Pozdravljeni vsi skupaj! V nadaljevanju tega Želim vam povedati več o funkcionalnosti, ki jo ponuja rešitev Sophos XG Firewall, in vam predstaviti spletni vmesnik. Komercialni članki in dokumenti so dobri, vedno pa je zanimivo, kakšna je rešitev v resničnem življenju? Kako vse poteka tam? Pa začnimo s pregledom.
Ta članek bo prikazal prvi del funkcionalnosti požarnega zidu Sophos XG - »Spremljanje in analitika«. Celoten pregled bo objavljen kot serija člankov. Nadaljevali bomo na podlagi spletnega vmesnika požarnega zidu Sophos XG in tabele licenc
Center za varnostni nadzor
In tako smo zagnali brskalnik in odprli spletni vmesnik našega NGFW, vidimo poziv za vnos uporabniškega imena in gesla za vstop v skrbniško ploščo
Vnesemo prijavo in geslo, ki smo ju nastavili ob začetni aktivaciji in pridemo v naš nadzorni center. Izgleda takole
Skoraj vsak od teh pripomočkov je mogoče klikniti. Lahko se vključite v incident in vidite podrobnosti.
Oglejmo si vsakega od blokov in začeli bomo s sistemskim blokom
Sistem blokov
Ta blok prikazuje stanje stroja v realnem času. Če kliknete katero koli od ikon, se odpre stran s podrobnejšimi informacijami o statusu sistema
Če pride do težav v sistemu, bo ta pripomoček to opozoril, na strani z informacijami pa lahko vidite razlog
S klikom na zavihke lahko dobite več informacij o različnih vidikih požarnega zidu.
Blok vpogleda v promet
Ta razdelek nam daje predstavo o tem, kaj se trenutno dogaja v našem omrežju in kaj se je zgodilo v zadnjih 24 urah. Top 5 spletnih kategorij in aplikacij glede na promet, omrežne napade (sprožen IPS modul) in top 5 blokiranih aplikacij.
Prav tako je vredno posebej izpostaviti razdelek Aplikacije v oblaku. V njem lahko vidite prisotnost aplikacij v lokalnem omrežju, ki uporabljajo storitve v oblaku. Njihovo skupno število, dohodni in odhodni promet. Če kliknete na ta gradnik, se bomo preusmerili na stran z informacijami o aplikacijah v oblaku, kjer si lahko podrobneje ogledamo, katere aplikacije v oblaku so v omrežju, kdo jih uporablja in informacije o prometu
Blok vpogledov v uporabnike in naprave
Ta blok prikazuje informacije o uporabnikih. Zgornja vrstica nam prikazuje informacije o okuženih uporabniških računalnikih, zbira podatke iz protivirusnega programa Sophos in jih posreduje požarnemu zidu Sophos XG. Na podlagi teh informacij lahko požarni zid, ko je okužen, izklopi uporabnikov računalnik iz lokalnega omrežja ali omrežnega segmenta na ravni L2 in blokira vso komunikacijo z njim. Več informacij o varnosti Heartbeat je bilo v . Naslednji dve vrstici sta nadzor aplikacij in peskovnik v oblaku. Ker je to ločena funkcija, o njej ne bomo razpravljali v tem članku.
Vredno je biti pozoren na dva spodnja pripomočka. To sta ATP (Advanced Threat Protection) in UTQ (User Threat Quotient).
Modul ATP blokira povezave s C&C, nadzornimi strežniki omrežij botnetov. Če je naprava v vašem lokalnem omrežju v omrežju botnetov, bo ta modul to prijavil in vam ne bo dovolil povezave z nadzornim strežnikom. Izgleda takole
Modul UTQ vsakemu uporabniku dodeli varnostni indeks. Bolj ko uporabnik poskuša obiskati prepovedana spletna mesta ali zagnati prepovedane aplikacije, višja je njegova ocena. Na podlagi teh podatkov je možno tovrstnim uporabnikom zagotoviti usposabljanje vnaprej, ne da bi čakali, da bo na koncu njihov računalnik okužen z zlonamerno programsko opremo. Izgleda takole
Sledi razdelek s splošnimi informacijami o aktivnih pravilih požarnega zidu in vročih poročilih, ki jih lahko hitro prenesete v formatu pdf
Pojdimo na naslednji del menija – Trenutne dejavnosti
Trenutne dejavnosti
Začnimo pregled z zavihkom Uporabniki v živo. Na tej strani lahko vidimo, kateri uporabniki so trenutno povezani s požarnim zidom Sophos XG, način preverjanja pristnosti, naslov IP naprave, čas povezave in obseg prometa.
Povezave v živo
Ta zavihek prikazuje aktivne seje v realnem času. To tabelo je mogoče filtrirati po aplikacijah, uporabnikih in naslovih IP odjemalskih strojev.
povezave IPsec
Ta zavihek prikazuje informacije o aktivnih povezavah IPsec VPN
Zavihek Oddaljeni uporabniki
Zavihek Oddaljeni uporabniki vsebuje informacije o oddaljenih uporabnikih, ki so se povezali prek SSL VPN
Prav tako si lahko na tem zavihku ogledate promet po uporabnikih v realnem času in prisilno prekinete povezavo katerega koli uporabnika.
Preskočimo zavihek Poročila, saj je sistem poročanja v tem izdelku zelo obsežen in zahteva ločen članek.
Diagnostika
Takoj se odpre stran z različnimi pripomočki za iskanje težav. Ti vključujejo Ping, Traceroute, iskanje po imenu, iskanje po poti.
Sledi zavihek s sistemskimi grafi nalaganja strojne opreme in vrat v realnem času
Sistemski grafi
Nato zavihek, kjer lahko preverite kategorijo spletnega vira
Iskanje kategorije URL
Naslednji zavihek, zajem paketov, je v bistvu vmesnik tcpdump, vgrajen v splet. Napišete lahko tudi filtre
Zajem paketov
Zanimivo je, da so paketi pretvorjeni v tabelo, kjer lahko onemogočite in omogočite dodatne stolpce z informacijami. Ta funkcionalnost je na primer zelo priročna za iskanje težav z omrežjem - hitro lahko razumete, katera pravila filtriranja so bila uporabljena za dejanski promet.
Na zavihku Seznam povezav si lahko v realnem času ogledate vse obstoječe povezave in podatke o njih
Seznam povezav
Zaključek
S tem zaključujemo prvi del pregleda. Pregledali smo le najmanjši del razpoložljive funkcionalnosti in se varnostnih modulov sploh nismo dotaknili. V naslednjem članku bomo analizirali vgrajeno funkcijo poročanja in pravila požarnega zidu, njihove vrste in namene.
Hvala za vaš čas.
Če imate kakršna koli vprašanja o komercialni različici XG Firewall, se lahko obrnete na nas, podjetje , distributer Sophos. Vse kar morate storiti je, da pišete v prosti obliki na .
Vir: www.habr.com