Kif Evalwa l-Effettività ta' Setup ta' NGFW
L-iktar kompitu komuni huwa li tivverifika kemm il-firewall tiegħek huwa kkonfigurat b'mod effettiv. Biex tagħmel dan, hemm utilitajiet u servizzi b'xejn minn kumpaniji li jittrattaw NGFW.
Per eżempju, tista 'tara hawn taħt li Palo Alto Networks għandu l-abbiltà li direttament minn mexxi analiżi tal-istatistika tal-firewall - rapport SLR jew analiżi tal-konformità mal-aħjar prattiki - rapport BPA. Dawn huma utilitajiet onlajn b'xejn li tista 'tuża mingħajr ma tinstalla xejn.
WERREJ
Spedizzjoni (Għodda ta' Migrazzjoni)
Għażla aktar kumplessa għall-iċċekkjar tas-settings tiegħek hija li tniżżel utilità b'xejn (qabel Għodda tal-Migrazzjoni). Jitniżżel bħala Appliance Virtwali għal VMware, ma huma meħtieġa l-ebda settings magħha - għandek bżonn tniżżel l-immaġni u tużaha taħt l-hypervisor VMware, tniediha u mur l-interface tal-web. Din l-utilità teħtieġ storja separata, biss il-kors dwarha jieħu ġranet 5, hemm tant funzjonijiet issa, inkluż Tagħlim tal-Magni u migrazzjoni ta 'diversi konfigurazzjonijiet ta' politiki, NAT u oġġetti għal manifatturi differenti tal-Firewall. Se nikteb aktar dwar it-Tagħlim tal-Machine hawn taħt fit-test.
Ottimizzatur tal-Politika
U l-iktar għażla konvenjenti (IMHO), li jien ngħidlek f'aktar dettall illum, hija l-ottimizzatur tal-politika mibni fl-interface tan-Netwerks Palo Alto innifsu. Biex nuriha, installajt firewall fid-dar u ktibt regola sempliċi: ippermetti kwalunkwe għal kull. Fil-prinċipju, kultant nara regoli bħal dawn anke f'netwerks korporattivi. Naturalment, ppermettejt il-profili tas-sigurtà NGFW kollha, kif tistgħu taraw fil-screenshot:
Il-screenshot hawn taħt turi eżempju ta 'dar tiegħi firewall mhux ikkonfigurat, fejn kważi l-konnessjonijiet kollha jaqgħu fl-aħħar regola: AllowAll, kif jidher mill-istatistika fil-kolonna Hit Count.
Fiduċja żero
Hemm approċċ għas-sigurtà msejjaħ . Xi jfisser dan: irridu nħallu lin-nies fi ħdan in-netwerk eżattament dawk il-konnessjonijiet li għandhom bżonn u niċħdu kull ħaġa oħra. Jiġifieri, jeħtieġ li nżidu regoli ċari għall-applikazzjonijiet, l-utenti, il-kategoriji tal-URL, it-tipi ta 'fajls; jippermettu l-firem IPS u antivirus kollha, jippermettu sandboxing, protezzjoni DNS, uża IoC mid-databases disponibbli tat-Threat Intelligence. B'mod ġenerali, hemm numru deċenti ta 'kompiti meta twaqqaf firewall.
Mill-mod, is-sett minimu ta 'settings meħtieġa għal Palo Alto Networks NGFW huwa deskritt f'wieħed mid-dokumenti SANS: - Nirrakkomanda li tibda biha. U ovvjament, hemm sett ta 'l-aħjar prattiki għat-twaqqif ta' firewall mill-manifattur: .
Allura, kelli firewall id-dar għal ġimgħa. Ejja naraw x'tip ta' traffiku hemm fuq in-netwerk tiegħi:
Jekk issortja bin-numru ta 'sessjonijiet, allura ħafna minnhom huma maħluqa minn bittorent, imbagħad jiġi SSL, imbagħad QUIC. Dawn huma statistiċi kemm għat-traffiku deħlin kif ukoll għall-ħruġ: hemm ħafna skans esterni tar-router tiegħi. Hemm 150 applikazzjoni differenti fuq in-netwerk tiegħi.
Allura, dan kollu ma kienx mitluf minn regola waħda. Ejja issa naraw x'jgħid Policy Optimizer dwar dan. Jekk ħarist fuq il-screenshot tal-interface bir-regoli tas-sigurtà, imbagħad fin-naħa t'isfel tax-xellug rajt tieqa żgħira li tagħti ħjiel lili li hemm regoli li jistgħu jiġu ottimizzati. Ejja ikklikkja hemm.
X'juri Policy Optimizer:
- Liema policies ma ntużaw xejn, 30 jum, 90 jum. Dan jgħin biex tieħu d-deċiżjoni li tneħħihom kompletament.
- Liema applikazzjonijiet ġew speċifikati fil-politiki, iżda ma nstabu ebda applikazzjonijiet bħal dawn fit-traffiku. Dan jippermettilek tneħħi applikazzjonijiet mhux meħtieġa fir-regoli li jippermettu.
- Liema politiki ppermettew kollox, iżda fil-fatt kien hemm applikazzjonijiet li kienu jkunu sbieħ li jindikaw b'mod espliċitu skont il-metodoloġija Zero Trust.
Ejja nikklikkjaw fuq Mhux użat.
Biex nuri kif taħdem, żidt xi regoli u s'issa llum ma tilfu pakkett wieħed. Hawnhekk hawn il-lista tagħhom:
Forsi maż-żmien ikun hemm traffiku hemmhekk u mbagħad jisparixxu minn din il-lista. U jekk ikunu f'din il-lista għal 90 jum, allura tista 'tiddeċiedi li tħassar dawn ir-regoli. Wara kollox, kull regola tipprovdi opportunità għal hacker.
Hemm problema reali meta jiġi kkonfigurat firewall: jiġi impjegat ġdid, iħares lejn ir-regoli tal-firewall, jekk ma jkollhomx kummenti u ma jkunx jaf għaliex inħolqot din ir-regola, jekk hix verament meħtieġa, jekk tistax jitħassar: f'daqqa waħda l-persuna tkun fuq vaganza u wara Fi żmien 30 jum, it-traffiku jerġa' joħroġ mis-servizz li għandu bżonn. U din il-funzjoni biss tgħinu jieħu deċiżjoni - ħadd ma jużaha - ħassarha!
Ikklikkja fuq App mhux użata.
Aħna nikklikkjaw fuq App mhux użata fl-ottimizzatur u naraw li tinfetaħ informazzjoni interessanti fit-tieqa ewlenija.
Naraw li hemm tliet regoli, fejn in-numru ta’ applikazzjonijiet permessi u n-numru ta’ applikazzjonijiet li fil-fatt għaddew minn din ir-regola huma differenti.
Nistgħu nikklikkjaw u naraw lista ta 'dawn l-applikazzjonijiet u nqabblu dawn il-listi.
Per eżempju, ikklikkja fuq il-buttuna Qabbel għar-regola Max.
Hawnhekk tista 'tara li l-applikazzjonijiet facebook, instagram, telegram, vkontakte kienu permessi. Iżda fir-realtà, it-traffiku mar biss għal xi wħud mis-sub-applikazzjonijiet. Hawnhekk trid tifhem li l-applikazzjoni facebook fiha diversi sotto-applikazzjonijiet.
Il-lista sħiħa ta 'applikazzjonijiet NGFW tista' tidher fuq il-portal u fl-interface tal-firewall innifsu, fit-taqsima Oġġetti->Applikazzjonijiet u fit-tfittxija, ittajpja l-isem tal-applikazzjoni: facebook, ikollok ir-riżultat li ġej:
Għalhekk, xi wħud minn dawn is-sub-applikazzjonijiet dehru minn NGFW, iżda xi wħud ma kinux. Fil-fatt, tista 'tipprojbixxi u tippermetti separatament sub-funzjonijiet differenti ta' Facebook. Pereżempju, ippermetti li tara messaġġi, iżda tipprojbixxi ċ-chat jew it-trasferiment tal-fajls. Għaldaqstant, Policy Optimizer jitkellem dwar dan u tista 'tieħu deċiżjoni: ma tħallix l-applikazzjonijiet kollha ta' Facebook, iżda dawk ewlenin biss.
Allura, indunajna li l-listi huma differenti. Tista' tiżgura li r-regoli jippermettu biss dawk l-applikazzjonijiet li fil-fatt jivvjaġġaw fuq in-netwerk. Biex tagħmel dan, tikklikkja l-buttuna MatchUsage. Jirriżulta hekk:
U tista 'wkoll iżżid applikazzjonijiet li tqis meħtieġa - il-buttuna Żid fuq in-naħa tax-xellug tat-tieqa:
U allura din ir-regola tista 'tiġi applikata u ttestjata. Prosit!
Ikklikkja Nru Apps Speċifikat.
F'dan il-każ, tinfetaħ tieqa importanti tas-sigurtà.
X'aktarx hemm ħafna regoli bħal dawn fin-netwerk tiegħek fejn l-applikazzjoni tal-livell L7 mhix speċifikata b'mod espliċitu. U fin-netwerk tiegħi hemm regola bħal din - ħalli nfakkarkom li għamilt matul is-setup inizjali, speċifikament biex nuri kif jaħdem l-Optimizer tal-Politika.
L-istampa turi li r-regola AllowAll ppermettiet 9 gigabytes ta 'traffiku fil-perjodu mid-17 ta' Marzu sas-220 ta 'Marzu, li huwa 150 applikazzjoni differenti fin-netwerk tiegħi. U dan mhux biżżejjed. Tipikament, netwerk korporattiv ta 'daqs medju għandu 200-300 applikazzjoni differenti.
Għalhekk, regola waħda tħalli jgħaddu daqs 150 applikazzjoni. Tipikament dan ifisser li l-firewall ma jkunx ikkonfigurat b'mod korrett, għaliex normalment regola waħda tippermetti 1-10 applikazzjonijiet għal skopijiet differenti. Ejja naraw x'inhuma dawn l-applikazzjonijiet: ikklikkja l-buttuna Qabbel:
L-isbaħ ħaġa għal amministratur fil-funzjoni tal-Optimizer tal-Politika hija l-buttuna Match Usage - tista 'toħloq regola bi klikk waħda, fejn iddaħħal il-150 applikazzjoni kollha fir-regola. Jekk tagħmel dan manwalment, tieħu żmien pjuttost twil. In-numru ta 'kompiti biex amministratur jaħdem, anke fuq in-netwerk tiegħi ta' 10 apparati, huwa enormi.
Għandi 150 applikazzjoni differenti taħdem id-dar, li tittrasferixxi gigabytes ta 'traffiku! U kemm għandek?
Imma x'jiġri f'netwerk ta' 100 apparat jew 1000 jew 10000? Rajt firewalls bi 8000 regoli u ninsab kuntent ħafna li l-amministraturi issa għandhom għodod ta’ awtomazzjoni konvenjenti bħal dawn.
Uħud mill-applikazzjonijiet li l-modulu ta 'analiżi ta' applikazzjoni L7 f'NGFW raw u wrew li ma jkollokx bżonn fuq in-netwerk, għalhekk sempliċement tneħħihom mil-lista ta 'regoli ta' permess, jew tikklona r-regoli billi tuża l-buttuna Klonu (fl-interface prinċipali) u ħallihom f'regola ta' applikazzjoni waħda, u f'Int se timblokka applikazzjonijiet oħra peress li żgur mhumiex meħtieġa fuq in-netwerk tiegħek. Applikazzjonijiet bħal dawn spiss jinkludu bittorent, steam, ultrasurf, tor, mini moħbija bħal tcp-over-dns u oħrajn.
Ukoll, ejja nikklikkjaw fuq regola oħra u ara x'tista' tara hemmhekk:
Iva, hemm applikazzjonijiet tipiċi għal multicast. Irridu nħalluhom biex jaħdmu online wiri ta 'vidjow. Ikklikkja Match Usage. Kbir! Grazzi Policy Optimizer.
Xi ngħidu dwar it-Tagħlim tal-Magni?
Issa hija moda li titkellem dwar l-awtomazzjoni. Dak li ddeskrivejt ħareġ - jgħin ħafna. Hemm possibbiltà oħra li għandi nitkellem dwarha. Din hija l-funzjonalità tat-Tagħlim tal-Magni mibnija fl-utilità ta 'Expedition, li kienet diġà msemmija hawn fuq. F'din l-utilità, huwa possibbli li tittrasferixxi regoli mill-firewall il-qadim tiegħek minn manifattur ieħor. Hemm ukoll il-kapaċità li tanalizza r-reġistri tat-traffiku eżistenti ta 'Palo Alto Networks u tissuġġerixxi liema regoli tikteb. Dan huwa simili għall-funzjonalità ta 'Policy Optimizer, iżda fl-Expedition hija saħansitra aktar estiża u inti offrut lista ta' regoli lesti - għandek bżonn biss tapprovahom.
Biex tittestja din il-funzjonalità, hemm xogħol fil-laboratorju - nsejħulu test drive. Dan it-test jista 'jsir billi tidħol f'firewalls virtwali, li l-impjegati tal-uffiċċju ta' Palo Alto Networks f'Moska se jniedu fuq talba tiegħek.
It-talba tista’ tintbagħat lil [protett bl-email] u fit-talba ikteb: "Irrid nagħmel UTD għall-Proċess ta' Migrazzjoni."
Fil-fatt, ix-xogħol tal-laboratorju msejjaħ Unified Test Drive (UTD) għandu diversi għażliet u kollha kemm huma wara talba.
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. , ta 'xejn.
Tixtieq li xi ħadd jgħinek tottimizza l-politiki tal-firewall tiegħek?
-
Iva
-
Nru
-
Jien ser nagħmel dan kollu jien
Ħadd għadu ma vvota. M'hemmx astensjonijiet.
Sors: www.habr.com