Salutare tuturor! În continuarea acestui lucru
Acest articol va afișa prima parte a funcționalității Sophos XG Firewall - „Monitorizare și analiză”. Recenzia integrală va fi publicată ca o serie de articole. Vom continua pe baza interfeței web Sophos XG Firewall și a tabelului de licențiere
Centrul de încredere
Și așa, am lansat browserul și am deschis interfața web a NGFW-ului nostru, vedem o solicitare pentru a vă introduce numele de utilizator și parola pentru a intra în zona de administrare
Introducem login-ul și parola pe care le-am setat în timpul activării inițiale și ajungem la centrul nostru de control. Arată așa
Aproape fiecare dintre aceste widget-uri se poate face clic. Puteți cădea în incident și puteți vedea detaliile.
Să ne uităm la fiecare dintre blocuri și vom începe cu blocul System
Sistem de blocuri
Acest bloc afișează starea mașinii în timp real. Dacă faceți clic pe oricare dintre pictograme, vom merge la o pagină cu informații mai detaliate despre starea sistemului
Dacă există probleme în sistem, atunci acest widget va semnala acest lucru, iar pe pagina de informații puteți vedea motivul
Făcând clic pe filele, puteți obține mai multe informații despre diferite aspecte ale firewall-ului.
Bloc de informații despre trafic
Această secțiune ne oferă o idee despre ceea ce se întâmplă în rețeaua noastră în acest moment și despre ceea ce s-a întâmplat în ultimele 24 de ore. Top 5 categorii web și aplicații după trafic, atacuri de rețea (modul IPS declanșat) și primele 5 aplicații blocate.
De asemenea, secțiunea Aplicații cloud merită evidențiată separat. În el puteți vedea prezența aplicațiilor în rețeaua locală care utilizează servicii cloud. Numărul lor total, traficul de intrare și de ieșire. Dacă faceți clic pe acest widget, vom fi direcționați către pagina de informații despre aplicațiile cloud, unde putem vedea mai detaliat ce aplicații cloud sunt în rețea, cine le folosește și informații despre trafic
Blocarea informațiilor despre utilizatori și dispozitive
Acest bloc afișează informații despre utilizatori. Linia de sus ne arată informații despre computerele utilizatorilor infectați, care colectează informații de la antivirusul Sophos și le transmit către Sophos XG Firewall. Pe baza acestor informații, Firewall-ul poate, atunci când este infectat, să deconecteze computerul utilizatorului de la rețeaua locală sau de la segmentul de rețea la nivelul L2, blocând toate comunicațiile cu acesta. Mai multe informații despre Security Heartbeat au fost în
Merită să acordați atenție celor două widget-uri inferioare. Acestea sunt ATP (Advanced Threat Protection) și UTQ (User Threat Quotient).
Modulul ATP blochează conexiunile cu C&C, serverele de control ale rețelelor botnet. Dacă un dispozitiv din rețeaua locală se află într-o rețea botnet, acest modul va raporta acest lucru și nu vă va permite să vă conectați la serverul de control. Arata cam asa
Modulul UTQ atribuie un index de securitate fiecărui utilizator. Cu cât un utilizator încearcă mai mult să acceseze site-uri interzise sau să ruleze aplicații interzise, cu atât ratingul său devine mai mare. Pe baza acestor date, este posibil să se ofere instruire acestor utilizatori în prealabil, fără a aștepta faptul că, în final, computerul lor va fi infectat cu malware. Arata cam asa
Urmează o secțiune de informații generale despre regulile firewall active și rapoartele fierbinți, care pot fi descărcate rapid în format pdf
Să trecem la următoarea secțiune a meniului - Activități curente
Activitati curente
Să începem revizuirea cu fila Utilizatori live. Pe această pagină putem vedea care utilizatori sunt conectați în prezent la Sophos XG Firewall, metoda de autentificare, adresa IP a mașinii, timpul de conectare și volumul de trafic.
Conexiuni live
Această filă afișează sesiunile active în timp real. Acest tabel poate fi filtrat după aplicații, utilizatori și adrese IP ale mașinilor client.
conexiuni IPsec
Această filă afișează informații despre conexiunile VPN IPsec active
Fila Utilizatori la distanță
Fila Utilizatori la distanță conține informații despre utilizatorii la distanță care s-au conectat prin VPN SSL
De asemenea, pe această filă puteți vizualiza traficul după utilizator în timp real și deconectați forțat orice utilizator.
Să omitem fila Rapoarte, deoarece sistemul de raportare din acest produs este foarte voluminos și necesită un articol separat.
Diagnostics
Se deschide imediat o pagină cu diferite utilitare de găsire a problemelor. Acestea includ Ping, Traceroute, Căutare nume, Căutare rută.
Urmează o filă cu grafice de sistem ale încărcării hardware și portului în timp real
Grafice de sistem
Apoi o filă în care puteți verifica categoria resursei web
Căutare categorie URL
Următoarea filă, Packet capture, este în esență o interfață tcpdump încorporată în web. De asemenea, puteți scrie filtre
Captură de pachete
Un lucru interesant de remarcat este că pachetele sunt convertite într-un tabel în care puteți dezactiva și activa coloane suplimentare cu informații. Această funcționalitate este foarte convenabilă pentru a găsi probleme de rețea, de exemplu - puteți înțelege rapid ce reguli de filtrare au fost aplicate traficului real.
În fila Lista de conexiuni puteți vizualiza toate conexiunile existente în timp real și informații despre acestea
Lista de conexiuni
Concluzie
Aceasta se încheie prima parte a revizuirii. Am examinat doar cea mai mică parte a funcționalității disponibile și nu ne-am referit deloc la modulele de securitate. În articolul următor vom analiza funcționalitatea de raportare încorporată și regulile de firewall, tipurile și scopurile acestora.
Multumesc pentru timpul acordat.
Dacă aveți întrebări despre versiunea comercială a XG Firewall, ne puteți contacta pe noi, compania
Sursa: www.habr.com