NGFW සුසර කිරීමේ කාර්යක්ෂමතාවය තක්සේරු කරන්නේ කෙසේද?
වඩාත්ම පොදු කාර්යය වන්නේ ඔබේ ෆයර්වෝලය කෙතරම් හොඳින් වින්යාස කර ඇත්ද යන්න පරීක්ෂා කිරීමයි. මෙය සිදු කිරීම සඳහා, NGFW සමඟ කටයුතු කරන සමාගම් වලින් නොමිලේ උපයෝගිතා සහ සේවාවන් තිබේ.
උදාහරණයක් ලෙස, Palo Alto Networks වලට කෙලින්ම හැකියාව ඇති බව ඔබට පහතින් දැක ගත හැක
අන්තර්ගතය
ගවේෂණය (සංක්රමණ මෙවලම)
ඔබගේ සැකසුම් පරීක්ෂා කිරීම සඳහා වඩාත් සංකීර්ණ විකල්පයක් වන්නේ නොමිලේ උපයෝගීතාවයක් බාගත කිරීමයි
ප්රතිපත්ති ප්රශස්තකරණය
අද මම වඩාත් විස්තරාත්මකව කතා කරන වඩාත් පහසු විකල්පය (IMHO), Palo Alto Networks අතුරුමුහුණත තුළම ගොඩනගා ඇති ප්රතිපත්ති ප්රශස්තිකරණයයි. එය ප්රදර්ශනය කිරීම සඳහා, මම මගේ නිවසේ ෆයර්වෝලයක් ස්ථාපනය කර සරල රීතියක් ලිව්වෙමි: ඕනෑම කෙනෙකුට අවසර දෙන්න. ප්රතිපත්තිමය වශයෙන්, මම සමහර විට ආයතනික ජාල වල පවා එවැනි නීති දකිමි. ස්වාභාවිකවම, මම සියලුම NGFW ආරක්ෂක පැතිකඩ සක්රීය කළෙමි, ඔබට තිර රුවෙහි දැකිය හැකිය:
පහත තිර රුව මගේ නිවසේ වින්යාස නොකළ ෆයර්වෝලයේ උදාහරණයක් පෙන්වයි, එහිදී සියලුම සම්බන්ධතා පාහේ අවසාන රීතියට වැටේ: AllowAll, Hit Count තීරුවේ සංඛ්යාලේඛනවලින් දැකිය හැකිය.
ශුන්ය භාරය
ආරක්ෂාව සඳහා ප්රවේශයක් ලෙස හැඳින්වේ
මාර්ගය වන විට, Palo Alto Networks NGFW සඳහා අවශ්ය අවම සැකසුම් කට්ටලය එක් SANS ලේඛනයක විස්තර කර ඇත:
ඉතින් සතියක් ගෙදර ෆයර්වෝල් එකක් තිබ්බා. මගේ ජාලයේ ඇති තදබදය කුමක්දැයි බලමු:
සැසි ගණන අනුව වර්ග කළහොත්, ඒවායින් බොහොමයක් බිටෝරන්ට් මගින් නිර්මාණය කර ඇත, පසුව SSL, පසුව QUIC පැමිණේ. මේවා පැමිණෙන සහ පිටතට යන ගමනාගමනය සඳහා සංඛ්යාලේඛන වේ: මගේ රවුටරයේ බාහිර ස්කෑන් ගොඩක් තිබේ. මගේ ජාලයේ විවිධ යෙදුම් 150 ක් ඇත.
ඒ නිසා, ඒ සියල්ල එක් රීතියකින් මඟ හැරුණි. දැන් අපි බලමු Policy Optimizer එක මේ ගැන කියන්නේ මොකක්ද කියලා. ඔබ ඉහත ආරක්ෂක රීති සහිත අතුරු මුහුණතේ තිර රුවක් දෙස බැලුවහොත්, ඔබ පහළ වම්පස කුඩා කවුළුවක් දුටුවේය, එය ප්රශස්ත කළ හැකි නීති ඇති බව මට ඉඟි කරයි. අපි එතන ක්ලික් කරමු.
ප්රතිපත්ති ප්රශස්තකරණය පෙන්වන දේ:
- දින 30, දින 90, කිසිසේත් භාවිතා නොකළ ප්රතිපත්ති මොනවාද. මෙය සම්පූර්ණයෙන්ම ඉවත් කිරීමට තීරණය කිරීමට උපකාරී වේ.
- ප්රතිපත්තිවල සඳහන් කර ඇති යෙදුම් මොනවාද, නමුත් තදබදය තුළ එවැනි යෙදුම් කිසිවක් හමු නොවීය. අවසර නීති වල අනවශ්ය යෙදුම් ඉවත් කිරීමට මෙය ඔබට ඉඩ සලසයි.
- කුමන ප්රතිපත්ති සියල්ලට ඉඩ දුන්නේද, නමුත් ඇත්ත වශයෙන්ම ශුන්ය භාර ක්රමයට අනුව පැහැදිලිව දැක්වීමට හොඳ යෙදුම් තිබුණි.
Unused මත ක්ලික් කරන්න.
එය ක්රියා කරන ආකාරය පෙන්වීමට, මම නීති කිහිපයක් එකතු කළ අතර මෙතෙක් ඔවුන්ට එක පැකට්ටුවක්වත් මග හැරී නැත. මෙන්න ඔවුන්ගේ ලැයිස්තුව:
සමහර විට, කාලයත් සමඟ ගමනාගමනය එහි ගමන් කරනු ඇති අතර පසුව ඔවුන් මෙම ලැයිස්තුවෙන් අතුරුදහන් වනු ඇත. ඔවුන් දින 90 ක් මෙම ලැයිස්තුවේ සිටී නම්, ඔබට මෙම නීති ඉවත් කිරීමට තීරණය කළ හැකිය. සියල්ලට පසු, සෑම රීතියක්ම හැකර් සඳහා අවස්ථාවක් සපයයි.
ෆයර්වෝල් වින්යාසය සමඟ සැබෑ ගැටළුවක් ඇත: නව සේවකයෙකු පැමිණ, ෆයර්වෝල් නීති දෙස බලයි, ඔවුන්ට අදහස් නොමැති නම් සහ මෙම රීතිය නිර්මාණය කළේ මන්දැයි නොදන්නේ නම්, එය සැබවින්ම අවශ්යද, එය මකා දැමිය හැකිද: හදිසියේම පුද්ගලයා නිවාඩු සහ දින 30 තුළ ගමනාගමනය නැවතත් එයට අවශ්ය සේවාවෙන් ගමන් කරයි. මෙම කාර්යය ඔහුට තීරණයක් ගැනීමට උපකාරී වේ - කිසිවෙකු එය භාවිතා නොකරයි - එය මකන්න!
භාවිත නොකළ යෙදුම මත ක්ලික් කරන්න.
අපි ප්රශස්තිකරණයේ භාවිතා නොකළ යෙදුම මත ක්ලික් කර ප්රධාන කවුළුවේ රසවත් තොරතුරු විවෘත වන බව දකිමු.
අවසර ලත් අයදුම්පත් සංඛ්යාව සහ මෙම රීතිය සම්මත වූ යෙදුම් සංඛ්යාව වෙනස් වන නීති තුනක් ඇති බව අපට පෙනේ.
අපට මෙම යෙදුම් ලැයිස්තුවක් ක්ලික් කර බැලීමට සහ මෙම ලැයිස්තු සංසන්දනය කළ හැකිය.
උදාහරණයක් ලෙස, මැක්ස් රීතිය සඳහා සංසන්දනය කිරීමේ බොත්තම ක්ලික් කරන්න.
ෆේස්බුක්, ඉන්ස්ටග්රෑම්, ටෙලිග්රාම්, vkontakte යෙදුම් වලට අවසර දී ඇති බව මෙහිදී ඔබට දැක ගත හැකිය. නමුත් ඇත්ත වශයෙන්ම, වාහන තදබදය ගියේ උප යෙදුම්වල කොටසක් හරහා පමණි. මෙහිදී ඔබ තේරුම් ගත යුතු වන්නේ facebook යෙදුමේ උප යෙදුම් කිහිපයක් අඩංගු වන බවයි.
NGFW යෙදුම්වල සම්පූර්ණ ලැයිස්තුව ද්වාරයෙහි දැකිය හැකිය
ඉතින්, NGFW මෙම උප යෙදුම් සමහරක් දුටු නමුත් සමහරක් නොවේ. ඇත්ත වශයෙන්ම, ඔබට විවිධ facebook subfunctions වෙන වෙනම අක්රිය කර සක්රීය කළ හැකිය. උදාහරණයක් ලෙස, ඔබට පණිවිඩ බැලීමට ඉඩ දෙන්න, නමුත් කතාබස් හෝ ගොනු මාරු කිරීම තහනම් කරන්න. ඒ අනුව, Policy Optimizer මේ ගැන කතා කරන අතර ඔබට තීරණයක් ගත හැකිය: සියලුම ෆේස්බුක් යෙදුම් වලට ඉඩ නොදෙන්න, නමුත් ප්රධාන ඒවා පමණි.
එබැවින්, ලැයිස්තු වෙනස් බව අපට වැටහුණි. ජාලය තුළ සැරිසරන යෙදුම්වලට පමණක් නීති මඟින් ඉඩ දෙන බවට ඔබට සහතික විය හැක. මෙය සිදු කිරීම සඳහා, ඔබ MatchUsage බොත්තම ක්ලික් කරන්න. එය මෙසේ හැරෙනවා:
තවද ඔබට අවශ්ය යැයි සලකන යෙදුම් එකතු කළ හැක - කවුළුවේ වම් පැත්තේ ඇති Add බොත්තම:
එවිට මෙම රීතිය භාවිතා කර පරීක්ෂා කළ හැකිය. සුභ පැතුම්!
නිශ්චිත යෙදුම් නොමැත ක්ලික් කරන්න.
මෙම අවස්ථාවේදී, වැදගත් ආරක්ෂක කවුළුවක් විවෘත වේ.
ඔබේ ජාලයේ L7 මට්ටමේ යෙදුම පැහැදිලිව සඳහන් කර නොමැති බොහෝ විට එවැනි නීති ගොඩක් තිබේ. මගේ ජාලයේ එවැනි රීතියක් ඇත - මම එය මූලික සැකසුමේදී කළ බව ඔබට මතක් කරමි, විශේෂයෙන් ප්රතිපත්ති ප්රශස්තකරණය ක්රියා කරන ආකාරය පෙන්වීමට.
පින්තූරයේ දැක්වෙන්නේ AllowAll රීතියට මාර්තු 9 සිට මාර්තු 17 දක්වා කාලය තුළ ගමනාගමනය ගිගාබයිට් 220ක් මග හැරී ඇති බවයි, එය මගේ ජාලයේ විවිධ යෙදුම් 150ක් වේ. තවද මෙය තවමත් ප්රමාණවත් නොවේ. සාමාන්යයෙන් මධ්යම ප්රමාණයේ ආයතනික ජාලයකට විවිධ යෙදුම් 200-300ක් ඇත.
එබැවින්, එක් රීතියකට යෙදුම් 150 ක් පමණ මග හැරේ. සාමාන්යයෙන් මෙයින් අදහස් කරන්නේ ෆයර්වෝලය වැරදි ලෙස වින්යාස කර ඇති බවයි, මන්ද සාමාන්යයෙන් විවිධ අරමුණු සඳහා යෙදුම් 1-10 ක් එක් රීතියක් තුළ මඟ හරිනු ලැබේ. මෙම යෙදුම් මොනවාදැයි අපි බලමු: සසඳන්න බොත්තම ක්ලික් කරන්න:
Policy Optimizer විශේෂාංගයේ පරිපාලකයාට ඇති අපූරුම දෙය නම් Match Usage බොත්තමයි - ඔබට එක් ක්ලික් කිරීමකින් රීතියක් සෑදිය හැක, එහිදී ඔබ සියලුම යෙදුම් 150ම රීතියට ඇතුළත් කරනු ඇත. එය අතින් සිදු කිරීම බොහෝ කාලයක් ගතවනු ඇත. මගේ උපාංග 10 ජාලයේ පවා පරිපාලක සඳහා වන කාර්යයන් ගණන විශාලය.
මට ගිගාබයිට් රථවාහන සම්ප්රේෂණය කරමින් නිවසේ විවිධ යෙදුම් 150 ක් ක්රියාත්මක වේ! සහ ඔබ සතුව කොපමණ තිබේද?
නමුත් උපාංග 100 ක් හෝ 1000 ක් හෝ 10000 ක් ඇති ජාලයක සිදුවන්නේ කුමක්ද? මම නීති 8000 ක් සහිත ෆයර්වෝල් දැක ඇති අතර පරිපාලකයින්ට දැන් එවැනි පහසු ස්වයංක්රීය මෙවලම් තිබීම ගැන මම ඉතා සතුටු වෙමි.
NGFW හි L7 යෙදුම් විශ්ලේෂණ මොඩියුලය ජාලයේ දැක ඇති සමහර යෙදුම් ඔබට අවශ්ය නොවනු ඇත, එබැවින් ඔබ ඒවා අවසර රීති ලැයිස්තුවෙන් ඉවත් කරන්න, නැතහොත් ක්ලෝන් බොත්තම සමඟ නීති ක්ලෝන කරන්න (ප්රධාන අතුරු මුහුණතේ) සහ එක් යෙදුම් රීතියකට ඉඩ දෙන්න, සහ ඔබේ ජාලයට අනිවාර්යයෙන්ම අවශ්ය නොවන පරිදි වෙනත් යෙදුම් අවහිර කරන්න. එවැනි යෙදුම් බොහෝ විට bittorent, steam, ultrasurf, tor, tcp-over-dns සහ වෙනත් අය වැනි සැඟවුණු උමං බවට පත් වේ.
හොඳයි, වෙනත් රීතියක් මත ක්ලික් කරන්න - ඔබට එහි දැකිය හැකි දේ:
ඔව්, multicast සඳහා විශේෂිත යෙදුම් තිබේ. ජාලය හරහා වීඩියෝ නැරඹීම ක්රියා කිරීමට අපි ඔවුන්ට ඉඩ දිය යුතුය. Match Usage ක්ලික් කරන්න. මහා! ස්තුතියි ප්රතිපත්ති ප්රශස්තකරණය.
Machine Learning ගැන කුමක් කිව හැකිද?
දැන් ස්වයංක්රීයකරණය ගැන කතා කිරීම විලාසිතාවකි. මම විස්තර කළ දේ එළියට ආවා - එය ගොඩක් උපකාරී වේ. මා සඳහන් කළ යුතු තවත් අවස්ථාවක් තිබේ. මෙය ඉහත සඳහන් කළ Expedition උපයෝගීතාව තුළ ගොඩනගා ඇති යන්ත්ර ඉගෙනීමේ ක්රියාකාරීත්වයයි. මෙම උපයෝගීතාව තුළ, වෙනත් නිෂ්පාදකයෙකුගෙන් ඔබේ පැරණි ෆයර්වෝලයෙන් නීති මාරු කළ හැකිය. තවද දැනට පවතින Palo Alto Networks රථවාහන ලොග විශ්ලේෂණය කර ලිවිය යුතු නීති යෝජනා කිරීමේ හැකියාවද ඇත. මෙය Policy Optimizer ක්රියාකාරීත්වයට සමාන වේ, නමුත් Expedition හි එය වඩාත් දියුණු වන අතර ඔබට සූදානම් කළ නීති ලැයිස්තුවක් පිරිනමනු ලැබේ - ඔබට ඒවා අනුමත කිරීමට අවශ්ය වේ.
වෙත ඉල්ලීම යැවිය හැක [විද්යුත් ආරක්ෂිත] සහ ඉල්ලීමෙහි ලියන්න: "මට සංක්රමණ ක්රියාවලිය සඳහා UTD සෑදීමට අවශ්යයි."
ඇත්ත වශයෙන්ම, යුනිෆයිඩ් ටෙස්ට් ඩ්රයිව් (යූටීඩී) ලෙස හඳුන්වන රසායනාගාර සඳහා විකල්ප කිහිපයක් ඇති අතර ඒවා සියල්ලම තිබේ
සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි.
ඔබට ඔබේ ෆයර්වෝල් ප්රතිපත්ති ප්රශස්ත කිරීමට උදවු කිරීමට යමෙකුට අවශ්යද?
-
බව
-
කිසිදු
-
මම සෑම දෙයක්ම තනිවම කරන්නෙමි
තවම කවුරුත් ඡන්දය දීලා නැහැ. වැලකී සිටීම් නැත.
මූලාශ්රය: www.habr.com