ProHoster > Blog > Идораи > Palo Alto Networks NGFW Optimizer сиёсати амният

Palo Alto Networks NGFW Optimizer сиёсати амният

Самаранокии танзими NGFW-ро чӣ гуна бояд арзёбӣ кард

Вазифаи маъмултарин ин санҷидани он аст, ки то чӣ андоза самаранокии девори шумо танзим карда шудааст. Барои ин, аз ширкатҳое, ки бо NGFW сарукор доранд, хидматҳои ройгон ва хидматрасонӣ мавҷуданд.

Масалан, шумо метавонед дар зер бинед, ки Шабакаҳои Пало Алто қобилияти мустақиман аз портали дастгирӣ таҳлили омори брандмауэр - гузориши SLR ё таҳлили мувофиқат бо таҷрибаҳои беҳтарин - гузориши BPA. Инҳо хидматҳои ройгони онлайн мебошанд, ки шумо метавонед бидуни насби чизе истифода баред.
Palo Alto Networks NGFW Optimizer сиёсати амният

МУНДАРИҶА

Экспедитсия (Абоби муҳоҷират)
Оптимизатори сиёсат
Боварӣ сифр
-ро клик кунед истифоданашуда
Барномаи истифоданашударо клик кунед
Клик кунед "Не Барномаҳои муайяншуда"
Дар бораи омӯзиши мошинсозӣ чӣ гуфтан мумкин аст?
UTD

Экспедитсия (Абоби муҳоҷират)

Palo Alto Networks NGFW Optimizer сиёсати амният

Варианти мураккабтар барои санҷиши танзимоти шумо ин зеркашии утилитаи ройгон аст Экспедитсия (собиқ абзори муҳоҷират). Он ҳамчун асбоби виртуалӣ барои VMware зеркашӣ карда мешавад, ҳеҷ гуна танзимот бо он талаб карда намешавад - шумо бояд тасвирро зеркашӣ кунед ва онро дар зери гипервизори VMware ҷойгир кунед, онро оғоз кунед ва ба интерфейси веб гузаред. Ин утилита ҳикояи алоҳидаро талаб мекунад, танҳо курси он 5 рӯзро мегирад, ҳоло функсияҳои зиёде мавҷуданд, аз ҷумла омӯзиши мошинсозӣ ва муҳоҷирати конфигуратсияҳои гуногуни сиёсатҳо, NAT ва объектҳо барои истеҳсолкунандагони гуногуни Firewall. Ман дар матни зер дар бораи омӯзиши мошинсозӣ бештар менависам.

Оптимизатори сиёсат

Ва варианти мувофиқтарин (IMHO), ки ман имрӯз дар бораи он ба шумо муфассалтар нақл мекунам, оптимизатори сиёсатест, ки дар худи интерфейси Palo Alto Networks сохта шудааст. Барои нишон додани он ман дар хона брандмауэр насб кардам ва як қоидаи оддӣ навиштам: ба ҳама иҷозат диҳед. Аслан, ман баъзан чунин қоидаҳоро ҳатто дар шабакаҳои корпоративӣ мебинам. Табиист, ки ман ҳама профилҳои амнияти NGFW-ро фаъол кардам, тавре ки шумо дар скриншот мебинед:
Palo Alto Networks NGFW Optimizer сиёсати амният

Намоиши зер намунаи девори танзимнашудаи хонаи маро нишон медиҳад, ки дар он қариб ҳама пайвастҳо ба қоидаи охирин дохил мешаванд: AllowAll, тавре ки аз омор дар сутуни Ҳисоби Хит дида мешавад.
Palo Alto Networks NGFW Optimizer сиёсати амният

Боварӣ сифр

Як равиш ба амният вуҷуд дорад, ки ном дорад Боварӣ сифр. Ин чӣ маъно дорад: мо бояд ба одамон дар дохили шабака маҳз ҳамон пайвастагиҳоеро, ки ба онҳо лозим аст, иҷозат диҳем ва ҳама чизро рад кунем. Яъне, мо бояд барои замимаҳо, корбарон, категорияҳои URL, намудҳои файлҳо қоидаҳои равшан илова кунем; ҳама имзоҳои IPS ва антивирусро фаъол созед, қумбоксро фаъол созед, ҳифзи DNS-ро фаъол созед, IoC-ро аз пойгоҳи додаҳои мавҷудаи Threat Intelligence истифода баред. Умуман, ҳангоми таъсиси девор як қатор вазифаҳо мавҷуданд.

Дар омади гап, маҷмӯи ҳадди ақали танзимоти зарурӣ барои Palo Alto Networks NGFW дар яке аз ҳуҷҷатҳои SANS тавсиф шудааст: Нишондиҳандаи конфигуратсияи амнияти шабакаҳои Palo Alto - Ман тавсия медиҳам, ки аз он оғоз кунед. Ва албатта, як қатор таҷрибаҳои беҳтарин барои насб кардани девор аз истеҳсолкунанда вуҷуд дорад: Таҷрибаи беҳтарин.

Ҳамин тавр, ман як ҳафта дар хона девори девор доштам. Биёед бубинем, ки дар шабакаи ман чӣ гуна трафик вуҷуд дорад:
Palo Alto Networks NGFW Optimizer сиёсати амният

Агар шумо аз рӯи шумораи сеансҳо ҷудо кунед, пас аксарияти онҳо аз ҷониби bittorent сохта шудаанд, пас SSL ва баъд QUIC меояд. Инҳо омор барои трафики даромад ва содиротӣ мебошанд: сканҳои зиёди берунии роутери ман мавҷуданд. Дар шабакаи ман 150 барномаҳои гуногун мавҷуданд.

Инак, хамаи инро як коида аз даст дод. Биёед ҳоло бубинем, ки Policy Optimizer дар ин бора чӣ мегӯяд. Агар шумо дар боло ба скриншоти интерфейс бо қоидаҳои амният назар карда бошед, пас дар поёни чап шумо равзанаи хурдеро дидед, ки ба ман ишора мекунад, ки қоидаҳое мавҷуданд, ки метавонанд оптимизатсия карда шаванд. Биёед ба он ҷо клик кунем.

Сиёсати оптимизатор он чизеро нишон медиҳад:

  • Кадом сиёсатҳо умуман истифода нашудаанд, 30 рӯз, 90 рӯз. Ин ба қабули қарор дар бораи пурра нест кардани онҳо кӯмак мекунад.
  • Кадом барномаҳо дар сиёсатҳо нишон дода шудаанд, аммо дар трафик чунин барномаҳо ошкор карда нашуданд. Ин ба шумо имкон медиҳад, ки барномаҳои нолозимро дар қоидаҳои иҷозатдиҳӣ хориҷ кунед.
  • Кадом сиёсатҳо ҳама чизро иҷозат медоданд, аммо воқеан барномаҳое буданд, ки мувофиқи методологияи Zero Trust ба таври возеҳ нишон дода мешуданд.

Palo Alto Networks NGFW Optimizer сиёсати амният

Биёед истифоданашударо пахш кунем.

Барои нишон додани он, ки он чӣ гуна кор мекунад, ман чанд қоида илова кардам ва то имрӯз онҳо ягон бастаро аз даст надодаанд. Ин аст рӯйхати онҳо:
Palo Alto Networks NGFW Optimizer сиёсати амният
Шояд бо мурури замон дар он ҷо трафик пайдо шавад ва онҳо аз ин рӯйхат нест шаванд. Ва агар онҳо дар ин рӯйхат 90 рӯз бошанд, шумо метавонед қарор диҳед, ки ин қоидаҳоро нест кунед. Охир, хар як коида барои хакер имконият медихад.

Ҳангоми конфигуратсияи брандмауэр як мушкили воқеӣ вуҷуд дорад: корманди нав меояд, қоидаҳои брандмауэрро дида мебарояд, агар онҳо шарҳе надошта бошанд ва ӯ намедонад, ки чаро ин қоида сохта шудааст, оё он воқеан лозим аст, оё он метавонад ҳазф карда шавад: ногаҳон шахс дар рухсатӣ қарор дорад ва пас аз 30 рӯз трафик аз хидмати ба ӯ лозимшуда дубора ҷараён хоҳад ёфт. Ва танҳо ин функсия ба ӯ дар қабули қарор кӯмак мекунад - ҳеҷ кас онро истифода намебарад - онро нест кунед!

Барномаи истифоданашударо клик кунед.

Мо дар оптимизатор Барномаи истифоданашударо пахш мекунем ва мебинем, ки маълумоти ҷолиб дар равзанаи асосӣ кушода мешавад.

Мо мебинем, ки се қоида вуҷуд дорад, ки дар он шумораи дархостҳои иҷозатдодашуда ва шумораи барномаҳое, ки воқеан аз ин қоида гузаштаанд, гуногунанд.
Palo Alto Networks NGFW Optimizer сиёсати амният
Мо метавонем клик кунем ва рӯйхати ин барномаҳоро бубинем ва ин рӯйхатҳоро муқоиса кунем.
Масалан, тугмаи Муқоисаро барои қоидаи Макс пахш кунед.
Palo Alto Networks NGFW Optimizer сиёсати амният
Дар ин ҷо шумо мебинед, ки замимаҳои facebook, instagram, telegram, vkontakte иҷозат дода шудаанд. Аммо дар асл, трафик танҳо ба баъзе замимаҳо мерафт. Дар ин ҷо шумо бояд фаҳмед, ки барномаи Facebook дорои якчанд зер замимаҳо мебошад.

Рӯйхати пурраи барномаҳои NGFW-ро дар портал дидан мумкин аст applipedia.paloaltonetworks.com ва дар худи интерфейси брандмауэр, дар қисмати Объектҳо->Барномаҳо ва дар ҷустуҷӯ номи барномаро нависед: facebook, шумо натиҷаи зеринро хоҳед гирифт:
Palo Alto Networks NGFW Optimizer сиёсати амният
Ҳамин тавр, баъзе аз ин зербарномаҳо аз ҷониби NGFW дида шуданд, аммо баъзеҳо набуданд. Дар асл, шумо метавонед зерфунксияҳои гуногуни Facebook-ро алоҳида манъ ва иҷозат диҳед. Масалан, ба дидани паёмҳо иҷозат диҳед, аммо чат ё интиқоли файлро манъ кунед. Мувофиқи он, Policy Optimizer дар ин бора сӯҳбат мекунад ва шумо метавонед қарор қабул кунед: на ҳама барномаҳои Facebook, балки танҳо барномаҳои асосиро иҷозат диҳед.

Ҳамин тавр, мо фаҳмидем, ки рӯйхатҳо гуногунанд. Шумо метавонед боварӣ ҳосил кунед, ки қоидаҳо танҳо он барномаҳоеро иҷозат медиҳанд, ки воқеан дар шабака сафар мекунанд. Барои ин, шумо тугмаи MatchUsage -ро пахш мекунед. Чунин мебарояд:
Palo Alto Networks NGFW Optimizer сиёсати амният
Ва шумо инчунин метавонед замимаҳои заруриро илова кунед - тугмаи Илова дар тарафи чапи тиреза:
Palo Alto Networks NGFW Optimizer сиёсати амният
Ва он гоҳ ин қоида метавонад татбиқ ва санҷида шавад. Табрик мекунем!

Клик кунед "Не Барномаҳои муайяншуда".

Дар ин ҳолат, равзанаи муҳими амниятӣ кушода мешавад.
Palo Alto Networks NGFW Optimizer сиёсати амният
Дар шабакаи шумо эҳтимоли зиёд чунин қоидаҳо мавҷуданд, ки дар онҳо барномаи сатҳи L7 ба таври возеҳ нишон дода нашудааст. Ва дар шабакаи ман чунин қоида вуҷуд дорад - биёед ба шумо хотиррасон кунам, ки ман онро ҳангоми насби аввалия, махсусан барои нишон додани он ки чӣ тавр Policy Optimizer кор мекунад, сохтаам.

Дар расм нишон дода шудааст, ки қоидаи AllowAll дар давраи аз 9 март то 17 март ба 220 гигабайт трафик иҷозат додааст, ки ин 150 замимаи гуногун дар шабакаи ман аст. Ва ин кифоя нест. Одатан, як шабакаи корпоративии андозаи миёна 200-300 замимаи гуногун дорад.

Ҳамин тавр, як қоида имкон медиҳад, ки то 150 барномаро иҷро кунад. Одатан ин маънои онро дорад, ки девори девор дуруст танзим карда нашудааст, зеро одатан як қоида ба 1-10 барнома барои мақсадҳои гуногун имкон медиҳад. Биёед бубинем, ки ин барномаҳо чӣ гунаанд: тугмаи Муқоисаро пахш кунед:
Palo Alto Networks NGFW Optimizer сиёсати амният
Аҷибтарин чизе барои администратор дар функсияи Сиёсати Оптимизатор ин тугмаи Мутобиқсозии Истифода аст - шумо метавонед бо як клик қоида эҷод кунед, ки дар он шумо ҳамаи 150 барномаро ба қоида ворид мекунед. Иҷрои ин кор ба таври дастӣ вақти зиёдеро талаб мекунад. Миқдори вазифаҳо барои маъмур барои кор кардан, ҳатто дар шабакаи ман аз 10 дастгоҳ, хеле зиёд аст.

Ман 150 барномаҳои гуногун дорам, ки дар хона кор мекунанд ва гигабайтҳои трафикро интиқол медиҳанд! Ва шумо чанд пул доред?

Аммо дар шабакаи 100 дастгоҳ ё 1000 ё 10000 чӣ мешавад? Ман брандмауэрҳоро бо 8000 қоида дидаам ва хеле шодам, ки ҳоло маъмурон чунин абзорҳои автоматикунонии қулай доранд.

Баъзе барномаҳое, ки модули таҳлили барномаҳои L7 дар NGFW дида ва нишон дод, ки ба шумо дар шабака лозим нест, бинобар ин шумо онҳоро танҳо аз рӯйхати қоидаҳои иҷозатдодашуда хориҷ мекунед ё қоидаҳоро бо истифода аз тугмаи Clone (дар интерфейси асосӣ) клон кунед ва ба онҳо дар як қоидаи барнома иҷозат диҳед ва дар шумо барномаҳои дигарро маҳкам мекунед, зеро онҳо бешубҳа дар шабакаи шумо лозим нестанд. Чунин барномаҳо аксар вақт bittorent, steam, ultrasurf, tor, нақбҳои пинҳонӣ ба монанди tcp-over-dns ва ғайраро дар бар мегиранд.
Palo Alto Networks NGFW Optimizer сиёсати амният
Хуб, биёед қоидаи дигарро клик кунем ва бубинем, ки шумо дар он ҷо чӣ мебинед:
Palo Alto Networks NGFW Optimizer сиёсати амният
Бале, барномаҳое ҳастанд, ки барои чандрасонаӣ хосанд. Мо бояд ба онҳо иҷозат диҳем, ки видеои онлайнро тамошо кунанд. Клик кунед Мутобиқсозии Истифода. Аҷоиб! Ташаккур Сиёсати оптимизатор.

Дар бораи омӯзиши мошинсозӣ чӣ гуфтан мумкин аст?

Холо дар бораи автоматизация сухан рондан муд шудааст. Он чизе ки ман тавсиф кардам, баромад - ин хеле кӯмак мекунад. Боз як имкони дигаре ҳаст, ки ман бояд дар бораи он сӯҳбат кунам. Ин функсияи омӯзиши мошинсозӣ аст, ки дар утилитаи Expedition сохта шудааст, ки дар боло зикр шуда буд. Дар ин утилита, интиқол додани қоидаҳоро аз девори кӯҳнаи худ аз дигар истеҳсолкунанда имконпазир аст. Инчунин қобилияти таҳлили гузоришҳои трафики мавҷудаи Palo Alto Networks ва пешниҳод кардани қоидаҳои навиштан вуҷуд дорад. Ин ба функсияи Policy Optimizer монанд аст, аммо дар Экспедитсия он боз ҳам васеътар шудааст ва ба шумо рӯйхати қоидаҳои тайёр пешниҳод карда мешавад - шумо танҳо бояд онҳоро тасдиқ кунед.
Барои санҷидани ин функсия, як кори лабораторӣ вуҷуд дорад - мо онро диски санҷишӣ меномем. Ин санҷишро тавассути ворид шудан ба деворҳои виртуалӣ анҷом додан мумкин аст, ки онро кормандони идораи Пало Алто Networks дар Маскав бо дархости шумо оғоз мекунанд.
Palo Alto Networks NGFW Optimizer сиёсати амният
Дархостро ба он фиристодан мумкин аст [почтаи электронӣ ҳифз карда шудааст] ва дар дархост нависед: "Ман мехоҳам UTD барои раванди муҳоҷират созам."

Дар асл, кори лабораторӣ бо номи Unified Test Drive (UTD) дорои якчанд вариант ва ҳамаи онҳо мебошад дур дастрас пас аз дархост.

Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. даромад, Лутфан.

Оё шумо мехоҳед, ки касе ба шумо дар оптимизатсияи сиёсати девори шумо кӯмак расонад?

  • он

  • нест

  • Ман ҳамаашро худам мекунам

То ҳол касе овоз надодааст. Ягон бетараф нест.

Манбаъ: will.com

Илова Эзоҳ