การใช้งาน Next Generation Firewall · 2018-12-15 · การใช้งาน...

การใชงาน Next Generation

Firewall

by

นาย เสรมศกด สนทรศพท

ส ำนกเทคโนโลยสำรสนเทศ

สถำบนบนฑตพฒนบรหำรศำสตร

1

สารบญ

บทน า 3

หลกการและเหตผล 3 วธด าเนนการ 3 ประโยชนทคาดวาจะไดรบ 3 ขอบเขตเนอหาการด าเนนการจดท าคมอการใชงานไฟรวอลล 4

บทท 1 INTRODUCTION 5

การแบง DATACENTER โดยใช NETWORK SEGMENTATION 6 ควบคมการใชงาน APPLICATION 6 การควบคมการใชงานของ USER ทตดตอกบ ACTIVE DIRECTORY 7 การปองกนชองโหวของ NETWORK และ APPLICATION 9 VIRTUAL SYSTEM 11

บทท 2 DEVICE MANAGEMENT 21

การก าหนดคณสมบตทวไปบน FIREWALL 22 การก าหนดคา ADMINISTRATOR ROLES 27 การสราง ADMINISTRATIVE ACCOUNTS 29

บทท 3 การ CONFIGURATION ดาน NETWORK 32

การแสดงสถานะ ของ NETWORK INTERFACES 33 ROUTING PROTOCOLS และ VIRTUAL ROUTERS 34

บทท 4 POLICIES AND SECURITY PROFILES 37

ขนตอน การก าหนด POLICIES 37 SECURITY PROFILES 42

บทท 5 REPORTS AND LOGS 62

2

การใชงาน APPLICATION COMMAND CENTER (ACC) 64 การใชงาน APP-SCOPE 65 การแสดง LOG 74 การจดการรายงาน 75 แหลงขอมล 78

3

บทน า

โครงการ จดท าคมอการใชงานไฟรวอลล (Palo Alto)

ผจดท าโครงการ เสรมศกด สนทรศพท

หลกการและเหตผล

เนองจากในปจจบนการตดตอสอสารอยางไรพรมแดนภายใตระบบอนเตอรเนต (Internet) ไดรบความนยมอยางแพรหลาย จงท าใหองคกรตางๆน าระบบอนเตอรเนตเขามาประยกตใชกบหนวยงานของตน อาทเชน การประชาสมพนธ การโฆษณา การรบสงขอมล สงทตามมาคอปญหาการบกรกระบบเครอขายขององคกร โดยเกดจากการทผไมประสงคดใชประโยชนจากชองทางการตดตอสอสารนในการจารกรรมขอมลหรอท าใหขอมลเสยหายดวยชดค าสงไมพงประสงค ดงนนองคกรจงมการปองกนปญหาเหลานดวยเทคโนโลยการรกษาความปลอดภยทเรยกวา ไฟรวอลล ซงท าหนาทปองกนอนตรายจากภายนอกทจะเขามายงเครอขายภายในองคกร

วธการด าเนนการ

การตดตง Firewall เบองตน

การก าหนด Policy บน Firewall

การ Monitor traffic ตางๆบนFirewall

การออก Report เพอดพฤตกรรมการใชงานเครอขาย

ประโยชนทคาดวาจะไดรบ

สามารถน าคมอนเพอใชบรหารจดการ การใชงานไฟรวอลลใหเปนไปอยางมประสทธภาพมากขน

เปนคมออางองส าหรบงานผดแลระบบ กรณทมผดแลระบบหลายๆคน

4

ขอบเขตเนอหาการด าเนนการจดท าคมอการใชงานไฟรวอลล (Palo Alto)

1. Introduction 2. Device Management 3. Network Configuration 4. Policies and Security Profiles 5. Reports and Logs

5

1. Introduction

Palo Alto Firewall มความสามารถในการมองเหน application ทใชงานในระบบเครอขาย อกทงยงควบคมการใชงาน application,ผใชงาน application และ content ตางๆได โดยใชเทคโนโลยทเปนลขสทธเฉพาะของPalo Alto Networks เอง คอ App-ID, User-ID และ Content-ID ซงการใช Firewall ท าใหรไดวาม application ใดบางทใชงานอยในระบบ และก าหนด policy ขนมาเพอก าหนดผใชงาน, กลมผใชใน Active Directory ได และในสวนของ application ทอนญาตใหใชงานนน แพคเกตขอมลจะถกตรวจสอบ threat อกขนหนง

เมอตดตง Firewall ในต าแหนงของ internet gateway แลวนน เราสามารถเหนวาม application ประเภทใดใชงานอยบาง เชน P2P, external proxies, webmail, IM, social networking เปนตน หรออาจจะเปน end-user application ทเปน application ซงใชงานกนอยางกวางขวางอยางเชน Exchange ดงนนสงทเราไดรบอยางชดเจนเมอตดตง Firewall ท gateway นนกคอ ความสามารถในการมองเหน application ทใชงาน ซงชวยในการตรวจสอบการใชงาน application ตางๆไปดวย และสามารถบลอคการใชงานของผใชได ขนอยกบนโยบายการใชงานของหนวยงาน การควมคมการใชงานนน หมายถง เราสามารถแยก zone ของ datacenter ไดเปนทงในรปแบบของ physical หรอ logical และก าหนดวา application หรอกลมของผใชใดบางทสามารถเขาถง zone ของ datacenter ได Firewall สามารถแบงแยก datacenter โดยใช policy ทก าหนดไดทง application, user หรอ group ของ user ใน Active directory โดยการก าหนด policy ทเกยวของกบ user นน ท าใหเราตรวจสอบและปองกน threat ทอาจเกดขนจากโอนถายขอมลทไมไดรบอนญาตของ application ทส าคญการก าหนดการใชงานไดทง user และ application นน

6

การแบง Datacenter โดยใช network segmentation

รปแบบการ segmentation ของระบบเครอขายมหลายรปแบบ ส าหรบ Firewall นนสามารถใชไดทงในรปแบบของ hardware และ software ท าใหผใชงานสามารถแบงระบบเครอขายของตวเองเปนสวนทส าคญหลายๆ สวนได

การแบง security zone จดประสงคกเพอแบง datacenter ในรปแบบเดยวกบ network segment โดย security zone นนเปนรปแบบการแบงแบบ logical ส าหรบ physical interface(s), VLANs หรอชวงของ IP addresses

สวนของ Interfaces นนสามารถก าหนด security zone โดยอาจจะมการตงคาการเชอมตอเปน layer2, layer3 หรอ mode อนๆ ชวยใหการตดตงตว Firewall เปนเรองสะดวกในทกรปแบบของระบบเครอขาย โดยไมจ าเปนตองเปลยน network topology

การก าหนด security zone ใหแตละสวนของ datacenter นน หมายถง ทนททระบบเครอขายแบงเปน zone ตางๆ แลว จะควบคม application, user และ content ทเขาและออกจาก security zone ของ datacenter บนตว Firewall สามารถก าหนดใหอนญาตหรอบลอคขอมลของ application ท user หรอ group จาก Active Directory ใชงาน จาก zone หนง ไปอก zone หนงได

ควบคมการใชงาน Application

ความสามารถในการมองเหน application และควบคมการใชงาน application ได โดยไมสนใจวาจะใช port, protocol หรอ SSL encryption ใด

การจดแบงประเภทของ application ของ App-ID นน จะท าในลกษณะ inline โดยใชเทคนค 4 รปแบบเพอระบ application คอ decoders, decryption, signatures และ heuristics และหลงจากระบ application ไดกจะน าไปตรวจสอบกบ policy ดวาสามารถใชงาน application ไดหรอไม, ตรวจสอบ content และเกบบนทก log สรางออกเปนรายงานผลการใชงาน application ในแงของความปลอดภยส าหรบ datacenter นน เราใชความสามารถในการระบ application ประเภท Oracle,

7

Sybase, SAP, MS SQL มาก าหนด policy สามารถควบคมการใชงานของ datacenter ไดดยงขนจากแตกอนทก าหนดเปนชวงของ IP addresses และระบ port, protocol อกทงเพอความยดหยนในการระบ HTTP application ผใชงาน Firewall สามารถสราง signature ไดเอง

การควบคมการใชงานของ user ทตดตอกบ Active Directory

ขนตอนถดมาในการใช Firewall กน Data Center คอ ระบความสมพนธของการใชงาน application ของแตละ user หรอ group จาก Active directory ดวยเทคโนโลย User-ID ของ PAN Firewall ทสามารถดงขอมลจาก Active Directory ได ท าใหสามารถก าหนด policy เพอก าหนดการใชงานของ user หรอ group ได โดยไมจ าเปนตองมการ authentication อกครง หรอตดตง agent ในทกๆ เครอง desktop

การสามารถมองเหน application และควบคมการใชงานของ user ไดนนเปนสงทตองการส าหรบการปองกน Data Center เปนหนาทของ User-ID ในการจดการกบ end-user โดยทนทท user เขาระบบเครอขายโดยผานทาง Active Directory เรยบรอยแลว security policy ของตว Firewall จะควบคมการเขาออกขอมลของ Data Center โดยท user ไมจ าเปนตองท าการ login เพอยนยนตวตนในการใชงานอก

ดวย User-ID ท าใหสามารถก าหนด policy ทใชความสมพนธของ user และ group ( เชน ฝายบคคล,กองบรการ,กองคลง ฯลฯ )ใน Active Directory กบ application ทใชงานได (เชน oracle) โดยสามารถก าหนด policy ใหมการใชงานเฉพาะภายใน datacenter ส าหรบบาง application กบ user หรอ group บางกลมได

8

การตรวจสอบเนอหาของแพคเกต

traffic ทสงตอมาจาก App-ID จะผาน threat prevention engine ซง engine ตวนจะตรวจสอบ traffic ดวย policy ตางๆ ทก าหนดและบลอค threat ทสงผานจากภายในไปยง datacenter ผานทาง application อยางเชน Oracle DB, MS SQL ท าใหสามารถตรวจสอบ traffic ใหปลอดภยจาก virus, spyware หรอการโจมตใหรปแบบตางๆ ดวยการตรวจสอบแบบรอบเดยวผาน ( single pass software )

รปแบบของ signature

แทนทจะแยกใชชดของ engine ในการตรวจสอบ signature และ threat Firewall ใช threat engine และ รปแบบ signature ทสอดคลองกน ในการตรวจสอบและบลอคพวก malware ทงหลาย ท าใหลดความลาชาของการสงแพคเกตไดอกดวย

Stream-based threat scanning

virus, spyware และชองโหวตางๆ จะถกตรวจสอบแบบ stream-based scanning ดวยเทคนคน การตรวจสอบแพคเกตจะเรมตนทนททแพคเกตขอมลแรกมาถง เมอ firewall ไดรบแพคเกตมากท าจะตรวจสอบและสงไปยงปลายทางทนทโดยทไมจ าเปนตอง ใช buffer ในการรอรบขอมล

9

ดวยรปแบบ file-based scanning ของ Anti-virus นน จะเรมการตรวจสอบเมอไฟลไดรบจนครบแลวและเกบเปน buffer ไวใน memory ซงไฟลนนกจะอยใน memory จนกระทงตรวจสอบเสรจ หลงจากนนกลบออกไป จงเปนเหตใหเกดปญหาเรองประสทธภาพและเกดความลาชาของแพคเกตขอมล รวมทงอาจท าใหเกด time-out ของการเชอมตอได เนองจากจ าเปนตองใหโหลดไฟลในสมบรณแลวตรวจสอบใหเสรจสนกอน ในการตดตง Firewall กน datacenter นน ดวยความเรวและเทคนคการตรวจสอบแพคเกตแบบ stream-based ท าใหสามารถสงผานขอมลแพคเกตไดดวย throughput ระดบ multi-gbps โดยไมท าใหประสทธภาพของ Firewall ตกลงไป

การปองกนชองโหวของ network และ application

ดวยรปแบบ signature ทมความสอดคลองกบ threat ตางๆ ของ IPS feature ท าใหสามารถปองกนการโจมตผานทางชองโหวของ network และ application-layer และดวย IPS feature นยงปองกนการจากการโจมตแบบตางๆ เชน buffer overflows, DoS attacks and port scans, viruses และ spyware ดวยการตรวจสอบเพยงแครอบเดยว

File and data filtering

การก าหนด policy เพอตรวจสอบ traffic ขาออก เพอปองกนการสงออก file หรอ data ทไมไดรบอนญาต และใชประโยชนจากการวเคราะหในเชงลกของ App-ID และ Content-ID ซงชวยให admin นนสามารถก าหนด policy ของ data filtering ได เพอตรวจสอบวามการสงขอมลของ social security numbers, หมายเลข credit card หรอไม และยงก าหนด data patterns เองได หรอตรวจสอบประเภทของ file (ไมไดดเพยงแคนามสกลไฟล) ทสงออกไป โดยเราสามารถก าหนด action จาก data filtering ได เชน ใหบลอคการสงไฟล, ใหบนทกLogเหตการณนนไว หรอสง alert ซงเราสามารถก าหนดใหท าทงสามรปแบบเลยกได

10

Single Pass Software

single pass software ของ Firewall นน ถกออกแบบมาเพอรองรบสองฟงกชน ฟงกชนแรกคอการเปดแพคเกตเพยงครงเดยว เพอประมวณผลดาน network, policy, application identification และ decoding, และsignature matching ท าใหสามารถตรวจสอบ threat และ content ไดเลย การท าเชนนเปนการชวยลดเวลาในการประมวลผลจากหลายๆ function ใน 1 device

ฟงกชนทสองคอ การตรวจสอบ content ดวยรปแบบ stream-based และใชการตรวจสอบ signature เพอคนหาและบลอค threat แทนทจะใช engine ทแยกออกจากกนเปน signature(โดยปกตตองใชการ scan หลายรอบ) และ file proxies (ตองโหลดไฟลเสรจกอนการ scan) ดงนนดวยเทคโนโลย single pass software ท าใหการตรวจสอบ content เปนไปไดอยางรวดเรวไมเกดความลาชาในการรบสงขอมลแพคเกต

11

Parallel Processing Hardware

อกสวนหนงของสถาปตยกรรมกคอสวนของ hardware โดย Firewall นนใชการประมวลผลแบบขนานเพอเพมประสทธภาพของ single pass software ซงไดแก

Networking

ใชในการประมวลผลดาน network โดยเฉพาะ เชน routing, flow lookup, stats counting, NAT

Security

User-ID, App-ID และการตรวจสอบ policy จะถกประมวลผลดวย multi-core processing engine เพอเพมความเรวในการท างานเฉพาะดานไมวาจะเปน encryption, decryption, และ decompression

Threat prevention

Content-ID จะมหนวยประมวลผลของตวเองเพอจ าแนก malware ทงหลาย

Management

หนวยประมวลผลดานการจดการจะรบผดชอบเรอง การตงคาของ Firewall, การเกบ log, และการท า report ในขณะนหนวยประมวลผลดานนท างาน จะไมมผลกระทบใดๆ กบ hardware ทท างานดานประมวลผล traffic

สวนสดทายของสถาปตยกรรมกคอการแยกสวนของ physical เปนสองสวนคอ data plane และ control plane หากมการประมวลในดานใดดานหนงมาก มนจะไมกระท าการท างานของอกดานหนง เชน หาก admin ก าลงสงสราง report จ านวนมาก มนกจะไมกระทบความสามารถในการประมวลผลแพคเกต และดวยสถาปตยกรรม single pass parallel processing ท าใหการปองกนปญหาดาน network นน มความครอบคลมทกสวน ทง application และ user รวมถง threat ตางๆ ท าให PAN Firewall นนสามารถปกปอง datacenter ไดดวยการท างานอยางมประสทธภาพทด

Virtual System

12

เปนคณสมบตหนงของ firewall ซงท าใหเราสามารถก าหนดการจดการตวอปกรณ, การเชอมตอของอปกรณกบระบบเครอขาย และ policies ตางๆ ใหขนอยกบหนวยงานหรอฝายหรอคณะ( ผดแลรบผดชอบทเราจดสรรเพอดแลตวอปกรณน ) เปรยบเสมอนวา box หนงตวนน สามารถท างานไดดงเชนเราม box หลายๆตวยกตวอยางเชน

จากรปหากเรามองจะเหมอนกบวาม box 2 ตว แตโดยความจรงมแค ตวเดยว เปนเพราะวาเราไดแบง Virtual System ของ box นนออกเปน 2 Virtual System นนเอง

การทเราแบงออกเปนแตละ Virtual System นนท าใหเราสามารถแบงกลมของ interface ทงทเปน physical และทเปน logical ( รวมไปถง VLAN และ Virtual wire ) รวมทงยงแบง security zone ซงใชก าหนด policies ตามทเราตองการได จากรปขางตนสามารถบงบอกรายละเอยดไดดงน

Unit Virtual System

Interface Interface type

Security Zone

PAN-NIDA Vsys1 Eth1/1 Vwire OutAcc

Eth1/2 Vwire InAcc

Vsys2 Eth1/5 Layer3 OutDataCtr

Eth1/6 Layer3 InDataCtr Vwiew หรอ Virtual Wire คอรปแบบการดชอมตอทเปนแบบ transparent

โดยไมตองตงคาเพมเตมใดๆ ใหกบตว box

13

Layer3 คอ รปแบบการเชอมตอทเปนแบบ routing mode โดยตองก าหนด protocol ทใชในการหาเสนทาง โดยสามารถก าหนดเปน static, RIP หรอ OSPF ซงขอมลของ routing นนจะเกบแยกไวในสวนของ Virtual router เพอทจะก าหนดไปยงแตละ interfaces ตอไป

เมอเราก าหนด Virtual System ดงน เราอาจจะใหสวนของ vsys1 เปน admin ของฝาย account เปนผดแล และสวนของ vsys2 เปน admin ของ datacenter เปนผดแล โดย admin แตละฝายนนสามารถ access vsys อนทไมใชของตนเองและแกไขไดหรอแคดไดอยางเดยวเทานนกได

เราสามารถเพม account ของ admin ทจะเขามาจดการดแลแตละ Virtual System ได ท าใหสามารถแบงหนาทดแลตวอปกรณไดอยางสะดวก

Virtual System มประโยชนอยางไร

Interfaces, virtual routers, VLANs, virtual wires, และ security zones สามารถก าหนดไดโดยอสระ ไมขนตอกนในแตละ Virtual System

สามารถก าหนด Policies และ Objects ไดในแตละ Virtual System ซงในสวนของ objects นนสามารถทจะ share ระหวาง Virtual System ได

Remote logging destination ( SNMP,Syslog,and email ) , applications, services และ profiles ทสามารถ share กนระหวาง Virtual System ไดหรอก าหนดเฉพาะเจาะจงไปในแตละ Virtual System ได

14

ตวอยางหนาจอ Palo alto Firewall

Dashboard ส าหรบดขอมลโดยรวม

15

ขอมล Application ทอยบนเครอขาย

การ Monitor Log บน Firewall

16

การก าหนด policies บน Firewall

การก าหนด Objects ตางๆ เชน Address Group เปนตน

17

การก าหนดคาตางๆทางดาน Network เชน Routing ,vlan, ip interface เปนตน

การก าหนดคาตางๆบน device box เชนการ install licenses ,backup & restore configuration เปนตน

18

ตวอยางรายงานขอมลทไดจาก Firewall ในแตละวน

แสดงประเภทเวบไซตทมผใชงานมากทสดในแตละวน

แสดงการใชงาน Application ทมาทสดในแตละวน

19

แสดงขอมลปลายทางทผใชงานเวบไซดหรอแอพลเคชนสวนใหญอยในประเทศไทย

แนวโนมการใชงาน bandwidth อยทประมาณ 1089 GB

20

ขอมลการถกคกคามระบบมากทสดคอ 177 k ซง Firewall สามารถตรวจสอบได

21

2. Device Management

พนฐานของผดแลระบบตองเขาใจระบบเครอขายของสถาบนอยางงายตามรป Diagram ดานลาง

ทางโครงสรางพนฐานท าการแบง IP Address ทใชงานภายในสถาบนดงน

Network Type / Zone

อาคาร หนวยงาน IP Address Type

DMZ1 สยามฯ ITC 202.44.72.0 /24 Public

DMZ2 สยามฯ ITC 202.44.73.0 /24 Public

Library บญชนะฯ หองสมด(Server)

202.28.16.0 /24 Public

22

Inside อาคาร 6 สป. 202.21.149.0 /24 Public

Inside นราธปฯ - 10.10.21.0 /24 Private

Inside อาคาร 6 - 10.10.61.0 /24 Private

Inside สยามฯ ITC 10.10.31.0 /24 Private

Inside สยามฯ ITC/LAB 10.10.37.0 /24 Private

Inside สยามฯ - 10.10.34.0 /24 Private

Inside บญชนะฯ นตฯ 10.10.122.0/24 Private

Inside บญชนะฯ รศ. , บธ 10.10.121.0/24 Private

Inside บญชนะฯ หองสมด 10.10.123.0/24 Private

Inside บญชนะฯ หองสมด 10.10.124.0/24 Private

Inside WiFi 172.17.0.0/16

172.18.0.0/16

Private

การก าหนดคณสมบตทวไปบน Firewall

Device > Setup > Management

เมอ click ท Device จะแสดงรายละเอยดตางๆ คอ General Setting, Management Settings, Authentication Settings, Logging and Reporting Settings, Panorama Settings ตามรป

23

ทเราสนใจจะมสามสวนคอ

General Settings

24

Hostname ชอเครอง สงสด 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน

Domain ชอโดเมนเนม

Login Banner ขอความทใชแสดงในหนา Login page ซงอยใต Name และ Password

Time Zone เขตเวลาประเทศ เลอก Asia/Bangkok

Locale ภาษาทใชส าหรบแสดงผล

Date วนท

Time เวลา

Latitude

Longitude

Management Interface Settings

เปนการ set port ส าหรบใชจดการหรอท าการ configure Firewall

Speed รองรบการท างาน 10/100/1000

IP Address/Netmask/Default Gateway

รองรบการใชงาน IPv6 แลว

Services รองรบการท างาน แบบ Http, Https, Telnet, SSH, Ping, SNMP

25

Permitted IP Address เปนการอนญาต ให IP Address หรอ กลม IP Address ใดบาง บนเครอขายเขามา จดการ Firewall ไดบาง

Authentication Settings

Authentication Profile Profileผใชทเปน Admin เพอเขาถง Firewall

Client Certificate Profile ส าหรบ certificate เพอการเขาถง Firewall

Idle Timeout ชวงเวลาท login และไมไดท างานไดๆ ทงหนา Web หรอ CLI เซตได ไดตงแต 1-1440

Failed Attempts จ านวนครงท login ไมส าเรจ สามารถเซต ได 0-10 หาก มคาเปน 0 จะไมจ ากดจ านวนครง

Lockout Time ระยะเวลาในการ logout เซตไดตงแต 0 – 60 นาท คาโดยปกต จะเปน 0 คอไมจ ากดเวลา

26

Device > Setup > Operations

เปนหนาจอส าหรบ Back up, Restore configuration รวมถงการ Reboot ตวเครอง

Configuration Management

- Validate ตรวจสอบ ความถกตอง ของคา Configuration - Revert การยอนกลบ หากมการแกคา Configuration ผดพลาด ท าได 2

ลกษณะ คอ ยอนกลบไปใชคา Configuration บน Memory หรอ บน Flash

27

- Save คา configuration ลงบน Flash memory - Load ท าการ load คา configuration ทตองการ จาก Flash Memory มาใช

งาน - Export คอการท า Back up configuration ของ อปกรณมาเกบไว - Import คอการท า Restore configuration ของ อปกรณ

Device Operations

- Reboot Device คอค าสงส าหรบ reboot firewall - Restart Dataplane คอการ Restart เฉพาะสวนของ Function ตางๆ แตจะ

ไม Reboot ตว Firewall

การก าหนดคา Administrator Roles

Device > Admin Roles

28

การก าหนดคาตางๆ มดงน

- Name ชอ Roles สงสด 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน

- Description ค าอธบายเกยวกบ Roles - Roles เปนการเลอกเพอ ก าหนด Role ส าหรบตวเครอง หรอ Role ส าหรบ

Virtual System - WebUI เปนการก าหนดเพอเขาถง Function การท างานตางๆบน Firewall

สามารถเลอกได 3 แบบคอ

Enable

Read Only

Disable - CLI Role ประกอบดวย 5 วธในการเขาถงอปกรณ

None ไมอนญาตใหเขาถงอปกรณผาน CLI

29

Superuser อนญาตใหเขาถงอปกรณผาน CLI รวมทงสามารถ แกไขคาตางๆได

Superreader อนญาตใหเขาถงอปกรณผาน CLI แตไมสามารถแกไขคาตางๆได

Deviceadmin อนญาตใหเขาถงอปกรณผาน CLI และสามารถ แกไขคาตางๆได รวมถง ก าหนด Accounts บนอปกรณ หรอ สราง Virtual System ได

Devicereader อนญาตใหเขาถงอปกรณผาน CLI แตไมสามารถแกไขคาตางๆได

การสราง Administrative Accounts

Device > Administrators

เมอเขามาในสวนของ Administrator แลว ให click add เพอสราง account

30

- Name ชอ สงสด 15 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน

- Authentication Profile สามารถเชอมตอการ Authentication ผานทาง RADIUS, LDAP, Kerberos, หรอ Local DB

- User only client certificate authentication (web) หากเลอก Function นจะไมตองใช user/password ส าหรบ login แตจะใช certificate ในการเขาถงแทน

- New Password/Confirm New Password ก าหนด password สงสดไมเกน 15 ตวอกขระ

- User Public Key Authentication (SSH) หากเลอก Function นตองท าการ Import key เพอ upload key ไปยงอปกรณ และ จะรองรบรปแบบ key ดงน IETF SECSH และ OpenSSH และ Algorithms DSA(1024 bits) RSA (768-4096 bits)

31

- แบบ Dynamic จะสามารถเลอก Role จาก Drop-down list ไดอก 6 แบบ คอ

Superuser สามารถแสดงผล และ แกไข Configuration ตางๆได

Superuser(read only) แสดงผลอยางเดยว ไมสามารถแกไขได

Device admin สามารถแสดงผล และ แกไข Configuration ตางๆได รวมถง ยงสามารถสราง Account หรอ virtual system ได

Device admin (read only) แสดงผลอยางเดยว ไมสามารถแกไขได

Virtual system administrator สามารถเขาถง Virtual System แบบ Full Access

Virtual system administrator(read only) สามารถเขาถง Virtual System แบบ Read only

- แบบ Role Based จะสามารถเลอกจาก Profile ทเราสรางจาก Admin Role - Virtual system คอ virtual system ทตองการให admin เขาถง โดยการ

Click Add และ เลอก Virtual system ทตองการ

32

3. การ Configuration ดาน Network

การตดตง Firewall ของสถาบน ฯ ซงถกตดตงอยระหวาง Router กบ Internal Network (เนตเวอรกภายในองคกร) รปแบบการตดตงทสามารถท าไดม 4 รปแบบดงน

1. การตดตงแบบ Virtual Wire คอ การวางตว firewall ระหวาง Internal network กบ Router ในลกษณะวางขวาง และไมจ าเปนตองก าหนด IP Address หรอ Routing ไดๆใหกบ Firewall (ยกเวน Management IP เทานน) ตามรปดานลาง

2. การตดตงแบบ Layer 2 คอ การวางตว firewall ระหวาง Internal network

กบ Router ในลกษณะวางขวาง และ แตละกลม Interface ตองก าหนด VLAN ตามรปดานลาง

3. การตดตงแบบ Layer 3 (สถาบนฯ ตดตงวธน) คอ การวางตว firewall

ระหวาง Internal network กบ Router ในลกษณะวางขวาง และ มการก าหนด WAN IP และ Static Route รวมถงการท า NAT ดวย ตามรปดานลาง

33

4. การตดตงแบบ Tap Mode คอ การตดตงในลกษณะทใช Monitor traffic อยางเดยว โดยการท า mirror port บน switch วธนไมสามารถ จดการกบ traffic ตางๆ เชน block traffic ได

การแสดงสถานะ ของ Network Interfaces

Network > Interfaces

ใน Interfaces Tab จะแสดงสถานะการท างานของ Interfaces port บน Firewall ดงนคอ สเขยว:ท างานปกต สแดง:Link Down และ สเทา:ไมไดใชงาน

การแบง ZONE ใน Firewall

Network > Zones

เปนการแยก กลมเครอขายออกเปนกลมๆ เพอใหงายตอการจดการตามนโยบาย

34

กลมเครอขายของสถาบนฯจะแบงเปน 5 กลม คอ

DMZ1 คอ กลมเครองแมขายหลกของสถาบนฯ

DMZ2 คอ กลมเครองแมขายหลกของสถาบนฯ หรอ เครองแมขายของหนวยงานตางๆภายใน สถาบนฯ

Inside คอ กลมเครองของผใชงานทอยภายในสถาบนฯ

Library คอ กลมเครองแมขายของหองสมด

Outside คอ กลมของอปกรณเครอขายทเชอมตอ Internet เพอออกสภายนอก เชน Router เปนตน

Routing Protocols และ Virtual Routers

Network > Virtual Routers

Firewall สนบสนนการท า Routing ในแบบตางๆได เชน RIP, OSPF, และ BGP เปนตน แตในการใชงานภายในสถาบนฯ จะท าเพยงแค static route เทานน

35

ตวอยาง การก าหนดคา Static Routes

จากรป การท า static route คอ

Name ชอทก าหนด ไมเกน 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย –, เวนวรรค และ เครองหมาย _ เทานน

Destination คอ IP Address และ network mask ของกลมเครอขาย ทตองการท า Routing

Interface คอ Interface ทตองการ forward packet ไปยง Next hop อนๆตอไป

36

Next Hop ประกอบดวย None คอ ไมม next hop ถดไป IP Address ก าหนด IP Address ของ Next hop ถดไป Discard คอการ Drop packet ทจะ forward ไปยง Next Hop ถดไป Next VR คอ Firewall ยอมให route ถงกนระหวาง virtual routers

รปการท า Static Route

Admin Distance คอการก าหนดคา administrative distance ส าหรบ static route (คาจะอยระหวาง 10-240 โดยปกตจะก าหนดไว 10)

Metric เปนการก าหนดคาเสนทางของการท า static route (คาจะอยระหวาง 1-65535)

No Install ไมตองการก าหนดคาลงในตาราง route เพยงแตตองการเกบไวอางองในอนาคต

37

4. Policies and Security Profiles

Policies คอ นโยบายควบคมการท างานของ Firewall ในสวนซงเกยวกบ traffic ทวง เขา – ออก จาก Firewall โดยอตโนมต

Note ในคมอนจะกลาวถงเฉพาะ Basic security policies ไมรวมไปถง NAT Policies และ QOS

ขนตอน การก าหนด Policies

เมอเขามาท Policies Tab จะเหนรายละเอยดเกยวกบ Policies ทงหมด เลอนหนาจอลงมาดานลาง และ clickท Add แลว ท าขนตอนดงน

38

1. General tab

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน - Description ค าอธบายเกยวกบการก าหนด Policies (option) - Tag การก าหนด tag ไวเพอคนหา (option)

2. Source tab

39

- Source Zone Click Add เพอเลอก zone ทก าหนดไวในสวนของ Network (default คอ any) - Source Address คอ address ตนทาง สามารถก าหนดเปน IP เดยว หรอ กลม IP หรอ เปนกลม Network ได

3. User tab

- Source User สามารถก าหนดเปนราย user หรอ กลม user ได (option) - HIP Profiles คอ Host Information Profiles (option)

4. Destination tab

40

- Destination Zone Click Add เพอเลอก zone ทก าหนดไวในสวนของ Network (default คอ any) - Destination Address คอ address ปลายทาง สามารถก าหนดเปน IP เดยว หรอ กลม IP หรอ เปนกลม Network ได (default คอ any)

5. Application tab

- Application สามารถก าหนดเปนรายชอ ของ Application ทมอยในฐานขอมลของ Firewall ได

6. Service / URL Category

41

- Service คอการก าหนด port บน TCP หรอ UDP สามารถก าหนดทละ port หรอ เปนกลม port ได - URL Category คอการก าหนด policies ใหกบ web ซงจะเลอกจากฐานขอมลทอยบน Firewall

7. Action tab

- Action Setting เลอกวาจะก าหนดเปน deny หรอ allow ส าหรบการใช policies - Profile Setting คอการก าหนดการตวรจสอบตาม profile ทก าหนด เชน antivirus, anti-spyware, vulnerability protection เปนตน - Log Setting >Log at Session Start คอ log ตอนเรมตนเชอมตอ คาปกตจะถก ปดอย >Log at Session End คอ log ทสนสดการเชอมตอ คาปกตจะถก เปดอย >Log Forwarding คอการสง log ไปยงเครองแมขายอน เชน syslog server - Other Settings >Schedule ก าหนดการตงเวลาท างานของ policies

42

>QoS Marking การก าหนดคา Qos

Security Profiles

ในการก าหนดนโยบายเพอรกษาความปลอดภยเครอขายสามารถก าหนดไดมากกวาหนงรปแบบ ซงการปองกนและการควบคม มประเภทและรายละเอยดดงตอไปน

Antivirus profiles คอการปองกน virus และ worm หรอ block spyware

Anti-spyware profiles คอการปองกน spyware ทจะเขาถงเครอขาย

Vulnerability protection profiles คอการปองกนความพยายามเพอเขาถงชองโหวตางๆ

File blocking profiles คอ การปองกนประเภทของ File ทตองการ

Data filtering profiles คอ การปองกนขอมลทส าคญ เชน รหสบตรเครดต เปนตน

Denial of service (DoS) profiles คอการปองกน DoS attacks

43

ตวอยางหนาจอของ security profiles ซงอยใน Objects tab

Antivirus Profiles

Objects > Security Profiles > Antivirus

44

ใน Profiles พนฐานของ Antivirus จะก าหนด protocol เพอการตรวจสอบดงน ftp, http, imap, pop3, smb, และ smtp ซง Action ของ protocol เหลานคอ

ftp : default(block)

http : default(block)

imap : default(alert)

pop3 : default(alert)

smb : default(block)

smtp : default(alert)

รป Antivirus Profile

45

การก าหนดคา Antivirus Profiles (ตามรป Antivirus Profile)

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option)

Antivirus Tab

- Packet Capture ถาเลอก จะเปนการดกจบ packet เพอน าไปวเคราะหขอมล

- Decoders and Actions คอการตรวจสอบ packet คนหา virus - Application Exception and Actions คอการก าหนด Application ทยกเวน

การตรวจสอบ virus ตวอยางเชน การ block บรการ http ทงหมด แตยงสามารถยกเวน http ทตองการใชไดส าหรบบาง Application ได

การก าหนดคา Antivirus Profiles (ตามรป virus Exception Tab)

รป virus Exception tab

46

- Threat ID คอ การใหระบบเพกเฉยตอภยคกคามทเฉพาะเจาะจง และ ยงสามารถเพมไดตามตองการ โดยการใส ID แลว Click Add เพอเพมขอมล

Anti-Spyware Profiles

Objects > Security Profiles > Anti-Spyware

การปรบแตง Anti-Spyware Profile เพอ ลดการตรวจสอบ traffic ทเชอถอได เชน trust zone และ เขมงวดส าหรบ traffic ทไมนาเชอถอ เชน internet zone ได

การก าหนดคา Anti-Spyware Profiles Rules tab

47

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Rules คอการก าหนด ชอ rule ทมอยในระบบแลว โดยการเลอกแตละชอท

ตองการ - Severity คอการเลอกระดบความรนแรง ม 5 ระดบ โดยเรยงล าดบจาก

รนแรงมาก ไป รนแรงนอย ดงน critical, high, medium, low, และ informational

- Action เลอก การจดการในแตละ ภยคกคาม คอ Default, Alert, Allow, หรอ Drop

- Packet Capture คอ การดกจบ packet เพอน าไปวเคราะหขอมล

การก าหนดคา Anti-Spyware Profiles Exceptions tab

48

- Exceptions ถาเลอก Enable คอการเปดใชงานแตละภยคกคามทตองการ หรอ สามารถเลอกทงหมดขนอยกบความตองการ จากรป รายการยงวางอยแสดงวายงไมมการเลอกใชภยคกคาม

Vulnerability Protection Profiles

Objects > Security Profiles > Vulnerability Protection

เปนการก าหนดนโยบายเพอปองกนชองโหว ตางๆทมในเครองแมขายและเครองลกขาย

การก าหนดคา Vulnerability Protection Profile Rules tab

49

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Rules คอการก าหนดชอ rule - Threat Name คอการระบขอความใหตรงกบ signature ทอยใน Firewall - Action คอ การจดการ traffic ทเกดจากชองโหว เมอตรวจพบ (Alert, Allow,

Default หรอ Block) - Host Type คอ ชนดของ เครองเปน Client หรอ server - Packet คอ การดกจบ packet เพอน าไปวเคราะหขอมล - Category คอ กลมของชองโหวตางๆทตองการควบคม - CVE List คอ การระบชองโหวทพบบอยทตองการควบคม - Vendor ID คอ การระบ รหสผผลตลงไปเพอการควบคมชองโหวของผลตภณฑ

นนๆ - Severity คอการเลอกระดบความรนแรง ม 5 ระดบ โดยเรยงล าดบจาก

รนแรงมาก ไป รนแรงนอย ดงน critical, high, medium, low, และ informational

การก าหนดคา Vulnerability Protection Profile Exception tab

50

- Exceptions ถาเลอก Enable คอการเปดใชงานแตละประเภทของชองโหวทตองการ หรอ สามารถเลอกทงหมดขนอยกบความตองการ จากรป รายการยงวางอยแสดงวายงไมมการเลอกใชประเภทของชองโหว

URL Filtering Profiles

Objects > Security Profiles > URL Filtering

เปนคณสมบตในการกรอง URL และปองกนการเขาถงเวบไซดโดยเฉพาะ โดยสามารถทจะอนญาต หรอ ไมอนญาตเพอเขาถงเวบไซดตางๆได

การก าหนดคา URL Filtering Profiles

51

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Action on License Expiration การเลอก Action เพอการกรอง URL ม 2

Action

Block คอ การหามการเขาถงเวบไซดทถกก าหนดไวในรายการ

Allow คอ การอนญาตการเขาถงเวบไซดทถกก าหนดไวในรายการ - Dynamic URL Filtering หากเลอกเปด option นการกรอง URL โดยกรอง

ตามฐานขอมลบน Firewall โดยเลอกจาก ขอมลทมความนยมมากทสด - Log Container Page Only คอการเกบ log URL ทตรงกบในรายการท

ก าหนด - Block List คอ การใส IP Address หรอ URL path name ของเวบไซด ท

ตองการหามการเขาถง เชน

www.ebay.com

198.133.219.25/en/US - Action คอ การเลอก Action เมอเวบไซดถกหามเขาถง สามารถเลอกได 4

แบบคอ

alert อนญาตใหผใชเขาถงเวบไซด แตจะบนทก log ลง URL log

block ไมอนญาตการเขาถงเวบไซด

continue อนญาตใหผใช เขาถงโดยคลก Continue บนหนา block เพอด าเนนการตอ

override อนญาตใหผใช เขาถงโดยใส Password เพอด าเนนการตอ - Allow List คอ การอนญาตใหเขาถง IP Address หรอ URL path name

ของเวบไซด ตวอยางการใสขอมลเหมอน Block list - Category / Action ส าหรบในแตละประเภทของเวบไซดสามารถก าหนดการ

เขาถงไดดงน

Alert อนญาตใหผใชเขาถงเวบไซดแตจะบนทกการเขาถงลง URL log

52

Allow อนญาตใหผใชเขาถงเวบไซด

Block ไมอนญาตใหผใชเขาถงเวบไซด

Continue อนญาตใหผใชเขาถงเวบไซด โดยการคลก Continue บนหนา block เพอด าเนนการตอ

Override อนญาตใหผใช เขาถงโดยใส Password เพอด าเนนการตอ - Check URL Category คอการเขาเวบไซด

http://www.brightcloud.com/support/lookup.php?dfa51120 เพอน าขอมล URL ไปตรวจสอบขอมล ของประเภทเวบไซด

File Blocking Profiles

Object > Security Profiles > File Blocking

เราสามารถก าหนดนโยบายเกยวกบการ upload หรอ download file ชนดตางๆตามความตองการได

53

การก าหนดคา File Blocking Profiles

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Rules เราสามารถก าหนดเงอนไขไดมากวา 1 เงอนไขโดยคลก Add

Name ก าหนดชอ rule

Applications เลอก application ทตองการหรอ เลอก any

File Types ชนดของ File ทจะ block หรอ การแจงเตอน

Action เลอก action ทจะกระท าเมอตรวจพบชนดของ file - alert แจงเตอนลง threat log - block ปดกน file

54

- continue สงขอความแจงเตอนไปยงผใช เพอด าเนนการ หรอ หยด เมอตรวจพบชนด File ทก าหนด - forward สง file โดยอตโนมตไปยง WildFire - continue-and-forward สงขอความแจงเตอนไปยงผใช เพอด าเนนการ หรอ หยด เมอตรวจพบชนด File ทก าหนด และ สง file โดยอตโนมตไปยง WildFire

ชนดของ File ทสนบสนน File Blocking

55

56

Data Filtering Profiles

Objects > Security Profiles > Data Filtering

การปองกนขอมลทส าคญ เชน รหสบตรเครดต หรอ ขอมลตางๆทส าคญ

การก าหนดคา Data Filtering Profiles

57

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Data Capture เมอเลอกระบบจะเกบขอมลทถก block โดยอตโนมต - Data Pattern สามารถเลอกจากรายการ หรอ สราง pattern ใหมได

ตวอยางการสราง Data Patterns ขนใหม (รายละเอยดตามรปดานลาง)

รปการสราง data pattern

- Name ก าหนดชอใหกบ data pattern - Description ค าอธบายเกยวกบ data pattern - Shared แชร data pattern ระหวาง virtual system - Weight คอการก าหนดคาเกณฑส าหรบการค านวน

CC# คาเกณฑ credit card มชวงระหวาง 0-255

58

SSN# คาเกณฑ social security number แบบม “-”เชน 123-45-6789 มชวงระหวาง 0-255 SSN#(without dash) คาเกณฑ social security number แบบไมม “-”เชน 123456789 มชวงระหวาง 0-255

- Applications เลอก application ทตองการกรอง

Any เปนการเลอก application ทงหมดทมอยในรายการ

คลก Add เพอก าหนดเปนราย Application - File Types เลอกชนดของ file ทตองการกรอง

Any เปนการเลอกชนดของ file ทกประเภท

คลก Add เพอก าหนดเปนรายประเภท - Direction คอ การระบทศทางการกรอง download หรอ upload หรอ ทง

สอง - Alert Threshold การระบคาเพอการแจงเตอน ถาก าหนดคา threshold =

100 และ SSN = 5 การเตอนจะแจงเมอมการตรวจพบอยางนอยเทากบ 20 (20 x 5 = 100)

- Block Threshold การระบคาการ Block data ถาก าหนดคา threshold = 100 และ SSN = 5 การ Block จะ Block เมอมการตรวจพบอยางนอยเทากบ 20 (20 x 5 = 100)

DoS Profiles

Objects > Security Profiles > DoS Protection

เปนการปองกนการโจมตในรปแบบ Denial of service (DOS)

59

การก าหนดคา DoS Profiles

- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน

- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป

ในทกๆ system - Type จะตองระบเปนประเภทใดประเภทหนงดงน

Aggregate คอการก าหนดคา packet เชน ก าหนด 1000 pack ตอ วนาท (pps) ใหหมายถงการโจมตแบบ DoS เปนตน

60

Classified คอการก าหนดคา packet ทมาจาก IP ทโจมตแบบ DoS เชน IP ตนทาง หรอ IP ปลายทาง หรอทงตนทาง ปลายทาง

Flood Protection Tab

ประกอบไปดวย SYN flood, UDP flood, ICMP flood, และ Other IP flood

Choice มเฉพาะใน SYN Flood Tab อยางเดยว ม 2 หวขอใหเลอก ดงน

- Random early drop Drop packet แบบสมกอนทจะจ ากด การ DoS - SYN cookies คอการสราง acknowledge โดยไมจ าเปนตองตดการเชอม

ตอเมอถกโจมตแบบSYN Flood

61

- Alarm Rate ก าหนดคา pps (packet per second) มคาระหวาง 0-2000000 คาปกตคอ 10000 pps

- Activate Rate ก าหนดคา pps (packet per second) มคาระหวาง 0-2000000 คาปกตคอ 10000 pps

- Maximal Rate ก าหนดคาสงสด ทจะ Drop หรอ Block packet - Block Duration ชวงเวลา(วนาท)ทปฏเสธ packet จากการโจมต

Resources Protection Tab

- Sessions คอการปองกนทรพยากร (ตว Firewall) จากการโจมต - Max Concurrent Limit คอการก าหนดคาสงสดของ Concurrent session

คาปกตคอ 32768

62

5. Reports and Logs

การใชงาน Dashboard

> Dashboard

หนา Dashboard จะแสดงขอมลของอปกรณทวๆไป เชน รนของซอฟตแวร สถานะ interface การใชงานทรพยากร 10 รายงานลาสดการคกคาม เราสามารถตงคาหนา Dashboard ของแตละ user ไดตามความจ าเปนหรอ ตามความตองการ ชวงเวลาการ refresh หนาจอโดยอตโนมตสามารถเลอกจาก drop-down list 1นาท, 2นาท, 5นาท, หรอ แบบ manual รวมถงเพม หรอ ลบแผนภมตางๆ ไดตามตองการ

63

ตวอยาง การตงคา Refresh page

ตวอยางการ ตงคา Layout ของ Dash board

ตวอยางการเลอกแผนภมตางๆเพอแสดงใน Dashboard

64

รายละเอยดของแผนภมตางทแสดงใน Dashboard

- Top Application แสดงการใชงานทม sessions มากทสด ขนาดของบลอกบงชจ านวน sessions (เมอน าเมาสจะแสดงจ านวน sessions) สบงชถงความเสยง สเขยว (ต าสสด) สแดง (สงสด)

- Top High Risk Applications จะคลายกบการใชงาน Top Application แตจะแสดงแค การใชงาน Application สงสด กบ sessions มากทสด เทานน

- General Information แสดงชออปกรณ, รนซอฟตแวร, threat และ รน URL Filtering และระยะเวลาตงแต restart ระบบครงลาสด ถง ปจจบน (uptime)

- Interface Status แสดงสถานะ Interface สเขยว สถานะปกต สเทายงไมไดใชงาน สแดง สถานะผกปกต หรอ link down

- Threat Logs แสดง log ของภยคกคามตางๆ application วนเวลา และ สถานะทแสดงถงความรนแรง จะแสดงแค 10 ราการลาสด

- Config Logs แสดงชอ ผดแลระบบ (ทง web และ CLI) วนทและเวลา ทเขามา Config หรอ แกไข Config

- Data Filtering Log แสดงรายระเอยด วนท และ เวลา เมอ 60 นาททผานมามขอมลไดบางเขาสการกรอง

- URL Filtering Logs แสดงรายระเอยด วนท และ เวลา เมอ 60 นาททผานมาม URL ไดบางเขาสการกรอง

- System Logs แสดงรายละเอยดเกยวกบระบบ วนทและเวลา 10 รายการลาสด

- Resources Information แสดงสถานะ CPU ปจจบน หนวยความจ า การใชงาน disk และ จ านวน sessions ทงหมดทผาน Firewall

- Logged In Admins แสดง IP ตนทาง ชนดของ session (Web หรอ CLI) และเวลาเรมตน (start time) ทผดแลระบบเขาสระบบ

- ACC Risk Factor แสดงปจจยความเสยง (1ถง5) ส าหรบการประมวลผล traffic บนเครอขายในสปดาหทผานมาถาคาสงแสดงวามความเสยงสง

- High Availability แสดงสถานะการท า HA ของอปกรณ

65

การใชงาน Application Command Center (ACC)

> ACC

ACC แสดงระดบความเสยงโดยรวมส าหรบเครอขาย และ จ านวนของภยคกคามทตรวจพบมากทสดและมความเสยงสงทสด รวมทง จ านวนการใชงาน Application จากทระดบความเสยงสามารถ ดไดตงแตชวโมงทผานมา วน สปดาห เดอน หรอ ตามกรอบเวลาทก าหนด ระดบความเสยง 1 = ต าสด 5 = สงสด

ภายใต ACC Tab เราสามารถปรบการแสดงผลบนหนาจอไดดงตอไปน

1. การปรบแตงการแสดงผลหนาจอ ACC

- เลอก virtual system ทตองการก าหนด

66

- เลอกชวงเวลา จาก Time Frame คาปกตคอ Last Hour - เลอกการเรยงล าดบ Sort By เลอกได 3 รปแบบ คอ sessions,

bytes หรอ threats คาปกตคอ sessions - Top เลอกล าดบทสงทสด คาปกตคอ 25

2. การดขอมล Log ทเกยวของกบขอมลบนหนา ACC นนโดยการคลก Icon ตามรปดานลาง

3. คลกทเครองหมาย “+” เพอก าหนดคาทตองการแสดงผลตวอยางตามรป

ดานลาง

4. เลอกมมมองรายการจาก drop-down list ส าหรบขอมลทตองการ

การใชงาน App-Scope

> Monitor > App Scope

เปนเครองมอในการแสดงผล และ วเคราะหเพอชวยใหสามารถระบพฤตกรรมทมปญหาไดอยางรวดเรว

67

Summary Report

แสดงแผนภม 5 ล าดบสงสดไดแก gainers, losers, Bandwidth Consuming Source, Bandwidth Consuming Apps, Bandwidth Consuming App categories และ Threats

68

Change Monitor Report

แสดงการเปลยนแปลงในชวงเวลาทก าหนด ตวอยาง จากรปดานลาง แสดงการใช Application ใน 1 ชวโมงผานไปเทยบกบ ระยะเวลา 24 ชวโมงทผานมา ดจากจ านวน sessions ทจดเรยงเปนรอยละ

69

ตวเลอก ส าหรบ Change Monitor Report

ก าหนดจ านวนของ record สงสดบนแผนภม

ก าหนดประเภทของรายการทมในรายงาน เชน Application, Application Category, Source หรอ Destination

แสดงผลการวดของรายการทเพมขน กบชวงเวลาทวด

แสดงผลการวดของรายการทลดลง กบชวงเวลาทวด

แสดงผลการวดของรายการทถกเพมเขาไปใหม กบชวงเวลาทวด

แสดงผลการวดของรายการทถกยกเลก กบชวงเวลาทวด

การใชตวกรองเพอแสดงเฉพาะรายการทเลอก ไมแสดงทงหมด

ก าหนดใหแสดงขอมลเปน session หรอ byte

ก าหนดการเรยงรายการเปนเปอรเซน หรอ ตามคาจรง

คอระบระยะเวลาการเปรยบเทยบส าหรบการเปลยนแปลง

Threat Monitor Report

การแสดงจ านวนของภยคกคามสงสด ในชวงเวลาทเลอก ตวอยางจากรปดานลาง แสดงใหเหน 10 อนดบภยคกคามสงสดใน 6 ชวโมงทผานมา

70

ภยคกคามแตละประเภทจะมรหสสระบไวในแผนภมดานลาง

ฟงกชนการท างานตางของ threat monitor

ก าหนดจ านวนของภยคกคามสงสดทจะแสดงในแผนภม

ก าหนดประเภทของรายการตาม หมวดหม แหลงทมา หรอ ปลายทาง

การใชตวกรองเฉพาะประเภททตองการ

การก าหนดรปแบบของแผนภม

71

ระบระยะเวลาทตองการ

Threat Map Report

รายงานภยคกคามมมมองทางภมศาสตร รวมทงแสดงความรนแรงของภยคกคาม

ภยคกคามแตละประเภทจะแยกตามรหสสและสามารถคลกเลอกบนแผนทได รวมทง Zoom in และ Zoom out ได

ฟงกชนการท างานของ Threat Map

ก าหนดจ านวนของภยคกคามสงสดทจะแสดงในแผนภม

แสดงภยคกคามทเขามา

แสดงภยคกคามทออกไป

การใชตวกรองเฉพาะประเภททตองการ

ระบระยะเวลาทตองการ

72

Network Monitor Report

รายงานการตรวจสอบเครอขาย แสดงการใชงาน bandwidth ในชวงเวลาทแตกตางกนและจะมสก ากบอยในแผนภมดานลาง ตวอยางตามรปดานลาง จะเหนวาแตละ application ใช bandwidth ไปเทาไรบางใน 6 ชวโมงทผานมา

ฟงกชนการท างานของ Network Monitor

ก าหนดจ านวนสงสดทตองการแสดงในแผนภม

ก าหนดประเภทของรายงาน เชนการใช Application ประเภทแหลงทมา หรอ ปลายทาง

73

การใชตวกรองเพอแสดงเฉพาะรายการทเลอก

ก าหนดวาจะแสดงขอมลแบบ session หรอ byte

การก าหนดรปแบบของแผนภม

ระบระยะเวลาทตองการ

Traffic Map Report

รายงาน traffic ในมมมองทางภมศาสตร ตามชวงเวลาทก าหนด ในแตละ traffic จะมรหสสระบในแผนภม ตามรปดานลาง

ฟงกชนการท างานของ Traffic Map

ก าหนดจ านวนสงสดทตองการแสดงในแผนภม

แสดง traffic ทเขามา

แสดง traffic ทออกไป

ก าหนดวาจะแสดงขอมลแบบ session หรอ byte

74

ระบระยะเวลาทตองการ

การแสดง Log

Monitor > Logs

ไฟรวอลลจะบนทก log ของกจกรรมตางๆ คอ traffic, threats, URL, Data, และ ขอมลเกยวกบ Host เราสามารถ ด Log ปจจบนไดตลอดเวลา หรอ คนหาเฉพาะ ทสนใจ โดยการใชตวกรองทมอยได

การเขาถง Log แบงเปนประเภทดงน

- Traffic แสดงรายการส าหรบ ตนทาง ปลายทาง วนท เวลา พอรต application rule action (Allow, deny, หรอ drop) ของ session

- Threat แสดงรายการส าหรบเตอนทสรางขนบนไฟรวอลล มวนท เวลา ชอภยคกคาม แหลงทมา ปลายทาง application พอรต และ ระดบความรนแรง

- URL Filtering แสดง log ทมการเขาถงเวบไซต ประเภทเวบไซต - Data Filtering แสดง log เกยวกบการใช นโยบาย ปกปองขอมลทส าคญ - Configuration แสดง log ส าหรบการเปลยนแปลงการตงคาตางๆบนไฟร

วอลล เชน ชอผดแล IP วนทและเวลา จะบนทกทงการเขาถงผานหนา Web และ CLI

- System แสดงรายการส าหรบเหตการณ โดยมรายระเอยด วนท เวลา เหตการณ และ ค าอธบายเหตการณ

75

การจดการรายงาน

Monitor > PDF Report

การสรางรายงานสรป แบบ PDF โดยการคลก Manage PDF Summary และคลก Add จะแสดงดงรปดานลาง

เราสามารถสรางรายงานแบบ PDF แบบตางๆ ไดจากหนา PDF Summary Report โดยการเลอกจาก ตวเลอกทมอย ในหนงรายงานสามารถเลอกไดสงสด 18 องคประกอบ

การจดการรายงานกจกรรมของผใช

Monitor > PDF Report > User Activity

ใชเพจนเพอสรางรายงานสรปกจกรรมของผใชแตละราย โดยคลก Add

76

- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”

- User ใสชอผใชหรอ IP ของผใชทจะแสดงในรายงาน - Time Period เลอกกรอบเวลาส าหรบรายงาน

การจดการกลมของรายงาน

Monitor > PDF Reports > Report Groups

ระบบยอมใหสรางกลมของรายงานเพอรวมเปน PDF Report ในหนงรายงาน

77

- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”

- Title Page จะรวมชอเพจในรายงาน - Title การก าหนดชอทปรากฎในรายงาน - Report selection เลอกรายงานจากคอลมนดานซาย และ คลก Add แตละ

กลมรายงานจะไปอยทางดานขวา

การสรางรายงานตามความตองการ

Monitor > Manage > Custom Reports

เราสามารถสรางรายงานแบบทก าหนดเอง หรอ ตามตองการไดดงน โดยการคลก Add

- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”

- Database เลอกฐานขอมลเพอใชเปนขอมลในรายงาน - Time Frame เลอกกรอบเวลา หรอ ก าหนดชวงเวลาเอง - Sort By การเรยงล าดบในรายงาน

78

- Group By การจดกลมในรายงาน - Scheduled หากเลอก check box น รายงานจะสรางขนโดยอตโนมตในทก

ๆ วน - Available Columns คอการเลอก คอลมนทจะแสดงในรายงาน - Query Builder การสรางแบบสอบถามมรายละเอยดดงน

Connector เลอกการเชอมเปน and หรอ or

Attribute เลอกองคประกอบของขอมลซงจะเปลยนไปตามฐานขอมล

Operator เกณฑทก าหนดเพอตรวจสอบคาเชน เครองหมาย “=” ขนอยกบ ฐานขอมล

Value ระบคาให attribute

Negate จะตความเปนปฏเสธ

แหลงขอมล

1. Administrator Guide version 4.10

2. https://support.paloaltonetworks.com