Dag Allemaal! In vervolg hierop
Dit artikel toont het eerste deel van de Sophos XG Firewall-functionaliteit: “Monitoring en analyse”. De volledige recensie zal worden gepubliceerd als een reeks artikelen. We gaan verder op basis van de Sophos XG Firewall-webinterface en licentietabel
Beveiligings controle centrum
En dus lanceerden we de browser en openden de webinterface van onze NGFW. We zien een prompt om uw gebruikersnaam en wachtwoord in te voeren om naar het beheerdersgedeelte te gaan
We voeren de login en het wachtwoord in die we tijdens de eerste activering hebben ingesteld en gaan naar ons controlecentrum. Hij ziet er zo uit
Bijna al deze widgets zijn klikbaar. Je kunt in het incident duiken en de details bekijken.
Laten we elk van de blokken bekijken en beginnen met het systeemblok
Blok systeem
Dit blok geeft de status van de machine in realtime weer. Als u op een van de pictogrammen klikt, gaan we naar een pagina met meer gedetailleerde informatie over de systeemstatus
Als er problemen zijn in het systeem, zal deze widget dit signaleren en op de informatiepagina kunt u de reden zien
Door door de tabbladen te klikken, kunt u meer informatie krijgen over verschillende aspecten van de firewall.
Blok voor verkeersinzicht
Deze sectie geeft ons een idee van wat er momenteel op ons netwerk gebeurt en wat er de afgelopen 24 uur is gebeurd. Top 5 webcategorieën en applicaties op basis van verkeer, netwerkaanvallen (IPS-module geactiveerd) en top 5 geblokkeerde applicaties.
Ook is het gedeelte Cloudapplicaties de moeite waard om afzonderlijk te benadrukken. Daarin kun je de aanwezigheid zien van applicaties op het lokale netwerk die gebruik maken van clouddiensten. Hun totale aantal, inkomend en uitgaand verkeer. Als u op deze widget klikt, worden we doorgestuurd naar de informatiepagina over cloudapplicaties, waar we gedetailleerder kunnen zien welke cloudapplicaties zich op het netwerk bevinden, wie ze gebruikt en verkeersinformatie
Blokkering van gebruikers- en apparaatinzichten
Dit blok geeft informatie over gebruikers weer. De bovenste regel toont ons informatie over geïnfecteerde gebruikerscomputers, waarbij informatie wordt verzameld van de Sophos-antivirus en deze wordt verzonden naar Sophos XG Firewall. Op basis van deze informatie kan Firewall, wanneer geïnfecteerd, de computer van de gebruiker loskoppelen van het lokale netwerk of netwerksegment op L2-niveau, waardoor alle communicatie ermee wordt geblokkeerd. Er is meer informatie over Security Heartbeat binnengekomen
Het is de moeite waard om aandacht te besteden aan de twee onderste widgets. Dit zijn ATP (Advanced Threat Protection) en UTQ (User Threat Quotient).
De ATP-module blokkeert verbindingen met C&C, de controleservers van botnetnetwerken. Als een apparaat op uw lokale netwerk zich in een botnetnetwerk bevindt, meldt deze module dit en kunt u geen verbinding maken met de controleserver. Het ziet er zo uit
De BKO-module kent aan iedere gebruiker een veiligheidsindex toe. Hoe vaker een gebruiker probeert naar verboden sites te gaan of verboden applicaties uit te voeren, hoe hoger zijn beoordeling wordt. Op basis van deze gegevens is het mogelijk om dergelijke gebruikers vooraf training te geven zonder te wachten tot hun computer uiteindelijk met malware wordt geïnfecteerd. Het ziet er zo uit
Hierna volgt een sectie met algemene informatie over actieve firewallregels en hotrapporten, die snel in pdf-formaat kunnen worden gedownload
Laten we verder gaan naar het volgende gedeelte van het menu: Huidige activiteiten
Huidige activiteiten
Laten we de beoordeling beginnen met het tabblad Live gebruikers. Op deze pagina kunnen we zien welke gebruikers momenteel zijn verbonden met Sophos XG Firewall, de authenticatiemethode, het IP-adres van de machine, de verbindingstijd en het verkeersvolume.
Live-verbindingen
Op dit tabblad worden actieve sessies in realtime weergegeven. Deze tabel kan worden gefilterd op applicaties, gebruikers en IP-adressen van clientmachines.
IPsec-verbindingen
Op dit tabblad wordt informatie weergegeven over actieve IPsec VPN-verbindingen
Tabblad Externe gebruikers
Het tabblad Externe gebruikers bevat informatie over externe gebruikers die verbinding hebben gemaakt via SSL VPN
Op dit tabblad kunt u ook het verkeer per gebruiker in realtime bekijken en elke gebruiker geforceerd ontkoppelen.
Laten we het tabblad Rapporten overslaan, aangezien het rapportagesysteem in dit product erg omvangrijk is en een apart artikel vereist.
Diagnostiek
Er wordt onmiddellijk een pagina geopend met verschillende hulpprogramma's voor het opsporen van problemen. Deze omvatten Ping, Traceroute, Naam opzoeken, Route opzoeken.
Het volgende is een tabblad met systeemgrafieken van hardware en poortbelasting in realtime
Systeem grafieken
Vervolgens een tabblad waar u de categorie van de webbron kunt controleren
Zoeken naar URL-categorie
Het volgende tabblad, Packet capture, is in wezen een tcpdump-interface die in het web is ingebouwd. Je kunt ook filters schrijven
Pakketopname
Een interessant ding om op te merken is dat de pakketten worden omgezet in een tabel waarin u extra kolommen met informatie kunt in- en uitschakelen. Deze functionaliteit is bijvoorbeeld erg handig voor het opsporen van netwerkproblemen: u begrijpt snel welke filterregels op echt verkeer zijn toegepast.
Op het tabblad Verbindingslijst kunt u in realtime alle bestaande verbindingen en informatie daarover bekijken
Verbindingslijst
Conclusie
Hiermee is het eerste deel van de recensie afgesloten. We hebben slechts het kleinste deel van de beschikbare functionaliteit onderzocht en de beveiligingsmodules helemaal niet aangeraakt. In het volgende artikel analyseren we de ingebouwde rapportagefunctionaliteit en firewallregels, hun typen en doeleinden.
Bedankt voor je tijd.
Als u vragen heeft over de commerciële versie van XG Firewall, kunt u contact met ons opnemen, het bedrijf
Bron: www.habr.com