avelao ny mijery hafatra, fa rarana ny fifampiresahana na ny famindrana rakitra. Noho izany, ny Policy Optimizer dia miresaka momba izany ary afaka mandray fanapahan-kevitra ianao: tsy mamela ny fampiharana Facebook rehetra, fa ny lehibe ihany.
Noho izany, tsapanay fa hafa ny lisitra. Azonao atao ny mahazo antoka fa ireo fampiharana izay mandeha amin'ny tambajotra ihany no ahafahan'ny fitsipika. Mba hanaovana izany, tsindrio ny bokotra MatchUsage. Toy izao no miseho:
Ary azonao atao koa ny manampy fampiharana izay heverinao fa ilaina - ny bokotra Add eo amin'ny ilany havia amin'ny varavarankely:
Ary avy eo io fitsipika io dia azo ampiharina sy andrana. Arahabaina!
Tsindrio No Apps voafaritra.
Amin'ity tranga ity dia hisokatra ny varavarankely fiarovana manan-danja.
Azo inoana fa be dia be ny fitsipika toy izany ao amin'ny tambajotranao izay tsy voafaritra mazava ny fampiharana ambaratonga L7. Ary ao amin'ny tambajotrako dia misy fitsipika toy izany - avelao aho hampahatsiahy anao fa nataoko nandritra ny fanamboarana voalohany izany, indrindra mba hampisehoana ny fomba fiasan'ny Policy Optimizer.
Ny sary dia mampiseho fa ny lalΓ na AllowAll dia namela fifamoivoizana 9 gigabytes tamin'ny vanim-potoana nanomboka ny 17 martsa ka hatramin'ny 220 martsa, izay fampiharana 150 samihafa tao amin'ny tambajotrako. Ary tsy ampy izany. Amin'ny ankapobeny, ny tambajotran'ny orinasa antonony dia manana fampiharana 200-300 samihafa.
Noho izany, ny fitsipika iray dia mamela fampiharana hatramin'ny 150. Amin'ny ankapobeny dia midika izany fa tsy voarindra tsara ny firewall, satria matetika ny fitsipika iray dia mamela fampiharana 1-10 ho an'ny tanjona samihafa. Andeha hojerentsika hoe inona ireo fampiharana ireo: tsindrio ny bokotra Compare:
Ny zavatra mahafinaritra indrindra ho an'ny mpitantana ao amin'ny fiasan'ny Policy Optimizer dia ny bokotra Match Usage - afaka mamorona fitsipika amin'ny tsindry iray ianao, izay hampidiranao ny rindranasa 150 rehetra ao amin'ny fitsipika. Mety haharitra ela ny fanaovana izany amin'ny tanana. Ny isan'ny asa ho an'ny mpitantana iray miasa, na dia ao amin'ny tambajotra misy fitaovana 10 aza, dia goavana.
Manana rindranasa 150 isan-karazany mandeha ao an-trano aho, mamindra gigabytes amin'ny fifamoivoizana! Ary ohatrinona no anananao?
Fa inona no mitranga amin'ny tambajotra misy fitaovana 100 na 1000 na 10000? Nahita firewall misy fitsipika 8000 aho ary tena faly aho fa manana fitaovana automatique mety tsara izao ny mpitantana.
Ny sasany amin'ireo rindranasa izay hitan'ny L7 famakafakana fampiharana ao amin'ny NGFW ary nasehonao fa tsy ilainao ao amin'ny tambajotra, noho izany dia esorinao fotsiny amin'ny lisitry ny fahazoan-dΓ lana izy ireo, na clone ny fitsipika mampiasa ny bokotra Clone (ao amin'ny interface lehibe) ary avelao izy ireo amin'ny fitsipika fampiharana iray, ary amin'ny ianao dia hanakana ny rindranasa hafa satria tsy ilaina amin'ny tambajotranao izy ireo. Ny fampiharana toy izany dia matetika ahitana bittorent, steam, ultrasurf, tor, tonelina miafina toy ny tcp-over-dns sy ny hafa.
Eny ary, andao tsindrio eo amin'ny fitsipika hafa ary jereo izay hitanao any:
Eny, misy fampiharana mahazatra ho an'ny multicast. Tsy maintsy avelantsika hiasa izy ireo amin'ny fijerena horonantsary an-tserasera. Tsindrio Match Usage. Mahafinaritra! Misaotra Policy Optimizer.
Ahoana ny amin'ny Machine Learning?
Ankehitriny dia lamaody ny miresaka momba ny automation. Nivoaka ny zavatra nolazaiko - manampy betsaka izany. Mbola misy ny mety ho resahiko. Ity ny fampiasa Machine Learning natsangana tao amin'ny Expedition utility, izay efa voalaza etsy ambony. Amin'ity fitaovana ity dia azo atao ny mamindra fitsipika avy amin'ny firewall taloha avy amin'ny mpanamboatra hafa. Misy ihany koa ny fahafahana mamakafaka ny diarin'ny fifamoivoizana ao amin'ny Palo Alto Networks ary manolotra izay fitsipika hosoratana. Mitovitovy amin'ny fiasan'ny Policy Optimizer izany, fa ao amin'ny Expedition dia miitatra bebe kokoa ary omena lisitry ny fitsipika efa vita ianao - mila manaiky azy ireo fotsiny ianao.
Mba hitsapana an'io fampiasa io dia misy asa laboratoara - antsoina hoe fiara fitsapana. Ity fitsapana ity dia azo atao amin'ny alΓ lan'ny fidirana amin'ny firewall virtoaly, izay havoakan'ny mpiasan'ny biraon'ny Palo Alto Networks ao Moskoa amin'ny fangatahanao.
Ny fangatahana dia azo alefa amin'ny [email voaaro] ary soraty ao amin'ny fangatahana hoe: "Te hanao UTD ho an'ny fizotry ny fifindra-monina aho."
Raha ny marina, ny asa laboratoara antsoina hoe Unified Test Drive (UTD) dia manana safidy maromaro ary izy rehetra aorian'ny fangatahana.
Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. Please.
Mila olona hanampy anao hanatsara ny politikan'ny firewall ve ianao?
-
fa
-
No
-
Izaho no hanao izany rehetra izany
Mbola tsy nisy nifidy. Tsy misy tsy fidiana.
Source: www.habr.com