Chào mọi người! Tiếp nối điều này
Bài viết này sẽ trình bày phần đầu tiên của chức năng Tường lửa Sophos XG - “Giám sát và phân tích”. Đánh giá đầy đủ sẽ được xuất bản dưới dạng một loạt bài viết. Chúng ta sẽ tiến hành dựa trên giao diện web Sophos XG Tường lửa và bảng cấp phép
Trung tâm kiểm soát an ninh
Và vì vậy, chúng tôi đã khởi chạy trình duyệt và mở giao diện web của NGFW, chúng tôi thấy lời nhắc nhập tên người dùng và mật khẩu của bạn để vào bảng quản trị
Chúng tôi nhập thông tin đăng nhập và mật khẩu mà chúng tôi đã đặt trong lần kích hoạt đầu tiên và đến trung tâm điều khiển của chúng tôi. Anh ấy trông như thế này
Hầu hết mọi vật dụng này đều có thể nhấp được. Bạn có thể rơi vào sự việc và xem chi tiết.
Hãy xem xét từng khối và chúng ta sẽ bắt đầu với khối Hệ thống
Hệ thống khối
Khối này hiển thị trạng thái của máy theo thời gian thực. Nếu bạn nhấp vào bất kỳ biểu tượng nào, chúng tôi sẽ chuyển đến trang có thông tin chi tiết hơn về trạng thái hệ thống
Nếu hệ thống có vấn đề thì widget này sẽ báo hiệu điều này và trên trang thông tin bạn có thể xem lý do
Bằng cách nhấp qua các tab, bạn có thể biết thêm thông tin về các khía cạnh khác nhau của tường lửa.
Khối thông tin chi tiết về lưu lượng truy cập
Phần này cung cấp cho chúng tôi ý tưởng về những gì đang xảy ra trên mạng của chúng tôi vào lúc này và những gì đã xảy ra trong 24 giờ qua. 5 danh mục web và ứng dụng hàng đầu theo lưu lượng truy cập, tấn công mạng (mô-đun IPS được kích hoạt) và 5 ứng dụng bị chặn hàng đầu.
Ngoài ra, phần Ứng dụng đám mây cũng đáng được nêu bật riêng. Trong đó bạn có thể thấy sự hiện diện của các ứng dụng trên mạng cục bộ sử dụng dịch vụ đám mây. Tổng số lượng, lưu lượng truy cập đến và đi của họ. Nếu bạn nhấp vào tiện ích này, chúng ta sẽ được đưa đến trang thông tin về các ứng dụng đám mây, nơi chúng ta có thể xem chi tiết hơn những ứng dụng đám mây nào trên mạng, ai sử dụng chúng và thông tin giao thông
Khối thông tin chi tiết về người dùng và thiết bị
Khối này hiển thị thông tin về người dùng. Dòng trên cùng hiển thị cho chúng ta thông tin về máy tính người dùng bị nhiễm, thu thập thông tin từ phần mềm chống vi-rút Sophos và truyền nó đến Tường lửa Sophos XG. Dựa trên thông tin này, Tường lửa có thể, khi bị nhiễm, ngắt kết nối máy tính của người dùng khỏi mạng cục bộ hoặc phân đoạn mạng ở cấp độ L2, chặn mọi liên lạc với nó. Thông tin thêm về Security Heartbeat đã có trong
Điều đáng chú ý là hai vật dụng phía dưới. Đó là ATP (Bảo vệ mối đe dọa nâng cao) và UTQ (Chỉ số mối đe dọa người dùng).
Mô-đun ATP chặn các kết nối với C&C, máy chủ điều khiển của mạng botnet. Nếu một thiết bị trên mạng cục bộ của bạn nằm trong mạng botnet, mô-đun này sẽ báo cáo điều này và sẽ không cho phép bạn kết nối với máy chủ điều khiển. Nó trông như thế này
Mô-đun UTQ chỉ định chỉ mục bảo mật cho mỗi người dùng. Người dùng càng cố gắng truy cập các trang web bị cấm hoặc chạy các ứng dụng bị cấm thì xếp hạng của anh ta càng cao. Dựa trên dữ liệu này, có thể cung cấp đào tạo trước cho những người dùng như vậy mà không cần chờ đợi thực tế là cuối cùng máy tính của họ sẽ bị nhiễm phần mềm độc hại. Nó trông như thế này
Tiếp theo là phần thông tin chung về các quy tắc tường lửa đang hoạt động và các báo cáo nóng, có thể tải xuống nhanh chóng ở định dạng pdf
Hãy chuyển sang phần tiếp theo của menu - Hoạt động hiện tại
Các hoạt động hiện tại
Hãy bắt đầu đánh giá bằng tab Người dùng trực tiếp. Trên trang này, chúng ta có thể biết người dùng nào hiện đang kết nối với Tường lửa Sophos XG, phương thức xác thực, địa chỉ IP của máy, thời gian kết nối và lưu lượng truy cập.
Kết nối trực tiếp
Tab này hiển thị các phiên hoạt động trong thời gian thực. Bảng này có thể được lọc theo ứng dụng, người dùng và địa chỉ IP của máy khách.
kết nối IPsec
Tab này hiển thị thông tin về các kết nối IPsec VPN đang hoạt động
Tab người dùng từ xa
Tab Người dùng từ xa chứa thông tin về người dùng từ xa đã kết nối qua SSL VPN
Ngoài ra, trên tab này, bạn có thể xem lưu lượng truy cập của người dùng trong thời gian thực và buộc ngắt kết nối bất kỳ người dùng nào.
Hãy bỏ qua tab Báo cáo vì hệ thống báo cáo trong sản phẩm này rất đồ sộ và cần có một bài viết riêng.
Chẩn đoán
Một trang với các tiện ích tìm kiếm vấn đề khác nhau sẽ ngay lập tức mở ra. Chúng bao gồm Ping, Traceroute, Tra cứu tên, Tra cứu tuyến đường.
Tiếp theo là tab chứa biểu đồ hệ thống về phần cứng và cổng tải theo thời gian thực
Đồ thị hệ thống
Sau đó, một tab nơi bạn có thể kiểm tra danh mục tài nguyên web
Tra cứu danh mục URL
Tab tiếp theo, Chụp gói, về cơ bản là giao diện tcpdump được tích hợp trên web. Bạn cũng có thể viết bộ lọc
Chụp gói tin
Một điều thú vị cần lưu ý là các gói được chuyển đổi thành một bảng nơi bạn có thể tắt và bật các cột bổ sung có thông tin. Ví dụ: chức năng này rất thuận tiện cho việc tìm kiếm các sự cố mạng - bạn có thể nhanh chóng hiểu quy tắc lọc nào đã được áp dụng cho lưu lượng truy cập thực.
Trên tab Danh sách kết nối, bạn có thể xem tất cả các kết nối hiện có trong thời gian thực và thông tin về chúng
Danh sách kết nối
Kết luận
Điều này kết thúc phần đầu tiên của đánh giá. Chúng tôi chỉ kiểm tra phần nhỏ nhất của chức năng có sẵn và hoàn toàn không đề cập đến các mô-đun bảo mật. Trong bài viết tiếp theo, chúng tôi sẽ phân tích chức năng báo cáo tích hợp và các quy tắc tường lửa, loại và mục đích của chúng.
Cảm ơn bạn đã dành thời gian.
Nếu bạn có bất kỳ thắc mắc nào về phiên bản thương mại của XG Tường lửa, bạn có thể liên hệ với chúng tôi, công ty
Nguồn: www.habr.com