大家好! 繼續這個
本文將展示 Sophos XG Firewall 功能的第一部分 - 「監控與分析」。 完整的評論將作為一系列文章發表。 我們將根據 Sophos XG Firewall Web 介面和授權表進行操作
安全控制中心
因此,我們啟動了瀏覽器並打開了 NGFW 的 Web 介面,我們看到提示輸入您的使用者名稱和密碼以進入管理面板
我們輸入在初始啟動期間設定的登入名稱和密碼並進入我們的控制中心。 他看起來像這樣
幾乎所有這些小部件都是可點擊的。 您可以陷入事件並查看詳細資訊。
讓我們看看每個區塊,我們將從系統區塊開始
區塊系統
該塊即時顯示機器的狀態。 如果您單擊任何圖標,我們將轉到包含有關係統狀態的更多詳細資訊的頁面
如果系統出現問題,那麼這個小部件會發出信號,並且在資訊頁面上您可以看到原因
透過點擊選項卡,您可以獲得有關防火牆不同方面的更多資訊。
流量洞察區塊
本節讓我們了解目前網路上發生的情況以及過去 24 小時內發生的情況。 按流量、網路攻擊(IPS 模組觸發)排名前 5 位的 Web 類別和應用程式以及排名前 5 位的被封鎖應用程式。
此外,雲端應用程式部分也值得單獨強調。 在其中您可以看到本地網路上使用雲端服務的應用程式的存在。 它們的總數、傳入和傳出流量。 如果點擊這個小部件,我們將被帶到雲端應用程式的資訊頁面,在這裡我們可以更詳細地看到網路上有哪些雲端應用程式、誰在使用它們以及流量信息
使用者和設備洞察區塊
此區塊顯示有關使用者的信息。 最上面一行向我們顯示有關受感染用戶計算機的信息,從 Sophos 防毒軟體收集信息並將其傳輸到 Sophos XG Firewall。 根據此訊息,防火牆在感染時可以斷開用戶電腦與本地網路或 L2 級別網段的連接,並阻止與其進行的所有通訊。 有關安全心跳的更多資訊位於
值得關注下面的兩個小部件。 它們是 ATP(進階威脅防護)和 UTQ(使用者威脅商數)。
ATP 模組阻止與殭屍網路控制伺服器 C&C 的連接。 如果本地網路上的裝置位於殭屍網路中,此模組將報告此情況,並且不允許您連接到控制伺服器。 看起來像這樣
UTQ模組為每個使用者分配一個安全索引。 用戶嘗試訪問被禁止的網站或運行被禁止的應用程式的次數越多,他的評級就越高。 根據這些數據,可以提前為此類用戶提供培訓,而不必等到他們的電腦最終被惡意軟體感染。 看起來像這樣
接下來是關於活動防火牆規則和熱點報告的一般信息,可以以 pdf 格式快速下載
讓我們進入選單的下一部分 - 目前活動
目前活動
讓我們從「即時用戶」選項卡開始審核。 在此頁面上,我們可以看到目前有哪些使用者連接到 Sophos XG Firewall、驗證方法、電腦的 IP 位址、連接時間和流量。
即時連線
此選項卡即時顯示活動會話。 此表可以按應用程式、使用者和用戶端電腦的 IP 位址進行篩選。
IPsec 連接
此標籤顯示有關活動 IPsec VPN 連線的信息
遠端使用者選項卡
遠端使用者標籤包含有關透過 SSL VPN 連接的遠端使用者的信息
此外,在此標籤上,您可以即時查看用戶的流量並強制斷開任何用戶的連線。
讓我們跳過“報告”選項卡,因為該產品中的報告系統非常龐大,需要單獨的文章。
診斷
立即開啟一個包含不同問題尋找實用程式的頁面。 其中包括 Ping、Traceroute、名稱查找、路由查找。
接下來是一個選項卡,其中包含即時硬體和連接埠載入的系統圖
系統圖
然後是一個選項卡,您可以在其中檢查網路資源的類別
URL類別查找
下一個選項卡「資料包擷取」本質上是內建於網路中的 tcpdump 介面。 您也可以編寫過濾器
抓包
值得注意的一件有趣的事情是,套件被轉換為一個表,您可以在其中停用和啟用包含資訊的其他欄位。 此功能對於尋找網路問題非常方便,例如 - 您可以快速了解哪些過濾規則會套用於實際流量。
在「連線清單」標籤上,您可以即時查看所有現有連線及其資訊
連接列表
結論
審查的第一部分到此結束。 我們只檢查了可用功能的最小部分,根本沒有觸及安全模組。 在下一篇文章中,我們將分析內建的報告功能和防火牆規則、它們的類型和用途。
感謝您的時間。
如果您對XG Firewall商業版有任何疑問,您可以聯絡我們公司
來源: www.habr.com