VietNetwork.Vn

1. Giải pháp.

Hãy bao gồm một số thực tiễn tốt nhất cần ghi nhớ khi xây dựng hoặc xem xét chính sách bảo mật của bạn. Xem xét các mẹo này để đảm bảo trải nghiệm tối ưu từ cấu hình của bạn, nhưng không bắt buộc hoặc bắt buộc để tường lửa Palo Alto Networks hoạt động bình thường. Đây là những thực tiễn tôi từng thấy trong những năm làm kỹ sư hỗ trợ, nơi các quản trị viên phải đối mặt với những vấn đề bất ngờ có thể được ngăn chặn bằng cách tuân thủ một vài hướng dẫn.

2. Zones.

Một vi phạm phổ biến chống lại thực tiễn tốt nhất là việc sử dụng 'bất kỳ' trong khu vực nguồn hoặc đích. Trong nhiều trường hợp, quản trị viên sẽ bắt đầu bằng cách đặt quy tắc 'bất kỳ bất kỳ' nào khi lần đầu tiên kết nối tường lửa vào mạng trong cấu hình mặc định của VWire. Làm như vậy cho phép lưu lượng theo cả hai hướng mà không cần tạo hai quy tắc riêng biệt, một cho mỗi hướng lưu lượng.

Việc sử dụng 'bất kỳ' trong một khu vực sẽ mở ra khả năng cho chính sách vô tình cho phép các phiên không được tính đến, ví dụ, bao gồm lưu lượng truy cập nội bộ hoặc các khu vực được thêm vào trong giai đoạn sau trong khi chính sách không được cập nhật cho tài khoản khu bổ sung.

Tuy nhiên, có một mẹo nhỏ sẽ cho phép một quy tắc duy nhất kiểm soát lưu lượng theo các hướng cụ thể giữa các khu vực:

Loại chính sách có thể được thay đổi từ phổ quát sang liên vùng hoặc nội khối, để giới hạn tất cả các vùng trong chính sách chỉ liên lạc với nhau nhưng không cùng khu vực hoặc chỉ với cùng một khu vực chứ không phải với các khu vực khác.


3. Dịch vụ.

Kể từ PAN-OS 6.0, cài đặt mặc định của dịch vụ khi tạo chính sách mới được đặt thành mặc định ứng dụng, nhưng sẽ chỉ thực thi các cổng ứng dụng mặc định khi các ứng dụng cũng được thêm vào tab ứng dụng của quy tắc. Bắt đầu từ PAN-OS 7.1, việc cài đặt mặc định ứng dụng trong chính sách sẽ bắt buộc các cổng ứng dụng mặc định được sử dụng ngay cả khi không có ứng dụng nào trong tab ứng dụng của chính sách. Tuy nhiên, vẫn còn khá phổ biến để xem các chính sách nơi các dịch vụ đã được đặt thành 'bất kỳ'. Điều này cũng có thể dẫn đến các tác dụng phụ không mong muốn trong việc cho phép các kết nối không mong muốn hoặc không cần thiết.

Bất kỳ phiên nào được xử lý bởi tường lửa Palo Alto Networks, ít nhất, sẽ thông qua chính sách bảo mật hai lần: khi nhận được gói SYN ban đầu, chính sách tường lửa được kiểm tra để xem liệu quy tắc có khớp với vùng nguồn, mạng con / IP nguồn không , vùng đích, mạng con / IP đích và cổng đích. Nếu quy tắc được tạo với mục đích cho phép duyệt web, nhưng với dịch vụ được đặt thành 'bất kỳ', chính sách này sẽ cho phép bắt tay cho kết nối FTP trên cổng 21 thông qua. Phiên này sau đó sẽ chiếm tài nguyên trên tường lửa khi phiên được tạo trong bảng trạng thái, NAT có thể được áp dụng, v.v. Phiên sẽ chỉ bị chặn sau khi bắt tay TCP, khi App-ID có thể xác định đây là ' không phải là một ứng dụng được phép. Trong khi đó, các tài nguyên không cần thiết đã được sử dụng cho một phiên có thể đã bị chặn từ SYN đầu tiên.

4. Ứng dụng.

Nhiều lần, tab ứng dụng được để lại là 'bất kỳ' vì quản trị viên có thể không có tổng quan đầy đủ về các ứng dụng phải được cho phép. Điều này cũng có thể được khắc phục bằng cách tận dụng các đặc điểm hành vi để tạo ra một chính sách hạn chế hoặc hạn chế cho các đặc điểm ứng dụng nhất định khi chưa biết các ứng dụng chính xác.

Bộ lọc ứng dụng bị chặn liệt kê một loạt các hành vi có thể bị coi là xấu trong nhiều mạng công ty, do đó, trong khi quản trị viên có thể không nhận thức được tất cả các ứng dụng có thể xấu, anh ta có thể tạo chính sách bảo mật để chặn bất kỳ ứng dụng nào hoạt động. một cách không mong muốn Mỗi bản cập nhật nội dung hàng tuần cũng sẽ cập nhật bộ lọc ứng dụng với các ứng dụng mới hoặc được cập nhật, vì vậy các ứng dụng mới sẽ được thêm tự động mà không cần người quản trị cập nhật chính sách của mình.


Lần lượt, bộ lọc ứng dụng được phép liệt kê một loạt các đặc điểm 'tốt' được mong đợi cho các ứng dụng liên quan đến kinh doanh.


5. Hồ sơ bảo mật.

Nếu bạn không có đăng ký Threat Ngăn chặn hoặc WildFire, vui lòng xem xét đầu tư vào các dịch vụ này vì hồ sơ bảo mật làm cho Tường lửa Palo Alto thực sự là Thế hệ tiếp theo (do quét kiến trúc xử lý song song các mối đe dọa / vi rút ít ảnh hưởng đến thông lượng, so với đến các sản phẩm tường lửa truyền thống với một mô-đun quét bổ sung). Nhìn kỹ hơn vào hồ sơ bảo mật sẽ chỉ ra cách tận dụng tối đa từ tốt nhất.

Mặc dù các cấu hình bảo mật mặc định được tải sẵn rất hữu ích để thiết lập hệ thống trong một thời gian rất ngắn, tôi sẽ khuyên mọi quản trị viên tạo các chính sách bảo mật mới.

Có một số lợi thế khi tạo hồ sơ mới, vì một số tính năng chỉ có thể được bật trong cấu hình tùy chỉnh: bạn sẽ có thể kích hoạt tính năng chụp gói cho các lỗ hổng sẽ cho phép phân tích pháp y. Lỗ hổng DNS có thể được kích hoạt trong phần mềm chống phần mềm gián điệp sẽ ngăn chặn các kết nối bên ngoài độc hại bằng cách thay đổi địa chỉ IP DNS được liên kết với tên máy chủ, không chỉ ngăn chặn kết nối mà còn giúp quản trị viên theo dõi bị lây nhiễm / nghi ngờ dễ dàng hơn.

Các chính sách nghiêm ngặt hơn có thể được kích hoạt để chặn tất cả các loại mối đe dọa và có thể đặt thêm tính năng ghi nhật ký để lọc URL (ví dụ: lọc URL mặc định sẽ không ghi nhật ký các phiên duyệt web được phép).

Tôi sẽ nhấn mạnh một vài hồ sơ ví dụ dưới đây:

Cấu hình AntiVirus tùy chỉnh cho phép quản trị viên kích hoạt chụp gói và cũng được bật WildFire (cấu hình mặc định không bao gồm cài đặt WildFire).


Cấu hình chống phần mềm gián điệp tùy chỉnh cho phép người quản trị thiết lập một cách tiếp cận tích cực hơn cho các máy chủ gửi phần mềm gián điệp. Đây cũng là nơi có thể định cấu hình cài đặt DNS: lỗ hổng sẽ đảm bảo các tên miền độc hại bị nhiễm độc với địa chỉ IP giả sẽ ngăn chặn giao tiếp C & C hoặc tải xuống tải trọng độc hại.

Hành động hơn nữa cũng sẽ làm cho việc theo dõi khách hàng bị nhiễm bệnh dễ dàng hơn. Vì truy vấn DNS độc hại có thể bắt nguồn từ máy chủ DNS nội bộ, kết nối C & C sẽ bắt nguồn từ người yêu cầu ban đầu (máy chủ bị nhiễm).

Nếu bạn có bất kỳ danh sách chặn động bên ngoài nào, chúng cũng có thể được thêm vào hồ sơ và được đặt thành lỗ hổng hoặc một hành động khác.


Trong cấu hình lỗ hổng tùy chỉnh, quản trị viên có thể chọn chặn địa chỉ IP trong một khoảng thời gian nhất định và bao gồm các mối đe dọa mức độ nghiêm trọng và thông tin thấp, không được bao gồm trong cấu hình mặc định.


Trong lọc URL, tất cả các danh mục được phép có thể được đặt thành 'cảnh báo' để đảm bảo nhật ký được lưu trữ cho cả phiên duyệt web bị chặn và cho phép. Các cài đặt bổ sung như 'Thực thi tìm kiếm an toàn' cũng có thể được bật từ cấu hình lọc URL tùy chỉnh.


Tôi đã đề cập đến một số kiểu tệp thú vị để chặn và tại sao trong một bài viết và video khác: Mẹo từ Trường: Cấu hình chặn tệp.


Tôi hi vọng thông tin này hữu ích. Hãy để lại bất kỳ và tất cả các ý kiến dưới đây.