د NGFW ټونینګ اغیزمنتوب څنګه ارزوئ

ترټولو عام دنده دا ده چې وګورئ چې ستاسو د فایر وال څومره ښه تنظیم شوی. د دې کولو لپاره، د شرکتونو څخه وړیا اسانتیاوې او خدمات شتون لري چې د NGFW سره معامله کوي.

د مثال په توګه، لاندې تاسو لیدلی شئ چې د پالو الټو شبکه د مستقیم څخه د دې وړتیا لري ملاتړ پورټل د فائر وال احصایې تحلیل پرمخ وړئ - د SLR راپور یا د غوره تمرین موافقت تحلیل - د BPA راپور. دا وړیا آنلاین اسانتیاوې دي چې تاسو یې د هیڅ شی نصبولو پرته کارولی شئ.

مینځپانګه

سفر (د مهاجرت وسیله)
د پالیسۍ اصلاح کوونکی
د صفر باور
په غیر استعمال شوي کلیک وکړئ
په غیر استعمال شوي اپلیکیشن کلیک وکړئ
کلیک وکړئ هیڅ اطلاقات مشخص شوي ندي
د ماشین زده کړې په اړه څه؟
UTD

سفر (د مهاجرت وسیله)

ستاسو د تنظیماتو چک کولو لپاره یو ډیر پیچلی اختیار د وړیا افادیت ډاونلوډ کول دي سفر (د مهاجرت پخوانۍ وسیله). دا د VMware لپاره د مجازی وسیلې په توګه ډاونلوډ شوی ، د دې سره هیڅ تنظیماتو ته اړتیا نشته - تاسو اړتیا لرئ عکس ډاونلوډ کړئ او د VMware هایپروایزر لاندې یې ځای په ځای کړئ ، چل کړئ او ویب انٹرفیس ته لاړشئ. دا افادیت یو جلا کیسه ته اړتیا لري، یوازې په دې کې کورس 5 ورځې وخت نیسي، دلته اوس ډیری دندې شتون لري، په شمول د ماشین زده کړه او د پالیسیو مختلف ترتیباتو مهاجرت، NAT او د مختلف فایروال جوړونکو لپاره توکي. د ماشین زده کړې په اړه، زه به وروسته په متن کې لیکم.

د پالیسۍ اصلاح کوونکی

او ترټولو اسانه اختیار (IMHO) ، کوم چې زه به یې نن ورځ په تفصیل سره وغږیږم ، د پالو الټو شبکې انٹرفیس کې جوړ شوی د پالیسۍ اصلاح کونکی دی. د دې ښودلو لپاره ، ما په خپل کور کې د اور وژنې وال نصب کړ او یو ساده قاعده یې ولیکه: هرچا ته اجازه ورکړئ. په اصولو کې، زه ځینې وختونه حتی په کارپوریټ شبکو کې داسې مقررات ګورم. په طبیعي ډول ، ما د NGFW ټول امنیتي پروفایلونه فعال کړل ، لکه څنګه چې تاسو په سکرین شاټ کې لیدلی شئ:


لاندې سکرین شاټ زما د کور غیر تنظیم شوي فایروال مثال ښیې ، چیرې چې نږدې ټولې اړیکې په وروستي قاعده کې راځي: AllowAll ، لکه څنګه چې د هټ شمیرې کالم کې د احصایو څخه لیدل کیدی شي.

د صفر باور

د امنیت په نوم یوه تګلاره شتون لري د صفر باور. دا څه معنی لري: موږ باید په شبکه کې خلکو ته اجازه ورکړو په سمه توګه هغه ارتباطات چې دوی ورته اړتیا لري او نور هرڅه منع کوي. دا دی، موږ اړتیا لرو د غوښتنلیکونو، کاروونکو، د URL کټګوریو، د فایل ډولونو لپاره واضح قواعد اضافه کړو؛ ټول IPS او د انټي ویروس لاسلیکونه فعال کړئ ، سینڈ باکس فعال کړئ ، DNS محافظت وکړئ ، د موجود ګواښ استخباراتو ډیټابیسونو څخه IoC وکاروئ. په عموم کې ، د فایر وال تنظیم کولو پر مهال د دندو مناسب مقدار شتون لري.

په هرصورت، د پالو الټو شبکې NGFW لپاره د اړتیا وړ ترتیباتو لږترلږه سیټ د SANS سندونو څخه یو کې تشریح شوی: د پالو الټو شبکې د امنیت تنظیم کولو بنچمارک زه د هغې سره پیل کولو وړاندیز کوم. او البته، د تولید کونکي څخه د فایر وال تنظیم کولو لپاره د غوره کړنو سیټ شتون لري: غوره بوختیا.

نو، ما د یوې اونۍ لپاره په کور کې اور وژونکی درلود. راځئ وګورو چې زما په شبکه کې کوم ټرافیک دی:


که چیرې د غونډو شمیر سره ترتیب شي، نو ډیری یې د بټورینټ لخوا رامینځته شوي، بیا SSL راځي، بیا QUIC. دا د دواړو راتلونکو او وتلو ترافیکو احصایې دي: زما د روټر ډیری بهرني سکینونه شتون لري. زما په شبکه کې 150 مختلف غوښتنلیکونه شتون لري.

نو، دا ټول د یوې قاعدې لخوا پریښودل شوي. اوس راځئ وګورو چې د پالیسۍ اصلاح کوونکی پدې اړه څه وايي. که تاسو د پورته امنیتي مقرراتو سره د انٹرفیس سکرین شاټ ته ګورئ ، نو تاسو په ښکته ښي خوا کې یوه کوچنۍ کړکۍ ولیدله ، کوم چې ما ته اشاره کوي چې داسې مقررات شتون لري چې مطلوب کیدی شي. راځئ چې هلته کلیک وکړو.

د پالیسۍ اصلاح کونکی څه ښیي:

• کومه پالیسي په هیڅ ډول نه کارول کیږي، 30 ورځې، 90 ورځې. دا د دوی په بشپړ ډول لرې کولو پریکړه کولو کې مرسته کوي.
• کوم غوښتنلیکونه په پالیسیو کې مشخص شوي، مګر په ټرافیک کې هیڅ ډول غوښتنلیکونه ندي موندل شوي. دا تاسو ته اجازه درکوي د اجازې قواعدو کې غیر ضروري غوښتنلیکونه لرې کړئ.
• کومې تګلارې هر څه ته په قطار کې اجازه ورکړه، مګر واقعیا داسې غوښتنلیکونه وو چې دا به ښه وي چې د زیرو ټرسټ میتودولوژۍ سره سم په واضح ډول څرګند شي.

په غیر استعمال شوي کلیک وکړئ.

د دې ښودلو لپاره چې دا څنګه کار کوي ، ما یو څو مقررات اضافه کړل او تر دې دمه یې یو پاکټ له لاسه نه دی ورکړی. دلته د دوی لیست دی:

شاید، د وخت په تیریدو سره، ترافیک به هلته تیریږي او بیا به دوی د دې لیست څخه ورک شي. او که دوی د 90 ورځو لپاره پدې لیست کې وي ، نو تاسو کولی شئ د دې مقرراتو لرې کولو پریکړه وکړئ. په هرصورت، هر قاعده د هیکر لپاره فرصت برابروي.

د فایروال ترتیب سره واقعیا ستونزه شتون لري: یو نوی کارمند راځي ، د فایر وال مقرراتو ته ګوري ، که دوی هیڅ نظر ونه لري او نه پوهیږي چې ولې دا قاعده رامینځته شوې ، ایا دا واقعیا اړینه ده ، ایا دا حذف کیدی شي: ناڅاپه سړی په رخصتۍ کې او د 30 ورځو په جریان کې ترافیک به بیا له هغه خدمت څخه لاړ شي چې ورته اړتیا لري. او یوازې دا فعالیت د هغه سره د پریکړې کولو کې مرسته کوي - هیڅ څوک یې نه کاروي - حذف یې کړئ!

په غیر استعمال شوي اپلیکیشن کلیک وکړئ.

موږ په اصلاح کونکي کې په نه کارول شوي اپلیکیشن کلیک کوو او ګورو چې په زړه پوري معلومات په اصلي کړکۍ کې خلاصیږي.

موږ ګورو چې دلته درې مقررات شتون لري، چیرې چې د اجازه ورکړل شوي غوښتنلیکونو شمیر او د غوښتنلیکونو شمیر چې واقعیا دا قاعده تیره کړې توپیر لري.

موږ کولی شو د دې غوښتنلیکونو لیست کلیک او وګورو او دا لیستونه پرتله کړو.
د مثال په توګه، راځئ چې د Max قاعدې لپاره د پرتله کولو تڼۍ باندې کلیک وکړو.

دلته تاسو لیدلی شئ چې فیسبوک، انسټاګرام، ټیلیګرام، ویکونټاکټ غوښتنلیکونو ته اجازه ورکړل شوې وه. مګر په واقعیت کې، ټرافيک یوازې د فرعي غوښتنلیکونو یوې برخې ته لاړ. دلته تاسو اړتیا لرئ پوه شئ چې د فیسبوک غوښتنلیک ډیری فرعي غوښتنلیکونه لري.

د NGFW غوښتنلیکونو بشپړ لیست په پورټل کې لیدل کیدی شي applipedia.paloaltonetworks.com او پخپله د فایر وال انٹرفیس کې ، د Objects->Applications برخه کې او په لټون کې د غوښتنلیک نوم ولیکئ: facebook، تاسو به لاندې پایله ترلاسه کړئ:

نو، NGFW ځینې دا فرعي غوښتنلیکونه ولیدل، او ځینې یې ندي. په حقیقت کې، تاسو کولی شئ په جلا توګه د فیسبوک مختلف فرعي فعالیتونه غیر فعال او فعال کړئ. د مثال په توګه، تاسو ته اجازه درکوي چې پیغامونه وګورئ، مګر د چیٹ یا فایل لیږد منع کړئ. په دې اساس، د پالیسۍ اصلاح کوونکی پدې اړه خبرې کوي او تاسو پریکړه کولی شئ: د فیسبوک ټولو غوښتنلیکونو ته اجازه مه ورکوئ، مګر یوازې اصلي.

نو، موږ پوهیږو چې لیستونه مختلف دي. تاسو کولی شئ ډاډ ترلاسه کړئ چې مقررات یوازې هغه غوښتنلیکونو ته اجازه ورکوي چې واقعیا شبکه ګرځي. د دې کولو لپاره، تاسو د میچ استعمال تڼۍ کلیک وکړئ. دا په دې ډول وګرځي:

او تاسو کولی شئ هغه غوښتنلیکونه هم اضافه کړئ چې تاسو ورته اړتیا لرئ - د کړکۍ په ښي خوا کې د اضافه کولو تڼۍ:

او بیا دا قاعده پلي کیدی شي او ازمول کیدی شي. مبارک شه!

کلیک وکړئ هیڅ اطلاقات مشخص شوي ندي.

په دې حالت کې، یو مهم امنیتي کړکۍ به پرانیزي.

ډیری احتمال شتون لري چې ډیری داسې مقررات شتون لري چیرې چې د L7 کچې غوښتنلیک په واضح ډول ستاسو په شبکه کې ندی مشخص شوی. او زما په شبکه کې داسې یو قاعده شتون لري - اجازه راکړئ تاسو ته یادونه وکړم چې ما دا د لومړني تنظیم کولو پرمهال رامینځته کړی ، په ځانګړي توګه د دې لپاره چې وښیې چې د پالیسۍ اصلاح کونکي څنګه کار کوي.

انځور ښیې چې د AllowAll قاعدې د مارچ له 9 څخه تر مارچ 17 پورې موده کې 220 ګیګابایټ ټرافیک له لاسه ورکړی، چې زما په شبکه کې ټولټال 150 مختلف غوښتنلیکونه دي. او دا لاهم کافي ندي. عموما، د منځنۍ کچې کارپوریټ شبکه د 200-300 مختلف غوښتنلیکونه لري.

نو، یوه قاعده تر 150 پورې غوښتنلیکونه له لاسه ورکوي. دا معمولا پدې معنی ده چې فایر وال په غلط ډول تنظیم شوی ، ځکه چې معمولا د مختلف اهدافو لپاره 1-10 غوښتنلیکونه په یوه قاعده کې پریښودل کیږي. راځئ وګورو چې دا غوښتنلیکونه څه دي: د پرتله کولو تڼۍ کلیک وکړئ:

د پالیسي اصلاح کونکي فیچر کې د مدیر لپاره خورا په زړه پوري شی د میچ کارولو بټن دی - تاسو کولی شئ په یو کلیک سره یو قواعد رامینځته کړئ ، چیرې چې تاسو به ټول 150 غوښتنلیکونه قواعد ته داخل کړئ. دا په لاسي ډول کول به ډیر وخت ونیسي. د مدیر لپاره د دندو شمیر، حتی زما د 10 وسیلو په شبکه کې، خورا لوی دی.

زه په کور کې 150 مختلف غوښتنلیکونه لرم، د ګیګابایټ ټرافیک لیږدوي! او تاسو څومره لرئ؟

مګر د 100 وسیلو یا 1000 یا 10000 شبکې کې څه پیښیږي؟ ما د 8000 قواعدو سره فایر والونه لیدلي او زه ډیر خوښ یم چې اوس مدیران داسې مناسب اتومات وسیلې لري.

تاسو به ځینې غوښتنلیکونو ته اړتیا ونلرئ چې په NGFW کې د L7 غوښتنلیک تحلیل ماډل په شبکه کې لیدلي او ښودل شوي، نو تاسو په ساده ډول دوی د اجازې قاعدې له لیست څخه لرې کړئ، یا د کلون تڼۍ سره قواعد کلون کړئ (په اصلي انٹرفیس کې) او د غوښتنلیک په یوه قاعده کې اجازه ورکړئ، او نور غوښتنلیکونه بلاک کړئ لکه څنګه چې دوی یقینا ستاسو په شبکه کې اړتیا نلري. دا ډول غوښتنلیکونه ډیری وختونه بټورینټ، سټیم، الټراسرف، تور، پټ تونلونه لکه tcp-over-dns او نور کیږي.

ښه، په بل قاعده کلیک وکړئ - هغه څه چې تاسو هلته لیدلی شئ:

هو، د ملټي کاسټ لپاره ځانګړي غوښتنلیکونه شتون لري. موږ باید دوی ته اجازه ورکړو چې په شبکه کې د ویډیو لیدو لپاره کار وکړي. د میچ کارول کلیک وکړئ. غوره! مننه د پالیسي اصلاح کونکي.

د ماشین زده کړې په اړه څه؟

اوس د اتوماتیک په اړه خبرې کول فیشن دي. هغه څه چې ما تشریح کړل - دا ډیره مرسته کوي. یو بل احتمال شتون لري چې زه یې باید یادونه وکړم. دا د ماشین زده کړې فعالیت دی چې پورته ذکر شوي Expedition Utility کې جوړ شوی. پدې افادیت کې ، دا ممکنه ده چې له بل جوړونکي څخه ستاسو د زاړه فایر وال څخه قواعد انتقال کړئ. او دلته د موجوده پالو الټو شبکې ترافیک لاګونو تحلیل کولو وړتیا هم شتون لري او وړاندیز کوي چې کوم قواعد ولیکئ. دا د پالیسۍ اصلاح کونکي فعالیت ته ورته دی ، مګر په Expedition کې دا خورا پرمختللی دی او تاسو ته د چمتو شوي مقرراتو لیست وړاندیز کیږي - تاسو یوازې د دوی تصویب ته اړتیا لرئ.
د دې فعالیت ازموینې لپاره، د لابراتوار کار شتون لري - موږ دا د ټیسټ ډرایو بولو. دا ازموینه د مجازی فایر والونو ته په تګ سره ترسره کیدی شي چې د پالو الټو شبکې ماسکو دفتر کارمندان به ستاسو په غوښتنه پیل کړي.

غوښتنلیک ته لیږل کیدی شي [ایمیل خوندي شوی] او په غوښتنلیک کې ولیکئ: "زه غواړم د مهاجرت پروسې لپاره یو UTD جوړ کړم."

په حقیقت کې ، د لابراتوارونو لپاره ډیری اختیارونه شتون لري چې د متحد ټیسټ ډرایو (UTD) په نوم یادیږي او دا ټول لیرې شتون لري د غوښتنې وروسته.

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا تاسو غواړئ یو څوک ستاسو سره ستاسو د فایروال پالیسیو اصلاح کولو کې مرسته وکړي؟

• چې

• نه

• زه به هرڅه پخپله وکړم

تر اوسه چا رایه نه ده ورکړې. هیڅ ممانعت شتون نلري.

سرچینه: www.habr.com