salut! Dans la suite de cet article, je souhaite vous présenter plus en détail les fonctionnalités offertes par la solution Sophos XG Firewall et vous présenter l'interface Web. Les articles et documents commerciaux sont bons, mais c'est toujours intéressant, mais à quoi ressemble la solution dans la vraie vie? Comment ça marche là-bas? Alors passons à l'examen.
Cet article présente la première partie de la fonctionnalité du pare-feu Sophos XG - «Surveillance et analyses». La revue complète sera publiée sous forme d'une série d'articles. Nous irons, en commençant par l'interface Web de Sophos XG Firewall et le tableau des licences
Centre de confiance
Et donc, nous avons lancé le navigateur et ouvert l'interface Web de notre NGFW, nous voyons une invitation à entrer le login et le mot de passe pour entrer dans le
panneau d' administration . Entrez le login et le mot de passe que nous avons définis lors de l'activation initiale et accédez à notre centre de contrôle. Il ressemble à ceci
Presque chacun de ces widgets est cliquable. Vous pouvez tomber dans l'incident et voir les détails.
Jetons un coup d'œil à chacun des blocs et nous commencerons par le bloc System.
Bloc système
Ce bloc affiche l'état de la machine en temps réel. Si vous cliquez sur l'une des icônes, nous irons à une page contenant des informations plus détaillées sur l'état du
système.S'il y a des problèmes dans le système, ce widget le signalera et sur la page d'informations, vous pourrez voir la
raison.En cliquant sur les onglets, vous pouvez obtenir plus d'informations sur divers aspects fonctionnement du pare-feu
Bloc d'informations sur le trafic
Cette section nous donne une idée de ce qui se passe sur notre réseau en ce moment et de ce qui s'est passé au cours des dernières 24 heures. Les 5 principales catégories et applications Web par trafic, attaques réseau (déclenchées par un module IPS) et 5 principales applications bloquées.
En outre, il convient de mettre en évidence la section Applications cloud. Dans celui-ci, vous pouvez voir la présence dans le réseau local d'applications qui utilisent des services cloud. Leur nombre total, trafic entrant et sortant. Si vous cliquez sur ce widget, nous passerons à la page d'informations sur les applications cloud, où nous pouvons voir plus en détail quelles applications cloud se trouvent sur le réseau, qui les utilise et des informations sur le trafic.
Bloc d'informations sur les utilisateurs et les appareils
Ce bloc affiche des informations sur les utilisateurs. La ligne du haut nous montre des informations sur les ordinateurs infectés des utilisateurs, collectant les informations de l'antivirus de Sophos et les transférant vers le Sophos XG Firewall. Sur la base de ces informations, le pare-feu peut, lorsqu'il est infecté, déconnecter l'ordinateur de l'utilisateur du réseau local ou du segment de réseau au niveau L2, en bloquant toutes les connexions avec lui. Plus de détails sur Security Heartbeat se trouvaient dans cet article . Les deux lignes suivantes sont le contrôle des applications et le bac à sable dans le cloud. Puisqu'il s'agit d'une fonctionnalité distincte, elle ne sera pas traitée dans cet article.
Il convient de prêter attention aux deux widgets inférieurs. Il s'agit de ATP (Advanced Threat Protection) et UTQ (User Threat Quotient).
Le module ATP bloque les connexions avec C&C, gérant les serveurs du réseau botnet. Si un appareil de votre réseau local entre dans un réseau botnet, ce module le signalera et ne vous permettra pas de vous connecter au serveur de contrôle. Ça ressemble à ça
Le module UTQ attribue un index de sécurité à chaque utilisateur. Plus un utilisateur essaie d'accéder à des sites interdits ou d'exécuter des applications interdites, plus sa cote augmente. Sur la base de ces données, il est possible de mener une formation à l'avance pour ces utilisateurs sans attendre le fait que, à la fin, son ordinateur sera infecté par des logiciels malveillants. Il ressemble à ceci
Suivant est une section d'informations générales sur les règles de pare-feu actives et les rapports chauds qui peuvent être rapidement téléchargés au format pdf
Passons à la section de menu suivante - Activités actuelles
Activités actuelles
Commençons par l'onglet Utilisateurs en direct. Sur cette page, nous pouvons voir lequel des utilisateurs est actuellement connecté au Sophos XG Firewall, la méthode d'authentification, l'adresse IP de la machine, le temps de connexion et le volume de trafic.
Connexions en direct
Cet onglet affiche les sessions actives en temps réel. Ce tableau peut être filtré par applications, utilisateurs et adresses IP des machines clientes.
Connexions IPsec
Cet onglet affiche des informations sur les connexions VPN IPsec actives
Onglet Utilisateurs distants
L'onglet Utilisateurs distants contient des informations sur les utilisateurs distants qui se sont connectés via SSL VPN.
De plus, cet onglet vous permet d'afficher le trafic des utilisateurs en temps réel et de déconnecter de force tout utilisateur.
Passons l'onglet Rapports, car le système de rapport de ce produit est très volumineux et nécessite un article séparé.
Diagnostique
Une page contenant divers utilitaires de recherche de problèmes s'ouvre immédiatement. Ceux-ci incluent Ping, Traceroute, Recherche de nom, Recherche d'itinéraire.
Vient ensuite un onglet avec des graphiques système du chargement du matériel et des ports en temps réel
Graphiques système
Puis un onglet où vous pouvez vérifier la catégorie de la ressource web
Recherche de catégorie d'URL
L'onglet suivant Capture de paquets est, en fait, une interface Web intégrée tcpdump. Les filtres peuvent également être écrits
Capture de paquets
Fait intéressant, il convient de noter que les packages sont convertis en une table dans laquelle vous pouvez désactiver et activer des colonnes supplémentaires avec des informations. Cette fonctionnalité est très pratique pour rechercher des problèmes de réseau, par exemple, vous pouvez rapidement comprendre quelles règles de filtrage ont été appliquées au trafic réel.
Dans l'onglet Liste des connexions, vous pouvez afficher toutes les connexions existantes en temps réel et les informations les concernant
Liste des connexions
Conclusion
Ceci conclut la première partie de l'examen. Nous n'avons considéré que la plus petite partie des fonctionnalités disponibles et n'avons pas du tout abordé les modules de protection. Dans le prochain article, nous analyserons la fonctionnalité de rapport intégrée et les règles de pare-feu, leurs types et leurs objectifs.
Merci pour votre temps.
Si vous avez des questions sur la version commerciale de XG Firewall, vous pouvez nous contacter - Factor Group , un distributeur de Sophos. Il suffit d'écrire sous forme libre à sophos@fgts.ru .