Olá a todos! Na continuação deste Quero contar mais sobre as funcionalidades que a solução Sophos XG Firewall oferece e apresentar a interface web. Artigos e documentos comerciais são bons, mas é sempre interessante, como é a solução na vida real? Como tudo funciona lá? Então, vamos começar com a revisão.
Este artigo mostrará a primeira parte da funcionalidade do Sophos XG Firewall - “Monitoramento e Análise”. A revisão completa será publicada como uma série de artigos. Continuaremos com base na interface web e tabela de licenciamento do Sophos XG Firewall
Centro de controle de segurança
E assim, lançamos o navegador e abrimos a interface web do nosso NGFW, vemos um prompt para inserir seu nome de usuário e senha para entrar na área de administração
Inserimos o login e a senha que definimos durante a ativação inicial e chegamos ao nosso centro de controle. Ele se parece com isso
Quase todos esses widgets são clicáveis. Você pode cair no incidente e ver os detalhes.
Vejamos cada um dos blocos e começaremos com o bloco System
Sistema de blocos
Este bloco exibe o estado da máquina em tempo real. Se você clicar em qualquer um dos ícones, iremos para uma página com informações mais detalhadas sobre o status do sistema
Se houver problemas no sistema, então este widget irá sinalizar isso, e na página de informações você poderá ver o motivo
Ao clicar nas guias, você pode obter mais informações sobre os diferentes aspectos do firewall.
Bloco de insights de tráfego
Esta seção nos dá uma ideia do que está acontecendo em nossa rede no momento e do que aconteceu nas últimas 24 horas. As 5 principais categorias e aplicativos da web por tráfego, ataques de rede (módulo IPS acionado) e os 5 principais aplicativos bloqueados.
Além disso, vale a pena destacar separadamente a seção Aplicativos em Nuvem. Nele você pode ver a presença de aplicativos na rede local que utilizam serviços em nuvem. Seu número total, tráfego de entrada e saída. Se você clicar neste widget, seremos levados à página de informações sobre aplicações em nuvem, onde poderemos ver com mais detalhes quais aplicações em nuvem estão na rede, quem as utiliza e informações de tráfego.
Bloco de insights de usuário e dispositivo
Este bloco exibe informações sobre os usuários. A linha superior nos mostra informações sobre os computadores dos usuários infectados, coletando informações do antivírus Sophos e transmitindo-as ao Sophos XG Firewall. Com base nestas informações, o Firewall pode, quando infectado, desconectar o computador do usuário da rede local ou segmento de rede no nível L2, bloqueando todas as comunicações com ele. Mais informações sobre o Security Heartbeat estavam em . As próximas duas linhas são controle de aplicativos e sandbox na nuvem. Como esta é uma funcionalidade separada, não será discutida neste artigo.
Vale a pena prestar atenção aos dois widgets inferiores. Estes são ATP (Proteção Avançada contra Ameaças) e UTQ (Quociente de Ameaças do Usuário).
O módulo ATP bloqueia conexões com C&C, os servidores de controle das redes botnet. Se um dispositivo na sua rede local estiver em uma rede botnet, este módulo reportará isso e não permitirá que você se conecte ao servidor de controle. Se parece com isso
O módulo UTQ atribui um índice de segurança a cada usuário. Quanto mais um usuário tenta acessar sites proibidos ou executar aplicativos proibidos, maior se torna sua classificação. Com base nesses dados, é possível treinar antecipadamente esses usuários sem esperar que, no final, seu computador seja infectado por malware. Se parece com isso
A seguir está uma seção de informações gerais sobre regras de firewall ativas e relatórios importantes, que podem ser baixados rapidamente em formato pdf
Vamos para a próxima seção do menu – Atividades atuais
Atividades atuais
Vamos começar a revisão com a guia Usuários ativos. Nesta página podemos ver quais usuários estão atualmente conectados ao Sophos XG Firewall, o método de autenticação, o endereço IP da máquina, o tempo de conexão e o volume de tráfego.
Conexões ao vivo
Esta guia exibe sessões ativas em tempo real. Esta tabela pode ser filtrada por aplicações, usuários e endereços IP das máquinas clientes.
Conexões IPsec
Esta guia exibe informações sobre conexões VPN IPsec ativas
Guia Usuários remotos
A guia Usuários remotos contém informações sobre usuários remotos que se conectaram via SSL VPN
Além disso, nesta guia você pode visualizar o tráfego por usuário em tempo real e desconectar à força qualquer usuário.
Vamos pular a guia Relatórios, pois o sistema de relatórios deste produto é muito volumoso e requer um artigo separado.
Diagnóstico
Uma página com diferentes utilitários para localização de problemas é aberta imediatamente. Isso inclui Ping, Traceroute, pesquisa de nome e pesquisa de rota.
A seguir está uma guia com gráficos do sistema de hardware e carregamento de portas em tempo real
Gráficos do sistema
Em seguida, uma guia onde você pode verificar a categoria do recurso da web
Pesquisa de categoria de URL
A próxima aba, Captura de pacotes, é essencialmente uma interface tcpdump integrada na web. Você também pode escrever filtros
Captura de pacotes
Uma coisa interessante a se notar é que os pacotes são convertidos em uma tabela onde você pode desabilitar e habilitar colunas adicionais com informações. Essa funcionalidade é muito conveniente para encontrar problemas de rede, por exemplo - você pode entender rapidamente quais regras de filtragem foram aplicadas ao tráfego real.
Na aba Lista de Conexões você pode visualizar todas as conexões existentes em tempo real e informações sobre elas
Lista de conexões
Conclusão
Isso conclui a primeira parte da revisão. Examinamos apenas a menor parte da funcionalidade disponível e não abordamos os módulos de segurança. No próximo artigo analisaremos a funcionalidade de relatórios integrada e as regras de firewall, seus tipos e finalidades.
Obrigado pelo seu tempo.
Se você tiver alguma dúvida sobre a versão comercial do XG Firewall, entre em contato conosco, a empresa , distribuidor Sophos. Tudo que você precisa fazer é escrever de forma livre em .
Fonte: habr.com