NGFW அமைப்பின் செயல்திறனை எவ்வாறு மதிப்பிடுவது
உங்கள் ஃபயர்வால் எவ்வளவு திறம்பட கட்டமைக்கப்பட்டுள்ளது என்பதைச் சரிபார்ப்பது மிகவும் பொதுவான பணியாகும். இதைச் செய்ய, NGFW ஐக் கையாளும் நிறுவனங்களின் இலவச பயன்பாடுகள் மற்றும் சேவைகள் உள்ளன.
எடுத்துக்காட்டாக, பாலோ ஆல்டோ நெட்வொர்க்குகள் நேரடியாகச் செல்லும் திறனைக் கீழே காணலாம் ஃபயர்வால் புள்ளிவிவரங்களின் பகுப்பாய்வை இயக்கவும் - SLR அறிக்கை அல்லது சிறந்த நடைமுறைகளுடன் இணக்கம் பற்றிய பகுப்பாய்வு - BPA அறிக்கை. இவை எதையும் நிறுவாமல் நீங்கள் பயன்படுத்தக்கூடிய இலவச ஆன்லைன் பயன்பாடுகள்.
பொருளடக்கம்
பயணம் (இடம்பெயர்வு கருவி)
உங்கள் அமைப்புகளைச் சரிபார்ப்பதற்கான மிகவும் சிக்கலான விருப்பம் ஒரு இலவச பயன்பாட்டைப் பதிவிறக்குவது (முன்பு இடம்பெயர்வு கருவி). இது VMware க்கான மெய்நிகர் சாதனமாக பதிவிறக்கம் செய்யப்படுகிறது, அதனுடன் எந்த அமைப்புகளும் தேவையில்லை - நீங்கள் படத்தை பதிவிறக்கம் செய்து VMware ஹைப்பர்வைசரின் கீழ் வரிசைப்படுத்த வேண்டும், அதைத் துவக்கி இணைய இடைமுகத்திற்குச் செல்ல வேண்டும். இந்த பயன்பாட்டிற்கு ஒரு தனி கதை தேவைப்படுகிறது, அதன் பாடநெறிக்கு 5 நாட்கள் மட்டுமே ஆகும், இப்போது இயந்திர கற்றல் மற்றும் பல்வேறு ஃபயர்வால் உற்பத்தியாளர்களுக்கான கொள்கைகள், NAT மற்றும் பொருள்களின் பல்வேறு கட்டமைப்புகளின் இடம்பெயர்வு உட்பட பல செயல்பாடுகள் உள்ளன. மெஷின் லேர்னிங் பற்றி கீழே உரையில் எழுதுகிறேன்.
பாலிசி ஆப்டிமைசர்
மற்றும் மிகவும் வசதியான விருப்பம் (IMHO), இது பற்றி இன்று நான் உங்களுக்கு விரிவாக கூறுவேன், இது பாலோ ஆல்டோ நெட்வொர்க்குகள் இடைமுகத்தில் கட்டமைக்கப்பட்ட பாலிசி ஆப்டிமைசர் ஆகும். அதை நிரூபிக்க, நான் வீட்டில் ஒரு ஃபயர்வாலை நிறுவி ஒரு எளிய விதியை எழுதினேன்: எதையும் அனுமதிக்கவும். கொள்கையளவில், கார்ப்பரேட் நெட்வொர்க்குகளில் கூட இதுபோன்ற விதிகளை நான் சில நேரங்களில் பார்க்கிறேன். இயற்கையாகவே, ஸ்கிரீன்ஷாட்டில் நீங்கள் காணக்கூடிய அனைத்து NGFW பாதுகாப்பு சுயவிவரங்களையும் நான் இயக்கியுள்ளேன்:
கீழே உள்ள ஸ்கிரீன்ஷாட் எனது வீட்டில் உள்ளமைக்கப்படாத ஃபயர்வாலின் உதாரணத்தைக் காட்டுகிறது, அங்கு கிட்டத்தட்ட எல்லா இணைப்புகளும் கடைசி விதிக்கு உட்பட்டவை: AllowAll, ஹிட் கவுண்ட் நெடுவரிசையில் உள்ள புள்ளிவிவரங்களிலிருந்து பார்க்க முடியும்.
ஜீரோ டிரஸ்ட்
பாதுகாப்பு என்று ஒரு அணுகுமுறை உள்ளது . இதன் பொருள் என்ன: நெட்வொர்க்கில் உள்ளவர்களுக்குத் தேவையான இணைப்புகளை நாம் அனுமதிக்க வேண்டும் மற்றும் எல்லாவற்றையும் மறுக்க வேண்டும். அதாவது, பயன்பாடுகள், பயனர்கள், URL வகைகள், கோப்பு வகைகளுக்கான தெளிவான விதிகளைச் சேர்க்க வேண்டும்; அனைத்து ஐபிஎஸ் மற்றும் வைரஸ் தடுப்பு கையொப்பங்களையும் இயக்கவும், சாண்ட்பாக்சிங், டிஎன்எஸ் பாதுகாப்பை இயக்கவும், கிடைக்கக்கூடிய அச்சுறுத்தல் நுண்ணறிவு தரவுத்தளங்களிலிருந்து IoC ஐப் பயன்படுத்தவும். பொதுவாக, ஃபயர்வாலை அமைக்கும் போது ஒழுக்கமான எண்ணிக்கையிலான பணிகள் உள்ளன.
மூலம், Palo Alto Networks NGFW க்கு தேவையான குறைந்தபட்ச அமைப்புகளின் தொகுப்பு SANS ஆவணங்களில் ஒன்றில் விவரிக்கப்பட்டுள்ளது: - நான் அதை தொடங்க பரிந்துரைக்கிறேன். நிச்சயமாக, உற்பத்தியாளரிடமிருந்து ஃபயர்வாலை அமைப்பதற்கான சிறந்த நடைமுறைகளின் தொகுப்பு உள்ளது: .
அதனால், வீட்டில் ஒரு வாரம் ஃபயர்வால் வைத்திருந்தேன். எனது நெட்வொர்க்கில் என்ன வகையான போக்குவரத்து உள்ளது என்பதைப் பார்ப்போம்:
அமர்வுகளின் எண்ணிக்கையால் நீங்கள் வரிசைப்படுத்தினால், அவற்றில் பெரும்பாலானவை பிட்டோரண்டால் உருவாக்கப்பட்டவை, பின்னர் SSL, பின்னர் QUIC. இவை உள்வரும் மற்றும் வெளிச்செல்லும் போக்குவரத்திற்கான புள்ளிவிவரங்கள்: எனது திசைவியின் வெளிப்புற ஸ்கேன்கள் நிறைய உள்ளன. எனது நெட்வொர்க்கில் 150 வெவ்வேறு பயன்பாடுகள் உள்ளன.
எனவே, இவை அனைத்தும் ஒரு விதியால் தவறவிட்டன. பாலிசி ஆப்டிமைசர் இதைப் பற்றி என்ன சொல்கிறது என்று இப்போது பார்க்கலாம். பாதுகாப்பு விதிகளுடன் இடைமுகத்தின் ஸ்கிரீன்ஷாட்டை நீங்கள் மேலே பார்த்திருந்தால், கீழே இடதுபுறத்தில் ஒரு சிறிய சாளரத்தைக் கண்டீர்கள், அது உகந்ததாக இருக்கக்கூடிய விதிகள் உள்ளன என்று எனக்குச் சுட்டிக்காட்டுகிறது. அங்கே கிளிக் செய்யலாம்.
பாலிசி ஆப்டிமைசர் என்ன காட்டுகிறது:
- எந்தக் கொள்கைகள் பயன்படுத்தப்படவில்லை, 30 நாட்கள், 90 நாட்கள். அவற்றை முழுமையாக அகற்றுவதற்கான முடிவை எடுக்க இது உதவுகிறது.
- கொள்கைகளில் என்ன பயன்பாடுகள் குறிப்பிடப்பட்டுள்ளன, ஆனால் டிராஃபிக்கில் அத்தகைய பயன்பாடுகள் எதுவும் கண்டறியப்படவில்லை. விதிகளை அனுமதிப்பதில் தேவையற்ற பயன்பாடுகளை நீக்க இது உங்களை அனுமதிக்கிறது.
- எந்தக் கொள்கைகள் அனைத்தையும் அனுமதித்தன, ஆனால் ஜீரோ டிரஸ்ட் முறையின்படி வெளிப்படையாகக் குறிப்பிடும் பயன்பாடுகள் உண்மையில் இருந்தன.
Unused என்பதைக் கிளிக் செய்யலாம்.
இது எப்படி வேலை செய்கிறது என்பதைக் காட்ட, நான் சில விதிகளைச் சேர்த்துள்ளேன், இதுவரை அவர்கள் ஒரு பாக்கெட்டையும் தவறவிடவில்லை. அவற்றின் பட்டியல் இதோ:
ஒருவேளை காலப்போக்கில் அங்கு போக்குவரத்து இருக்கும், பின்னர் அவை இந்த பட்டியலில் இருந்து மறைந்துவிடும். அவர்கள் 90 நாட்களுக்கு இந்தப் பட்டியலில் இருந்தால், இந்த விதிகளை நீக்க நீங்கள் முடிவு செய்யலாம். எல்லாவற்றிற்கும் மேலாக, ஒவ்வொரு விதியும் ஒரு ஹேக்கருக்கு ஒரு வாய்ப்பை வழங்குகிறது.
ஃபயர்வாலை உள்ளமைக்கும்போது ஒரு உண்மையான சிக்கல் உள்ளது: ஒரு புதிய ஊழியர் வருகிறார், ஃபயர்வால் விதிகளைப் பார்க்கிறார், அவர்களுக்கு எந்தக் கருத்தும் இல்லை என்றால், இந்த விதி ஏன் உருவாக்கப்பட்டது என்பது அவருக்குத் தெரியவில்லை என்றால், அது உண்மையில் தேவையா, முடியுமா? நீக்கப்படும்: திடீரென்று நபர் விடுமுறையில் இருக்கிறார், 30 நாட்களுக்குப் பிறகு, அவருக்குத் தேவையான சேவையிலிருந்து போக்குவரத்து மீண்டும் வரும். இந்த செயல்பாடு அவருக்கு ஒரு முடிவை எடுக்க உதவுகிறது - யாரும் அதைப் பயன்படுத்துவதில்லை - அதை நீக்கவும்!
பயன்படுத்தப்படாத பயன்பாட்டை கிளிக் செய்யவும்.
ஆப்டிமைசரில் பயன்படுத்தப்படாத பயன்பாட்டைக் கிளிக் செய்து, முக்கிய சாளரத்தில் சுவாரஸ்யமான தகவல் திறக்கப்படுவதைப் பார்க்கிறோம்.
அனுமதிக்கப்பட்ட விண்ணப்பங்களின் எண்ணிக்கையும் உண்மையில் இந்த விதியை நிறைவேற்றிய விண்ணப்பங்களின் எண்ணிக்கையும் வித்தியாசமாக இருக்கும் மூன்று விதிகள் இருப்பதைக் காண்கிறோம்.
இந்த அப்ளிகேஷன்களின் பட்டியலைக் கிளிக் செய்து பார்க்கலாம் மற்றும் இந்த பட்டியல்களை ஒப்பிடலாம்.
எடுத்துக்காட்டாக, மேக்ஸ் விதிக்கான ஒப்பிடு பொத்தானைக் கிளிக் செய்க.
ஃபேஸ்புக், இன்ஸ்டாகிராம், டெலிகிராம், vkontakte போன்ற பயன்பாடுகள் அனுமதிக்கப்பட்டதை இங்கே காணலாம். ஆனால் உண்மையில், போக்குவரத்து சில துணை பயன்பாடுகளுக்கு மட்டுமே சென்றது. பேஸ்புக் பயன்பாட்டில் பல துணை பயன்பாடுகள் உள்ளன என்பதை இங்கே நீங்கள் புரிந்து கொள்ள வேண்டும்.
NGFW பயன்பாடுகளின் முழு பட்டியலையும் போர்ட்டலில் காணலாம் மற்றும் ஃபயர்வால் இடைமுகத்திலேயே, ஆப்ஜெக்ட்ஸ்->பயன்பாடுகள் பிரிவில் மற்றும் தேடலில், பயன்பாட்டின் பெயரை உள்ளிடவும்: facebook, பின்வரும் முடிவைப் பெறுவீர்கள்:
எனவே, இந்த துணை பயன்பாடுகளில் சில NGFW ஆல் பார்க்கப்பட்டன, ஆனால் சில இல்லை. உண்மையில், நீங்கள் தனித்தனியாக பேஸ்புக்கின் பல்வேறு துணை செயல்பாடுகளை தடை செய்யலாம் மற்றும் அனுமதிக்கலாம். எடுத்துக்காட்டாக, செய்திகளைப் பார்க்க அனுமதிக்கவும், ஆனால் அரட்டை அல்லது கோப்பு பரிமாற்றத்தை தடை செய்யவும். அதன்படி, பாலிசி ஆப்டிமைசர் இதைப் பற்றி பேசுகிறது மற்றும் நீங்கள் ஒரு முடிவை எடுக்கலாம்: அனைத்து பேஸ்புக் பயன்பாடுகளையும் அனுமதிக்காது, ஆனால் முக்கிய பயன்பாடுகள் மட்டுமே.
எனவே, பட்டியல்கள் வேறுபட்டவை என்பதை நாங்கள் உணர்ந்தோம். நெட்வொர்க்கில் உண்மையில் பயணிக்கும் பயன்பாடுகளை மட்டுமே விதிகள் அனுமதிக்கின்றன என்பதை உறுதிப்படுத்திக் கொள்ளலாம். இதைச் செய்ய, நீங்கள் MatchUsage பொத்தானைக் கிளிக் செய்க. இது இப்படி மாறிவிடும்:
மேலும் நீங்கள் அவசியமாகக் கருதும் பயன்பாடுகளையும் சேர்க்கலாம் - சாளரத்தின் இடது பக்கத்தில் உள்ள சேர் பொத்தான்:
பின்னர் இந்த விதி பயன்படுத்தப்பட்டு சோதிக்கப்படலாம். வாழ்த்துகள்!
எந்த ஆப்ஸ் குறிப்பிடப்படவில்லை என்பதைக் கிளிக் செய்யவும்.
இந்த வழக்கில், ஒரு முக்கியமான பாதுகாப்பு சாளரம் திறக்கும்.
L7 நிலை பயன்பாடு வெளிப்படையாகக் குறிப்பிடப்படாத உங்கள் நெட்வொர்க்கில் இதுபோன்ற விதிகள் நிறைய இருக்கலாம். எனது நெட்வொர்க்கில் அத்தகைய விதி உள்ளது - ஆரம்ப அமைப்பின் போது நான் அதை செய்தேன் என்பதை உங்களுக்கு நினைவூட்டுகிறேன், குறிப்பாக பாலிசி ஆப்டிமைசர் எவ்வாறு செயல்படுகிறது என்பதைக் காட்ட.
மார்ச் 9 முதல் மார்ச் 17 வரையிலான காலகட்டத்தில் AllowAll விதி 220 ஜிகாபைட் டிராஃபிக்கை அனுமதித்துள்ளது என்பதை படம் காட்டுகிறது, இது எனது நெட்வொர்க்கில் 150 வெவ்வேறு பயன்பாடுகள். அதுவும் போதாது. பொதுவாக, சராசரி அளவிலான கார்ப்பரேட் நெட்வொர்க்கில் 200-300 வெவ்வேறு பயன்பாடுகள் உள்ளன.
எனவே, ஒரு விதி 150 பயன்பாடுகளை அனுமதிக்கிறது. பொதுவாக இதன் பொருள் ஃபயர்வால் சரியாக உள்ளமைக்கப்படவில்லை, ஏனெனில் பொதுவாக ஒரு விதி 1-10 பயன்பாடுகளை வெவ்வேறு நோக்கங்களுக்காக அனுமதிக்கிறது. இந்த பயன்பாடுகள் என்னவென்று பார்ப்போம்: ஒப்பிடு பொத்தானைக் கிளிக் செய்க:
பாலிசி ஆப்டிமைசர் செயல்பாட்டில் ஒரு நிர்வாகிக்கு மிக அற்புதமான விஷயம் மேட்ச் யூஸேஜ் பொத்தான் - ஒரே கிளிக்கில் நீங்கள் ஒரு விதியை உருவாக்கலாம், அங்கு நீங்கள் அனைத்து 150 பயன்பாடுகளையும் விதியில் உள்ளிடுவீர்கள். கைமுறையாக இதைச் செய்வது நீண்ட நேரம் எடுக்கும். எனது 10 சாதனங்களின் நெட்வொர்க்கில் கூட ஒரு நிர்வாகி வேலை செய்ய வேண்டிய பணிகளின் எண்ணிக்கை மிகப்பெரியது.
என்னிடம் 150 வெவ்வேறு பயன்பாடுகள் வீட்டில் இயங்குகின்றன, ஜிகாபைட் டிராஃபிக்கை மாற்றுகிறது! மேலும் உங்களிடம் எவ்வளவு இருக்கிறது?
ஆனால் 100 சாதனங்கள் அல்லது 1000 அல்லது 10000 நெட்வொர்க்கில் என்ன நடக்கிறது? 8000 விதிகள் கொண்ட ஃபயர்வால்களை நான் பார்த்திருக்கிறேன், இப்போது நிர்வாகிகளிடம் இதுபோன்ற வசதியான ஆட்டோமேஷன் கருவிகள் இருப்பதில் நான் மிகவும் மகிழ்ச்சியடைகிறேன்.
NGFW இல் உள்ள L7 பயன்பாட்டு பகுப்பாய்வு தொகுதி உங்களுக்கு நெட்வொர்க்கில் தேவைப்படாது என்று காட்டிய சில பயன்பாடுகள், எனவே நீங்கள் அவற்றை அனுமதிக்கும் விதிகளின் பட்டியலிலிருந்து அகற்றலாம் அல்லது குளோன் பொத்தானை (முக்கிய இடைமுகத்தில்) பயன்படுத்தி விதிகளை குளோன் செய்யலாம். ஒரு பயன்பாட்டு விதியில் அவற்றை அனுமதிக்கவும், உங்கள் நெட்வொர்க்கில் கண்டிப்பாக தேவைப்படாத பிற பயன்பாடுகளை நீங்கள் தடுப்பீர்கள். இத்தகைய பயன்பாடுகளில் பெரும்பாலும் பிட்டோரண்ட், ஸ்டீம், அல்ட்ராசர்ஃப், டோர், டிசிபி-ஓவர்-டிஎன்எஸ் போன்ற மறைக்கப்பட்ட சுரங்கங்கள் மற்றும் பிற அடங்கும்.
சரி, மற்றொரு விதியைக் கிளிக் செய்து, அங்கு நீங்கள் என்ன பார்க்க முடியும் என்பதைப் பார்ப்போம்:
ஆம், மல்டிகாஸ்டுக்கான பொதுவான பயன்பாடுகள் உள்ளன. ஆன்லைனில் வீடியோ பார்ப்பதற்கு அவர்களை அனுமதிக்க வேண்டும். பொருத்த உபயோகத்தைக் கிளிக் செய்யவும். நன்று! நன்றி பாலிசி ஆப்டிமைசர்.
இயந்திர கற்றல் பற்றி என்ன?
இப்போது ஆட்டோமேஷன் பற்றி பேசுவது நாகரீகமாகிவிட்டது. நான் விவரித்தது வெளிவந்தது - இது நிறைய உதவுகிறது. நான் பேச வேண்டிய மற்றொரு வாய்ப்பு உள்ளது. இது ஏற்கனவே மேலே குறிப்பிடப்பட்ட எக்ஸ்பெடிஷன் பயன்பாட்டில் கட்டமைக்கப்பட்ட இயந்திர கற்றல் செயல்பாடு ஆகும். இந்த பயன்பாட்டில், உங்கள் பழைய ஃபயர்வாலில் இருந்து விதிகளை மற்றொரு உற்பத்தியாளரிடமிருந்து மாற்ற முடியும். ஏற்கனவே உள்ள பாலோ ஆல்டோ நெட்வொர்க்குகளின் ட்ராஃபிக் பதிவுகளை பகுப்பாய்வு செய்து என்ன விதிகளை எழுத வேண்டும் என்று பரிந்துரைக்கும் திறனும் உள்ளது. இது பாலிசி ஆப்டிமைசரின் செயல்பாட்டைப் போன்றது, ஆனால் எக்ஸ்பெடிஷனில் இது இன்னும் விரிவாக்கப்பட்டு, ஆயத்த விதிகளின் பட்டியல் உங்களுக்கு வழங்கப்படுகிறது - நீங்கள் அவற்றை அங்கீகரிக்க வேண்டும்.
இந்த செயல்பாட்டை சோதிக்க, ஒரு ஆய்வக வேலை உள்ளது - நாங்கள் அதை ஒரு சோதனை இயக்கி என்று அழைக்கிறோம். மெய்நிகர் ஃபயர்வால்களில் உள்நுழைவதன் மூலம் இந்த சோதனையைச் செய்யலாம், மாஸ்கோவில் உள்ள பாலோ ஆல்டோ நெட்வொர்க்ஸ் அலுவலக ஊழியர்கள் உங்கள் கோரிக்கையின் பேரில் தொடங்குவார்கள்.
கோரிக்கையை அனுப்பலாம் [மின்னஞ்சல் பாதுகாக்கப்பட்டது] மற்றும் கோரிக்கையில் எழுதவும்: "நான் இடம்பெயர்வு செயல்முறைக்கு UTD ஐ உருவாக்க விரும்புகிறேன்."
உண்மையில், யுனிஃபைட் டெஸ்ட் டிரைவ் (UTD) எனப்படும் ஆய்வகப் பணிக்கு பல விருப்பங்கள் உள்ளன மற்றும் அவை அனைத்தும் உள்ளன கோரிக்கைக்குப் பிறகு.
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். , தயவு செய்து.
உங்கள் ஃபயர்வால் கொள்கைகளை மேம்படுத்த யாராவது உங்களுக்கு உதவ விரும்புகிறீர்களா?
-
ஆம்
-
இல்லை
-
நானே அனைத்தையும் செய்வேன்
இதுவரை யாரும் வாக்களிக்கவில்லை. புறக்கணிப்புகள் இல்லை.
ஆதாரம்: www.habr.com