Olá! Na continuação deste artigo, quero falar mais sobre a funcionalidade oferecida pela solução de Firewall Sophos XG e apresentar a interface da web. Artigos e documentos comerciais são bons, mas sempre interessantes, mas como é a solução na vida real? Como tudo funciona aí? Então, vamos começar a revisão.
Este artigo irá mostrar a primeira parte da funcionalidade do Firewall Sophos XG - isto é "Monitoramento e Análise". A revisão completa será publicada como uma série de artigos. Iremos, começando pela interface da web do Sophos XG Firewall e a tabela de licenciamento
Centro de confiança
E assim, lançamos o navegador e abrimos a interface web do nosso NGFW, vemos um convite para inserir o login e a senha para entrar no
painel de administração , digite o login e a senha que definimos durante a ativação inicial e acesse nosso centro de controle. Parece que
quase todos esses widgets são clicáveis. Você pode cair no incidente e ver os detalhes.
Vamos dar uma olhada em cada um dos blocos e começaremos com o bloco System.
Bloqueio do sistema
Este bloco exibe o estado da máquina em tempo real. Se você clicar em qualquer um dos ícones, iremos para uma página com informações mais detalhadas sobre o estado do sistema
. Se houver problemas no sistema, este widget sinalizará isso e na página de informações você poderá ver o
motivo. Clicando nas guias, você pode obter mais informações sobre vários aspectos operação de firewall
Bloco de informações de tráfego
Esta seção nos dá uma ideia do que está acontecendo em nossa rede no momento e o que aconteceu nas últimas 24 horas. As 5 principais categorias da web e aplicativos por tráfego, ataques à rede (acionados por um módulo IPS) e os 5 principais aplicativos bloqueados.
Além disso, vale destacar a seção Aplicativos em Nuvem. Nele, é possível ver a presença na rede local de aplicativos que utilizam serviços em nuvem. Seu número total, tráfego de entrada e saída. Se você clicar neste widget, cairemos na página de informações sobre aplicativos em nuvem, onde podemos ver com mais detalhes quais aplicativos em nuvem estão na rede, quem os usa e informações sobre o tráfego
Bloco de insights do usuário e do dispositivo
Este bloco mostra informações sobre os usuários. A linha superior nos mostra informações sobre os computadores infectados dos usuários, coletando informações do antivírus do Sophos e transferindo-as para o Firewall Sophos XG. De acordo com esta informação, o Firewall pode, durante a infecção, desconectar o computador do usuário da rede local ou segmento de rede no nível L2, bloqueando todas as conexões com ele. Mais detalhes sobre o Security Heartbeat estão neste artigo . As próximas duas linhas são controle de aplicativos e sandbox em nuvem. Como esse é um recurso separado, não será abordado neste artigo.
Vale a pena prestar atenção aos dois widgets inferiores. São eles ATP (Proteção Avançada contra Ameaças) e UTQ (Quociente de Ameaças do Usuário).
O módulo ATP bloqueia conexões com C&C, gerenciando servidores de rede botnet. Se um dispositivo em sua rede local entrar em uma rede botnet, este módulo irá informá-lo sobre isso e não permitirá que você se conecte ao servidor de controle. Se parece com isso
O módulo UTQ atribui um índice de segurança a cada usuário. Quanto mais um usuário tenta acessar sites proibidos ou executar aplicativos proibidos, mais alta se torna sua classificação. Com base nesses dados, é possível realizar treinamentos antecipados para esses usuários sem esperar que, ao final, seu computador seja infectado por malware. Parece que o
Próximo é uma seção de informações gerais sobre regras de firewall ativas e relatórios importantes que podem ser baixados rapidamente em formato pdf
Vamos passar para a próxima seção do menu - Atividades atuais
Atividades atuais
Vamos começar com a guia de usuários Live. Nesta página, podemos ver qual dos usuários está atualmente conectado ao Firewall Sophos XG, o método de autenticação, o endereço IP da máquina, o tempo de conexão e o volume de tráfego.
Conexões ao vivo
Esta guia exibe as sessões ativas em tempo real. Esta tabela pode ser filtrada por aplicativos, usuários e endereços IP de máquinas clientes.
Conexões IPsec
Esta guia exibe informações sobre conexões VPN IPsec ativas
Guia de usuários remotos
A guia Usuários remotos contém informações sobre usuários remotos que se conectaram via SSL VPN.
Além disso, nesta guia, você pode visualizar o tráfego dos usuários em tempo real e desconectar qualquer usuário à força.
Vamos pular a guia Relatórios, pois o sistema de relatórios neste produto é muito volumoso e requer um artigo separado.
Diagnóstico
Uma página com vários utilitários de pesquisa de problemas é aberta imediatamente. Isso inclui Ping, Traceroute, Pesquisa de nome, Pesquisa de rota.
A seguir está uma guia com gráficos de sistema de hardware e portas carregando em tempo real
Gráficos do sistema
Em seguida, uma guia onde você pode verificar a categoria do recurso da web
Pesquisa de categoria de URL
A próxima guia Packet capture é, na verdade, uma interface da web tcpdump integrada. Filtros também podem ser escritos
Captura de pacotes
Curiosamente, é importante notar que os pacotes são convertidos em uma tabela onde você pode desabilitar e habilitar colunas adicionais com informações. Esta funcionalidade é muito conveniente para localizar problemas de rede, por exemplo, você pode entender rapidamente quais regras de filtragem foram aplicadas ao tráfego real.
Na guia Lista de conexão, você pode visualizar todas as conexões existentes em tempo real e informações sobre elas
Lista de Conexão
Conclusão
Isso conclui a primeira parte da revisão. Consideramos apenas a menor parte da funcionalidade disponível e não tocamos nos módulos de proteção. No próximo artigo, analisaremos a funcionalidade de relatório embutida e as regras de firewall, seus tipos e objetivos.
Obrigado pelo seu tempo.
Se você tiver alguma dúvida sobre a versão comercial do Firewall XG, pode entrar em contato conosco - Factor Group , distribuidor da Sophos. Basta escrever em formato livre para sophos@fgts.ru .