Bii o ṣe le Ṣe iṣiro Imudara ti Eto NGFW kan

Iṣẹ-ṣiṣe ti o wọpọ julọ ni lati ṣayẹwo bawo ni a ṣe tunto ogiriina rẹ ni imunadoko. Lati ṣe eyi, awọn ohun elo ọfẹ ati awọn iṣẹ wa lati awọn ile-iṣẹ ti o ṣe pẹlu NGFW.

Fun apẹẹrẹ, o le rii ni isalẹ pe Awọn nẹtiwọki Palo Alto ni agbara lati taara lati support portal ṣiṣe iṣiro ti awọn iṣiro ogiriina - ijabọ SLR tabi itupalẹ ibamu pẹlu awọn iṣe ti o dara julọ - ijabọ BPA. Iwọnyi jẹ awọn ohun elo ori ayelujara ọfẹ ti o le lo laisi fifi sori ẹrọ ohunkohun.

IKỌRỌ

Irin-ajo (Ọpa Iṣilọ)
Afihan Optimizer
Igbẹkẹle Zero
Tẹ lori A ko lo
Tẹ lori A ko lo App
Tẹ Ko si Apps Specified
Kini nipa Ẹkọ Ẹrọ?
UTD

Irin-ajo (Ọpa Iṣilọ)

Aṣayan eka diẹ sii fun ṣiṣe ayẹwo awọn eto rẹ ni lati ṣe igbasilẹ ohun elo ọfẹ kan irin ajo (Ọpa Iṣilọ tẹlẹ). O ti ṣe igbasilẹ bi Ohun elo Foju fun VMware, ko si awọn eto ti o nilo pẹlu rẹ - o nilo lati ṣe igbasilẹ aworan naa ki o ran lọ labẹ hypervisor VMware, ṣe ifilọlẹ ki o lọ si wiwo wẹẹbu. IwUlO yii nilo itan ti o yatọ, iṣẹ-ẹkọ nikan lori rẹ gba awọn ọjọ 5, awọn iṣẹ pupọ lo wa ni bayi, pẹlu Ẹkọ ẹrọ ati iṣiwa ti ọpọlọpọ awọn atunto ti awọn eto imulo, NAT ati awọn nkan fun oriṣiriṣi awọn aṣelọpọ ogiriina. Emi yoo kọ diẹ sii nipa Ẹkọ Ẹrọ ni isalẹ ninu ọrọ naa.

Afihan Optimizer

Ati aṣayan ti o rọrun julọ (IMHO), eyiti Emi yoo sọ fun ọ ni alaye diẹ sii loni, jẹ iṣapeye eto imulo ti a ṣe sinu wiwo Palo Alto Networks funrararẹ. Lati ṣe afihan rẹ, Mo fi ogiriina kan sori ile ati kọ ofin ti o rọrun: gba eyikeyi laaye si eyikeyi. Ni opo, Mo ma ri iru awọn ofin paapaa ni awọn nẹtiwọki ile-iṣẹ. Nipa ti, Mo mu gbogbo awọn profaili aabo NGFW ṣiṣẹ, bi o ti le rii ninu sikirinifoto:


Sikirinifoto ti o wa ni isalẹ fihan apẹẹrẹ ti ogiriina ti a ko tunto ti ile mi, nibiti o fẹrẹ jẹ pe gbogbo awọn asopọ ṣubu sinu ofin ti o kẹhin: AllowAll, bi o ti le rii lati awọn iṣiro ninu iwe Hit Count.

Igbẹkẹle Zero

Ọna kan wa si aabo ti a pe Igbẹkẹle Zero. Kini eyi tumọ si: a gbọdọ gba eniyan laaye laarin nẹtiwọọki gangan awọn asopọ wọnyẹn ti wọn nilo ati kọ ohun gbogbo miiran. Iyẹn ni, a nilo lati ṣafikun awọn ofin ti o han gbangba fun awọn ohun elo, awọn olumulo, awọn ẹka URL, awọn iru faili; mu gbogbo awọn IPS ati awọn ibuwọlu antivirus ṣiṣẹ, jẹ ki sandboxing ṣiṣẹ, aabo DNS, lo IoC lati awọn apoti isura infomesonu Irokeke ti o wa. Ni gbogbogbo, nọmba to dara ti awọn iṣẹ-ṣiṣe wa nigbati o ba ṣeto ogiriina kan.

Nipa ọna, eto ti o kere julọ ti awọn eto pataki fun Palo Alto Networks NGFW jẹ apejuwe ninu ọkan ninu awọn iwe aṣẹ SANS: Palo Alto Networks Aabo iṣeto ni tunbo - Mo ṣeduro bẹrẹ pẹlu rẹ. Ati pe nitorinaa, eto awọn iṣe ti o dara julọ wa fun iṣeto ogiriina kan ni olupese: Iwa Dara julọ.

Nitorinaa, Mo ni ogiriina ni ile fun ọsẹ kan. Jẹ ki a wo iru ijabọ ti o wa lori nẹtiwọọki mi:


Ti o ba to lẹsẹsẹ nipasẹ nọmba awọn akoko, lẹhinna pupọ julọ wọn ni a ṣẹda nipasẹ bittorent, lẹhinna SSL wa, lẹhinna QUIC. Iwọnyi jẹ awọn iṣiro fun awọn ijabọ ti nwọle ati ti njade: ọpọlọpọ awọn ọlọjẹ ita ti olulana mi. Awọn ohun elo oriṣiriṣi 150 wa lori nẹtiwọki mi.

Nitorinaa, gbogbo eyi ti padanu nipasẹ ofin kan. Jẹ ki a wo ohun ti Afihan Optimizer sọ nipa eyi. Ti o ba wo loke ni sikirinifoto ti wiwo pẹlu awọn ofin aabo, lẹhinna ni isalẹ apa osi o rii window kekere kan ti o tọka si mi pe awọn ofin wa ti o le ṣe iṣapeye. Jẹ ki a tẹ nibẹ.

Kini Iṣaju Ilana fihan:

• Awọn eto imulo wo ni wọn ko lo rara, awọn ọjọ 30, ọjọ 90. Eyi ṣe iranlọwọ lati ṣe ipinnu lati yọ wọn kuro patapata.
• Awọn ohun elo wo ni pato ninu awọn eto imulo, ṣugbọn ko si iru awọn ohun elo ti a rii ni ijabọ naa. Eyi n gba ọ laaye lati yọ awọn ohun elo ti ko wulo ni gbigba awọn ofin laaye.
• Awọn eto imulo wo ni o gba ohun gbogbo laaye, ṣugbọn awọn ohun elo gangan wa ti yoo dara lati tọka ni gbangba ni ibamu si ilana igbẹkẹle Zero.

Tẹ lori A ko lo.

Lati ṣafihan bi o ṣe n ṣiṣẹ, Mo ṣafikun awọn ofin diẹ ati titi di isisiyi wọn ko padanu soso kan loni. Eyi ni atokọ wọn:

Boya ni akoko pupọ awọn ijabọ yoo wa nibẹ ati lẹhinna wọn yoo parẹ lati atokọ yii. Ati pe ti wọn ba wa lori atokọ yii fun awọn ọjọ 90, lẹhinna o le pinnu lati paarẹ awọn ofin wọnyi. Lẹhinna, gbogbo ofin pese anfani fun agbonaeburuwole.

Iṣoro gidi kan wa nigbati atunto ogiriina kan: oṣiṣẹ tuntun kan wa, wo awọn ofin ogiriina, ti wọn ko ba ni awọn asọye ati pe ko mọ idi ti ofin yii fi ṣẹda, boya o nilo looto, boya o le Parẹ: lojiji eniyan wa ni isinmi ati lẹhin Laarin awọn ọjọ 30, ijabọ yoo tun ṣan lati iṣẹ ti o nilo. Ati pe iṣẹ yii nikan ṣe iranlọwọ fun u lati ṣe ipinnu - ko si ẹnikan ti o lo - paarẹ!

Tẹ lori A ko lo App.

A tẹ Ohun elo ti a ko lo ninu iṣapeye ati rii pe alaye ti o nifẹ si ṣii ni window akọkọ.

A rii pe awọn ofin mẹta wa, nibiti nọmba awọn ohun elo ti o gba laaye ati nọmba awọn ohun elo ti o kọja ofin yii nitootọ yatọ.

A le tẹ ati wo atokọ ti awọn ohun elo wọnyi ki o ṣe afiwe awọn atokọ wọnyi.
Fun apẹẹrẹ, tẹ bọtini Afiwera fun ofin Max.

Nibi o le rii pe awọn ohun elo facebook, instagram, telegram, vkontakte ni a gba laaye. Ṣugbọn ni otitọ, ijabọ nikan lọ si diẹ ninu awọn ohun elo iha. Nibi o nilo lati ni oye pe ohun elo facebook ni awọn ohun elo iha-pupọ.

Gbogbo atokọ ti awọn ohun elo NGFW ni a le rii lori ẹnu-ọna applipedia.paloaltonetworks.com ati ni wiwo ogiriina funrararẹ, ni apakan Awọn ohun-> Awọn ohun elo ati ninu wiwa, tẹ orukọ ohun elo naa: facebook, iwọ yoo gba abajade atẹle:

Nitorinaa, diẹ ninu awọn ohun elo iha wọnyi ni a rii nipasẹ NGFW, ṣugbọn diẹ ninu kii ṣe. Ni otitọ, o le ṣe idiwọ lọtọ ati gba awọn iṣẹ-ipin oriṣiriṣi ti Facebook laaye. Fun apẹẹrẹ, gba awọn ifiranṣẹ wiwo laaye, ṣugbọn leewọ iwiregbe tabi gbigbe faili. Gegebi, Afihan Optimizer sọrọ nipa eyi ati pe o le ṣe ipinnu: ko gba gbogbo awọn ohun elo Facebook laaye, ṣugbọn awọn akọkọ nikan.

Nitorinaa, a rii pe awọn atokọ naa yatọ. O le rii daju pe awọn ofin gba laaye nikan awọn ohun elo wọnyẹn ti o rin irin-ajo gangan lori nẹtiwọọki naa. Lati ṣe eyi, o tẹ bọtini MatchUsage. O wa jade bi eleyi:

Ati pe o tun le ṣafikun awọn ohun elo ti o ro pe o jẹ pataki - bọtini Fikun ni apa osi ti window naa:

Ati lẹhinna ofin yii le ṣee lo ati idanwo. Oriire!

Tẹ Ko si Apps Specified.

Ni idi eyi, window aabo pataki kan yoo ṣii.

O ṣee ṣe pupọ julọ iru awọn ofin ni nẹtiwọọki rẹ nibiti ohun elo ipele L7 ko ni pato ni pato. Ati pe ninu nẹtiwọọki mi iru ofin kan wa - jẹ ki n leti pe Mo ṣe lakoko iṣeto akọkọ, ni pataki lati ṣafihan bii Imudara Afihan ṣiṣẹ.

Aworan naa fihan pe ofin AllowAll gba laaye 9 gigabytes ti ijabọ ni akoko lati Oṣu Kẹta Ọjọ 17 si Oṣu Kẹta Ọjọ 220, eyiti o jẹ awọn ohun elo oriṣiriṣi 150 ni nẹtiwọọki mi. Ati pe iyẹn ko to. Ni deede, apapọ nẹtiwọọki ile-iṣẹ ni iwọn 200-300 oriṣiriṣi awọn ohun elo.

Nitorinaa, ofin kan gba laaye nipasẹ ọpọlọpọ bi awọn ohun elo 150. Ni deede eyi tumọ si pe ogiriina ko ni tunto ni deede, nitori igbagbogbo ofin kan ngbanilaaye awọn ohun elo 1-10 fun awọn idi oriṣiriṣi. Jẹ ki a wo kini awọn ohun elo wọnyi jẹ: tẹ bọtini Afiwera:

Ohun iyanu julọ fun oluṣakoso ni iṣẹ Imudara Afihan ni Bọtini Lilo Baramu - o le ṣẹda ofin kan pẹlu titẹ kan, nibiti iwọ yoo tẹ gbogbo awọn ohun elo 150 sinu ofin naa. Ṣiṣe eyi pẹlu ọwọ yoo gba akoko pipẹ pupọ. Nọmba awọn iṣẹ ṣiṣe fun oluṣakoso lati ṣiṣẹ lori, paapaa lori nẹtiwọọki mi ti awọn ẹrọ 10, jẹ nla.

Mo ni awọn ohun elo oriṣiriṣi 150 ti nṣiṣẹ ni ile, gbigbe gigabytes ti ijabọ! Ati pe melo ni o ni?

Ṣugbọn kini o ṣẹlẹ ni nẹtiwọọki ti awọn ẹrọ 100 tabi 1000 tabi 10000? Mo ti rii awọn ogiriina pẹlu awọn ofin 8000 ati pe inu mi dun pupọ pe awọn oludari ni bayi ni iru awọn irinṣẹ adaṣe adaṣe to rọrun.

Diẹ ninu awọn ohun elo ti module onínọmbà ohun elo L7 ni NGFW rii ati fihan pe iwọ kii yoo nilo lori nẹtiwọọki, nitorinaa o rọrun yọ wọn kuro ninu atokọ ti awọn ofin gbigba, tabi kọlu awọn ofin nipa lilo bọtini Clone (ni wiwo akọkọ) ati gba wọn laaye ninu ofin ohun elo kan, ati ninu Iwọ yoo dina awọn ohun elo miiran bi wọn ko ṣe nilo ni pato lori nẹtiwọọki rẹ. Iru awọn ohun elo nigbagbogbo pẹlu bittorent, steam, ultrasurf, tor, awọn eefin ti o farapamọ gẹgẹbi tcp-over-dns ati awọn omiiran.

O dara, jẹ ki a tẹ ofin miiran ki o wo ohun ti o le rii nibẹ:

Bẹẹni, awọn ohun elo wa ni aṣoju fun multicast. A gbọdọ gba wọn laaye fun wiwo fidio lori ayelujara lati ṣiṣẹ. Tẹ Baramu Lilo. Nla! O ṣeun Afihan Optimizer.

Kini nipa Ẹkọ Ẹrọ?

Bayi o jẹ asiko lati sọrọ nipa adaṣe. Ohun ti Mo ṣe apejuwe wa jade - o ṣe iranlọwọ pupọ. O ṣeeṣe kan diẹ sii ti MO yẹ ki o sọrọ nipa. Eyi ni iṣẹ ṣiṣe Ẹkọ Ẹrọ ti a ṣe sinu IwUlO Irin-ajo, eyiti a ti mẹnuba tẹlẹ loke. Ninu ohun elo yii, o ṣee ṣe lati gbe awọn ofin lati ogiriina atijọ rẹ lati ọdọ olupese miiran. Agbara tun wa lati ṣe itupalẹ awọn iwe ijabọ Palo Alto Networks ti o wa tẹlẹ ati daba kini awọn ofin lati kọ. Eyi jẹ iru si iṣẹ ṣiṣe ti Afihan Optimizer, ṣugbọn ni Irin-ajo o ti fẹ siwaju sii ati pe o fun ọ ni atokọ ti awọn ofin ti a ti ṣetan - o kan nilo lati fọwọsi wọn.
Lati ṣe idanwo iṣẹ ṣiṣe yii, iṣẹ yàrá kan wa - a pe ni awakọ idanwo kan. Idanwo yii le ṣee ṣe nipa wíwọlé sinu awọn ogiriina foju, eyiti awọn oṣiṣẹ ọfiisi Palo Alto Networks ni Ilu Moscow yoo ṣe ifilọlẹ ni ibeere rẹ.

Awọn ìbéèrè le wa ni rán si [imeeli ni idaabobo] ati ninu ibeere naa kọ: “Mo fẹ ṣe UTD fun Ilana Iṣilọ.”

Ni otitọ, iṣẹ yàrá ti a pe ni Iṣọkan Idanwo Iṣọkan (UTD) ni awọn aṣayan pupọ ati gbogbo wọn wa latọna jijin lẹhin ìbéèrè.

Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. wọle, Jowo.

Ṣe iwọ yoo fẹ ẹnikan lati ṣe iranlọwọ fun ọ lati mu awọn eto imulo ogiriina rẹ pọ si?

• Bẹẹni

• No

• Emi yoo ṣe gbogbo rẹ funrarami

Ko si eniti o ti dibo sibẹsibẹ. Ko si abstentions.

orisun: www.habr.com