Hei alle sammen! I forlengelsen av dette Jeg vil fortelle deg mer om funksjonaliteten som Sophos XG Firewall-løsningen tilbyr og introdusere deg til webgrensesnittet. Kommersielle artikler og dokumenter er bra, men det er alltid interessant, hvordan ser løsningen ut i det virkelige liv? Hvordan fungerer alt der? Så la oss komme i gang med anmeldelsen.
Denne artikkelen vil vise den første delen av Sophos XG-brannmurfunksjonaliteten - "Overvåking og analyse". Hele anmeldelsen vil bli publisert som en serie artikler. Vi vil fortsette basert på Sophos XG Firewall-nettgrensesnittet og lisensieringstabellen
Sikkerhetskontrollsenter
Og så, vi lanserte nettleseren og åpnet nettgrensesnittet til vår NGFW, vi ser en melding om å skrive inn brukernavn og passord for å gå inn i administrasjonsområdet
Vi skriver inn påloggingsnavnet og passordet som vi satte under den første aktiveringen og kommer til kontrollsenteret vårt. Han ser slik ut
Nesten hver eneste av disse widgetene er klikkbare. Du kan falle inn i hendelsen og se detaljene.
La oss se på hver av blokkene, og vi starter med systemblokken
Block System
Denne blokken viser tilstanden til maskinen i sanntid. Hvis du klikker på noen av ikonene, vil vi gå til en side med mer detaljert informasjon om systemstatus
Hvis det er problemer i systemet, vil denne widgeten signalisere dette, og på informasjonssiden kan du se årsaken
Ved å klikke gjennom fanene kan du få mer informasjon om ulike aspekter ved brannmuren.
Trafikkinnsynsblokk
Denne delen gir oss en ide om hva som skjer på nettverket vårt for øyeblikket og hva som har skjedd de siste 24 timene. Topp 5 nettkategorier og applikasjoner etter trafikk, nettverksangrep (IPS-modul utløst) og topp 5 blokkerte applikasjoner.
Også delen av skyapplikasjoner er verdt å fremheve separat. I den kan du se tilstedeværelsen av applikasjoner på det lokale nettverket som bruker skytjenester. Deres totale antall, innkommende og utgående trafikk. Hvis du klikker på denne widgeten, kommer vi til informasjonssiden om skyapplikasjoner, hvor vi kan se mer detaljert hvilke skyapplikasjoner som er på nettverket, hvem som bruker dem og trafikkinformasjon
Bruker- og enhetsinnsiktsblokk
Denne blokken viser informasjon om brukere. Den øverste linjen viser oss informasjon om infiserte brukerdatamaskiner, samler informasjon fra Sophos antivirus og overfører den til Sophos XG Firewall. Basert på denne informasjonen kan Firewall, når den er infisert, koble brukerens datamaskin fra det lokale nettverket eller nettverkssegmentet på L2-nivå, og blokkere all kommunikasjon med den. Mer informasjon om Security Heartbeat var inne . De neste to linjene er applikasjonskontroll og skysandkasse. Siden dette er en egen funksjonalitet, vil den ikke bli diskutert i denne artikkelen.
Det er verdt å ta hensyn til de to nedre widgetene. Disse er ATP (Advanced Threat Protection) og UTQ (User Threat Quotient).
ATP-modulen blokkerer forbindelser med C&C, kontrollserverne til botnett-nettverk. Hvis en enhet på ditt lokale nettverk er i et botnett-nettverk, vil denne modulen rapportere dette og vil ikke tillate deg å koble til kontrollserveren. Det ser slik ut
UTQ-modulen tildeler en sikkerhetsindeks til hver bruker. Jo mer en bruker prøver å gå til forbudte nettsteder eller kjøre forbudte applikasjoner, desto høyere blir vurderingen hans. Basert på disse dataene er det mulig å gi opplæring til slike brukere på forhånd uten å vente på at datamaskinen deres til slutt vil bli infisert med skadelig programvare. Det ser slik ut
Neste er en del med generell informasjon om aktive brannmurregler og varme rapporter, som raskt kan lastes ned i pdf-format
La oss gå videre til neste del av menyen - Aktuelle aktiviteter
Nåværende aktiviteter
La oss starte anmeldelsen med Live-brukere-fanen. På denne siden kan vi se hvilke brukere som for øyeblikket er koblet til Sophos XG Firewall, autentiseringsmetoden, maskinens IP-adresse, tilkoblingstid og trafikkvolum.
Live-forbindelser
Denne kategorien viser aktive økter i sanntid. Denne tabellen kan filtreres etter applikasjoner, brukere og IP-adresser til klientmaskiner.
IPsec-tilkoblinger
Denne kategorien viser informasjon om aktive IPsec VPN-tilkoblinger
Fanen Eksterne brukere
Fanen Eksterne brukere inneholder informasjon om eksterne brukere som koblet til via SSL VPN
På denne fanen kan du også se trafikk etter bruker i sanntid og koble fra enhver bruker med kraft.
La oss hoppe over fanen Rapporter, siden rapporteringssystemet i dette produktet er svært omfangsrikt og krever en egen artikkel.
Diagnostikk
En side med forskjellige problemsøkingsverktøy åpnes umiddelbart. Disse inkluderer Ping, Traceroute, Navneoppslag, Ruteoppslag.
Neste er en fane med systemgrafer over maskinvare og portlasting i sanntid
Systemgrafer
Deretter en fane hvor du kan sjekke kategorien til nettressursen
URL-kategorioppslag
Den neste fanen, Pakkefangst, er egentlig et tcpdump-grensesnitt innebygd i nettet. Du kan også skrive filtre
Pakkefangst
En interessant ting å merke seg er at pakkene konverteres til en tabell der du kan deaktivere og aktivere ytterligere kolonner med informasjon. Denne funksjonaliteten er veldig praktisk for å finne nettverksproblemer, for eksempel - du kan raskt forstå hvilke filtreringsregler som ble brukt på ekte trafikk.
På fanen Tilkoblingsliste kan du se alle eksisterende tilkoblinger i sanntid og informasjon om dem
Tilkoblingsliste
Konklusjon
Dette avslutter første del av anmeldelsen. Vi undersøkte bare den minste delen av den tilgjengelige funksjonaliteten og berørte ikke sikkerhetsmodulene i det hele tatt. I den neste artikkelen vil vi analysere den innebygde rapporteringsfunksjonen og brannmurreglene, deres typer og formål.
Takk for tiden din.
Hvis du har spørsmål om den kommersielle versjonen av XG Firewall, kan du kontakte oss, selskapet , Sophos-distributør. Alt du trenger å gjøre er å skrive i fri form på .
Kilde: www.habr.com