Paano Suriin ang Epektibo ng isang NGFW Setup
Ang pinakakaraniwang gawain ay upang suriin kung gaano kaepektibo ang iyong firewall ay na-configure. Para magawa ito, may mga libreng utility at serbisyo mula sa mga kumpanyang nakikitungo sa NGFW.
Halimbawa, makikita mo sa ibaba na ang Palo Alto Networks ay may kakayahang direktang mula sa magpatakbo ng pagsusuri ng mga istatistika ng firewall - Ulat sa SLR o pagsusuri ng pagsunod sa pinakamahuhusay na kagawian - Ulat ng BPA. Ito ay mga libreng online na utility na magagamit mo nang hindi nag-i-install ng kahit ano.
NILALAMAN
Expedition (Migration Tool)
Ang isang mas kumplikadong opsyon para sa pagsuri sa iyong mga setting ay ang pag-download ng isang libreng utility (dating Migration Tool). Ito ay nai-download bilang isang Virtual Appliance para sa VMware, walang mga setting na kinakailangan dito - kailangan mong i-download ang imahe at i-deploy ito sa ilalim ng VMware hypervisor, ilunsad ito at pumunta sa web interface. Nangangailangan ang utility na ito ng hiwalay na kuwento, ang kurso lang dito ay tumatagal ng 5 araw, napakaraming function na ngayon, kabilang ang Machine Learning at paglipat ng iba't ibang configuration ng mga patakaran, NAT at mga bagay para sa iba't ibang manufacturer ng Firewall. Magsusulat ako ng higit pa tungkol sa Machine Learning sa ibaba sa teksto.
Policy Optimizer
At ang pinaka-maginhawang opsyon (IMHO), na sasabihin ko sa iyo nang mas detalyado ngayon, ay ang policy optimizer na binuo sa mismong interface ng Palo Alto Networks. Upang ipakita ito, nag-install ako ng firewall sa bahay at nagsulat ng isang simpleng panuntunan: pahintulutan ang alinman sa alinman. Sa prinsipyo, kung minsan ay nakikita ko ang gayong mga patakaran kahit na sa mga corporate network. Naturally, pinagana ko ang lahat ng mga profile ng seguridad ng NGFW, tulad ng makikita mo sa screenshot:
Ang screenshot sa ibaba ay nagpapakita ng isang halimbawa ng aking bahay na hindi na-configure na firewall, kung saan halos lahat ng koneksyon ay nahuhulog sa huling panuntunan: AllowAll, gaya ng makikita mula sa mga istatistika sa column ng Hit Count.
ZeroTrust
Mayroong isang diskarte sa seguridad na tinatawag . Ano ang ibig sabihin nito: dapat nating payagan ang mga tao sa loob ng network nang eksakto sa mga koneksyon na kailangan nila at tanggihan ang lahat ng iba pa. Iyon ay, kailangan naming magdagdag ng malinaw na mga panuntunan para sa mga application, mga user, mga kategorya ng URL, mga uri ng file; paganahin ang lahat ng IPS at antivirus signature, paganahin ang sandboxing, proteksyon ng DNS, gamitin ang IoC mula sa mga available na database ng Threat Intelligence. Sa pangkalahatan, mayroong isang disenteng bilang ng mga gawain kapag nagse-set up ng isang firewall.
Sa pamamagitan ng paraan, ang minimum na hanay ng mga kinakailangang setting para sa Palo Alto Networks NGFW ay inilarawan sa isa sa mga dokumento ng SANS: - Inirerekomenda kong simulan ito. At siyempre, mayroong isang hanay ng mga pinakamahusay na kagawian para sa pag-set up ng firewall mula sa tagagawa: .
Kaya, nagkaroon ako ng firewall sa bahay sa loob ng isang linggo. Tingnan natin kung anong uri ng trapiko ang mayroon sa aking network:
Kung nag-uuri ka ayon sa bilang ng mga session, ang karamihan sa mga ito ay nilikha ng bittorent, pagkatapos ay darating ang SSL, pagkatapos ay QUIC. Ito ay mga istatistika para sa parehong papasok at papalabas na trapiko: maraming mga panlabas na pag-scan ng aking router. Mayroong 150 iba't ibang mga application sa aking network.
Kaya, ang lahat ng ito ay napalampas ng isang panuntunan. Tingnan natin ngayon kung ano ang sinasabi ng Policy Optimizer tungkol dito. Kung tumingin ka sa itaas sa screenshot ng interface na may mga panuntunan sa seguridad, pagkatapos ay sa kaliwang ibaba ay nakita mo ang isang maliit na window na nagpapahiwatig sa akin na may mga panuntunan na maaaring i-optimize. Pindutin natin doon.
Ano ang ipinapakita ng Policy Optimizer:
- Aling mga patakaran ang hindi ginamit, 30 araw, 90 araw. Nakakatulong ito sa paggawa ng desisyon na ganap na alisin ang mga ito.
- Anong mga application ang tinukoy sa mga patakaran, ngunit walang mga naturang application ang natukoy sa trapiko. Binibigyang-daan ka nitong alisin ang mga hindi kinakailangang application sa pagpapahintulot sa mga panuntunan.
- Anong mga patakaran ang pinahihintulutan ang lahat, ngunit may mga aktwal na aplikasyon na mainam na tahasang ipahiwatig ayon sa pamamaraan ng Zero Trust.
I-click natin ang Unused.
Upang ipakita kung paano ito gumagana, nagdagdag ako ng ilang mga panuntunan at sa ngayon ay wala pa silang napalampas na isang pakete ngayon. Narito ang kanilang listahan:
Marahil sa paglipas ng panahon ay magkakaroon ng trapiko doon at pagkatapos ay mawawala sila sa listahang ito. At kung sila ay nasa listahang ito sa loob ng 90 araw, maaari kang magpasya na tanggalin ang mga panuntunang ito. Pagkatapos ng lahat, ang bawat panuntunan ay nagbibigay ng pagkakataon para sa isang hacker.
Mayroong isang tunay na problema kapag nag-configure ng isang firewall: isang bagong empleyado ang dumating, tinitingnan ang mga patakaran ng firewall, kung wala silang anumang mga komento at hindi niya alam kung bakit nilikha ang panuntunang ito, kung talagang kailangan ito, kung maaari matatanggal: biglang nagbakasyon ang tao at pagkatapos ng Sa loob ng 30 araw, dadaloy muli ang trapiko mula sa serbisyong kailangan niya. At ang function na ito lamang ang tumutulong sa kanya na gumawa ng desisyon - walang gumagamit nito - tanggalin ito!
Mag-click sa Hindi Nagamit na App.
Nag-click kami sa Hindi Nagamit na App sa optimizer at nakita namin na bubukas ang kawili-wiling impormasyon sa pangunahing window.
Nakikita namin na mayroong tatlong mga panuntunan, kung saan ang bilang ng mga pinapayagang aplikasyon at ang bilang ng mga aplikasyon na aktwal na pumasa sa panuntunang ito ay iba.
Maaari naming i-click at makita ang isang listahan ng mga application na ito at ihambing ang mga listahang ito.
Halimbawa, mag-click sa button na Ihambing para sa Max na panuntunan.
Dito makikita mo na pinapayagan ang mga application na facebook, instagram, telegrama, vkontakte. Ngunit sa katotohanan, napunta lang ang trapiko sa ilan sa mga sub-application. Dito kailangan mong maunawaan na ang facebook application ay naglalaman ng ilang mga sub-application.
Ang buong listahan ng mga aplikasyon ng NGFW ay makikita sa portal at sa mismong firewall interface, sa Objects->Applications section at sa paghahanap, i-type ang application name: facebook, makukuha mo ang sumusunod na resulta:
Kaya, ang ilan sa mga sub-application na ito ay nakita ng NGFW, ngunit ang ilan ay hindi. Sa katunayan, maaari mong hiwalay na ipagbawal at payagan ang iba't ibang mga sub-function ng Facebook. Halimbawa, payagan ang pagtingin sa mga mensahe, ngunit ipagbawal ang chat o paglilipat ng file. Alinsunod dito, pinag-uusapan ito ng Policy Optimizer at maaari kang gumawa ng desisyon: hindi payagan ang lahat ng application sa Facebook, ngunit ang mga pangunahing application lamang.
Kaya, napagtanto namin na magkaiba ang mga listahan. Maaari mong tiyakin na pinapayagan lamang ng mga panuntunan ang mga application na aktwal na naglalakbay sa network. Upang gawin ito, i-click mo ang pindutan ng MatchUsage. Ito ay lumalabas na ganito:
At maaari ka ring magdagdag ng mga application na sa tingin mo ay kinakailangan - ang Add button sa kaliwang bahagi ng window:
At pagkatapos ang panuntunang ito ay maaaring ilapat at masuri. Binabati kita!
I-click ang Walang Tinukoy na Apps.
Sa kasong ito, magbubukas ang isang mahalagang window ng seguridad.
Malamang na maraming ganoong mga panuntunan sa iyong network kung saan ang aplikasyon sa antas ng L7 ay hindi tahasang tinukoy. At sa aking network ay mayroong ganoong panuntunan - hayaan mong ipaalala ko sa iyo na ginawa ko ito sa paunang pag-setup, partikular na upang ipakita kung paano gumagana ang Policy Optimizer.
Ipinapakita ng larawan na pinapayagan ng panuntunang AllowAll ang 9 gigabytes ng trapiko sa panahon mula Marso 17 hanggang Marso 220, na 150 iba't ibang mga application sa aking network. At hindi iyon sapat. Karaniwan, ang isang average na laki ng corporate network ay may 200-300 iba't ibang mga application.
Kaya, ang isang panuntunan ay nagbibigay-daan sa hanggang 150 mga aplikasyon. Karaniwang nangangahulugan ito na ang firewall ay hindi na-configure nang tama, dahil kadalasan ang isang panuntunan ay nagbibigay-daan sa 1-10 mga application para sa iba't ibang layunin. Tingnan natin kung ano ang mga application na ito: i-click ang button na Ihambing:
Ang pinakakahanga-hangang bagay para sa isang administrator sa pag-andar ng Policy Optimizer ay ang Match Usage button - maaari kang lumikha ng isang panuntunan sa isang pag-click, kung saan ilalagay mo ang lahat ng 150 application sa panuntunan. Ang paggawa nito nang manu-mano ay magtatagal ng mahabang panahon. Napakalaki ng bilang ng mga gawain para sa isang administrator, kahit na sa aking network ng 10 device.
Mayroon akong 150 iba't ibang mga application na tumatakbo sa bahay, naglilipat ng mga gigabyte ng trapiko! At magkano ang mayroon ka?
Ngunit ano ang nangyayari sa isang network ng 100 device o 1000 o 10000? Nakakita na ako ng mga firewall na may 8000 panuntunan at labis akong natutuwa na ang mga administrator ay mayroon na ngayong maginhawang mga tool sa automation.
Ang ilan sa mga application na nakita at ipinakita ng module ng pagsusuri ng L7 application sa NGFW na hindi mo kakailanganin sa network, kaya alisin mo lang ang mga ito sa listahan ng mga pinapayagang panuntunan, o i-clone ang mga panuntunan gamit ang Clone button (sa pangunahing interface) at payagan ang mga ito sa isang panuntunan sa aplikasyon, at sa Iyong iba-block ang iba pang mga application dahil tiyak na hindi sila kailangan sa iyong network. Ang mga naturang application ay kadalasang kinabibilangan ng bittorent, steam, ultrasurf, tor, hidden tunnels gaya ng tcp-over-dns at iba pa.
Well, mag-click tayo sa isa pang panuntunan at tingnan kung ano ang makikita mo doon:
Oo, may mga karaniwang application para sa multicast. Dapat nating payagan silang gumana sa online na panonood ng video. I-click ang Pagtutugma sa Paggamit. Malaki! Salamat Policy Optimizer.
Paano ang Machine Learning?
Ngayon ay naka-istilong pag-usapan ang tungkol sa automation. Ang inilarawan ko ay lumabas - ito ay nakakatulong nang malaki. May isa pang posibilidad na dapat kong pag-usapan. Ito ang functionality ng Machine Learning na binuo sa Expedition utility, na nabanggit na sa itaas. Sa utility na ito, posibleng maglipat ng mga panuntunan mula sa iyong lumang firewall mula sa ibang tagagawa. Mayroon ding kakayahang pag-aralan ang mga kasalukuyang log ng trapiko ng Palo Alto Networks at magmungkahi kung anong mga panuntunan ang isusulat. Ito ay katulad ng functionality ng Policy Optimizer, ngunit sa Expedition ay mas pinalawak pa ito at inaalok sa iyo ang isang listahan ng mga nakahanda nang panuntunan - kailangan mo lang na aprubahan ang mga ito.
Upang subukan ang pag-andar na ito, mayroong isang gawain sa laboratoryo - tinatawag namin itong test drive. Ang pagsubok na ito ay maaaring gawin sa pamamagitan ng pag-log in sa mga virtual na firewall, na ilulunsad ng mga empleyado ng opisina ng Palo Alto Networks sa Moscow sa iyong kahilingan.
Maaaring ipadala ang kahilingan sa [protektado ng email] at sa kahilingan ay isulat ang: "Gusto kong gumawa ng UTD para sa Proseso ng Migration."
Sa katunayan, ang gawaing laboratoryo na tinatawag na Unified Test Drive (UTD) ay may ilang mga opsyon at lahat ng mga ito pagkatapos ng kahilingan.
Ang mga rehistradong user lamang ang maaaring lumahok sa survey. , pakiusap
Gusto mo bang may tumulong sa iyong i-optimize ang iyong mga patakaran sa firewall?
-
Oo
-
Hindi
-
Ako mismo ang gagawa ng lahat
Wala pang bumoto. Walang mga abstention.
Pinagmulan: www.habr.com