Sida loo Qiimeeyo Waxtarka NGFW Dejinta
Hawsha ugu badan waa in la hubiyo sida ugu waxtarka badan ee loo habeeyey firewall-kaaga. Si tan loo sameeyo, waxaa jira adeegyo iyo adeegyo bilaash ah oo laga helo shirkadaha wax ka qabta NGFW.
Tusaale ahaan, waxaad hoos ka arki kartaa in Palo Alto Networks ay awood u leedahay inay si toos ah uga soo baxdo Samee falanqaynta tirakoobka firewall-ka warbixinta SLR ama falanqaynta u hoggaansanaanta hababka ugu wanaagsan - warbixinta BPA. Kuwani waa adeegaha khadka tooska ah ee bilaashka ah oo aad isticmaali karto adigoon waxba ku rakibin.
XIRIIR
Safarka (Qalabka Socdaalka)
Ikhtiyaar aad u adag oo lagu hubinayo dejimahaaga waa inaad soo dejiso utility bilaash ah (Qalabkii hore ee socdaalka). Waxaa loo soo dejiyaa sidii qalab Virtual ah oo loogu talagalay VMware, wax dejin ah loogama baahna - waxaad u baahan tahay inaad soo dejiso sawirka oo aad geliso hoosta VMware hypervisor, bilow oo aad gasho interface-ka shabakadda. Utility Tani waxay u baahan tahay sheeko gaar ah, kaliya koorsada on waxay qaadataa 5 maalmood, hadda waxaa jira hawlo badan, oo ay ku jiraan Machine Learning iyo socdaalka qaabeynta kala duwan ee siyaasadaha, NAT iyo walxaha for kala duwan ee soo saarayaasha Firewall. Wax badan oo ku saabsan Barashada Mashiinka ayaan hoos ku qori doonaa qoraalka.
Siyaasadda Hagaajinta
Iyo ikhtiyaarka ugu habboon (IMHO), oo aan kuu sheegi doono si faahfaahsan maanta, waa hagaajinta siyaasadda ee lagu dhex dhisay Palo Alto Networks interface lafteeda. Si aan u muujiyo, waxaan ku rakibay dab-damiska guriga waxaanan qoray xeer fudud: mid kasta u oggolow. Mabda 'ahaan, mararka qaarkood waxaan arkaa sharciyadan oo kale xitaa shabakadaha shirkadaha. Dabiici ahaan, waxaan awood siiyay dhammaan astaanta amniga NGFW, sida aad ku arki karto sawirka:
Sawirka hoose wuxuu muujinayaa tusaale gurigeyga aan habaysanayn dab-damiska, halkaas oo ku dhawaad ββdhammaan xidhiidhadu ay ku dhacaan xeerka u dambeeya: AllowAll, sida laga arki karo tirakoobka tiirka Hit Count.
Aaladda Zero
Waxaa jira hab loo wajaho amniga oo la yiraahdo . Tan waxa ay ka dhigan tahay: waa in aan u ogolaano dadka ku jira shabakada sida saxda ah xidhiidhada ay u baahan yihiin oo aan diidno wax kasta oo kale. Taasi waa, waxaan u baahanahay inaan ku darno xeerar cad oo loogu talagalay codsiyada, isticmaalayaasha, qaybaha URL, noocyada faylka; awood dhammaan saxeexyada IPS iyo ka-hortagga, awood u geli sandboxing, ilaalinta DNS, ka isticmaal IoC xog-ururinta sirta ee la heli karo. Guud ahaan, waxaa jira tiro hawlo ah oo wanaagsan marka la samaynayo firewall.
Jid ahaan, go'aanka ugu yar ee goobaha lagama maarmaanka ah ee Palo Alto Networks NGFW waxaa lagu qeexay mid ka mid ah dukumeentiyada SANS: - Waxaan ku talinayaa in laga bilaabo. Dabcan, waxaa jira hab-dhaqannada ugu wanaagsan ee samaynta dab-damiska soo saaraha: .
Markaa, waxaan guriga ku haystay dab-damis muddo toddobaad ah. Aan aragno nooca taraafikada ee ka jira shabakadayda:
Haddii aad u kala soocdo tirada fadhiyada, ka dibna intooda badan waxaa abuuray by bittorent, ka dibna yimaado SSL, ka dibna QUIC. Kuwani waa tirakoobyada taraafikada soo galaya iyo kuwa baxaya labadaba: waxaa jira sawirro badan oo dibadda ah oo ku saabsan routerkayga. Shabakaddayda waxa ku jira 150 codsi oo kala duwan.
Markaa, waxaas oo dhan waxa seegay hal xeer. Aynu hadda aragno waxa Policy Optimizer uu arrintan ka leeyahay. Haddii aad kor u eegtay shaashadda is-dhexgalka oo leh qawaaniinta amniga, ka dib bidixda hoose waxaad aragtay daaqad yar oo ii tilmaameysa inay jiraan xeerar la hagaajin karo. Aan ku dhufo halkaas
Muxuu Siyaasad Optimizer tusay:
- Siyaasaddee aan la isticmaalin gabi ahaanba, 30 maalmood, 90 maalmood. Tani waxay gacan ka geysaneysaa in la gaaro go'aanka ah in gebi ahaanba meesha laga saaro.
- Waa maxay codsiyada lagu qeexay siyaasadaha, laakiin codsiyadaas oo kale laguma arag taraafikada. Tani waxay kuu ogolaaneysaa inaad ka saarto codsiyada aan loo baahnayn ee oggolaanshaha sharciyada.
- Siyaasaddee ayaa ogolaatay wax walba, laakiin dhab ahaantii waxaa jiray codsiyo ku fiicnaan lahaa in si cad loo tilmaamo iyadoo loo eegayo habka Zero Trust.
Aynu gujino Aan La Isticmaalin
Si aan u tuso sida ay u shaqeyso, waxaan ku daray dhowr xeer oo ilaa hadda ma aysan seegin hal baakidh maanta. Waa kuwan liiskooda:
Waxaa laga yaabaa in waqti ka dib ay halkaas gaadiid joogto ah ka dibna ay ka lumi doonaan liiskan. Oo haddii ay liiskan ku jiraan 90 maalmood, markaa waxaad go'aansan kartaa inaad tirtirto sharciyadan. Ka dib oo dhan, sharci kastaa wuxuu bixiyaa fursad loogu talagalay hackers.
Dhibaato dhab ah ayaa jirta marka la habeynayo dab-damiska: shaqaale cusub ayaa yimaada, wuxuu eegaa sharciyada firewall-ka, haddii aysan wax faallo ah ka helin oo uusan garanayn sababta xeerkan loo sameeyay, haddii loo baahan yahay, iyo in kale. la tirtiro: si lama filaan ah qofku fasax ayuu ku jiraa 30 maalmood gudahooda, taraafikada ayaa mar kale ka qulquli doonta adeegga uu u baahan yahay. Kaliya shaqadani waxay ka caawisaa inuu go'aan gaaro - qofna ma isticmaalo - tirtir!
Guji App-ka Aan La Isticmaalin
Waxaan guji App-ka aan la isticmaalin ee optimizer-ka waxaanan aragnaa in macluumaadka xiisaha leh uu ka furmayo daaqadda ugu weyn.
Waxaan aragnaa inay jiraan saddex xeer, halkaas oo tirada codsiyada la oggol yahay iyo tirada codsiyada dhabta ah ee sharcigan ansixiyay ay kala duwan yihiin.
Waan gujin karnaa oo aragnaa liiska codsiyadan oo aan is barbar dhigno liisaskan.
Tusaale ahaan, dhagsii badhanka Isbarbardhigga ee qaanuunka Max.
Halkan waxaad ku arki kartaa in codsiyada facebook, instagram, telegram, vkontakte la oggolaaday. Laakiin dhab ahaantii, taraafiggu waxa uu aaday kaliya qaar ka mid ah codsiyada hoose. Halkan waxaad u baahan tahay inaad fahamto in codsiga facebook uu ka kooban yahay dhowr codsi-hoosaadyo.
Dhammaan liiska codsiyada NGFW waxaa laga arki karaa bogga internetka iyo in interface-ka dab-damiska laftiisa, ee walxaha->Qaybta Codsiyada iyo raadinta, ku qor magaca codsiga: facebook, waxaad heli doontaa natiijada soo socota:
Markaa, qaar ka mid ah codsi-hoosaadyadan waxaa arkay NGFW, laakiin qaar lama arag. Dhab ahaantii, waxaad si gaar ah u mamnuuci kartaa oo u oggolaan kartaa hawl-hoosaadyo kala duwan oo Facebook ah. Tusaale ahaan, oggolow daawashada fariimaha, laakiin mamnuuc wada sheekaysiga ama wareejinta faylka. Marka la eego, Siyaasadda Optimizer ayaa ka hadlaysa tan oo waxaad samayn kartaa go'aan: ha u oggolaan dhammaan codsiyada Facebook, laakiin kaliya kuwa ugu muhiimsan.
Markaa, waxaan ogaanay in liisasku ka duwan yahay. Waxaad hubin kartaa in sharcigu ogolyahay kaliya codsiyada dhabta ah ee ku socda shabakada. Si tan loo sameeyo, waxaad gujisaa badhanka MatchUsage. Waxay u egtahay sidan:
Waxaad sidoo kale ku dari kartaa codsiyada aad u aragto inay lagama maarmaan tahay - badhanka ku dar dhinaca bidix ee daaqada:
Kadibna sharcigan waa la dabaqi karaa oo la tijaabin karaa. Hambalyo!
Guji Wax Apps ah oo cayiman.
Xaaladdan oo kale, daaqad ammaan oo muhiim ah ayaa furmi doonta.
Waxay u badan tahay inay jiraan shuruuc badan oo noocaas ah shabakadaada halkaasoo codsiga heerka L7 aan si cad loo cayimin. Shabakaddayda waxaa ku jira qaanuun caynkaas ah - aan ku xasuusiyo in aan sameeyay intii lagu jiray dejinta bilowga, gaar ahaan si aan u tuso sida Siyaasadda Optimizer u shaqeyso.
Sawirku wuxuu muujinayaa in qaanuunka AllowAll uu oggolaaday 9 gigabytes ee taraafikada muddada u dhaxaysa Maarso 17 ilaa Maarso 220, taas oo ah 150 codsiyo kala duwan oo shabakadayda ah. Taasina kuma filna. Caadi ahaan, isku cel-celis ahaan isku-xidhka shirkadeed cabirkeedu wuxuu leeyahay 200-300 codsiyo kala duwan.
Markaa, hal sharci ayaa ogolanaya in la soo mariyo ilaa 150 codsi. Caadi ahaan tani waxay ka dhigan tahay in firewall-ka aan si sax ah loo habeynin, sababtoo ah sida caadiga ah hal sharci ayaa u oggolaanaya 1-10 codsiyo ujeedooyin kala duwan. Aynu aragno waxa ay codsiyadani yihiin: guji badhanka Compare:
Waxa ugu yaabka badan ee maamulaha ee shaqada Siyaasadda Optimizer waa badhanka Isticmaalka Match - waxaad ku abuuri kartaa xeer hal gujin, halkaas oo aad geli doonto dhammaan 150 codsi. In tan gacanta lagu sameeyo waxay qaadanaysaa waqti dheer. Tirada hawlaha maamulaha uu ku shaqeeyo, xitaa shabakadayda 10 qalab, waa mid aad u weyn.
Waxaan haystaa 150 codsi oo kala duwan oo guriga ku socda, wareejinta gigabytes ee taraafikada! Oo imisa ayaad haysaa?
Laakiin maxaa ku dhacaya shabakad ka kooban 100 qalab ama 1000 ama 10000? Waxaan arkay dab-damis leh 8000 oo sharci ah aad ayaan ugu faraxsanahay in maamulayaashu hadda haystaan ββqalab iswada oo ku habboon.
Qaar ka mid ah codsiyada moduleka falanqaynta codsiga L7 ee NGFW arkay oo muujiyay inaadan u baahnayn shabakadda, si aad si fudud uga saartid liiska sharciyada oggolaanshaha, ama xidhi xeerarka adoo isticmaalaya badhanka Clone (ee interface ugu weyn) iyo U oggolow hal sharci oo codsi ah, oo gudaha waxaad xannibi doontaa codsiyada kale maadaama aan hubaal looga baahnayn shabakaddaada. Codsiyada noocan oo kale ah waxaa badanaa ka mid ah bittorent, uumi, ultrasurf, tor, tunnels qarsoon sida tcp-over-dns iyo kuwa kale.
Hagaag, aynu gujino xeer kale oo aan aragno waxaad halkaas ku arki karto:
Haa, waxaa jira codsiyo caadi ah oo loogu talagalay multicast. Waa inaan u oggolaanaa daawashada fiidyaha khadka tooska ah inay shaqeeyaan. Guji Isticmaalka Match. Wayn! Thanks Policy Optimizer.
Ka waran Barashada Mashiinka?
Hadda waa moodada in laga hadlo otomaatiga. Waxa aan ku tilmaamay ayaa soo baxay - wax badan ayay caawisaa. Waxaa jirta hal suurtagal oo kale oo ay tahay inaan ka hadlo. Tani waa shaqeynta Barashada Mashiinka ee lagu dhex dhisay utility Expedition, taas oo horay loo soo sheegay. Utility-gan, waxa suurtagal ah in aad ka wareejiso xeerarka dab-damiskaadi hore ee soo saaraha kale. Waxa kale oo jirta awood lagu falanqeynayo diiwaannada taraafikada ee Palo Alto Networks oo ay soo jeediyaan xeerarka loo qoro. Tani waxay la mid tahay shaqeynta Siyaasadda Optimizer, laakiin Expedition xitaa waa la ballaariyay waxaana lagu siinayaa liis sharciyo diyaarsan - waxaad u baahan tahay oo kaliya inaad ansixiso.
Si loo tijaabiyo shaqeyntan, waxaa jira shaqo shaybaar - waxaan ugu yeernaa wadista tijaabada. Tijaabadaan waxaa lagu samayn karaa iyada oo la galiyo firewalls-ka farsamada, kaas oo shaqaalaha xafiiska Palo Alto Networks ee Moscow ay bilaabi doonaan codsigaaga.
Codsiga waxaa loo diri karaa [emailka waa la ilaaliyay] Codsigana ku qor: "Waxaan rabaa in aan UTD u sameeyo Habka Socdaalka."
Dhab ahaantii, shaqada shaybaadhka ee loo yaqaan "Unified Test Drive" (UTD) waxay leedahay doorashooyin dhowr ah iyo dhammaantood codsi ka dib.
Isticmaalayaasha diiwaangashan oo keliya ayaa ka qaybqaadan kara sahanka. , soo dhawoow.
Ma jeclaan lahayd in qof kugu caawiyo hagaajinta siyaasadaha dab-damiska?
-
Haa
-
No
-
Aniga qudhayda ayaan samayn doonaa
Qofna weli ma codaynin. Ma jiraan wax diiday.
Source: www.habr.com