Категорії

  • Категорії
  • CKC
  • Sophos
  • Remote Ethernet Devices (RED)
  • Secure Wi-Fi
  • Безпека мережі
  • DPI
  • Безопасный удаленный доступ
  • Безпека WAF
  • Запобігання витоку даних DLP
  • Захист від DDoS-атак
  • Захист периметру мережі
  • Мережева інфраструктура
  • Wi-Fi
  • Комутатори
  • Керовані smart-комутатори
  • некеровані комутатори
  • Маршрутизатори
  • Мережеві сховища
  • Сервери
  • Системи зберігання даних
  • Системи відеонагляду
  • IP-камери
  • NVR
  • THD-DVR
  • THD-камери
  • Інше
  • Уніфіковані комунікації
  • АТС на конвергентній платформі
  • Контакт центри
Тестування рішень Palo Alto Networks: як заборонити доступ до соціальних мереж і додатків

Сьогодні я розповім про рішення компанії Palo-Alto Networks і покажу, як налаштувати різні політики, зокрема забороняють користуватися соціальною мережею або додатком іншого роду конкретного користувача. 

Palo Alto Networks виробляє досить непогані міжмережеві екрани, контент-фільтри і т.п. речі в одному пристрої. Наскільки я зрозумів зі слів представника компанії - основні розробники пішли з Juniper networks, де вони працювали при створенні серії SSG пристроїв. 

Ну да ладно. Більшості це не цікаво, і всі чекають скріншотів. Поїхали: 

1.  Головна сторінка і dashboard . В принципі тут все зрозуміло (я сподіваюся). 

Palo Alto Dashboard
2. ACC (або Application Command Center). Тут ми можемо подивитися, який тип трафіку був помічений в той чи інший проміжок часу, хто був генератором або ініціатором трафіку і т.п. 

Palo Alto Application Command Center

На наступному скрині чітко видно, як хтось із наших гостей з усіх сил викачує останню версію образу з вільно розповсюджуваної операційної системою.

image

3. Йдемо далі - вкладка Monitoring.  Думаю, немає сенсу пояснювати її значення. Зазначу лише, що їй дуже зручно користуватися при налагодженні, тому що серед загальної вакханалії IP пакетів ми можемо відфільтрувати лише необхідні нам. 

Palo Alto Monitoring4. Політики.  Тут задаються політики взаємовідносин між зонами безпеки (які описуються далі), пули і правила NAT та інші штуки, які, без сумніву, важливі в нашому житті: QoS, Captive portal, DoS protection і т.п. 

Palo Alto Politics


5. Об'єкти.  На цій вкладці представлені різні сутності, які ми можемо групувати за різними ознаками, задавати нові і т.д. Надалі ми можемо використовувати ці новостворені параметри в різних політиків доступу.

Palo Alto Objects

Крім усього іншого тут визначені сигнатури додатків (а так як Palo Alto вміє їх розпізнавати, то ми можемо окремо фільтрувати трафік того чи іншого додатка. Про це більш детально в кінці статті). 

6. Network.  Призначення цієї вкладки - настройка за все, що стосується мережі в нашому девайсе. Починаючи від видачі адрес інтерфейсів і закінчуючи налаштуванням IPSec тунелів (Так! Palo Alto підтримує IPSec тунелі). 

Palo Alto Network

7. Device. Тут зберігаються різні глобальні налаштування пристрою. Все, що можна налаштувати, знаходиться зліва на скрині. 

Palo Alto Device

Спробуємо написати політику, яка забороняє користуватися соціальною мережею для школярів одного комп'ютера (так як користувач цього комп'ютера себе погано вів): 
1.  

Palo Alto Security Policy Rule

2.  

image
3.  

image
4.  

image
5. 

image
Користувач намагається потрапити на Вконтакте і тут - БАЦ! Не працює. А ми з вами переможно спостерігаємо даремні його спроби: 

image

З іншого боку, такий фільтрацією нікого зараз не здивуєш. Я вас почасти розумію, тому трохи ускладнити завдання. Спробуємо відфільтрувати додаток, яке використовується для доступу до іншої соціальної мережі, але в той же час залишимо доступ туди через WEB.

Отже, уявімо собі, що у нас будується ще один поверх нашого 18-поверхового офісу. Скрізь по будівлі є wifi точки доступу з відкритим SSID (так, ми не жадібні до інтернету). На 18 поверсі закінчують ремонт робочі. Один з них (назвемо його Ашотом) замість того, щоб закінчити класти 30 квадратних метрів кахельної плитки, підключився до мережі і за допомогою месенджера веде активну переписку з черговою "дамою серця". При цьому припустимо, що нам з якихось причин необхідно заборонити всім користуватися месенджером, залишивши при цьому доступною роботу через браузер. 

Налаштуємо політику: 
image
Потім вкажемо security зону, звідки буде ініціюватися з'єднання (заодно заборонимо всім з будь-якої адреси користуватися даним клієнтом). 
image
Зазначимо, в яку зону буде йти трафік (щоб не паритися - вкажемо в будь-яку зону):
image
Тепер нам потрібно заборонити цей самий месенджер. Шукаємо його в базі сигнатур і виставляємо: 
image
Заключне правило - блокуємо весь трафік від програми: 
image
Застосовуємо і зберігаємо конфігурацію. Дивимося, що ми маємо: 
image
Власне, заблокувати додаток у нас вийшло. Тепер дивимося, чи є доступ до сайту з web-браузера: 
image
У принципі реалізувалося все, що було задумано.

Потрібна консультація