Cześć wszystkim! W kontynuacji tego
W tym artykule przedstawiona zostanie pierwsza część funkcjonalności Sophos XG Firewall – „Monitorowanie i analityka”. Pełna recenzja zostanie opublikowana w formie serii artykułów. Będziemy kontynuować w oparciu o interfejs sieciowy Sophos XG Firewall i tabelę licencji
Centrum Kontroli Bezpieczeństwa
I tak uruchomiliśmy przeglądarkę i otworzyliśmy interfejs sieciowy naszego NGFW, widzimy monit o podanie nazwy użytkownika i hasła, aby wejść do panelu administracyjnego
Wpisujemy login i hasło, które ustaliliśmy podczas pierwszej aktywacji i trafiamy do naszego centrum sterowania. Wygląda tak
Prawie każdy z tych widżetów jest klikalny. Możesz wziąć udział w zdarzeniu i zobaczyć szczegóły.
Przyjrzyjmy się każdemu z bloków, a zaczniemy od bloku System
System blokowy
Blok ten wyświetla stan maszyny w czasie rzeczywistym. Kliknięcie dowolnej ikony powoduje przejście do strony zawierającej bardziej szczegółowe informacje o stanie systemu
Jeśli w systemie wystąpią problemy, ten widget zasygnalizuje to, a na stronie informacyjnej zobaczysz przyczynę
Klikając kolejne zakładki, można uzyskać więcej informacji na temat różnych aspektów zapory ogniowej.
Blok wglądu w ruch
Ta sekcja daje nam wyobrażenie o tym, co dzieje się obecnie w naszej sieci i co wydarzyło się w ciągu ostatnich 24 godzin. 5 najpopularniejszych kategorii internetowych i aplikacji według ruchu, ataków sieciowych (wywołanych przez moduł IPS) i 5 najczęściej blokowanych aplikacji.
Warto także osobno wyróżnić sekcję Aplikacje w chmurze. Można w nim zobaczyć obecność aplikacji w sieci lokalnej korzystających z usług chmurowych. Ich łączna liczba, ruch przychodzący i wychodzący. Jeśli klikniesz na ten widget, zostaniemy przeniesieni na stronę informacyjną o aplikacjach chmurowych, gdzie możemy bardziej szczegółowo zobaczyć, jakie aplikacje chmurowe znajdują się w sieci, kto z nich korzysta oraz informacje o ruchu
Blok statystyk użytkowników i urządzeń
Blok ten wyświetla informacje o użytkownikach. Górna linia pokazuje nam informacje o zainfekowanych komputerach użytkowników, zbierające informacje z programu antywirusowego Sophos i przesyłające je do zapory sieciowej Sophos XG. Na podstawie tych informacji Zapora sieciowa może po zainfekowaniu odłączyć komputer użytkownika od sieci lokalnej lub segmentu sieci na poziomie L2, blokując w ten sposób wszelką komunikację z nim. Więcej informacji na temat Security Heartbeat pojawiło się w serwisie
Warto zwrócić uwagę na dwa dolne widżety. Są to ATP (Advanced Threat Protection) i UTQ (User Threat Quotient).
Moduł ATP blokuje połączenia z C&C, serwerami kontrolnymi sieci botnetów. Jeśli urządzenie w Twojej sieci lokalnej znajduje się w sieci botnet, moduł ten zgłosi to i nie pozwoli Ci połączyć się z serwerem kontrolnym. To wygląda tak
Moduł UTQ przypisuje każdemu użytkownikowi indeks bezpieczeństwa. Im częściej użytkownik próbuje odwiedzać zabronione witryny lub uruchamiać zabronione aplikacje, tym wyższa jest jego ocena. Na podstawie tych danych możliwe jest wcześniejsze przeszkolenie takich użytkowników, bez czekania na to, że w ostatecznym rozrachunku ich komputer zostanie zainfekowany złośliwym oprogramowaniem. To wygląda tak
Dalej znajduje się sekcja ogólnych informacji o aktywnych regułach zapory sieciowej oraz gorących raportach, które można szybko pobrać w formacie pdf
Przejdźmy do kolejnej części menu - Bieżące działania
Aktualne zajęcia
Recenzję zacznijmy od zakładki Użytkownicy na żywo. Na tej stronie możemy zobaczyć, którzy użytkownicy są aktualnie połączeni z zaporą Sophos XG, metodę uwierzytelniania, adres IP urządzenia, czas połączenia i natężenie ruchu.
Połączenia na żywo
Ta zakładka wyświetla aktywne sesje w czasie rzeczywistym. Tę tabelę można filtrować według aplikacji, użytkowników i adresów IP komputerów klienckich.
Połączenia IPsec
Na tej karcie wyświetlane są informacje o aktywnych połączeniach IPsec VPN
Zakładka Użytkownicy zdalni
Zakładka Użytkownicy zdalni zawiera informacje o użytkownikach zdalnych, którzy połączyli się poprzez SSL VPN
Na tej karcie możesz także przeglądać ruch według użytkowników w czasie rzeczywistym i wymuszać odłączenie dowolnego użytkownika.
Pomińmy zakładkę Raporty, gdyż system raportowania w tym produkcie jest bardzo obszerny i wymaga osobnego artykułu.
Diagnostyka
Natychmiast otwiera się strona z różnymi narzędziami do wyszukiwania problemów. Należą do nich Ping, Traceroute, wyszukiwanie nazw i wyszukiwanie tras.
Dalej znajduje się zakładka z systemowymi wykresami obciążenia sprzętu i portów w czasie rzeczywistym
Wykresy systemowe
Następnie zakładka, w której możesz sprawdzić kategorię zasobu internetowego
Wyszukiwanie kategorii adresu URL
Następna zakładka, Przechwytywanie pakietów, to zasadniczo interfejs tcpdump wbudowany w sieć. Możesz także pisać filtry
Przechwytywanie pakietów
Ciekawostką jest to, że pakiety konwertowane są w tabelę, w której można wyłączyć i włączyć dodatkowe kolumny z informacjami. Ta funkcjonalność jest bardzo wygodna np. przy wyszukiwaniu problemów z siecią - można szybko sprawdzić, które reguły filtrowania zostały zastosowane w przypadku rzeczywistego ruchu.
W zakładce Lista połączeń możesz przeglądać w czasie rzeczywistym wszystkie istniejące połączenia oraz informacje na ich temat
Lista połączeń
wniosek
Na tym kończy się pierwsza część recenzji. Przeanalizowaliśmy tylko najmniejszą część dostępnej funkcjonalności i w ogóle nie poruszyliśmy tematu modułów bezpieczeństwa. W kolejnym artykule przeanalizujemy wbudowaną funkcjonalność raportowania i reguły firewalla, ich rodzaje i przeznaczenie.
Dziękuję za Twój czas.
Jeśli masz jakiekolwiek pytania dotyczące komercyjnej wersji XG Firewall, możesz skontaktować się z nami, firmą
Źródło: www.habr.com