ProHoster > Blog > Tsamaiso > Palo Alto Networks NGFW Security Policy Optimizer

Palo Alto Networks NGFW Security Policy Optimizer

Mokhoa oa ho Lekola Katleho ea Setupo sa NGFW

Mosebetsi o tloaelehileng haholo ke ho lekola hore na firewall ea hau e hlophisitsoe hantle hakae. Ho etsa sena, ho na le lisebelisoa le lits'ebeletso tsa mahala tse tsoang ho lik'hamphani tse sebetsanang le NGFW.

Ka mohlala, u ka bona ka tlase hore Palo Alto Networks e na le bokhoni ba ho tloha ka ho toba tšehetso portal tsamaisa tlhahlobo ea lipalo-palo tsa firewall - tlaleho ea SLR kapa tlhahlobo ea ho lumellana le mekhoa e metle - tlaleho ea BPA. Tsena ke lisebelisoa tsa mahala tsa inthanete tseo u ka li sebelisang ntle le ho kenya letho.
Palo Alto Networks NGFW Security Policy Optimizer

TIISETSO

Leeto (Sesebelisoa sa ho falla)
Policy Optimizer
Ts'epo ea Zero
Tobetsa ho E sa sebelisoe
Tobetsa ho App e sa sebelisoeng
Tobetsa Ha ho Lisebelisoa tse boletsoeng
Ho thoe'ng ka ho Ithuta ka Mechini?
UTD

Leeto (Sesebelisoa sa ho falla)

Palo Alto Networks NGFW Security Policy Optimizer

Khetho e rarahaneng haholoanyane ea ho lekola litlhophiso tsa hau ke ho khoasolla sesebelisoa sa mahala Expedition (eo pele e neng e le Sesebelisoa sa ho falla). E jarollotsoe e le Sesebelisoa sa Virtual bakeng sa VMware, ha ho litlhophiso tse hlokoang ka eona - o hloka ho khoasolla setšoantšo le ho se beha tlasa VMware hypervisor, e thakhole ebe o ea ho sehokelo sa webo. Ts'ebeliso ena e hloka pale e arohaneng, ke thupelo feela ho eona e nkang matsatsi a 5, ho na le mesebetsi e mengata hona joale, ho kenyeletsoa ho Ithuta ka Mochini le ho falla ha litlhophiso tse fapaneng tsa maano, NAT le lintho bakeng sa bahlahisi ba fapaneng ba Firewall. Ke tla ngola haholoanyane ka ho Ithuta ka Mochini ka tlase ho mongolo.

Policy Optimizer

'Me khetho e bonolo ka ho fetisisa (IMHO), eo ke tla u joetsa eona ka botlalo kajeno, ke sesebelisoa sa pholisi se hahiloeng ka har'a sehokelo sa Palo Alto Networks ka boeona. Ho e bontša, ke kentse firewall lapeng mme ka ngola molao o bonolo: lumella leha e le efe ho leha e le efe. Ha e le hantle, ka linako tse ling ke bona melao e joalo esita le marang-rang a mekhatlo. Ka tlhaho, ke nolofalitse lintlha tsohle tsa ts'ireletso tsa NGFW, joalo ka ha u bona skrineng:
Palo Alto Networks NGFW Security Policy Optimizer

Setšoantšo se ka tlase se bontša mohlala oa li-firewall tsa lehae la ka tse sa lokisoang, moo hoo e batlang e le likhokahano tsohle li oela molaong oa ho qetela: AllowAll, joalokaha ho ka bonoa lipalo-palo ho kholomo ea Hit Count.
Palo Alto Networks NGFW Security Policy Optimizer

Ts'epo ea Zero

Ho na le mokhoa oa ts'ireletso o bitsoang Ts'epo ea Zero. Se boleloang ke sena: re tlameha ho lumella batho ba ka har'a marang-rang hantle hore ba be le likhokahano tseo ba li hlokang 'me ba hane ntho e' ngoe le e 'ngoe. Ke hore, re hloka ho eketsa melao e hlakileng bakeng sa likopo, basebelisi, lihlopha tsa URL, mefuta ea lifaele; thusa li-signature tsohle tsa IPS le antivirus, thusa sandboxing, ts'ireletso ea DNS, sebelisa IoC ho tsoa litsing tse fumanehang tsa Threat Intelligence. Ka kakaretso, ho na le palo e ntle ea mesebetsi ha ho etsoa firewall.

Ka tsela, palo e tlase ea litlhophiso tse hlokahalang bakeng sa Palo Alto Networks NGFW e hlalositsoe ho e 'ngoe ea litokomane tsa SANS: Palo Alto Networks Configuration Benchmark - Ke khothaletsa ho qala ka eona. Ehlile, ho na le mekhoa e metle ea ho theha firewall ho tsoa ho moetsi: Mokhoa o Molemo ka ho Fetisisa.

Kahoo, ke ne ke e-na le firewall lapeng ka beke. Ha re boneng hore na ho na le sephethephethe sa mofuta ofe marang-rang a ka:
Palo Alto Networks NGFW Security Policy Optimizer

Haeba u hlophisa ka palo ea mananeo, joale boholo ba tsona li bōpiloe ke bittorent, ebe ho tla SSL, ebe QUIC. Tsena ke lipalo-palo tsa sephethephethe se kenang le se tsoang: ho na le litlhahlobo tse ngata tsa kantle tsa router ea ka. Ho na le lits'ebetso tse fapaneng tse 150 marang-rang a ka.

Kahoo, tsena tsohle li ile tsa hloloheloa ke molao o le mong. Ha re boneng hore na Policy Optimizer e reng ka taba ena. Haeba u ne u sheba ka holimo skrineng ea sebopeho se nang le melao ea ts'ireletso, joale ka tlase ho le letšehali u bone fensetere e nyenyane e bontšang hore ho na le melao e ka ntlafatsoang. Ha re tobetse moo.

Seo Policy Optimizer e se bonts'ang:

  • Ke maano afe a neng a sa sebelisoe ho hang, matsatsi a 30, matsatsi a 90. Sena se thusa ho etsa qeto ea ho li tlosa ka ho feletseng.
  • Ke likopo life tse boletsoeng ho maano, empa ha ho likopo tse joalo tse fumanoeng sephethephetheng. Sena se o lumella ho tlosa lits'ebetso tse sa hlokahaleng ka ho lumella melao.
  • Ke maano afe a neng a lumella ntho e 'ngoe le e' ngoe, empa ha e le hantle ho ne ho e-na le likopo tse ka beng li bile monate ho bontša ka ho hlaka ho latela mokhoa oa Zero Trust.

Palo Alto Networks NGFW Security Policy Optimizer

Ha re tobetse Uussed.

Ho bontša hore na e sebetsa joang, ke kentse melao e 'maloa' me ho fihlela joale ha ba so fose pakete e le 'ngoe kajeno. Lenane la bona ke lena:
Palo Alto Networks NGFW Security Policy Optimizer
Mohlomong ha nako e ntse e ea ho tla ba le sephethephethe moo ebe joale ba tla nyamela lethathamong lena. 'Me haeba ba le lethathamong lena ka matsatsi a 90, joale u ka etsa qeto ea ho hlakola melao ena. Ntle le moo, molao o mong le o mong o fana ka monyetla bakeng sa mohatelli.

Ho na le bothata ba 'nete ha u lokisa firewall: mosebeletsi e mocha o tla, o sheba melao ea firewall, haeba ba se na maikutlo leha e le efe mme ha a tsebe hore na ke hobane'ng ha molao ona o bōpiloe, hore na o hlile o hlokahala, hore na o ka khona. ho hlakoloa: ka tšohanyetso motho o phomolong 'me ka mor'a matsatsi a 30, sephethephethe se tla boela se phalle ho tsoa tšebeletsong eo a e hlokang. 'Me mosebetsi ona o mo thusa ho etsa qeto - ha ho motho ea e sebelisang - e tlose!

Tobetsa ho App e sa sebelisoeng.

Re tobetsa ho App e sa sebelisoeng ho optimizer mme re bone hore tlhahisoleseling e khahlisang e bula fensetereng e kholo.

Rea bona hore ho na le melao e meraro, moo palo ea likopo tse lumelletsoeng le palo ea likopo tse hlileng li fetisitseng molao ona li fapane.
Palo Alto Networks NGFW Security Policy Optimizer
Re ka tobetsa le ho bona lenane la lits'ebetso tsena mme ra bapisa manane ana.
Ka mohlala, tobetsa konopo ea Bapisa bakeng sa molao oa Max.
Palo Alto Networks NGFW Security Policy Optimizer
Mona u ka bona hore likopo tsa facebook, instagram, telegram, vkontakte li ne li lumelloa. Empa ha e le hantle, sephethephethe se ile sa ea ho tse ling tsa li-sub-applications. Mona o hloka ho utloisisa hore ts'ebeliso ea facebook e na le lits'ebetso tse 'maloa tse nyane.

Lethathamo lohle la lits'ebetso tsa NGFW le ka bonoa ho portal applipedia.paloaltonnetworks.com 'me ka har'a sebopeho sa firewall ka boeona, karolong ea Lintho-> Likopo 'me ha u batla, thaepa lebitso la kopo: facebook, u tla fumana sephetho se latelang:
Palo Alto Networks NGFW Security Policy Optimizer
Kahoo, tse ling tsa lits'ebetso tsena tse nyane li ile tsa bonoa ke NGFW, empa tse ling ha lia ka tsa bonoa. Ebile, o ka thibela ka thoko le ho lumella likarolo tse fapaneng tsa Facebook. Mohlala, lumella ho sheba melaetsa, empa thibela ho qoqa kapa ho fetisa lifaele. Ka hona, Policy Optimizer e bua ka sena mme o ka etsa qeto: o se lumelle lits'ebetso tsohle tsa Facebook, empa tse kholo feela.

Kahoo, re ile ra hlokomela hore manane a fapane. U ka etsa bonnete ba hore melao e lumella feela lits'ebetso tse hlileng li tsamaeang marang-rang. Ho etsa sena, tobetsa konopo ea MatchUsage. E shebahala tjena:
Palo Alto Networks NGFW Security Policy Optimizer
Hape o ka eketsa lits'ebetso tseo o bonang li hlokahala - konopo ea Add ka lehlakoreng le letšehali la fensetere:
Palo Alto Networks NGFW Security Policy Optimizer
'Me joale molao ona o ka sebelisoa le ho lekoa. Kea u babatsa!

Tobetsa Ha ho Lisebelisoa tse boletsoeng.

Tabeng ena, fensetere ea bohlokoa ea tšireletso e tla buleha.
Palo Alto Networks NGFW Security Policy Optimizer
Mohlomong ho na le melao e mengata e joalo marang-rang a hau moo ts'ebeliso ea boemo ba L7 e sa hlalosoang ka ho hlaka. 'Me marang-rang a ka ho na le molao o joalo - e-re ke u hopotse hore ke o entse nakong ea ho seta ha pele, ka ho khetheha ho bontša kamoo Policy Optimizer e sebetsang kateng.

Setšoantšo se bontša hore molao oa AllowAll o lumelletse 9 gigabytes ea sephethephethe nakong ea ho tloha ka la 17 March ho ea ho la 220 March, e leng likopo tse fapaneng tsa 150 marang-rang a ka. Mme seo ha se a lekana. Ka tloaelo, marang-rang a boholo bo boholo a khoebo a na le lits'ebetso tse fapaneng tsa 200-300.

Kahoo, molao o le mong o lumella likopo tse ka bang 150. Ka tloaelo sena se bolela hore firewall ha e lokisoe ka nepo, hobane hangata molao o le mong o lumella lits'ebetso tse 1-10 bakeng sa merero e fapaneng. Ha re boneng hore na lits'ebetso tsena ke eng: tobetsa konopo ea Bapisa:
Palo Alto Networks NGFW Security Policy Optimizer
Ntho e babatsehang ka ho fetisisa bakeng sa mookameli mosebetsing oa Policy Optimizer ke konopo ea Match Use - o ka etsa molao ka ho tobetsa hanngoe, moo o tla kenya lits'ebetso tsohle tse 150 molaong. Ho etsa sena ka letsoho ho ka nka nako e telele haholo. Palo ea mesebetsi eo mookameli a ka sebetsang ho eona, esita le marang-rang a ka a lisebelisoa tse 10, e kholo haholo.

Ke na le likopo tse fapaneng tse 150 tse sebetsang lapeng, tse fetisang li-gigabyte tsa sephethephethe! Mme o na le bokae?

Empa ho etsahala'ng ka marang-rang a lisebelisoa tse 100 kapa 1000 kapa 10000? Ke bone li-firewall tse nang le melao ea 8000 mme ke thabile haholo hore ebe batsamaisi ba se ba na le lisebelisoa tse bonolo joalo tsa boiketsetso.

Tse ling tsa lits'ebetso tseo mojule oa tlhahlobo ea ts'ebeliso ea L7 ho NGFW e boneng le ho li bonts'a hore ha o na ho li hloka marang-rang, kahoo o li tlosa feela lethathamong la melao e lumellang, kapa o kopanya melao o sebelisa konopo ea Clone (ka har'a sehokelo se seholo) le li lumelle ho latela molao o le mong oa kopo, 'me ho U tla thibela lits'ebetso tse ling kaha ha li hlokehe ho netweke ea hau. Lisebelisoa tse joalo hangata li kenyelletsa bittorent, steam, ultrasurf, tor, lithanele tse patiloeng joalo ka tcp-over-dns le tse ling.
Palo Alto Networks NGFW Security Policy Optimizer
Joale, ha re tobetse ho molao o mong 'me u bone seo u ka se bonang moo:
Palo Alto Networks NGFW Security Policy Optimizer
Ee, ho na le lits'ebetso tse tloaelehileng bakeng sa multicast. Re tlameha ho ba lumella hore ba shebelle livideo inthaneteng hore ba sebetse. Tobetsa Tšebeliso ea Match. E kholo! Thanks Policy Optimizer.

Ho thoe'ng ka ho Ithuta ka Mechini?

Hona joale ke feshene ho bua ka automation. Seo ke se hlalositseng se hlahile - se thusa haholo. Ho na le monyetla o mong hape oo ke lokelang ho bua ka oona. Ena ke ts'ebetso ea ho Ithuta ka Mochini e hahiloeng ka har'a sesebelisoa sa Expedition, se neng se se se boletsoe ka holimo. Ts'ebetsong ena, hoa khoneha ho fetisetsa melao ho tloha ho firewall ea hau ea khale ho tloha ho moetsi e mong. Ho boetse ho na le bokhoni ba ho sekaseka lits'oants'o tsa sephethephethe tsa Palo Alto Networks le ho fana ka maikutlo a hore na u ngole melao efe. Sena se tšoana le ts'ebetso ea Policy Optimizer, empa ho Expedition e atolosoa le ho feta mme o fuoa lethathamo la melao e seng e entsoe - o hloka feela ho e amohela.
Ho hlahloba ts'ebetso ena, ho na le mosebetsi oa laboratori - re o bitsa teko ea teko. Teko ena e ka etsoa ka ho kena ka har'a li-firewalls, tseo basebetsi ba ofisi ea Palo Alto Networks ba Moscow ba tla li hlahisa ka kopo ea hau.
Palo Alto Networks NGFW Security Policy Optimizer
Kopo e ka romelloa ho [imeile e sirelelitsoe] 'me kopong e ngole: "Ke batla ho etsa UTD bakeng sa Ts'ebetso ea Phalliso."

Ebile, mosebetsi oa laboratori o bitsoang Unified Test Drive (UTD) o na le likhetho tse 'maloa mme kaofela ha tsona e fumanehang hole ka mora kopo.

Ke basebelisi ba ngolisitsoeng feela ba ka kenyang letsoho phuputsong. kenaka kopo.

A na u ka rata hore motho e mong au thuse ho ntlafatsa maano a hau a li-firewall?

  • hore

  • No

  • Ke tla e etsa kaofela ka bonna

Ha ho motho ea kileng a vouta. Ha ho na abstentions.

Source: www.habr.com

Eketsa ka tlhaloso