NGFW тааруулах үр нөлөөг хэрхэн үнэлэх вэ
Хамгийн нийтлэг ажил бол таны галт хана хэр сайн тохируулагдсаныг шалгах явдал юм. Үүнийг хийхийн тулд NGFW-тэй харьцдаг компаниудын үнэ төлбөргүй хэрэгсэл, үйлчилгээ байдаг.
Жишээлбэл, доороос та Palo Alto Networks-ээс шууд хийх чадвартай болохыг харж болно галт ханын статистик шинжилгээ - SLR тайлан эсвэл шилдэг туршлагын нийцлийн шинжилгээ - BPA тайлан. Эдгээр нь та юу ч суулгахгүйгээр ашиглах боломжтой үнэгүй онлайн хэрэгслүүд юм.
АГУУЛГА
Экспедиц (Шилжүүлэлтийн хэрэгсэл)
Тохиргоогоо шалгах илүү төвөгтэй сонголт бол үнэгүй хэрэгслийг татаж авах явдал юм (хуучин шилжих хэрэгсэл). Үүнийг VMware-д зориулсан Virtual Appliance хэлбэрээр татаж авдаг, ямар ч тохиргоо хийх шаардлагагүй - та зургийг татаж аваад VMware гипервизорын доор байрлуулж, ажиллуулаад вэб интерфэйс рүү очих хэрэгтэй. Энэхүү хэрэгсэл нь тусдаа түүхийг шаарддаг, зөвхөн хичээл нь 5 хоног үргэлжилдэг, одоо маш олон функцууд байдаг бөгөөд үүнд Machine Learning, янз бүрийн Firewall үйлдвэрлэгчдэд зориулсан бодлого, NAT болон объектуудын янз бүрийн тохиргоог шилжүүлэх зэрэг олон функцууд байдаг. Машины сургалтын талаар би дараа нь текстэнд дэлгэрэнгүй бичих болно.
Бодлогын оновчтой болгох
Өнөөдөр миний илүү дэлгэрэнгүй ярих хамгийн тохиромжтой сонголт (IMHO) бол Пало Алто Сүлжээний интерфэйс дээр суурилуулсан бодлогыг оновчтой болгох хэрэгсэл юм. Үүнийг харуулахын тулд би гэртээ галт хана суурилуулж, энгийн дүрмийг бичсэн: хэнд ч зөвшөөрөл өгөх. Зарчмын хувьд би заримдаа корпорацийн сүлжээнд ч гэсэн ийм дүрмийг хардаг. Мэдээжийн хэрэг, би бүх NGFW аюулгүй байдлын профайлыг идэвхжүүлсэн бөгөөд үүнийг дэлгэцийн зургаас харж болно.
Доорх дэлгэцийн зураг нь миний гэрийн тохируулагдаагүй галт хананы жишээг харуулж байгаа бөгөөд бараг бүх холболтууд нь хамгийн сүүлийн дүрэмд багтдаг: AllowAll, Hit Count баганын статистик мэдээллээс харж болно.
Тэг итгэлцэл
гэж нэрлэгддэг аюулгүй байдлын арга барил байдаг . Энэ нь юу гэсэн үг вэ: бид сүлжээнд байгаа хүмүүст яг хэрэгтэй холболтыг зөвшөөрч, бусад бүх зүйлийг хориглох ёстой. Өөрөөр хэлбэл, бид програмууд, хэрэглэгчид, URL категориуд, файлын төрлүүдийн тодорхой дүрмийг нэмэх хэрэгтэй; бүх IPS болон вирусны эсрэг гарын үсгийг идэвхжүүлэх, хамгаалагдсан хязгаарлагдмал орчин, DNS хамгаалалтыг идэвхжүүлэх, боломжтой Threat Intelligence мэдээллийн сангаас IoC ашиглах. Ерөнхийдөө галт ханыг тохируулахад хангалттай хэмжээний даалгавар байдаг.
Дашрамд хэлэхэд, Palo Alto Networks NGFW-д шаардлагатай хамгийн бага тохиргоог SANS баримт бичгийн аль нэгэнд тайлбарласан болно. Би үүнээс эхлэхийг зөвлөж байна. Мэдээжийн хэрэг, үйлдвэрлэгчээс галт хана суурилуулах шилдэг туршлагууд байдаг. .
Тиймээс би долоо хоногийн турш гэртээ галт ханатай байсан. Миний сүлжээнд ямар ачаалал байгааг харцгаая:
Хэрэв сессийн тоогоор эрэмбэлсэн бол тэдгээрийн ихэнх нь bittorent-ээр үүсгэгдсэн, дараа нь SSL, дараа нь QUIC ирдэг. Эдгээр нь ирж буй болон гарч буй траффикийн статистик юм: миний чиглүүлэгчийн гадаад сканнер маш их байдаг. Миний сүлжээнд 150 өөр програм бий.
Тиймээс энэ бүгдийг нэг дүрмээр алгассан. Одоо Бодлого Оновчлогч энэ талаар юу гэж хэлснийг харцгаая. Хэрэв та дээрх аюулгүй байдлын дүрмүүдтэй интерфейсийн дэлгэцийн агшинг харвал зүүн доод талд жижиг цонхыг харсан бөгөөд энэ нь оновчтой болгох дүрмүүд байгааг надад сануулж байна. Тэнд дарцгаая.
Бодлогын оновчлогч юуг харуулж байна:
- Ямар бодлогыг огт ашиглаагүй, 30 хоног, 90 хоног. Энэ нь тэдгээрийг бүрмөсөн устгах шийдвэр гаргахад тусална.
- Бодлогод ямар аппликейшнүүдийг зааж өгсөн боловч замын хөдөлгөөнд ийм програм олдсонгүй. Энэ нь зөвшөөрөгдсөн дүрмийн шаардлагагүй програмуудыг устгах боломжийг танд олгоно.
- Аль бодлого нь бүх зүйлийг дараалан зөвшөөрдөг байсан ч тэг итгэлцлийн аргачлалын дагуу тодорхой зааж өгөх нь зүйтэй гэсэн програмууд үнэхээр байсан.
Ашиглагдаагүй дээр дарна уу.
Энэ нь хэрхэн ажилладагийг харуулахын тулд би хэд хэдэн дүрмийг нэмсэн бөгөөд өнөөг хүртэл тэд нэг багцыг алдаагүй байна. Энд тэдний жагсаалт байна:
Магадгүй, цаг хугацаа өнгөрөхөд замын хөдөлгөөн тэнд өнгөрч, дараа нь тэд энэ жагсаалтаас алга болно. Хэрэв тэд 90 хоногийн турш энэ жагсаалтад байгаа бол та эдгээр дүрмийг хасах шийдвэр гаргаж болно. Эцсийн эцэст дүрэм бүр нь хакерт боломжийг олгодог.
Галт ханын тохиргоонд үнэхээр асуудал байна: шинэ ажилтан ирж, галт ханын дүрмийг харвал, хэрэв тэд ямар ч тайлбаргүй бөгөөд яагаад энэ дүрмийг бий болгосныг мэдэхгүй байгаа бол энэ нь үнэхээр шаардлагатай юу, устгах боломжтой юу: гэнэт тэр хүн амралт, 30 хоногийн турш замын хөдөлгөөн шаардлагатай үйлчилгээнээсээ буцах болно. Зөвхөн энэ функц түүнд шийдвэр гаргахад тусалдаг - хэн ч үүнийг ашигладаггүй - устга!
Ашиглагдаагүй програм дээр дарна уу.
Бид оновчлогч дахь Ашиглагдаагүй програм дээр товшоод үндсэн цонхонд сонирхолтой мэдээлэл нээгдэж байгааг харна.
Зөвшөөрөгдсөн програмын тоо болон энэ дүрмийг үнэхээр давсан програмын тоо өөр өөр байдаг гурван дүрэм байгааг бид харж байна.
Бид эдгээр програмуудын жагсаалтыг товшиж харж, эдгээр жагсаалтыг харьцуулж болно.
Жишээлбэл, Max дүрмийн Харьцуулах товчийг даръя.
Эндээс та facebook, instagram, telegram, vkontakte програмуудыг ашиглахыг зөвшөөрсөн болохыг харж болно. Гэвч бодит байдал дээр замын хөдөлгөөн зөвхөн дэд програмуудын нэг хэсэгээр дамждаг. Энд та facebook програм нь хэд хэдэн дэд програмуудыг агуулдаг гэдгийг ойлгох хэрэгтэй.
NGFW програмуудын жагсаалтыг бүхэлд нь портал дээрээс харж болно болон галт хананы интерфейсийн өөрөө, Объект->Програмууд хэсэг болон хайлтанд програмын нэрийг бичнэ үү: facebook, та дараах үр дүнг авах болно.
Тиймээс NGFW эдгээр дэд програмуудын заримыг харсан боловч заримыг нь үзээгүй. Үнэн хэрэгтээ та facebook-ийн өөр өөр дэд функцүүдийг тусад нь идэвхгүй болгож, идэвхжүүлж болно. Жишээлбэл, танд мессеж үзэхийг зөвшөөрөх боловч чат эсвэл файл дамжуулахыг хориглоно. Үүний дагуу Бодлогын оновчтой болгогч энэ тухай ярьж байгаа бөгөөд та шийдвэр гаргах боломжтой: Facebook-ийн бүх програмыг зөвшөөрөхгүй, зөвхөн үндсэн програмуудыг ашиглахыг зөвшөөрдөг.
Тиймээс, жагсаалтууд өөр гэдгийг бид ойлгосон. Дүрмүүд нь зөвхөн сүлжээнд үнэхээр тэнүүчилж буй програмуудыг зөвшөөрдөг эсэхийг шалгаж болно. Үүнийг хийхийн тулд та MatchUsage товчийг дарна уу. Энэ нь дараах байдлаар харагдаж байна.
Мөн та шаардлагатай гэж үзсэн програмуудыг нэмж болно - цонхны зүүн талд байгаа Нэмэх товч:
Дараа нь энэ дүрмийг хэрэглэж, туршиж болно. Баяр хүргэе!
Тодорхойлогдсон програм байхгүй дээр дарна уу.
Энэ тохиолдолд хамгаалалтын чухал цонх нээгдэнэ.
Таны сүлжээнд L7 түвшний програмыг тодорхой заагаагүй ийм олон дүрэм байдаг. Мөн миний сүлжээнд ийм дүрэм байдаг - би үүнийг анхны тохиргооны үеэр, ялангуяа Бодлого Оновчлогч хэрхэн ажилладагийг харуулахын тулд хийсэн гэдгийг сануулъя.
Зургаас харахад AllowAll дүрэм 9-р сарын 17-өөс 220-р сарын 150-ны хооронд 200 гигабайтын урсгалыг алдсан бөгөөд энэ нь миний сүлжээнд байгаа нийт 300 өөр програм юм. Мөн энэ нь хангалтгүй хэвээр байна. Ихэвчлэн дунд хэмжээний корпорацийн сүлжээнд XNUMX-XNUMX өөр төрлийн програмууд байдаг.
Тиймээс, нэг дүрэм 150 програмыг алддаг. Энэ нь ихэвчлэн галт ханыг буруу тохируулсан гэсэн үг юм, учир нь ихэвчлэн өөр өөр зориулалттай 1-10 програмыг нэг дүрмээр алгасдаг. Эдгээр програмууд юу болохыг харцгаая: Харьцуулах товчийг дарна уу:
Бодлогын оновчтой болгох функц дэх администраторын хувьд хамгийн гайхамшигтай зүйл бол "Тохирох хэрэглээ" товчлуур юм - та нэг товшилтоор дүрэм үүсгэж, бүх 150 програмыг дүрэмд оруулах боломжтой. Үүнийг гараар хийх нь хэтэрхий удаан үргэлжлэх болно. Миний 10 төхөөрөмжтэй сүлжээн дэх администраторын даалгавруудын тоо асар их байна.
Би гэртээ 150 өөр програм ажиллуулж, гигабайтын урсгалыг дамжуулдаг! Тэгээд чамд хэд байгаа вэ?
Гэхдээ 100 төхөөрөмж эсвэл 1000 эсвэл 10000 төхөөрөмжтэй сүлжээнд юу тохиолддог вэ? Би 8000 дүрэмтэй галт ханыг харсан бөгөөд админууд ийм тохиромжтой автоматжуулалтын хэрэгсэлтэй болсонд маш их баяртай байна.
Танд NGFW дахь L7 програмын шинжилгээний модулийн харж, сүлжээнд харуулсан зарим програм хэрэггүй тул та зүгээр л зөвшөөрөгдсөн дүрмийн жагсаалтаас хасч эсвэл Clone товчийг ашиглан дүрмийг клонд (үндсэн интерфейс) мөн нэг програмын дүрэмд зөвшөөрч, бусад программыг блоклох хэсэгт таны сүлжээнд огт хэрэггүй юм шиг зөвшөөрнө үү. Ийм програмууд нь ихэвчлэн bittorent, steam, ultrasurf, tor, tcp-over-dns гэх мэт далд туннель болдог.
За, өөр дүрэм дээр дарна уу - тэнд юу харж болно:
Тиймээ, олон дамжуулалтад зориулагдсан програмууд байдаг. Сүлжээгээр дамжуулан видео үзэхийн тулд бид тэдгээрийг зөвшөөрөх ёстой. Хэрэглээг тааруулах дээр дарна уу. Агуу их! Баярлалаа Бодлогын оновчтой.
Машины сургалтын талаар юу хэлэх вэ?
Одоо автоматжуулалтын тухай ярих нь моод болсон. Миний тайлбарласан зүйл гарч ирэв - энэ нь маш их тусалдаг. Миний хэлэх ёстой өөр нэг боломж бий. Энэ бол дээр дурдсан Экспедицийн хэрэгсэлд суулгасан Machine Learning функц юм. Энэ хэрэгсэлд хуучин галт хананаасаа дүрмийг өөр үйлдвэрлэгчээс шилжүүлэх боломжтой. Мөн одоо байгаа Palo Alto Networks замын хөдөлгөөний бүртгэлд дүн шинжилгээ хийж, ямар дүрмийг бичихийг санал болгох чадвартай. Энэ нь Бодлогын оновчтой болгох функцтэй төстэй боловч Expedition-д энэ нь илүү дэвшилтэт бөгөөд танд бэлэн дүрмийн жагсаалтыг санал болгож байна - та тэдгээрийг батлахад л хангалттай.
Энэ функцийг шалгахын тулд лабораторийн ажил байдаг - бид үүнийг туршилтын хөтөч гэж нэрлэдэг. Palo Alto Networks Москвагийн оффисын ажилтнууд таны хүсэлтээр эхлүүлэх виртуал галт хананд очиж энэ туршилтыг хийж болно.
Хүсэлтийг хаягаар илгээж болно [имэйлээр хамгаалагдсан] хүсэлтэнд "Би Шилжин суурьших үйл явцад UTD хийхийг хүсч байна" гэж бичнэ үү.
Үнэн хэрэгтээ нэгдсэн туршилтын хөтөч (UTD) гэж нэрлэгддэг лабораторийн хэд хэдэн сонголт байдаг бөгөөд тэдгээр нь бүгд байдаг хүсэлтийн дараа.
Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. , гуйя.
Таны галт ханын бодлогыг оновчтой болгоход хэн нэгэн танд туслахыг хүсч байна уу?
-
Тийм
-
Ямар ч
-
Би бүгдийг өөрөө хийх болно
Одоогоор хэн ч саналаа өгөөгүй байна. Түдгэлзсэн санал байхгүй.
Эх сурвалж: www.habr.com