大家好! 继续这个
本文将展示 Sophos XG Firewall 功能的第一部分 - “监控和分析”。 完整的评论将作为一系列文章发表。 我们将根据 Sophos XG Firewall Web 界面和许可表进行操作
信托中心
因此,我们启动了浏览器并打开了 NGFW 的 Web 界面,我们看到提示输入您的用户名和密码以进入管理区域
我们输入在初始激活期间设置的登录名和密码并进入我们的控制中心。 他看起来像这样
几乎所有这些小部件都是可点击的。 您可以陷入事件并查看详细信息。
让我们看看每个块,我们将从系统块开始
区块系统
该块实时显示机器的状态。 如果您单击任何图标,我们将转到包含有关系统状态的更多详细信息的页面
如果系统出现问题,那么这个小部件会发出信号,并且在信息页面上您可以看到原因
通过单击选项卡,您可以获得有关防火墙不同方面的更多信息。
流量洞察块
本节让我们了解当前网络上发生的情况以及过去 24 小时内发生的情况。 按流量、网络攻击(IPS 模块触发)排名前 5 位的 Web 类别和应用程序以及排名前 5 位的被阻止应用程序。
此外,云应用程序部分也值得单独强调。 在其中您可以看到本地网络上使用云服务的应用程序的存在。 它们的总数、传入和传出流量。 如果点击这个小部件,我们将被带到云应用程序的信息页面,在这里我们可以更详细地看到网络上有哪些云应用程序、谁在使用它们以及流量信息
用户和设备洞察块
该块显示有关用户的信息。 最上面一行向我们显示有关受感染用户计算机的信息,从 Sophos 防病毒软件收集信息并将其传输到 Sophos XG Firewall。 根据此信息,防火墙在被感染时可以断开用户计算机与本地网络或 L2 级别网段的连接,并阻止与其进行的所有通信。 有关安全心跳的更多信息位于
值得关注下面的两个小部件。 它们是 ATP(高级威胁防护)和 UTQ(用户威胁商数)。
ATP 模块阻止与僵尸网络控制服务器 C&C 的连接。 如果本地网络上的设备位于僵尸网络中,该模块将报告此情况,并且不允许您连接到控制服务器。 看起来像这样
UTQ模块为每个用户分配一个安全索引。 用户尝试访问被禁止的网站或运行被禁止的应用程序的次数越多,他的评级就越高。 根据这些数据,可以提前为此类用户提供培训,而不必等到他们的计算机最终被恶意软件感染。 看起来像这样
接下来是关于活动防火墙规则和热点报告的一般信息,可以以 pdf 格式快速下载
让我们进入菜单的下一部分 - 当前活动
目前活动
让我们从“实时用户”选项卡开始审核。 在此页面上,我们可以看到当前有哪些用户连接到 Sophos XG Firewall、身份验证方法、计算机的 IP 地址、连接时间和流量。
实时连接
此选项卡实时显示活动会话。 该表可以按应用程序、用户和客户端计算机的 IP 地址进行过滤。
IPsec 连接
此选项卡显示有关活动 IPsec VPN 连接的信息
远程用户选项卡
远程用户选项卡包含有关通过 SSL VPN 连接的远程用户的信息
此外,在此选项卡上,您可以实时查看用户的流量并强制断开任何用户的连接。
让我们跳过“报告”选项卡,因为该产品中的报告系统非常庞大,需要单独的文章。
诊断
立即打开一个包含不同问题查找实用程序的页面。 其中包括 Ping、Traceroute、名称查找、路由查找。
接下来是一个选项卡,其中包含实时硬件和端口加载的系统图
系统图
然后是一个选项卡,您可以在其中检查网络资源的类别
URL类别查找
下一个选项卡“数据包捕获”本质上是内置于网络中的 tcpdump 接口。 您还可以编写过滤器
数据包捕获
值得注意的一件有趣的事情是,包被转换为一个表,您可以在其中禁用和启用包含信息的其他列。 此功能对于查找网络问题非常方便,例如 - 您可以快速了解哪些过滤规则应用于实际流量。
在“连接列表”选项卡上,您可以实时查看所有现有连接及其信息
连接列表
结论
审查的第一部分到此结束。 我们只检查了可用功能的最小部分,根本没有触及安全模块。 在下一篇文章中,我们将分析内置的报告功能和防火墙规则、它们的类型和用途。
多谢您的宝贵时间。
如果您对XG Firewall商业版有任何疑问,您可以联系我们公司
来源: habr.com