如何评估NGFW调优效果
最常见的任务是检查防火墙的配置情况。 为此,与 NGFW 打交道的公司提供了免费的实用程序和服务。
例如,在下面您可以看到 Palo Alto Networks 有能力直接从 运行防火墙统计分析 - SLR 报告或最佳实践合规性分析 - BPA 报告。 这些是免费的在线实用程序,您无需安装任何东西即可使用。
目录
Expedition(迁移工具)
检查设置的一个更复杂的选项是下载一个免费的实用程序 (以前的迁移工具)。 它作为 VMware 的虚拟设备下载,不需要任何设置 - 您需要下载映像并将其部署在 VMware 管理程序下,运行它并转到 Web 界面。 这个实用程序需要一个单独的故事,仅课程需要 5 天,现在有很多功能,包括机器学习和针对不同防火墙制造商的策略、NAT 和对象的各种配置的迁移。 关于Machine Learning,我会在文后多写。
策略优化器
我今天将详细讨论的最方便的选项 (IMHO) 是内置于 Palo Alto Networks 界面本身的策略优化器。 为了演示它,我在家里安装了一个防火墙并写了一个简单的规则:允许任何到任何。 原则上,我有时甚至在公司网络中也会看到这样的规则。 当然,我启用了所有 NGFW 安全配置文件,如您在屏幕截图中所见:
下图是我家未配置防火墙的例子,几乎所有的连接都落在最后一条规则:AllowAll,从Hit Count一栏的统计可以看出。
零信任
有一种安全方法叫做 . 这意味着什么:我们必须允许网络内的人们完全建立他们需要的连接,并禁止其他一切。 即我们需要为应用程序、用户、URL类别、文件类型添加明确的规则; 启用所有 IPS 和防病毒签名,启用沙箱、DNS 保护,使用来自可用威胁情报数据库的 IoC。 通常,设置防火墙时需要完成大量任务。
顺便说一句,Palo Alto Networks NGFW 所需的最小设置集在 SANS 文档之一中进行了描述: 我建议从它开始。 当然,制造商提供了一套设置防火墙的最佳实践: .
所以,我在家里装了一个防火墙一周。 让我们看看我的网络上有哪些流量:
如果按会话数排序,那么大部分是由 bittorent 创建的,然后是 SSL,然后是 QUIC。 这些是传入和传出流量的统计数据:我的路由器有很多外部扫描。 我的网络中有 150 个不同的应用程序。
所以,这一切都被一条规则跳过了。 现在让我们看看 Policy Optimizer 是怎么说的。 如果您查看上面带有安全规则的界面的屏幕截图,那么您会在左下方看到一个小窗口,这向我暗示了可以优化的规则。 让我们点击那里。
Policy Optimizer 显示的内容:
- 哪些政策根本没有使用,30 天,90 天。 这有助于做出完全删除它们的决定。
- 策略中指定了哪些应用程序,但在流量中未发现此类应用程序。 这允许您删除允许规则中不需要的应用程序。
- 哪些策略连续允许所有内容,但确实有一些应用程序最好根据零信任方法明确指出。
单击未使用。
为了展示它是如何工作的,我添加了一些规则,到目前为止它们还没有错过一个数据包。 这是他们的名单:
也许,随着时间的推移,流量会经过那里,然后它们就会从这个列表中消失。 如果他们在此列表中停留了 90 天,那么您可以决定删除这些规则。 毕竟,每条规则都为黑客提供了可乘之机。
防火墙配置有一个真正的问题:一个新员工来了,查看防火墙规则,如果他们没有意见并且不知道为什么创建这个规则,是否真的有必要,是否可以删除:突然这个人是在假期和 30 天内,流量将再次偏离所需的服务。 而正是这个功能帮助他做出了决定——没有人使用它——删除它!
单击未使用的应用程序。
我们在优化器中单击未使用的应用程序,然后看到有趣的信息在主窗口中打开。
我们看到有XNUMX条规则,允许申请的数量和实际通过这条规则的申请数量是不一样的。
我们可以单击并查看这些应用程序的列表并比较这些列表。
例如,让我们单击最大规则的比较按钮。
在这里您可以看到允许使用 facebook、instagram、telegram、vkontakte 应用程序。 但实际上,流量仅通过部分子应用程序。 这里需要了解一下,facebook应用包含了几个子应用。
可以在门户网站上看到完整的 NGFW 应用程序列表 在防火墙界面中,在“对象”->“应用程序”部分和搜索中,键入应用程序的名称:facebook,您将获得以下结果:
因此,NGFW 看到了其中一些子应用程序,但没有看到一些。 事实上,您可以分别禁用和启用不同的 facebook 子功能。 例如,允许您查看消息,但禁止聊天或文件传输。 因此,策略优化器会讨论这一点,您可以做出决定:不允许所有 Facebook 应用程序,但只允许主要应用程序。
所以,我们意识到列表是不同的。 您可以确保规则只允许那些实际漫游网络的应用程序。 为此,您单击 MatchUsage 按钮。 结果是这样的:
您还可以添加您认为必要的应用程序——窗口左侧的添加按钮:
然后可以应用和测试此规则。 恭喜!
单击未指定应用程序。
在这种情况下,将打开一个重要的安全窗口。
很可能有很多这样的规则,其中 L7 级别的应用程序未在您的网络中明确指定。 在我的网络中有这样一条规则 - 让我提醒您,我在初始设置期间制定了它,专门用于展示策略优化器的工作原理。
图片显示,AllowAll 规则在 9 月 17 日至 220 月 150 日期间错过了 200 GB 的流量,这是我网络中总共 300 个不同的应用程序。 而这还不够。 通常,一个中型企业网络有 XNUMX-XNUMX 个不同的应用程序。
因此,一条规则会漏掉多达 150 个应用程序。 这通常意味着防火墙配置不正确,因为通常在一条规则中会跳过 1-10 个不同用途的应用程序。 让我们看看这些应用程序是什么:单击“比较”按钮:
策略优化器功能中对管理员来说最棒的是“匹配使用”按钮——您可以通过单击创建一个规则,您将在其中将所有 150 个应用程序输入到规则中。 手动完成会花费太长时间。 即使在我的 10 台设备网络上,管理员的任务数量也是巨大的。
我有 150 个不同的应用程序在家里运行,传输着千兆字节的流量! 你有多少?
但是在包含 100 台设备或 1000 台或 10000 台设备的网络中会发生什么? 我见过有 8000 条规则的防火墙,我很高兴管理员现在拥有如此方便的自动化工具。
您将不需要 NGFW 中的 L7 应用程序分析模块在网络上看到和显示的某些应用程序,因此您只需将它们从允许规则列表中删除,或者使用克隆按钮克隆规则(在主界面中)并允许一个应用程序规则,并阻止其他应用程序,就好像它们在您的网络上绝对不需要一样。 此类应用程序通常变成 bittorent、steam、ultrasurf、tor、隐藏隧道(如 tcp-over-dns 等)。
那么,点击另一条规则 - 你可以在那里看到:
是的,有特定于多播的应用程序。 我们必须允许它们才能通过网络观看视频。 单击匹配用法。 伟大的! 感谢策略优化器。
机器学习呢?
现在谈论自动化很流行。 我描述的结果出来了 - 它有很大帮助。 我必须提到另一种可能性。 这是上述 Expedition 实用程序中内置的机器学习功能。 在此实用程序中,可以从其他制造商的旧防火墙传输规则。 并且还能够分析现有的 Palo Alto Networks 流量日志并建议编写哪些规则。 这类似于 Policy Optimizer 功能,但在 Expedition 中它甚至更高级,并且会为您提供现成规则列表 - 您只需要批准它们。
为了测试这个功能,有一项实验室工作——我们称之为试驾。 此测试可以通过访问 Palo Alto Networks 莫斯科办公室工作人员将根据您的要求启动的虚拟防火墙来完成。
请求可以发送至 [电子邮件保护] 并在请求中写道:“我想为迁移过程制作一个 UTD。”
事实上,有几种称为统一测试驱动 (UTD) 的实验室选项,它们都是 请求后。
只有注册用户才能参与调查。 拜托
您是否希望有人帮助您优化防火墙策略?
-
是
-
没有
-
我会自己做一切
还没有人投票。 没有弃权票。
来源: habr.com