วิธีการประเมินประสิทธิภาพของการปรับแต่ง NGFW
งานทั่วไปที่สุดคือการตรวจสอบการกำหนดค่าไฟร์วอลล์ของคุณ ในการทำเช่นนี้ มีสาธารณูปโภคและบริการฟรีจากบริษัทที่จัดการกับ NGFW
ตัวอย่างเช่น ด้านล่างคุณจะเห็นว่า Palo Alto Networks มีความสามารถโดยตรงจาก เรียกใช้การวิเคราะห์สถิติไฟร์วอลล์ - รายงาน SLR หรือการวิเคราะห์การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด - รายงาน BPA เหล่านี้เป็นโปรแกรมอรรถประโยชน์ออนไลน์ฟรีที่คุณสามารถใช้ได้โดยไม่ต้องติดตั้งอะไร
สารบัญ
Expedition (เครื่องมือการย้ายข้อมูล)
ตัวเลือกที่ซับซ้อนกว่าสำหรับการตรวจสอบการตั้งค่าของคุณคือการดาวน์โหลดยูทิลิตี้ฟรี (เครื่องมือการย้ายข้อมูลเดิม) ดาวน์โหลดเป็นอุปกรณ์เสมือนสำหรับ VMware ไม่จำเป็นต้องตั้งค่าใดๆ คุณต้องดาวน์โหลดอิมเมจและปรับใช้ภายใต้ไฮเปอร์ไวเซอร์ของ VMware เรียกใช้และไปที่เว็บอินเตอร์เฟส ยูทิลิตีนี้ต้องการเรื่องราวแยกต่างหาก เฉพาะหลักสูตรนี้ใช้เวลา 5 วัน ขณะนี้มีฟังก์ชันมากมาย รวมถึงการเรียนรู้ของเครื่องและการโยกย้ายการกำหนดค่าต่างๆ ของนโยบาย NAT และออบเจกต์สำหรับผู้ผลิตไฟร์วอลล์ต่างๆ เกี่ยวกับ Machine Learning ฉันจะเขียนเพิ่มเติมในภายหลังในข้อความ
เครื่องมือเพิ่มประสิทธิภาพนโยบาย
และตัวเลือกที่สะดวกที่สุด (IMHO) ซึ่งฉันจะพูดถึงในรายละเอียดเพิ่มเติมในวันนี้คือเครื่องมือเพิ่มประสิทธิภาพนโยบายที่สร้างขึ้นในอินเทอร์เฟซของ Palo Alto Networks เพื่อเป็นการสาธิต ฉันได้ติดตั้งไฟร์วอลล์ในบ้านของฉันและเขียนกฎง่ายๆ: อนุญาตให้ใครก็ได้ โดยหลักการแล้ว บางครั้งฉันเห็นกฎดังกล่าวแม้ในเครือข่ายองค์กร แน่นอน ฉันเปิดใช้งานโปรไฟล์ความปลอดภัย NGFW ทั้งหมด ดังที่คุณเห็นในภาพหน้าจอ:
ภาพหน้าจอด้านล่างแสดงตัวอย่างไฟร์วอลล์ที่บ้านที่ไม่ได้กำหนดค่า ซึ่งการเชื่อมต่อเกือบทั้งหมดอยู่ภายใต้กฎข้อสุดท้าย: AllowAll ดังที่เห็นได้จากสถิติในคอลัมน์ Hit Count
ความน่าเชื่อถือเป็นศูนย์
มีแนวทางการรักษาความปลอดภัยที่เรียกว่า . สิ่งนี้หมายความว่า: เราต้องอนุญาตให้ผู้คนในเครือข่ายมีการเชื่อมต่อที่พวกเขาต้องการและห้ามสิ่งอื่นทั้งหมด นั่นคือเราต้องเพิ่มกฎที่ชัดเจนสำหรับแอปพลิเคชัน ผู้ใช้ หมวดหมู่ URL ประเภทไฟล์ เปิดใช้งานลายเซ็น IPS และโปรแกรมป้องกันไวรัสทั้งหมด เปิดใช้งานแซนด์บ็อกซ์ การป้องกัน DNS ใช้ IoC จากฐานข้อมูล Threat Intelligence ที่มีอยู่ โดยทั่วไปมีงานจำนวนมากเมื่อตั้งค่าไฟร์วอลล์
อย่างไรก็ตาม ชุดการตั้งค่าขั้นต่ำที่จำเป็นสำหรับ Palo Alto Networks NGFW ได้อธิบายไว้ในหนึ่งในเอกสาร SANS: ฉันขอแนะนำให้เริ่มต้นด้วย และแน่นอนว่ามีชุดแนวทางปฏิบัติที่ดีที่สุดสำหรับการตั้งค่าไฟร์วอลล์จากผู้ผลิต: .
ฉันมีไฟร์วอลล์ที่บ้านเป็นเวลาหนึ่งสัปดาห์ มาดูกันว่าทราฟฟิกใดบ้างในเครือข่ายของฉัน:
หากเรียงตามจำนวนเซสชัน ส่วนใหญ่จะถูกสร้างโดย bittorent ตามมาด้วย SSL แล้วก็ QUIC นี่คือสถิติสำหรับทราฟฟิกทั้งขาเข้าและขาออก: มีการสแกนเราเตอร์ของฉันจากภายนอกจำนวนมาก มี 150 แอปพลิเคชั่นที่แตกต่างกันในเครือข่ายของฉัน
ดังนั้นจึงถูกข้ามไปโดยกฎข้อเดียว ทีนี้มาดูกันว่า Policy Optimizer พูดถึงเรื่องนี้ว่าอย่างไร หากคุณดูภาพหน้าจอของอินเทอร์เฟซที่มีกฎความปลอดภัยด้านบน คุณจะเห็นหน้าต่างเล็กๆ ที่ด้านล่างซ้าย ซึ่งบ่งบอกให้ฉันรู้ว่ามีกฎที่สามารถเพิ่มประสิทธิภาพได้ คลิกกันได้เลย
เครื่องมือเพิ่มประสิทธิภาพนโยบายใดแสดง:
- นโยบายไหนไม่ได้ใช้เลย 30 วัน 90 วัน ซึ่งจะช่วยในการตัดสินใจลบออกทั้งหมด
- แอปพลิเคชันใดที่ระบุในนโยบาย แต่ไม่พบแอปพลิเคชันดังกล่าวในทราฟฟิก สิ่งนี้ทำให้คุณสามารถลบแอปพลิเคชันที่ไม่จำเป็นออกจากกฎการอนุญาตได้
- นโยบายใดที่อนุญาตทุกอย่างติดต่อกัน แต่มีบางแอปพลิเคชันที่ควรระบุอย่างชัดเจนตามระเบียบวิธี Zero Trust
คลิกที่ไม่ได้ใช้
เพื่อแสดงวิธีการทำงาน ฉันได้เพิ่มกฎสองสามข้อ และจนถึงตอนนี้ กฎเหล่านั้นก็ยังไม่พลาดแม้แต่แพ็กเก็ตเดียว นี่คือรายการของพวกเขา:
บางทีเมื่อเวลาผ่านไปการจราจรจะผ่านไปที่นั่นและจะหายไปจากรายการนี้ และหากอยู่ในรายการนี้เป็นเวลา 90 วัน คุณก็สามารถตัดสินใจลบกฎเหล่านี้ได้ ท้ายที่สุด กฎแต่ละข้อเปิดโอกาสให้แฮ็กเกอร์
มีปัญหาจริงกับการกำหนดค่าไฟร์วอลล์: มีพนักงานใหม่เข้ามา, ตรวจสอบกฎไฟร์วอลล์, หากไม่มีความคิดเห็นและไม่รู้ว่าเหตุใดจึงสร้างกฎนี้, จำเป็นหรือไม่, สามารถลบได้หรือไม่: ทันใดนั้นบุคคลนั้น ในช่วงวันหยุดและตลอด 30 วันปริมาณการใช้งานจะไปจากบริการที่ต้องการอีกครั้ง และฟังก์ชั่นนี้ช่วยให้เขาตัดสินใจได้ - ไม่มีใครใช้ - ลบทิ้ง!
คลิกที่แอพที่ไม่ได้ใช้
เราคลิกแอพที่ไม่ได้ใช้ในเครื่องมือเพิ่มประสิทธิภาพและดูว่าข้อมูลที่น่าสนใจเปิดขึ้นในหน้าต่างหลัก
เราเห็นว่ามีกฎอยู่ XNUMX ข้อ โดยที่จำนวนแอปพลิเคชันที่อนุญาตและจำนวนแอปพลิเคชันที่ผ่านกฎนี้แตกต่างกัน
เราสามารถคลิกดูรายการแอปพลิเคชันเหล่านี้และเปรียบเทียบรายการเหล่านี้ได้
ตัวอย่างเช่น ให้คลิกที่ปุ่มเปรียบเทียบสำหรับกฎสูงสุด
ที่นี่คุณจะเห็นว่าอนุญาตให้ใช้แอปพลิเคชัน facebook, instagram, telegram, vkontakte แต่ในความเป็นจริงทราฟฟิกผ่านแอปพลิเคชันย่อยเพียงบางส่วนเท่านั้น ที่นี่คุณต้องเข้าใจว่าแอปพลิเคชัน facebook มีแอปพลิเคชันย่อยหลายตัว
รายการแอปพลิเคชัน NGFW ทั้งหมดสามารถดูได้ที่พอร์ทัล และในอินเทอร์เฟซของไฟร์วอลล์เอง ในส่วน Objects->Applications และในการค้นหา ให้พิมพ์ชื่อแอปพลิเคชัน: facebook คุณจะได้ผลลัพธ์ดังต่อไปนี้:
ดังนั้น NGFW จึงเห็นแอปพลิเคชันย่อยเหล่านี้บางส่วน แต่ไม่เห็นบางส่วน อันที่จริง คุณสามารถแยกปิดและเปิดใช้งานฟังก์ชันย่อยของ Facebook ที่แตกต่างกันได้ ตัวอย่างเช่น อนุญาตให้คุณดูข้อความ แต่ห้ามแชทหรือถ่ายโอนไฟล์ ดังนั้นเครื่องมือเพิ่มประสิทธิภาพนโยบายจึงพูดถึงเรื่องนี้และคุณสามารถตัดสินใจได้: ไม่อนุญาตแอปพลิเคชัน Facebook ทั้งหมด แต่อนุญาตเฉพาะแอปพลิเคชันหลักเท่านั้น
ดังนั้นเราจึงตระหนักว่ารายการนั้นแตกต่างกัน คุณสามารถตรวจสอบให้แน่ใจว่ากฎอนุญาตเฉพาะแอปพลิเคชันที่โรมมิ่งเครือข่ายจริงๆ ในการทำเช่นนี้ คุณคลิกปุ่ม MatchUsage ปรากฎว่า:
และคุณยังสามารถเพิ่มแอปพลิเคชันที่คุณคิดว่าจำเป็น - ปุ่มเพิ่มทางด้านซ้ายของหน้าต่าง:
จากนั้นกฎนี้สามารถนำไปใช้และทดสอบได้ ยินดีด้วย!
คลิก ไม่ได้ระบุแอป
ในกรณีนี้ หน้าต่างความปลอดภัยที่สำคัญจะเปิดขึ้น
เป็นไปได้มากว่าจะมีกฎดังกล่าวมากมายที่ไม่ได้ระบุแอปพลิเคชันระดับ L7 อย่างชัดแจ้งในเครือข่ายของคุณ และในเครือข่ายของฉันมีกฎดังกล่าว - ฉันขอเตือนคุณว่าฉันตั้งกฎนี้ระหว่างการตั้งค่าเริ่มต้นโดยเฉพาะเพื่อแสดงว่า Policy Optimizer ทำงานอย่างไร
รูปภาพแสดงให้เห็นว่ากฎ AllowAll พลาดการรับส่งข้อมูล 9 กิกะไบต์ในช่วงวันที่ 17 มีนาคมถึง 220 มีนาคม ซึ่งรวมเป็น 150 แอปพลิเคชันที่แตกต่างกันในเครือข่ายของฉัน และนี่ยังไม่พอ โดยปกติแล้ว เครือข่ายองค์กรขนาดกลางจะมีแอพพลิเคชั่นที่แตกต่างกัน 200-300 แอพพลิเคชั่น
ดังนั้น กฎหนึ่งข้อจึงพลาดแอปพลิเคชันมากถึง 150 รายการ ซึ่งมักจะหมายความว่ามีการกำหนดค่าไฟร์วอลล์ไม่ถูกต้อง เนื่องจากโดยปกติแล้ว 1-10 แอปพลิเคชันสำหรับวัตถุประสงค์ที่แตกต่างกันจะถูกข้ามไปในกฎเดียว มาดูกันว่าแอปพลิเคชันเหล่านี้คืออะไร: คลิกปุ่มเปรียบเทียบ:
สิ่งที่ยอดเยี่ยมที่สุดสำหรับผู้ดูแลระบบในฟีเจอร์ Policy Optimizer คือปุ่มจับคู่การใช้งาน - คุณสามารถสร้างกฎได้ด้วยคลิกเดียว ซึ่งคุณจะป้อนแอปพลิเคชันทั้งหมด 150 รายการลงในกฎ การดำเนินการด้วยตนเองอาจใช้เวลานานเกินไป จำนวนงานสำหรับผู้ดูแลระบบแม้ในเครือข่าย 10 เครื่องของฉันก็มีมาก
ฉันมีแอปพลิเคชันที่แตกต่างกัน 150 รายการที่ทำงานที่บ้าน ส่งข้อมูลการรับส่งข้อมูลเป็นกิกะไบต์! และคุณมีเท่าไหร่?
แต่จะเกิดอะไรขึ้นในเครือข่าย 100 เครื่องหรือ 1000 หรือ 10000 เครื่อง ฉันเห็นไฟร์วอลล์ที่มีกฎ 8000 ข้อแล้ว และฉันก็ดีใจมากที่ตอนนี้ผู้ดูแลระบบมีเครื่องมืออัตโนมัติที่สะดวกเช่นนี้
คุณไม่จำเป็นต้องมีแอปพลิเคชันบางตัวที่โมดูลการวิเคราะห์แอปพลิเคชัน L7 ใน NGFW เห็นและแสดงบนเครือข่าย ดังนั้นคุณเพียงแค่ลบออกจากรายการกฎอนุญาต หรือโคลนกฎด้วยปุ่มโคลน (ในอินเทอร์เฟซหลัก) และอนุญาตในกฎแอปพลิเคชันเดียว และในบล็อกแอปพลิเคชันอื่นๆ ราวกับว่าไม่จำเป็นอย่างแน่นอนในเครือข่ายของคุณ แอปพลิเคชันดังกล่าวมักจะกลายเป็น bittorent, steam, ultrasurf, tor, อุโมงค์ที่ซ่อนอยู่ เช่น tcp-over-dns และอื่นๆ
คลิกที่กฎอื่น - สิ่งที่คุณเห็นที่นั่น:
ใช่ มีแอปพลิเคชันเฉพาะสำหรับมัลติคาสต์ เราต้องอนุญาตเพื่อให้การดูวิดีโอผ่านเครือข่ายทำงานได้ คลิกจับคู่การใช้งาน ยอดเยี่ยม! ขอบคุณ เครื่องมือเพิ่มประสิทธิภาพนโยบาย
แล้วแมชชีนเลิร์นนิงล่ะ?
ตอนนี้มันเป็นเรื่องแฟชั่นที่จะพูดคุยเกี่ยวกับระบบอัตโนมัติ สิ่งที่ฉันอธิบายออกมา - มันช่วยได้มาก มีความเป็นไปได้อีกอย่างที่ฉันต้องพูดถึง นี่คือฟังก์ชันการเรียนรู้ของเครื่องที่สร้างขึ้นในยูทิลิตี้ Expedition ที่กล่าวถึงข้างต้น ในยูทิลิตี้นี้ คุณสามารถถ่ายโอนกฎจากไฟร์วอลล์เก่าของคุณจากผู้ผลิตรายอื่นได้ และยังมีความสามารถในการวิเคราะห์บันทึกการรับส่งข้อมูลของ Palo Alto Networks ที่มีอยู่และแนะนำว่าควรเขียนกฎใด ซึ่งคล้ายกับการทำงานของ Policy Optimizer แต่ใน Expedition นั้นล้ำหน้ากว่า และคุณจะได้รับรายการกฎสำเร็จรูป คุณเพียงแค่ต้องอนุมัติเท่านั้น
เพื่อทดสอบการทำงานนี้มีการทำงานในห้องปฏิบัติการ - เราเรียกว่าการทดลองขับ การทดสอบนี้สามารถทำได้โดยไปที่ไฟร์วอลล์เสมือนที่เจ้าหน้าที่สำนักงานของ Palo Alto Networks Moscow จะเปิดใช้งานตามคำขอของคุณ
สามารถส่งคำขอมาได้ที่ [ป้องกันอีเมล] และในคำขอเขียนว่า "ฉันต้องการสร้าง UTD สำหรับกระบวนการย้ายข้อมูล"
อันที่จริง มีหลายตัวเลือกสำหรับห้องทดลองที่เรียกว่า Unified Test Drive (UTD) และตัวเลือกทั้งหมด หลังจากการร้องขอ
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ , โปรด.
คุณต้องการใครสักคนที่จะช่วยคุณเพิ่มประสิทธิภาพนโยบายไฟร์วอลล์ของคุณหรือไม่?
-
มี
-
ไม่
-
ฉันจะทำทุกอย่างด้วยตัวเอง
ยังไม่มีใครลงคะแนน ไม่มีการงดออกเสียง
ที่มา: will.com