如何評估NGFW調優效果
最常見的任務是檢查防火牆的配置情況。 為此,與 NGFW 打交道的公司提供了免費的實用程序和服務。
例如,在下面您可以看到 Palo Alto Networks 有能力直接從 運行防火牆統計分析 - SLR 報告或最佳實踐合規性分析 - BPA 報告。 這些是免費的在線實用程序,您無需安裝任何東西即可使用。
目錄
Expedition(遷移工具)
檢查設置的一個更複雜的選項是下載一個免費的實用程序 (以前的遷移工具)。 它作為 VMware 的虛擬設備下載,不需要任何設置 - 您需要下載映像並將其部署在 VMware 管理程序下,運行它並轉到 Web 界面。 這個實用程序需要一個單獨的故事,僅課程需要 5 天,現在有很多功能,包括機器學習和針對不同防火牆製造商的策略、NAT 和對象的各種配置的遷移。 關於Machine Learning,我會在文後多寫。
策略優化器
我今天將詳細討論的最方便的選項 (IMHO) 是內置於 Palo Alto Networks 界面本身的策略優化器。 為了演示它,我在家里安裝了一個防火牆並寫了一個簡單的規則:允許任何到任何。 原則上,我有時甚至在公司網絡中也會看到這樣的規則。 當然,我啟用了所有 NGFW 安全配置文件,如您在屏幕截圖中所見:
下圖是我家未配置防火牆的例子,幾乎所有的連接都落在最後一條規則:AllowAll,從Hit Count一欄的統計可以看出。
零信任
有一種安全方法叫做 . 這意味著什麼:我們必須允許網絡內的人們完全建立他們需要的連接,並禁止其他一切。 即我們需要對應用程序、用戶、URL類別、文件類型添加明確的規則; 啟用所有 IPS 和防病毒簽名,啟用沙箱、DNS 保護,使用來自可用威脅情報數據庫的 IoC。 通常,設置防火牆時需要完成大量任務。
順便說一句,Palo Alto Networks NGFW 所需的最小設置集在 SANS 文檔之一中進行了描述: 我建議從它開始。 當然,製造商提供了一套設置防火牆的最佳實踐: .
所以,我在家裡裝了一個防火牆一周。 讓我們看看我的網絡上有哪些流量:
如果按會話數排序,那麼大部分是由 bittorent 創建的,然後是 SSL,然後是 QUIC。 這些是傳入和傳出流量的統計數據:我的路由器有很多外部掃描。 我的網絡中有 150 個不同的應用程序。
所以,這一切都被一條規則跳過了。 現在讓我們看看 Policy Optimizer 是怎麼說的。 如果您查看上面帶有安全規則的界面的屏幕截圖,那麼您會在左下方看到一個小窗口,這向我暗示了可以優化的規則。 讓我們點擊那裡。
Policy Optimizer 顯示的內容:
- 哪些政策根本沒有使用,30 天,90 天。 這有助於做出完全刪除它們的決定。
- 策略中指定了哪些應用程序,但在流量中未發現此類應用程序。 這允許您刪除允許規則中不需要的應用程序。
- 哪些政策允許一切,但確實有一些應用程序可以很好地根據零信任方法明確指示。
單擊未使用。
為了展示它是如何工作的,我添加了一些規則,到目前為止它們還沒有錯過一個數據包。 這是他們的名單:
也許,隨著時間的推移,流量會經過那裡,然後它們就會從這個列表中消失。 如果他們在此列表中停留了 90 天,那麼您可以決定刪除這些規則。 畢竟,每條規則都為黑客提供了可乘之機。
防火牆配置有一個真正的問題:一個新員工來了,查看防火牆規則,如果他們沒有意見並且不知道為什麼創建這個規則,是否真的有必要,是否可以刪除:突然這個人是在假期和 30 天內,流量將再次偏離所需的服務。 而正是這個功能幫助他做出了決定——沒有人使用它——刪除它!
單擊未使用的應用程序。
我們在優化器中單擊未使用的應用程序,然後看到有趣的信息在主窗口中打開。
我們看到有XNUMX條規則,允許申請的數量和實際通過這條規則的申請數量是不一樣的。
我們可以單擊並查看這些應用程序的列表並比較這些列表。
例如,讓我們單擊最大規則的比較按鈕。
在這裡您可以看到允許使用 facebook、instagram、telegram、vkontakte 應用程序。 但實際上,流量僅通過部分子應用程序。 這裡需要了解一下,facebook應用包含了幾個子應用。
可以在門戶網站上看到完整的 NGFW 應用程序列表 在防火牆界面中,在“對象”->“應用程序”部分和搜索中,鍵入應用程序的名稱:facebook,您將獲得以下結果:
因此,NGFW 看到了其中一些子應用程序,但沒有看到一些。 事實上,您可以分別禁用和啟用不同的 facebook 子功能。 例如,允許您查看消息,但禁止聊天或文件傳輸。 因此,策略優化器會討論這一點,您可以做出決定:不允許所有 Facebook 應用程序,但只允許主要應用程序。
所以,我們意識到列表是不同的。 您可以確保規則只允許那些實際漫遊網絡的應用程序。 為此,您單擊 MatchUsage 按鈕。 結果是這樣的:
您還可以添加您認為必要的應用程序——窗口左側的添加按鈕:
然後可以應用和測試此規則。 恭喜!
單擊未指定應用程序。
在這種情況下,將打開一個重要的安全窗口。
很可能有很多這樣的規則,其中 L7 級別的應用程序未在您的網絡中明確指定。 在我的網絡中有這樣一條規則 - 讓我提醒您,我在初始設置期間制定了它,專門用於展示策略優化器的工作原理。
圖片顯示,AllowAll 規則在 9 月 17 日至 220 月 150 日期間錯過了 200 GB 的流量,這是我網絡中總共 300 個不同的應用程序。 而這還不夠。 通常,一個中型企業網絡有 XNUMX-XNUMX 個不同的應用程序。
因此,一條規則會漏掉多達 150 個應用程序。 這通常意味著防火牆配置不正確,因為通常在一條規則中會跳過 1-10 個不同用途的應用程序。 讓我們看看這些應用程序是什麼:單擊“比較”按鈕:
策略優化器功能中對管理員來說最棒的是“匹配使用”按鈕——您可以通過單擊創建一個規則,您將在其中將所有 150 個應用程序輸入到規則中。 手動完成會花費太長時間。 即使在我的 10 台設備網絡上,管理員的任務數量也是巨大的。
我有 150 個不同的應用程序在家裡運行,傳輸著千兆字節的流量! 你有多少?
但是在包含 100 台設備或 1000 台或 10000 台設備的網絡中會發生什麼? 我見過有 8000 條規則的防火牆,我很高興管理員現在擁有如此方便的自動化工具。
您將不需要 NGFW 中的 L7 應用程序分析模塊在網絡上看到和顯示的某些應用程序,因此您只需將它們從允許規則列表中刪除,或者使用克隆按鈕克隆規則(在主界面中)並允許一個應用程序規則,並阻止其他應用程序,就好像它們在您的網絡上絕對不需要一樣。 此類應用程序通常變成 bittorent、steam、ultrasurf、tor、隱藏隧道(如 tcp-over-dns 等)。
那麼,點擊另一條規則 - 你可以在那裡看到:
是的,有特定於多播的應用程序。 我們必須允許它們才能通過網絡觀看視頻。 單擊匹配用法。 偉大的! 感謝策略優化器。
機器學習呢?
現在談論自動化很流行。 我描述的結果出來了 - 它有很大幫助。 我必須提到另一種可能性。 這是上述 Expedition 實用程序中內置的機器學習功能。 在此實用程序中,可以從其他製造商的舊防火牆傳輸規則。 並且還能夠分析現有的 Palo Alto Networks 流量日誌並建議編寫哪些規則。 這類似於 Policy Optimizer 功能,但在 Expedition 中它甚至更高級,並且會為您提供現成規則列表 - 您只需要批准它們。
為了測試這個功能,有一項實驗室工作——我們稱之為試駕。 此測試可以通過訪問 Palo Alto Networks 莫斯科辦公室工作人員將根據您的要求啟動的虛擬防火牆來完成。
請求可以發送至 [電子郵件保護] 並在請求中寫道:“我想為遷移過程製作一個 UTD。”
事實上,有幾種稱為統一測試驅動 (UTD) 的實驗室選項,它們都是 請求後。
只有註冊用戶才能參與調查。 , 請。
您是否希望有人幫助您優化防火牆策略?
-
Да
-
沒有
-
我會自己做一切
還沒有人投票。 沒有棄權票。
來源: www.habr.com