NGFW ట్యూనింగ్ యొక్క ప్రభావాన్ని ఎలా అంచనా వేయాలి
మీ ఫైర్వాల్ ఎంత బాగా కాన్ఫిగర్ చేయబడిందో తనిఖీ చేయడం అత్యంత సాధారణ పని. దీన్ని చేయడానికి, NGFWతో వ్యవహరించే సంస్థల నుండి ఉచిత యుటిలిటీలు మరియు సేవలు ఉన్నాయి.
ఉదాహరణకు, దిగువన మీరు పాలో ఆల్టో నెట్వర్క్ల నుండి నేరుగా చేయగల సామర్థ్యాన్ని కలిగి ఉన్నట్లు చూడవచ్చు ఫైర్వాల్ గణాంకాల విశ్లేషణను అమలు చేయండి - SLR నివేదిక లేదా ఉత్తమ అభ్యాస సమ్మతి విశ్లేషణ - BPA నివేదిక. ఇవి మీరు దేనినీ ఇన్స్టాల్ చేయకుండానే ఉపయోగించగల ఉచిత ఆన్లైన్ యుటిలిటీలు.
విషయ
సాహసయాత్ర (మైగ్రేషన్ సాధనం)
మీ సెట్టింగ్లను తనిఖీ చేయడానికి మరింత సంక్లిష్టమైన ఎంపిక ఉచిత యుటిలిటీని డౌన్లోడ్ చేయడం (మాజీ మైగ్రేషన్ టూల్). ఇది VMware కోసం వర్చువల్ ఉపకరణంగా డౌన్లోడ్ చేయబడింది, దానితో ఎటువంటి సెట్టింగ్లు అవసరం లేదు - మీరు చిత్రాన్ని డౌన్లోడ్ చేసి, VMware హైపర్వైజర్ క్రింద దాన్ని అమలు చేయాలి, దాన్ని అమలు చేసి వెబ్ ఇంటర్ఫేస్కి వెళ్లాలి. ఈ యుటిలిటీకి ప్రత్యేక కథనం అవసరం, దానిపై కోర్సుకు 5 రోజులు మాత్రమే పడుతుంది, మెషిన్ లెర్నింగ్ మరియు వివిధ ఫైర్వాల్ తయారీదారుల కోసం వివిధ కాన్ఫిగరేషన్ల విధానాలు, NAT మరియు ఆబ్జెక్ట్ల మైగ్రేషన్తో సహా ఇప్పుడు చాలా ఫంక్షన్లు ఉన్నాయి. మెషిన్ లెర్నింగ్ గురించి, నేను తర్వాత టెక్స్ట్లో మరింత వ్రాస్తాను.
పాలసీ ఆప్టిమైజర్
మరియు అత్యంత అనుకూలమైన ఎంపిక (IMHO), నేను ఈరోజు మరింత వివరంగా మాట్లాడతాను, పాలో ఆల్టో నెట్వర్క్స్ ఇంటర్ఫేస్లో నిర్మించిన పాలసీ ఆప్టిమైజర్. దానిని ప్రదర్శించడానికి, నేను నా ఇంటిలో ఒక ఫైర్వాల్ను ఇన్స్టాల్ చేసాను మరియు ఒక సాధారణ నియమాన్ని వ్రాసాను: దేనినైనా అనుమతించండి. సూత్రప్రాయంగా, నేను కొన్నిసార్లు కార్పొరేట్ నెట్వర్క్లలో కూడా అలాంటి నియమాలను చూస్తాను. సహజంగానే, నేను అన్ని NGFW భద్రతా ప్రొఫైల్లను ప్రారంభించాను, మీరు స్క్రీన్షాట్లో చూడగలరు:
దిగువ స్క్రీన్షాట్ నా హోమ్ కాన్ఫిగర్ చేయని ఫైర్వాల్ యొక్క ఉదాహరణను చూపుతుంది, ఇక్కడ దాదాపు అన్ని కనెక్షన్లు చివరి నియమానికి వస్తాయి: AllowAll, హిట్ కౌంట్ కాలమ్లోని గణాంకాల నుండి చూడవచ్చు.
జీరో ట్రస్ట్
అనే భద్రతకు ఒక విధానం ఉంది . దీని అర్థం ఏమిటి: మేము నెట్వర్క్లోని వ్యక్తులకు అవసరమైన కనెక్షన్లను ఖచ్చితంగా అనుమతించాలి మరియు మిగతావన్నీ నిషేధించాలి. అంటే, అప్లికేషన్లు, యూజర్లు, URL వర్గాలు, ఫైల్ రకాల కోసం మేము స్పష్టమైన నియమాలను జోడించాలి; అన్ని IPS మరియు యాంటీవైరస్ సంతకాలను ప్రారంభించండి, శాండ్బాక్స్, DNS రక్షణను ప్రారంభించండి, అందుబాటులో ఉన్న థ్రెట్ ఇంటెలిజెన్స్ డేటాబేస్ల నుండి IoCని ఉపయోగించండి. సాధారణంగా, ఫైర్వాల్ను సెటప్ చేసేటప్పుడు తగిన మొత్తంలో పనులు ఉన్నాయి.
మార్గం ద్వారా, పాలో ఆల్టో నెట్వర్క్స్ NGFW కోసం అవసరమైన కనీస సెట్టింగులు SANS డాక్యుమెంట్లలో ఒకదానిలో వివరించబడ్డాయి: దానితో ప్రారంభించాలని నేను సిఫార్సు చేస్తున్నాను. మరియు వాస్తవానికి, తయారీదారు నుండి ఫైర్వాల్ను సెటప్ చేయడానికి ఉత్తమ అభ్యాసాల సమితి ఉంది: .
కాబట్టి, నేను ఒక వారం పాటు ఇంట్లో ఫైర్వాల్ని కలిగి ఉన్నాను. నా నెట్వర్క్లో ట్రాఫిక్ ఏమిటో చూద్దాం:
సెషన్ల సంఖ్య ద్వారా క్రమబద్ధీకరించబడితే, వాటిలో ఎక్కువ భాగం బిట్టోరెంట్తో సృష్టించబడతాయి, ఆపై SSL, ఆపై QUIC వస్తుంది. ఇవి ఇన్కమింగ్ మరియు అవుట్గోయింగ్ ట్రాఫిక్ రెండింటికీ సంబంధించిన గణాంకాలు: నా రౌటర్కి సంబంధించి చాలా బాహ్య స్కాన్లు ఉన్నాయి. నా నెట్వర్క్లో 150 విభిన్న అప్లికేషన్లు ఉన్నాయి.
కాబట్టి, అదంతా ఒక నియమం ద్వారా దాటవేయబడింది. ఇప్పుడు పాలసీ ఆప్టిమైజర్ దీని గురించి ఏమి చెబుతుందో చూద్దాం. మీరు పైన ఉన్న భద్రతా నియమాలతో ఇంటర్ఫేస్ స్క్రీన్షాట్ను చూస్తే, మీరు దిగువ ఎడమవైపున ఒక చిన్న విండోను చూసారు, ఇది ఆప్టిమైజ్ చేయగల నియమాలు ఉన్నాయని నాకు సూచించింది. అక్కడ క్లిక్ చేద్దాం.
పాలసీ ఆప్టిమైజర్ ఏమి చూపిస్తుంది:
- ఏ పాలసీలు అస్సలు ఉపయోగించబడలేదు, 30 రోజులు, 90 రోజులు. ఇది వాటిని పూర్తిగా తొలగించాలనే నిర్ణయం తీసుకోవడానికి సహాయపడుతుంది.
- విధానాలలో ఏ అప్లికేషన్లు పేర్కొనబడ్డాయి, కానీ ట్రాఫిక్లో అలాంటి అప్లికేషన్లు ఏవీ కనుగొనబడలేదు. అనుమతి నియమాలలో అనవసరమైన అప్లికేషన్లను తీసివేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది.
- ఏ విధానాలు అన్నింటినీ అనుమతించాయి, అయితే జీరో ట్రస్ట్ మెథడాలజీ ప్రకారం స్పష్టంగా సూచించడానికి మంచి అప్లికేషన్లు ఉన్నాయి.
Unused పై క్లిక్ చేయండి.
ఇది ఎలా పని చేస్తుందో చూపించడానికి, నేను కొన్ని నియమాలను జోడించాను మరియు ఇప్పటివరకు వారు ఒక్క ప్యాకెట్ను కూడా మిస్ చేయలేదు. వారి జాబితా ఇక్కడ ఉంది:
బహుశా, కాలక్రమేణా, ట్రాఫిక్ అక్కడ పాస్ అవుతుంది మరియు తరువాత వారు ఈ జాబితా నుండి అదృశ్యమవుతారు. మరియు వారు 90 రోజుల పాటు ఈ జాబితాలో ఉన్నట్లయితే, మీరు ఈ నిబంధనలను తీసివేయాలని నిర్ణయించుకోవచ్చు. అన్నింటికంటే, ప్రతి నియమం హ్యాకర్కు అవకాశాన్ని అందిస్తుంది.
ఫైర్వాల్ కాన్ఫిగరేషన్తో నిజమైన సమస్య ఉంది: కొత్త ఉద్యోగి వచ్చి, ఫైర్వాల్ నియమాలను పరిశీలిస్తాడు, వారికి వ్యాఖ్యలు లేకుంటే మరియు ఈ నియమం ఎందుకు సృష్టించబడిందో తెలియకపోతే, ఇది నిజంగా అవసరమా, దానిని తొలగించవచ్చా: అకస్మాత్తుగా వ్యక్తి సెలవులో మరియు 30 రోజుల వరకు ట్రాఫిక్ మళ్లీ దానికి అవసరమైన సేవ నుండి వెళ్తుంది. మరియు ఈ ఫంక్షన్ అతనికి నిర్ణయం తీసుకోవడానికి సహాయపడుతుంది - ఎవరూ ఉపయోగించరు - దాన్ని తొలగించండి!
ఉపయోగించని యాప్పై క్లిక్ చేయండి.
మేము ఆప్టిమైజర్లోని ఉపయోగించని యాప్పై క్లిక్ చేసి, ఆసక్తికరమైన సమాచారం ప్రధాన విండోలో తెరవబడిందని చూస్తాము.
మూడు నియమాలు ఉన్నాయని మేము చూస్తాము, ఇక్కడ అనుమతించబడిన దరఖాస్తుల సంఖ్య మరియు వాస్తవానికి ఈ నియమాన్ని ఆమోదించిన దరఖాస్తుల సంఖ్య భిన్నంగా ఉంటాయి.
మేము ఈ అప్లికేషన్ల జాబితాను క్లిక్ చేసి చూడవచ్చు మరియు ఈ జాబితాలను సరిపోల్చవచ్చు.
ఉదాహరణకు, మాక్స్ నియమం కోసం సరిపోల్చండి బటన్పై క్లిక్ చేద్దాం.
ఫేస్బుక్, ఇన్స్టాగ్రామ్, టెలిగ్రామ్, vkontakte అప్లికేషన్లు అనుమతించబడిందని మీరు ఇక్కడ చూడవచ్చు. కానీ వాస్తవానికి, ట్రాఫిక్ ఉప-అప్లికేషన్లలో కొంత భాగం ద్వారా మాత్రమే వెళ్ళింది. Facebook అప్లికేషన్ అనేక ఉప-అప్లికేషన్లను కలిగి ఉందని ఇక్కడ మీరు అర్థం చేసుకోవాలి.
NGFW అప్లికేషన్ల మొత్తం జాబితాను పోర్టల్లో చూడవచ్చు మరియు ఫైర్వాల్ ఇంటర్ఫేస్లోనే, Objects->Applications విభాగంలో మరియు శోధనలో, అప్లికేషన్ పేరును టైప్ చేయండి: facebook, మీరు ఈ క్రింది ఫలితాన్ని పొందుతారు:
కాబట్టి, NGFW ఈ ఉప-అప్లికేషన్లలో కొన్నింటిని చూసింది మరియు కొన్ని చూడలేదు. వాస్తవానికి, మీరు వేర్వేరు ఫేస్బుక్ సబ్ఫంక్షన్లను విడిగా నిలిపివేయవచ్చు మరియు ప్రారంభించవచ్చు. ఉదాహరణకు, సందేశాలను వీక్షించడానికి మిమ్మల్ని అనుమతిస్తుంది, కానీ చాట్ లేదా ఫైల్ బదిలీలను నిషేధించండి. దీని ప్రకారం, పాలసీ ఆప్టిమైజర్ దీని గురించి మాట్లాడుతుంది మరియు మీరు నిర్ణయం తీసుకోవచ్చు: అన్ని Facebook అప్లికేషన్లను అనుమతించవద్దు, కానీ ప్రధానమైనవి మాత్రమే.
కాబట్టి, జాబితాలు భిన్నంగా ఉన్నాయని మేము గ్రహించాము. వాస్తవానికి నెట్వర్క్లో తిరుగుతున్న అప్లికేషన్లను మాత్రమే నియమాలు అనుమతిస్తాయని మీరు నిర్ధారించుకోవచ్చు. దీన్ని చేయడానికి, మీరు MatchUsage బటన్ను క్లిక్ చేయండి. ఇది ఇలా మారుతుంది:
మరియు మీరు అవసరమని భావించే అప్లికేషన్లను కూడా జోడించవచ్చు - విండో యొక్క ఎడమ వైపున ఉన్న జోడించు బటన్:
ఆపై ఈ నియమాన్ని అన్వయించవచ్చు మరియు పరీక్షించవచ్చు. అభినందనలు!
ఏ యాప్లు పేర్కొనబడలేదు క్లిక్ చేయండి.
ఈ సందర్భంలో, ఒక ముఖ్యమైన భద్రతా విండో తెరవబడుతుంది.
L7 స్థాయి అప్లికేషన్ మీ నెట్వర్క్లో స్పష్టంగా పేర్కొనబడని చోట ఇటువంటి నియమాలు చాలా ఎక్కువగా ఉన్నాయి. మరియు నా నెట్వర్క్లో అటువంటి నియమం ఉంది - పాలసీ ఆప్టిమైజర్ ఎలా పనిచేస్తుందో ప్రత్యేకంగా చూపడానికి, ప్రారంభ సెటప్ సమయంలో నేను దీన్ని చేశానని మీకు గుర్తు చేస్తాను.
AllowAll నియమం మార్చి 9 నుండి మార్చి 17 వరకు 220 గిగాబైట్ల ట్రాఫిక్ను కోల్పోయిందని చిత్రం చూపిస్తుంది, ఇది నా నెట్వర్క్లో మొత్తం 150 విభిన్న అప్లికేషన్లు. మరియు ఇది ఇప్పటికీ సరిపోదు. సాధారణంగా, మధ్య తరహా కార్పొరేట్ నెట్వర్క్లో 200-300 వేర్వేరు అప్లికేషన్లు ఉంటాయి.
కాబట్టి, ఒక నియమం 150 అప్లికేషన్లను మిస్ చేస్తుంది. సాధారణంగా ఫైర్వాల్ తప్పుగా కాన్ఫిగర్ చేయబడిందని దీని అర్థం, ఎందుకంటే సాధారణంగా వివిధ ప్రయోజనాల కోసం 1-10 అప్లికేషన్లు ఒక నియమంలో దాటవేయబడతాయి. ఈ అప్లికేషన్లు ఏమిటో చూద్దాం: సరిపోల్చండి బటన్ క్లిక్ చేయండి:
పాలసీ ఆప్టిమైజర్ ఫీచర్లో అడ్మినిస్ట్రేటర్కి అత్యంత అద్భుతమైన విషయం ఏమిటంటే మ్యాచ్ యూసేజ్ బటన్ - మీరు ఒక క్లిక్తో రూల్ని క్రియేట్ చేయవచ్చు, ఇక్కడ మీరు మొత్తం 150 అప్లికేషన్లను రూల్లోకి ఎంటర్ చేస్తారు. దీన్ని మాన్యువల్గా చేయడం చాలా సమయం పడుతుంది. నా 10 పరికరాల నెట్వర్క్లో కూడా అడ్మినిస్ట్రేటర్ కోసం టాస్క్ల సంఖ్య భారీగా ఉంది.
నేను ఇంట్లో 150 విభిన్న అప్లికేషన్లను కలిగి ఉన్నాను, గిగాబైట్ల ట్రాఫిక్ను ప్రసారం చేస్తున్నాను! మరి మీ దగ్గర ఎంత ఉంది?
కానీ 100 పరికరాలు లేదా 1000 లేదా 10000 నెట్వర్క్లో ఏమి జరుగుతుంది? నేను 8000 నియమాలతో ఫైర్వాల్లను చూశాను మరియు నిర్వాహకులు ఇప్పుడు అలాంటి అనుకూలమైన ఆటోమేషన్ సాధనాలను కలిగి ఉన్నందుకు నేను చాలా సంతోషిస్తున్నాను.
NGFWలోని L7 అప్లికేషన్ అనాలిసిస్ మాడ్యూల్ నెట్వర్క్లో చూసిన మరియు చూపిన కొన్ని అప్లికేషన్లు మీకు అవసరం లేదు, కాబట్టి మీరు వాటిని అనుమతించే నియమం జాబితా నుండి తీసివేయండి లేదా క్లోన్ బటన్తో నియమాలను క్లోన్ చేయండి (ప్రధాన ఇంటర్ఫేస్లో) మరియు ఒక అప్లికేషన్ రూల్లో అనుమతించండి మరియు మీ నెట్వర్క్లో ఖచ్చితంగా అవసరం లేని ఇతర అప్లికేషన్లను బ్లాక్ చేయండి. ఇటువంటి అప్లికేషన్లు తరచుగా బిట్టోరెంట్, స్టీమ్, అల్ట్రాసర్ఫ్, టోర్, tcp-over-dns వంటి దాచిన సొరంగాలు మరియు ఇతరాలుగా మారతాయి.
సరే, మరొక నియమంపై క్లిక్ చేయండి - మీరు అక్కడ ఏమి చూడవచ్చు:
అవును, మల్టీక్యాస్ట్కు ప్రత్యేకమైన అప్లికేషన్లు ఉన్నాయి. నెట్వర్క్లో వీడియో వీక్షణ పని చేయడానికి మేము వాటిని తప్పనిసరిగా అనుమతించాలి. వినియోగాన్ని సరిపోల్చండి క్లిక్ చేయండి. గొప్ప! ధన్యవాదాలు పాలసీ ఆప్టిమైజర్.
మెషిన్ లెర్నింగ్ గురించి ఏమిటి?
ఇప్పుడు ఆటోమేషన్ గురించి మాట్లాడటం ఫ్యాషన్. నేను వివరించినది బయటకు వచ్చింది - ఇది చాలా సహాయపడుతుంది. నేను తప్పక ప్రస్తావించాల్సిన మరొక అవకాశం ఉంది. ఇది పైన పేర్కొన్న ఎక్స్పెడిషన్ యుటిలిటీలో రూపొందించబడిన మెషిన్ లెర్నింగ్ ఫంక్షనాలిటీ. ఈ యుటిలిటీలో, మరొక తయారీదారు నుండి మీ పాత ఫైర్వాల్ నుండి నియమాలను బదిలీ చేయడం సాధ్యపడుతుంది. మరియు ఇప్పటికే ఉన్న పాలో ఆల్టో నెట్వర్క్ల ట్రాఫిక్ లాగ్లను విశ్లేషించి, ఏ నియమాలను వ్రాయాలో సూచించే సామర్థ్యం కూడా ఉంది. ఇది పాలసీ ఆప్టిమైజర్ ఫంక్షనాలిటీని పోలి ఉంటుంది, కానీ ఎక్స్పెడిషన్లో ఇది మరింత అధునాతనమైనది మరియు మీకు రెడీమేడ్ నియమాల జాబితా అందించబడుతుంది - మీరు వాటిని ఆమోదించాలి.
ఈ కార్యాచరణను పరీక్షించడానికి, ఒక ప్రయోగశాల పని ఉంది - మేము దానిని టెస్ట్ డ్రైవ్ అని పిలుస్తాము. పాలో ఆల్టో నెట్వర్క్స్ మాస్కో కార్యాలయ సిబ్బంది మీ అభ్యర్థన మేరకు ప్రారంభించే వర్చువల్ ఫైర్వాల్లకు వెళ్లడం ద్వారా ఈ పరీక్ష చేయవచ్చు.
అభ్యర్థనను పంపవచ్చు [ఇమెయిల్ రక్షించబడింది] మరియు అభ్యర్థనలో ఇలా వ్రాయండి: "నేను మైగ్రేషన్ ప్రక్రియ కోసం UTDని చేయాలనుకుంటున్నాను."
వాస్తవానికి, యూనిఫైడ్ టెస్ట్ డ్రైవ్ (UTD) అని పిలువబడే ల్యాబ్ల కోసం అనేక ఎంపికలు ఉన్నాయి మరియు అవన్నీ ఉన్నాయి అభ్యర్థన తర్వాత.
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. దయచేసి.
మీ ఫైర్వాల్ విధానాలను ఆప్టిమైజ్ చేయడానికి ఎవరైనా మీకు సహాయం చేయాలని మీరు కోరుకుంటున్నారా?
-
అవును
-
ఏ
-
అన్నీ నేనే చేస్తాను
ఇంకా ఎవరూ ఓటు వేయలేదు. నిరాకరణలు లేవు.
మూలం: www.habr.com