NGFW සුසර කිරීමේ කාර්යක්ෂමතාවය තක්සේරු කරන්නේ කෙසේද?

වඩාත්ම පොදු කාර්යය වන්නේ ඔබේ ෆයර්වෝලය කෙතරම් හොඳින් වින්‍යාස කර ඇත්ද යන්න පරීක්ෂා කිරීමයි. මෙය සිදු කිරීම සඳහා, NGFW සමඟ කටයුතු කරන සමාගම් වලින් නොමිලේ උපයෝගිතා සහ සේවාවන් තිබේ.

උදාහරණයක් ලෙස, Palo Alto Networks වලට කෙලින්ම හැකියාව ඇති බව ඔබට පහතින් දැක ගත හැක ආධාරක ද්වාරය ෆයර්වෝල් සංඛ්‍යාලේඛන විශ්ලේෂණය ධාවනය කරන්න - SLR වාර්තාව හෝ හොඳම ප්‍රායෝගික අනුකූලතා විශ්ලේෂණය - BPA වාර්තාව. මේවා ඔබට කිසිවක් ස්ථාපනය නොකර භාවිතා කළ හැකි නොමිලේ මාර්ගගත උපයෝගිතා වේ.

අන්තර්ගතය

ගවේෂණය (සංක්‍රමණ මෙවලම)
ප්‍රතිපත්ති ප්‍රශස්තකරණය
ශුන්‍ය භාරය
Unused මත ක්ලික් කරන්න
භාවිත නොකළ යෙදුම මත ක්ලික් කරන්න
නිශ්චිත යෙදුම් නොමැත ක්ලික් කරන්න
Machine Learning ගැන කුමක් කිව හැකිද?
යූටීඩී

ගවේෂණය (සංක්‍රමණ මෙවලම)

ඔබගේ සැකසුම් පරීක්ෂා කිරීම සඳහා වඩාත් සංකීර්ණ විකල්පයක් වන්නේ නොමිලේ උපයෝගීතාවයක් බාගත කිරීමයි ගවේෂණය (පෙර සංක්‍රමණ මෙවලම). එය VMware සඳහා අතථ්‍ය උපකරණයක් ලෙස බාගත කර ඇත, එය සමඟ කිසිදු සැකසුම් අවශ්‍ය නොවේ - ඔබට රූපය බාගත කර VMware හයිපර්වයිසර් යටතේ එය යෙදවිය යුතුය, එය ක්‍රියාත්මක කර වෙබ් අතුරු මුහුණත වෙත යන්න. මෙම උපයෝගීතාවයට වෙනම කථාවක් අවශ්‍ය වේ, එහි පාඨමාලාවට පමණක් දින 5ක් ගතවේ, යන්ත්‍ර ඉගෙනීම සහ විවිධ ෆයර්වෝල් නිෂ්පාදකයින් සඳහා විවිධ ප්‍රතිපත්ති, NAT සහ වස්තූන් සංක්‍රමණය කිරීම ඇතුළු බොහෝ කාර්යයන් දැන් එහි ඇත. Machine Learning ගැන, මම පසුව පෙළෙහි තවත් ලියන්නම්.

ප්‍රතිපත්ති ප්‍රශස්තකරණය

අද මම වඩාත් විස්තරාත්මකව කතා කරන වඩාත් පහසු විකල්පය (IMHO), Palo Alto Networks අතුරුමුහුණත තුළම ගොඩනගා ඇති ප්‍රතිපත්ති ප්‍රශස්තිකරණයයි. එය ප්‍රදර්ශනය කිරීම සඳහා, මම මගේ නිවසේ ෆයර්වෝලයක් ස්ථාපනය කර සරල රීතියක් ලිව්වෙමි: ඕනෑම කෙනෙකුට අවසර දෙන්න. ප්‍රතිපත්තිමය වශයෙන්, මම සමහර විට ආයතනික ජාල වල පවා එවැනි නීති දකිමි. ස්වාභාවිකවම, මම සියලුම NGFW ආරක්ෂක පැතිකඩ සක්‍රීය කළෙමි, ඔබට තිර රුවෙහි දැකිය හැකිය:


පහත තිර රුව මගේ නිවසේ වින්‍යාස නොකළ ෆයර්වෝලයේ උදාහරණයක් පෙන්වයි, එහිදී සියලුම සම්බන්ධතා පාහේ අවසාන රීතියට වැටේ: AllowAll, Hit Count තීරුවේ සංඛ්‍යාලේඛනවලින් දැකිය හැකිය.

ශුන්‍ය භාරය

ආරක්ෂාව සඳහා ප්රවේශයක් ලෙස හැඳින්වේ ශුන්‍ය භාරය. මෙයින් අදහස් කරන්නේ කුමක්ද: අපි ජාලය තුළ සිටින පුද්ගලයින්ට ඔවුන්ට අවශ්‍ය සම්බන්ධතාවලට හරියටම ඉඩ දිය යුතු අතර අනෙක් සියල්ල තහනම් කළ යුතුය. එනම්, අපි යෙදුම්, පරිශීලකයින්, URL වර්ග, ගොනු වර්ග සඳහා පැහැදිලි නීති එකතු කළ යුතුය; සියලුම IPS සහ ප්‍රති-වයිරස අත්සන් සක්‍රීය කරන්න, සෑන්ඩ්බොක්ස්, DNS ආරක්ෂාව සක්‍රීය කරන්න, පවතින තර්ජන බුද්ධි දත්ත සමුදායන්ගෙන් IoC භාවිතා කරන්න. පොදුවේ ගත් කල, ෆයර්වෝලයක් සැකසීමේදී හොඳ කාර්යයන් ප්‍රමාණයක් තිබේ.

මාර්ගය වන විට, Palo Alto Networks NGFW සඳහා අවශ්‍ය අවම සැකසුම් කට්ටලය එක් SANS ලේඛනයක විස්තර කර ඇත: Palo Alto Networks ආරක්ෂක වින්‍යාස මිණුම් ලකුණ එය සමඟ ආරම්භ කිරීමට මම නිර්දේශ කරමි. ඇත්ත වශයෙන්ම, නිෂ්පාදකයාගෙන් ෆයර්වෝලයක් සැකසීම සඳහා හොඳම භාවිතයන් මාලාවක් තිබේ: හොඳම පුහුණුව.

ඉතින් සතියක් ගෙදර ෆයර්වෝල් එකක් තිබ්බා. මගේ ජාලයේ ඇති තදබදය කුමක්දැයි බලමු:


සැසි ගණන අනුව වර්ග කළහොත්, ඒවායින් බොහොමයක් බිටෝරන්ට් මගින් නිර්මාණය කර ඇත, පසුව SSL, පසුව QUIC පැමිණේ. මේවා පැමිණෙන සහ පිටතට යන ගමනාගමනය සඳහා සංඛ්‍යාලේඛන වේ: මගේ රවුටරයේ බාහිර ස්කෑන් ගොඩක් තිබේ. මගේ ජාලයේ විවිධ යෙදුම් 150 ක් ඇත.

ඒ නිසා, ඒ සියල්ල එක් රීතියකින් මඟ හැරුණි. දැන් අපි බලමු Policy Optimizer එක මේ ගැන කියන්නේ මොකක්ද කියලා. ඔබ ඉහත ආරක්ෂක රීති සහිත අතුරු මුහුණතේ තිර රුවක් දෙස බැලුවහොත්, ඔබ පහළ වම්පස කුඩා කවුළුවක් දුටුවේය, එය ප්‍රශස්ත කළ හැකි නීති ඇති බව මට ඉඟි කරයි. අපි එතන ක්ලික් කරමු.

ප්‍රතිපත්ති ප්‍රශස්තකරණය පෙන්වන දේ:

• දින 30, දින 90, කිසිසේත් භාවිතා නොකළ ප්‍රතිපත්ති මොනවාද. මෙය සම්පූර්ණයෙන්ම ඉවත් කිරීමට තීරණය කිරීමට උපකාරී වේ.
• ප්‍රතිපත්තිවල සඳහන් කර ඇති යෙදුම් මොනවාද, නමුත් තදබදය තුළ එවැනි යෙදුම් කිසිවක් හමු නොවීය. අවසර නීති වල අනවශ්‍ය යෙදුම් ඉවත් කිරීමට මෙය ඔබට ඉඩ සලසයි.
• කුමන ප්‍රතිපත්ති සියල්ලට ඉඩ දුන්නේද, නමුත් ඇත්ත වශයෙන්ම ශුන්‍ය භාර ක්‍රමයට අනුව පැහැදිලිව දැක්වීමට හොඳ යෙදුම් තිබුණි.

Unused මත ක්ලික් කරන්න.

එය ක්‍රියා කරන ආකාරය පෙන්වීමට, මම නීති කිහිපයක් එකතු කළ අතර මෙතෙක් ඔවුන්ට එක පැකට්ටුවක්වත් මග හැරී නැත. මෙන්න ඔවුන්ගේ ලැයිස්තුව:

සමහර විට, කාලයත් සමඟ ගමනාගමනය එහි ගමන් කරනු ඇති අතර පසුව ඔවුන් මෙම ලැයිස්තුවෙන් අතුරුදහන් වනු ඇත. ඔවුන් දින 90 ක් මෙම ලැයිස්තුවේ සිටී නම්, ඔබට මෙම නීති ඉවත් කිරීමට තීරණය කළ හැකිය. සියල්ලට පසු, සෑම රීතියක්ම හැකර් සඳහා අවස්ථාවක් සපයයි.

ෆයර්වෝල් වින්‍යාසය සමඟ සැබෑ ගැටළුවක් ඇත: නව සේවකයෙකු පැමිණ, ෆයර්වෝල් නීති දෙස බලයි, ඔවුන්ට අදහස් නොමැති නම් සහ මෙම රීතිය නිර්මාණය කළේ මන්දැයි නොදන්නේ නම්, එය සැබවින්ම අවශ්‍යද, එය මකා දැමිය හැකිද: හදිසියේම පුද්ගලයා නිවාඩු සහ දින 30 තුළ ගමනාගමනය නැවතත් එයට අවශ්‍ය සේවාවෙන් ගමන් කරයි. මෙම කාර්යය ඔහුට තීරණයක් ගැනීමට උපකාරී වේ - කිසිවෙකු එය භාවිතා නොකරයි - එය මකන්න!

භාවිත නොකළ යෙදුම මත ක්ලික් කරන්න.

අපි ප්‍රශස්තිකරණයේ භාවිතා නොකළ යෙදුම මත ක්ලික් කර ප්‍රධාන කවුළුවේ රසවත් තොරතුරු විවෘත වන බව දකිමු.

අවසර ලත් අයදුම්පත් සංඛ්‍යාව සහ මෙම රීතිය සම්මත වූ යෙදුම් සංඛ්‍යාව වෙනස් වන නීති තුනක් ඇති බව අපට පෙනේ.

අපට මෙම යෙදුම් ලැයිස්තුවක් ක්ලික් කර බැලීමට සහ මෙම ලැයිස්තු සංසන්දනය කළ හැකිය.
උදාහරණයක් ලෙස, මැක්ස් රීතිය සඳහා සංසන්දනය කිරීමේ බොත්තම ක්ලික් කරන්න.

ෆේස්බුක්, ඉන්ස්ටග්‍රෑම්, ටෙලිග්‍රාම්, vkontakte යෙදුම් වලට අවසර දී ඇති බව මෙහිදී ඔබට දැක ගත හැකිය. නමුත් ඇත්ත වශයෙන්ම, වාහන තදබදය ගියේ උප යෙදුම්වල කොටසක් හරහා පමණි. මෙහිදී ඔබ තේරුම් ගත යුතු වන්නේ facebook යෙදුමේ උප යෙදුම් කිහිපයක් අඩංගු වන බවයි.

NGFW යෙදුම්වල සම්පූර්ණ ලැයිස්තුව ද්වාරයෙහි දැකිය හැකිය applipedia.paloaltonetworks.com සහ ෆයර්වෝල් අතුරුමුහුණත තුළම, Objects->යෙදුම් අංශයේ සහ සෙවුමේ, යෙදුමේ නම: facebook ටයිප් කරන්න, ඔබට පහත ප්‍රතිඵලය ලැබෙනු ඇත:

ඉතින්, NGFW මෙම උප යෙදුම් සමහරක් දුටු නමුත් සමහරක් නොවේ. ඇත්ත වශයෙන්ම, ඔබට විවිධ facebook subfunctions වෙන වෙනම අක්‍රිය කර සක්‍රීය කළ හැකිය. උදාහරණයක් ලෙස, ඔබට පණිවිඩ බැලීමට ඉඩ දෙන්න, නමුත් කතාබස් හෝ ගොනු මාරු කිරීම තහනම් කරන්න. ඒ අනුව, Policy Optimizer මේ ගැන කතා කරන අතර ඔබට තීරණයක් ගත හැකිය: සියලුම ෆේස්බුක් යෙදුම් වලට ඉඩ නොදෙන්න, නමුත් ප්‍රධාන ඒවා පමණි.

එබැවින්, ලැයිස්තු වෙනස් බව අපට වැටහුණි. ජාලය තුළ සැරිසරන යෙදුම්වලට පමණක් නීති මඟින් ඉඩ දෙන බවට ඔබට සහතික විය හැක. මෙය සිදු කිරීම සඳහා, ඔබ MatchUsage බොත්තම ක්ලික් කරන්න. එය මෙසේ හැරෙනවා:

තවද ඔබට අවශ්‍ය යැයි සලකන යෙදුම් එකතු කළ හැක - කවුළුවේ වම් පැත්තේ ඇති Add බොත්තම:

එවිට මෙම රීතිය භාවිතා කර පරීක්ෂා කළ හැකිය. සුභ පැතුම්!

නිශ්චිත යෙදුම් නොමැත ක්ලික් කරන්න.

මෙම අවස්ථාවේදී, වැදගත් ආරක්ෂක කවුළුවක් විවෘත වේ.

ඔබේ ජාලයේ L7 මට්ටමේ යෙදුම පැහැදිලිව සඳහන් කර නොමැති බොහෝ විට එවැනි නීති ගොඩක් තිබේ. මගේ ජාලයේ එවැනි රීතියක් ඇත - මම එය මූලික සැකසුමේදී කළ බව ඔබට මතක් කරමි, විශේෂයෙන් ප්‍රතිපත්ති ප්‍රශස්තකරණය ක්‍රියා කරන ආකාරය පෙන්වීමට.

පින්තූරයේ දැක්වෙන්නේ AllowAll රීතියට මාර්තු 9 සිට මාර්තු 17 දක්වා කාලය තුළ ගමනාගමනය ගිගාබයිට් 220ක් මග හැරී ඇති බවයි, එය මගේ ජාලයේ විවිධ යෙදුම් 150ක් වේ. තවද මෙය තවමත් ප්රමාණවත් නොවේ. සාමාන්‍යයෙන් මධ්‍යම ප්‍රමාණයේ ආයතනික ජාලයකට විවිධ යෙදුම් 200-300ක් ඇත.

එබැවින්, එක් රීතියකට යෙදුම් 150 ක් පමණ මග හැරේ. සාමාන්‍යයෙන් මෙයින් අදහස් කරන්නේ ෆයර්වෝලය වැරදි ලෙස වින්‍යාස කර ඇති බවයි, මන්ද සාමාන්‍යයෙන් විවිධ අරමුණු සඳහා යෙදුම් 1-10 ක් එක් රීතියක් තුළ මඟ හරිනු ලැබේ. මෙම යෙදුම් මොනවාදැයි අපි බලමු: සසඳන්න බොත්තම ක්ලික් කරන්න:

Policy Optimizer විශේෂාංගයේ පරිපාලකයාට ඇති අපූරුම දෙය නම් Match Usage බොත්තමයි - ඔබට එක් ක්ලික් කිරීමකින් රීතියක් සෑදිය හැක, එහිදී ඔබ සියලුම යෙදුම් 150ම රීතියට ඇතුළත් කරනු ඇත. එය අතින් සිදු කිරීම බොහෝ කාලයක් ගතවනු ඇත. මගේ උපාංග 10 ජාලයේ පවා පරිපාලක සඳහා වන කාර්යයන් ගණන විශාලය.

මට ගිගාබයිට් රථවාහන සම්ප්‍රේෂණය කරමින් නිවසේ විවිධ යෙදුම් 150 ක් ක්‍රියාත්මක වේ! සහ ඔබ සතුව කොපමණ තිබේද?

නමුත් උපාංග 100 ක් හෝ 1000 ක් හෝ 10000 ක් ඇති ජාලයක සිදුවන්නේ කුමක්ද? මම නීති 8000 ක් සහිත ෆයර්වෝල් දැක ඇති අතර පරිපාලකයින්ට දැන් එවැනි පහසු ස්වයංක්‍රීය මෙවලම් තිබීම ගැන මම ඉතා සතුටු වෙමි.

NGFW හි L7 යෙදුම් විශ්ලේෂණ මොඩියුලය ජාලයේ දැක ඇති සමහර යෙදුම් ඔබට අවශ්‍ය නොවනු ඇත, එබැවින් ඔබ ඒවා අවසර රීති ලැයිස්තුවෙන් ඉවත් කරන්න, නැතහොත් ක්ලෝන් බොත්තම සමඟ නීති ක්ලෝන කරන්න (ප්‍රධාන අතුරු මුහුණතේ) සහ එක් යෙදුම් රීතියකට ඉඩ දෙන්න, සහ ඔබේ ජාලයට අනිවාර්යයෙන්ම අවශ්‍ය නොවන පරිදි වෙනත් යෙදුම් අවහිර කරන්න. එවැනි යෙදුම් බොහෝ විට bittorent, steam, ultrasurf, tor, tcp-over-dns සහ වෙනත් අය වැනි සැඟවුණු උමං බවට පත් වේ.

හොඳයි, වෙනත් රීතියක් මත ක්ලික් කරන්න - ඔබට එහි දැකිය හැකි දේ:

ඔව්, multicast සඳහා විශේෂිත යෙදුම් තිබේ. ජාලය හරහා වීඩියෝ නැරඹීම ක්‍රියා කිරීමට අපි ඔවුන්ට ඉඩ දිය යුතුය. Match Usage ක්ලික් කරන්න. මහා! ස්තුතියි ප්‍රතිපත්ති ප්‍රශස්තකරණය.

Machine Learning ගැන කුමක් කිව හැකිද?

දැන් ස්වයංක්‍රීයකරණය ගැන කතා කිරීම විලාසිතාවකි. මම විස්තර කළ දේ එළියට ආවා - එය ගොඩක් උපකාරී වේ. මා සඳහන් කළ යුතු තවත් අවස්ථාවක් තිබේ. මෙය ඉහත සඳහන් කළ Expedition උපයෝගීතාව තුළ ගොඩනගා ඇති යන්ත්‍ර ඉගෙනීමේ ක්‍රියාකාරීත්වයයි. මෙම උපයෝගීතාව තුළ, වෙනත් නිෂ්පාදකයෙකුගෙන් ඔබේ පැරණි ෆයර්වෝලයෙන් නීති මාරු කළ හැකිය. තවද දැනට පවතින Palo Alto Networks රථවාහන ලොග විශ්ලේෂණය කර ලිවිය යුතු නීති යෝජනා කිරීමේ හැකියාවද ඇත. මෙය Policy Optimizer ක්‍රියාකාරීත්වයට සමාන වේ, නමුත් Expedition හි එය වඩාත් දියුණු වන අතර ඔබට සූදානම් කළ නීති ලැයිස්තුවක් පිරිනමනු ලැබේ - ඔබට ඒවා අනුමත කිරීමට අවශ්‍ය වේ.
මෙම ක්රියාකාරිත්වය පරීක්ෂා කිරීම සඳහා, රසායනාගාර කාර්යයක් ඇත - අපි එය ටෙස්ට් ධාවකයක් ලෙස හඳුන්වමු. ඔබේ ඉල්ලීම පරිදි Palo Alto Networks මොස්කව් කාර්යාල කාර්ය මණ්ඩලය දියත් කරන අතථ්‍ය ෆයර්වෝල් වෙත යාමෙන් මෙම පරීක්ෂණය සිදු කළ හැකිය.

වෙත ඉල්ලීම යැවිය හැක [විද්‍යුත් ආරක්‍ෂිත] සහ ඉල්ලීමෙහි ලියන්න: "මට සංක්‍රමණ ක්‍රියාවලිය සඳහා UTD සෑදීමට අවශ්‍යයි."

ඇත්ත වශයෙන්ම, යුනිෆයිඩ් ටෙස්ට් ඩ්‍රයිව් (යූටීඩී) ලෙස හඳුන්වන රසායනාගාර සඳහා විකල්ප කිහිපයක් ඇති අතර ඒවා සියල්ලම තිබේ දුරස්ථව ලබා ගත හැක ඉල්ලීමෙන් පසුව.

සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. පුරන්නකරුණාකර.

ඔබට ඔබේ ෆයර්වෝල් ප්‍රතිපත්ති ප්‍රශස්ත කිරීමට උදවු කිරීමට යමෙකුට අවශ්‍යද?

• බව

• කිසිදු

• මම සෑම දෙයක්ම තනිවම කරන්නෙමි

තවම කවුරුත් ඡන්දය දීලා නැහැ. වැලකී සිටීම් නැත.

මූලාශ්රය: www.habr.com