Jinsi ya kutathmini ufanisi wa urekebishaji wa NGFW
Kazi ya kawaida ni kuangalia jinsi firewall yako imesanidiwa. Ili kufanya hivyo, kuna huduma na huduma za bure kutoka kwa makampuni ambayo yanahusika na NGFW.
Kwa mfano, chini unaweza kuona kwamba Palo Alto Networks ina uwezo wa moja kwa moja kutoka endesha uchanganuzi wa takwimu za ngome - ripoti ya SLR au uchanganuzi wa kufuata kanuni bora - ripoti ya BPA. Hizi ni huduma za bure za mtandaoni ambazo unaweza kutumia bila kusakinisha chochote.
YALIYOMO
Safari (Zana ya Uhamiaji)
Chaguo ngumu zaidi ya kuangalia mipangilio yako ni kupakua matumizi ya bure (Zana ya Uhamiaji ya zamani). Imepakuliwa kama Kifaa Kinachoonekana kwa VMware, hakuna mipangilio inayohitajika nayo - unahitaji kupakua picha na kuiweka chini ya hypervisor ya VMware, iendeshe na uende kwenye kiolesura cha wavuti. Huduma hii inahitaji hadithi tofauti, kozi yake pekee huchukua siku 5, kuna utendakazi nyingi sana sasa, ikiwa ni pamoja na Mafunzo ya Mashine na uhamishaji wa usanidi mbalimbali wa sera, NAT na vipengee vya watengenezaji tofauti wa Firewall. Kuhusu Kujifunza kwa Mashine, nitaandika zaidi baadaye katika maandishi.
Kiboresha Sera
Na chaguo rahisi zaidi (IMHO), ambayo nitazungumza juu yake kwa undani zaidi leo, ni kiboreshaji cha sera kilichojengwa kwenye kiolesura cha Palo Alto Networks yenyewe. Ili kuionyesha, niliweka firewall nyumbani kwangu na kuandika sheria rahisi: kuruhusu yoyote kwa yoyote. Kimsingi, wakati mwingine mimi huona sheria kama hizo hata kwenye mitandao ya ushirika. Kwa kawaida, niliwezesha profaili zote za usalama za NGFW, kama unavyoona kwenye picha ya skrini:
Picha ya skrini iliyo hapa chini inaonyesha mfano wa ngome ya nyumba yangu ambayo haijasanidiwa, ambapo karibu miunganisho yote iko katika kanuni ya mwisho: RuhusuAll, kama inavyoweza kuonekana kutoka kwa takwimu katika safu wima ya Hit Count.
Zero Uaminifu
Kuna njia ya usalama inayoitwa . Hii inamaanisha nini: lazima turuhusu watu ndani ya mtandao miunganisho haswa ambayo wanahitaji na kuwakataza kila kitu kingine. Hiyo ni, tunahitaji kuongeza sheria wazi kwa programu, watumiaji, kategoria za URL, aina za faili; wezesha saini zote za IPS na antivirus, wezesha kisanduku cha mchanga, ulinzi wa DNS, tumia IoC kutoka kwa hifadhidata zinazopatikana za Upelelezi wa Tishio. Kwa ujumla, kuna kiasi cha kutosha cha kazi wakati wa kuanzisha firewall.
Kwa njia, seti ya chini ya mipangilio inayohitajika ya Palo Alto Networks NGFW imeelezewa katika mojawapo ya hati za SANS: Ninapendekeza kuanza nayo. Na kwa kweli, kuna seti ya mazoea bora ya kusanidi firewall kutoka kwa mtengenezaji: .
Kwa hiyo, nilikuwa na firewall nyumbani kwa wiki. Wacha tuone trafiki iko kwenye mtandao wangu:
Ikiwa imepangwa kwa idadi ya vikao, basi wengi wao huundwa na bittorent, kisha inakuja SSL, kisha QUIC. Hizi ni takwimu za trafiki zinazoingia na zinazotoka: kuna skanisho nyingi za nje za kipanga njia changu. Kuna programu 150 tofauti kwenye mtandao wangu.
Kwa hivyo, yote yalirukwa na sheria moja. Sasa hebu tuone Kiboreshaji cha Sera kinasema nini kuhusu hili. Ikiwa ulitazama picha ya skrini ya kiolesura na sheria za usalama hapo juu, basi uliona dirisha dogo chini kushoto, ambalo linaniashiria kuwa kuna sheria ambazo zinaweza kuboreshwa. Hebu bonyeza hapo.
Kinachoonyesha Kiboresha Sera:
- Sera zipi hazikutumika kabisa, siku 30, siku 90. Hii husaidia kufanya uamuzi wa kuwaondoa kabisa.
- Ni maombi gani yalibainishwa katika sera, lakini hakuna maombi kama hayo yaliyopatikana kwenye trafiki. Hii inakuwezesha kuondoa maombi yasiyo ya lazima katika kuruhusu sheria.
- Ni sera zipi ziliruhusu kila kitu, lakini kwa kweli kulikuwa na programu ambazo zingefaa kuonyesha wazi kulingana na mbinu ya Zero Trust.
Bonyeza Isiyotumika.
Ili kuonyesha jinsi inavyofanya kazi, niliongeza sheria chache na hadi sasa hawajakosa pakiti moja hadi sasa. Hii hapa orodha yao:
Pengine, baada ya muda, trafiki itapita huko na kisha watatoweka kutoka kwenye orodha hii. Na ikiwa wako kwenye orodha hii kwa siku 90, basi unaweza kuamua kuondoa sheria hizi. Baada ya yote, kila sheria hutoa fursa kwa hacker.
Kuna shida ya kweli na usanidi wa firewall: mfanyakazi mpya anakuja, anaangalia sheria za firewall, ikiwa hawana maoni na hajui kwa nini sheria hii iliundwa, ni muhimu sana, inaweza kufutwa: ghafla mtu huyo likizoni na kwa siku 30 trafiki itatoka tena kutoka kwa huduma inayohitaji. Na kazi hii tu inamsaidia kufanya uamuzi - hakuna mtu anayetumia - kuifuta!
Bofya kwenye Programu Isiyotumiwa.
Tunabofya Programu Isiyotumiwa katika kiboreshaji na kuona kwamba habari ya kuvutia inafungua kwenye dirisha kuu.
Tunaona kwamba kuna sheria tatu, ambapo idadi ya maombi kuruhusiwa na idadi ya maombi ambayo kwa kweli kupita sheria hii ni tofauti.
Tunaweza kubofya na kuona orodha ya programu hizi na kulinganisha orodha hizi.
Kwa mfano, hebu bonyeza kitufe cha Linganisha kwa utawala wa Max.
Hapa unaweza kuona kwamba maombi ya facebook, instagram, telegram, vkontakte yaliruhusiwa. Lakini kwa kweli, trafiki ilipitia tu sehemu ya programu ndogo. Hapa unahitaji kuelewa kuwa programu ya facebook ina programu ndogo kadhaa.
Orodha nzima ya programu za NGFW inaweza kuonekana kwenye lango na katika kiolesura cha firewall yenyewe, katika Vitu-> Sehemu ya Maombi na katika utaftaji, chapa jina la programu: facebook, utapata matokeo yafuatayo:
Kwa hivyo, NGFW iliona baadhi ya maombi haya madogo, na baadhi hawakuona. Kwa kweli, unaweza kuzima na kuwezesha vitendaji tofauti tofauti vya facebook. Kwa mfano, hukuruhusu kutazama ujumbe, lakini piga marufuku uhamishaji wa gumzo au faili. Ipasavyo, Optimizer ya Sera inazungumza juu ya hili na unaweza kufanya uamuzi: usiruhusu programu zote za Facebook, lakini zile kuu tu.
Kwa hivyo, tuligundua kuwa orodha ni tofauti. Unaweza kuhakikisha kuwa sheria zinaruhusu programu tumizi ambazo zinazurura mtandaoni pekee. Ili kufanya hivyo, bonyeza kitufe cha MatchUsage. Inageuka kama hii:
Na unaweza pia kuongeza programu ambazo unaona ni muhimu - kitufe cha Ongeza upande wa kushoto wa dirisha:
Na kisha sheria hii inaweza kutumika na kupimwa. Hongera!
Bofya Hakuna Programu Zilizoainishwa.
Katika kesi hii, dirisha muhimu la usalama litafungua.
Kuna uwezekano mkubwa kuwa kuna sheria nyingi kama hizi ambapo programu ya kiwango cha L7 haijabainishwa wazi katika mtandao wako. Na katika mtandao wangu kuna sheria kama hiyo - wacha nikukumbushe kwamba niliifanya wakati wa usanidi wa awali, haswa ili kuonyesha jinsi Kiboreshaji cha Sera kinavyofanya kazi.
Picha inaonyesha kuwa sheria ya RuhusuAll ilikosa gigabaiti 9 za trafiki katika kipindi cha kuanzia Machi 17 hadi Machi 220, ambayo ni jumla ya programu 150 tofauti kwenye mtandao wangu. Na hii bado haitoshi. Kwa kawaida, mtandao wa ushirika wa ukubwa wa kati una maombi 200-300 tofauti.
Kwa hivyo, sheria moja inakosa maombi mengi kama 150. Kawaida hii inamaanisha kuwa ngome imesanidiwa vibaya, kwa sababu kawaida maombi 1-10 kwa madhumuni tofauti yanarukwa katika sheria moja. Hebu tuone maombi haya ni nini: bofya kitufe cha Linganisha:
Jambo la ajabu zaidi kwa msimamizi katika kipengele cha Optimizer Policy ni kifungo cha Matumizi ya Mechi - unaweza kuunda sheria kwa kubofya mara moja, ambapo utaingiza maombi yote 150 kwenye sheria. Kuifanya mwenyewe kungechukua muda mrefu sana. Idadi ya kazi za msimamizi, hata kwenye mtandao wangu wa vifaa 10, ni kubwa.
Nina programu 150 tofauti zinazoendesha nyumbani, kusambaza gigabytes ya trafiki! Na una kiasi gani?
Lakini nini kinatokea katika mtandao wa vifaa 100 au 1000 au 10000? Nimeona ngome zilizo na sheria 8000 na ninafurahi sana kwamba wasimamizi sasa wana zana rahisi za otomatiki.
Hutahitaji baadhi ya programu ambazo moduli ya uchanganuzi wa programu ya L7 katika NGFW iliona na ilionyesha kwenye mtandao, kwa hivyo unaziondoa tu kutoka kwenye orodha ya sheria ya kuruhusu, au kuiga sheria na kitufe cha Clone (katika kiolesura kikuu) na uruhusu katika sheria moja ya programu, na katika Zuia programu zingine kana kwamba hazihitajiki kwenye mtandao wako. Utumizi kama huo mara nyingi huwa bitorent, mvuke, ultrasurf, tor, vichuguu vilivyofichwa kama tcp-over-dns na zingine.
Kweli, bonyeza kwenye sheria nyingine - unachoweza kuona hapo:
Ndiyo, kuna programu maalum kwa multicast. Ni lazima tuziruhusu ili utazamaji wa video kupitia mtandao ufanye kazi. Bofya Matumizi ya Mechi. Kubwa! Asante Kiboresha Sera.
Vipi kuhusu Kujifunza kwa Mashine?
Sasa ni mtindo kuzungumza juu ya automatisering. Nilichoelezea kilitoka - inasaidia sana. Kuna uwezekano mwingine ambao lazima nitaje. Huu ni utendakazi wa Kujifunza kwa Mashine uliojumuishwa katika matumizi ya Safari ya Kujifunza iliyotajwa hapo juu. Katika shirika hili, inawezekana kuhamisha sheria kutoka kwa firewall yako ya zamani kutoka kwa mtengenezaji mwingine. Na pia kuna uwezo wa kuchambua kumbukumbu za trafiki zilizopo za Mitandao ya Palo Alto na kupendekeza ni sheria gani za kuandika. Hii ni sawa na utendaji wa Kiboresha Sera, lakini katika Safari ya Kujifunza ni ya juu zaidi na unapewa orodha ya sheria zilizowekwa tayari - unahitaji tu kuziidhinisha.
Ili kupima utendaji huu, kuna kazi ya maabara - tunaiita gari la mtihani. Jaribio hili linaweza kufanywa kwa kwenda kwenye ngome za mtandaoni ambazo wafanyakazi wa ofisi ya Palo Alto Networks Moscow watazindua kwa ombi lako.
Ombi linaweza kutumwa kwa [barua pepe inalindwa] na katika ombi andika: "Nataka kutengeneza UTD kwa Mchakato wa Uhamiaji."
Kwa kweli, kuna chaguzi kadhaa za maabara zinazoitwa Hifadhi ya Jaribio la Umoja (UTD) na zote baada ya ombi.
Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. tafadhali.
Je, unataka mtu akusaidie kuboresha sera zako za ngome?
-
ΠΠ°
-
Hakuna
-
Nitafanya kila kitu mwenyewe
Bado hakuna mtu aliyepiga kura. Hakuna kujizuia.
Chanzo: mapenzi.com