การใชงาน Next Generation
Firewall
by
นาย เสรมศกด สนทรศพท
ส ำนกเทคโนโลยสำรสนเทศ
สถำบนบนฑตพฒนบรหำรศำสตร
1
สารบญ
บทน า 3
หลกการและเหตผล 3 วธด าเนนการ 3 ประโยชนทคาดวาจะไดรบ 3 ขอบเขตเนอหาการด าเนนการจดท าคมอการใชงานไฟรวอลล 4
บทท 1 INTRODUCTION 5
การแบง DATACENTER โดยใช NETWORK SEGMENTATION 6 ควบคมการใชงาน APPLICATION 6 การควบคมการใชงานของ USER ทตดตอกบ ACTIVE DIRECTORY 7 การปองกนชองโหวของ NETWORK และ APPLICATION 9 VIRTUAL SYSTEM 11
บทท 2 DEVICE MANAGEMENT 21
การก าหนดคณสมบตทวไปบน FIREWALL 22 การก าหนดคา ADMINISTRATOR ROLES 27 การสราง ADMINISTRATIVE ACCOUNTS 29
บทท 3 การ CONFIGURATION ดาน NETWORK 32
การแสดงสถานะ ของ NETWORK INTERFACES 33 ROUTING PROTOCOLS และ VIRTUAL ROUTERS 34
บทท 4 POLICIES AND SECURITY PROFILES 37
ขนตอน การก าหนด POLICIES 37 SECURITY PROFILES 42
บทท 5 REPORTS AND LOGS 62
2
การใชงาน APPLICATION COMMAND CENTER (ACC) 64 การใชงาน APP-SCOPE 65 การแสดง LOG 74 การจดการรายงาน 75 แหลงขอมล 78
3
บทน า
โครงการ จดท าคมอการใชงานไฟรวอลล (Palo Alto)
ผจดท าโครงการ เสรมศกด สนทรศพท
หลกการและเหตผล
เนองจากในปจจบนการตดตอสอสารอยางไรพรมแดนภายใตระบบอนเตอรเนต (Internet) ไดรบความนยมอยางแพรหลาย จงท าใหองคกรตางๆน าระบบอนเตอรเนตเขามาประยกตใชกบหนวยงานของตน อาทเชน การประชาสมพนธ การโฆษณา การรบสงขอมล สงทตามมาคอปญหาการบกรกระบบเครอขายขององคกร โดยเกดจากการทผไมประสงคดใชประโยชนจากชองทางการตดตอสอสารนในการจารกรรมขอมลหรอท าใหขอมลเสยหายดวยชดค าสงไมพงประสงค ดงนนองคกรจงมการปองกนปญหาเหลานดวยเทคโนโลยการรกษาความปลอดภยทเรยกวา ไฟรวอลล ซงท าหนาทปองกนอนตรายจากภายนอกทจะเขามายงเครอขายภายในองคกร
วธการด าเนนการ
การตดตง Firewall เบองตน
การก าหนด Policy บน Firewall
การ Monitor traffic ตางๆบนFirewall
การออก Report เพอดพฤตกรรมการใชงานเครอขาย
ประโยชนทคาดวาจะไดรบ
สามารถน าคมอนเพอใชบรหารจดการ การใชงานไฟรวอลลใหเปนไปอยางมประสทธภาพมากขน
เปนคมออางองส าหรบงานผดแลระบบ กรณทมผดแลระบบหลายๆคน
4
ขอบเขตเนอหาการด าเนนการจดท าคมอการใชงานไฟรวอลล (Palo Alto)
1. Introduction 2. Device Management 3. Network Configuration 4. Policies and Security Profiles 5. Reports and Logs
5
1. Introduction
Palo Alto Firewall มความสามารถในการมองเหน application ทใชงานในระบบเครอขาย อกทงยงควบคมการใชงาน application,ผใชงาน application และ content ตางๆได โดยใชเทคโนโลยทเปนลขสทธเฉพาะของPalo Alto Networks เอง คอ App-ID, User-ID และ Content-ID ซงการใช Firewall ท าใหรไดวาม application ใดบางทใชงานอยในระบบ และก าหนด policy ขนมาเพอก าหนดผใชงาน, กลมผใชใน Active Directory ได และในสวนของ application ทอนญาตใหใชงานนน แพคเกตขอมลจะถกตรวจสอบ threat อกขนหนง
เมอตดตง Firewall ในต าแหนงของ internet gateway แลวนน เราสามารถเหนวาม application ประเภทใดใชงานอยบาง เชน P2P, external proxies, webmail, IM, social networking เปนตน หรออาจจะเปน end-user application ทเปน application ซงใชงานกนอยางกวางขวางอยางเชน Exchange ดงนนสงทเราไดรบอยางชดเจนเมอตดตง Firewall ท gateway นนกคอ ความสามารถในการมองเหน application ทใชงาน ซงชวยในการตรวจสอบการใชงาน application ตางๆไปดวย และสามารถบลอคการใชงานของผใชได ขนอยกบนโยบายการใชงานของหนวยงาน การควมคมการใชงานนน หมายถง เราสามารถแยก zone ของ datacenter ไดเปนทงในรปแบบของ physical หรอ logical และก าหนดวา application หรอกลมของผใชใดบางทสามารถเขาถง zone ของ datacenter ได Firewall สามารถแบงแยก datacenter โดยใช policy ทก าหนดไดทง application, user หรอ group ของ user ใน Active directory โดยการก าหนด policy ทเกยวของกบ user นน ท าใหเราตรวจสอบและปองกน threat ทอาจเกดขนจากโอนถายขอมลทไมไดรบอนญาตของ application ทส าคญการก าหนดการใชงานไดทง user และ application นน
6
การแบง Datacenter โดยใช network segmentation
รปแบบการ segmentation ของระบบเครอขายมหลายรปแบบ ส าหรบ Firewall นนสามารถใชไดทงในรปแบบของ hardware และ software ท าใหผใชงานสามารถแบงระบบเครอขายของตวเองเปนสวนทส าคญหลายๆ สวนได
การแบง security zone จดประสงคกเพอแบง datacenter ในรปแบบเดยวกบ network segment โดย security zone นนเปนรปแบบการแบงแบบ logical ส าหรบ physical interface(s), VLANs หรอชวงของ IP addresses
สวนของ Interfaces นนสามารถก าหนด security zone โดยอาจจะมการตงคาการเชอมตอเปน layer2, layer3 หรอ mode อนๆ ชวยใหการตดตงตว Firewall เปนเรองสะดวกในทกรปแบบของระบบเครอขาย โดยไมจ าเปนตองเปลยน network topology
การก าหนด security zone ใหแตละสวนของ datacenter นน หมายถง ทนททระบบเครอขายแบงเปน zone ตางๆ แลว จะควบคม application, user และ content ทเขาและออกจาก security zone ของ datacenter บนตว Firewall สามารถก าหนดใหอนญาตหรอบลอคขอมลของ application ท user หรอ group จาก Active Directory ใชงาน จาก zone หนง ไปอก zone หนงได
ควบคมการใชงาน Application
ความสามารถในการมองเหน application และควบคมการใชงาน application ได โดยไมสนใจวาจะใช port, protocol หรอ SSL encryption ใด
การจดแบงประเภทของ application ของ App-ID นน จะท าในลกษณะ inline โดยใชเทคนค 4 รปแบบเพอระบ application คอ decoders, decryption, signatures และ heuristics และหลงจากระบ application ไดกจะน าไปตรวจสอบกบ policy ดวาสามารถใชงาน application ไดหรอไม, ตรวจสอบ content และเกบบนทก log สรางออกเปนรายงานผลการใชงาน application ในแงของความปลอดภยส าหรบ datacenter นน เราใชความสามารถในการระบ application ประเภท Oracle,
7
Sybase, SAP, MS SQL มาก าหนด policy สามารถควบคมการใชงานของ datacenter ไดดยงขนจากแตกอนทก าหนดเปนชวงของ IP addresses และระบ port, protocol อกทงเพอความยดหยนในการระบ HTTP application ผใชงาน Firewall สามารถสราง signature ไดเอง
การควบคมการใชงานของ user ทตดตอกบ Active Directory
ขนตอนถดมาในการใช Firewall กน Data Center คอ ระบความสมพนธของการใชงาน application ของแตละ user หรอ group จาก Active directory ดวยเทคโนโลย User-ID ของ PAN Firewall ทสามารถดงขอมลจาก Active Directory ได ท าใหสามารถก าหนด policy เพอก าหนดการใชงานของ user หรอ group ได โดยไมจ าเปนตองมการ authentication อกครง หรอตดตง agent ในทกๆ เครอง desktop
การสามารถมองเหน application และควบคมการใชงานของ user ไดนนเปนสงทตองการส าหรบการปองกน Data Center เปนหนาทของ User-ID ในการจดการกบ end-user โดยทนทท user เขาระบบเครอขายโดยผานทาง Active Directory เรยบรอยแลว security policy ของตว Firewall จะควบคมการเขาออกขอมลของ Data Center โดยท user ไมจ าเปนตองท าการ login เพอยนยนตวตนในการใชงานอก
ดวย User-ID ท าใหสามารถก าหนด policy ทใชความสมพนธของ user และ group ( เชน ฝายบคคล,กองบรการ,กองคลง ฯลฯ )ใน Active Directory กบ application ทใชงานได (เชน oracle) โดยสามารถก าหนด policy ใหมการใชงานเฉพาะภายใน datacenter ส าหรบบาง application กบ user หรอ group บางกลมได
8
การตรวจสอบเนอหาของแพคเกต
traffic ทสงตอมาจาก App-ID จะผาน threat prevention engine ซง engine ตวนจะตรวจสอบ traffic ดวย policy ตางๆ ทก าหนดและบลอค threat ทสงผานจากภายในไปยง datacenter ผานทาง application อยางเชน Oracle DB, MS SQL ท าใหสามารถตรวจสอบ traffic ใหปลอดภยจาก virus, spyware หรอการโจมตใหรปแบบตางๆ ดวยการตรวจสอบแบบรอบเดยวผาน ( single pass software )
รปแบบของ signature
แทนทจะแยกใชชดของ engine ในการตรวจสอบ signature และ threat Firewall ใช threat engine และ รปแบบ signature ทสอดคลองกน ในการตรวจสอบและบลอคพวก malware ทงหลาย ท าใหลดความลาชาของการสงแพคเกตไดอกดวย
Stream-based threat scanning
virus, spyware และชองโหวตางๆ จะถกตรวจสอบแบบ stream-based scanning ดวยเทคนคน การตรวจสอบแพคเกตจะเรมตนทนททแพคเกตขอมลแรกมาถง เมอ firewall ไดรบแพคเกตมากท าจะตรวจสอบและสงไปยงปลายทางทนทโดยทไมจ าเปนตอง ใช buffer ในการรอรบขอมล
9
ดวยรปแบบ file-based scanning ของ Anti-virus นน จะเรมการตรวจสอบเมอไฟลไดรบจนครบแลวและเกบเปน buffer ไวใน memory ซงไฟลนนกจะอยใน memory จนกระทงตรวจสอบเสรจ หลงจากนนกลบออกไป จงเปนเหตใหเกดปญหาเรองประสทธภาพและเกดความลาชาของแพคเกตขอมล รวมทงอาจท าใหเกด time-out ของการเชอมตอได เนองจากจ าเปนตองใหโหลดไฟลในสมบรณแลวตรวจสอบใหเสรจสนกอน ในการตดตง Firewall กน datacenter นน ดวยความเรวและเทคนคการตรวจสอบแพคเกตแบบ stream-based ท าใหสามารถสงผานขอมลแพคเกตไดดวย throughput ระดบ multi-gbps โดยไมท าใหประสทธภาพของ Firewall ตกลงไป
การปองกนชองโหวของ network และ application
ดวยรปแบบ signature ทมความสอดคลองกบ threat ตางๆ ของ IPS feature ท าใหสามารถปองกนการโจมตผานทางชองโหวของ network และ application-layer และดวย IPS feature นยงปองกนการจากการโจมตแบบตางๆ เชน buffer overflows, DoS attacks and port scans, viruses และ spyware ดวยการตรวจสอบเพยงแครอบเดยว
File and data filtering
การก าหนด policy เพอตรวจสอบ traffic ขาออก เพอปองกนการสงออก file หรอ data ทไมไดรบอนญาต และใชประโยชนจากการวเคราะหในเชงลกของ App-ID และ Content-ID ซงชวยให admin นนสามารถก าหนด policy ของ data filtering ได เพอตรวจสอบวามการสงขอมลของ social security numbers, หมายเลข credit card หรอไม และยงก าหนด data patterns เองได หรอตรวจสอบประเภทของ file (ไมไดดเพยงแคนามสกลไฟล) ทสงออกไป โดยเราสามารถก าหนด action จาก data filtering ได เชน ใหบลอคการสงไฟล, ใหบนทกLogเหตการณนนไว หรอสง alert ซงเราสามารถก าหนดใหท าทงสามรปแบบเลยกได
10
Single Pass Software
single pass software ของ Firewall นน ถกออกแบบมาเพอรองรบสองฟงกชน ฟงกชนแรกคอการเปดแพคเกตเพยงครงเดยว เพอประมวณผลดาน network, policy, application identification และ decoding, และsignature matching ท าใหสามารถตรวจสอบ threat และ content ไดเลย การท าเชนนเปนการชวยลดเวลาในการประมวลผลจากหลายๆ function ใน 1 device
ฟงกชนทสองคอ การตรวจสอบ content ดวยรปแบบ stream-based และใชการตรวจสอบ signature เพอคนหาและบลอค threat แทนทจะใช engine ทแยกออกจากกนเปน signature(โดยปกตตองใชการ scan หลายรอบ) และ file proxies (ตองโหลดไฟลเสรจกอนการ scan) ดงนนดวยเทคโนโลย single pass software ท าใหการตรวจสอบ content เปนไปไดอยางรวดเรวไมเกดความลาชาในการรบสงขอมลแพคเกต
11
Parallel Processing Hardware
อกสวนหนงของสถาปตยกรรมกคอสวนของ hardware โดย Firewall นนใชการประมวลผลแบบขนานเพอเพมประสทธภาพของ single pass software ซงไดแก
Networking
ใชในการประมวลผลดาน network โดยเฉพาะ เชน routing, flow lookup, stats counting, NAT
Security
User-ID, App-ID และการตรวจสอบ policy จะถกประมวลผลดวย multi-core processing engine เพอเพมความเรวในการท างานเฉพาะดานไมวาจะเปน encryption, decryption, และ decompression
Threat prevention
Content-ID จะมหนวยประมวลผลของตวเองเพอจ าแนก malware ทงหลาย
Management
หนวยประมวลผลดานการจดการจะรบผดชอบเรอง การตงคาของ Firewall, การเกบ log, และการท า report ในขณะนหนวยประมวลผลดานนท างาน จะไมมผลกระทบใดๆ กบ hardware ทท างานดานประมวลผล traffic
สวนสดทายของสถาปตยกรรมกคอการแยกสวนของ physical เปนสองสวนคอ data plane และ control plane หากมการประมวลในดานใดดานหนงมาก มนจะไมกระท าการท างานของอกดานหนง เชน หาก admin ก าลงสงสราง report จ านวนมาก มนกจะไมกระทบความสามารถในการประมวลผลแพคเกต และดวยสถาปตยกรรม single pass parallel processing ท าใหการปองกนปญหาดาน network นน มความครอบคลมทกสวน ทง application และ user รวมถง threat ตางๆ ท าให PAN Firewall นนสามารถปกปอง datacenter ไดดวยการท างานอยางมประสทธภาพทด
Virtual System
12
เปนคณสมบตหนงของ firewall ซงท าใหเราสามารถก าหนดการจดการตวอปกรณ, การเชอมตอของอปกรณกบระบบเครอขาย และ policies ตางๆ ใหขนอยกบหนวยงานหรอฝายหรอคณะ( ผดแลรบผดชอบทเราจดสรรเพอดแลตวอปกรณน ) เปรยบเสมอนวา box หนงตวนน สามารถท างานไดดงเชนเราม box หลายๆตวยกตวอยางเชน
จากรปหากเรามองจะเหมอนกบวาม box 2 ตว แตโดยความจรงมแค ตวเดยว เปนเพราะวาเราไดแบง Virtual System ของ box นนออกเปน 2 Virtual System นนเอง
การทเราแบงออกเปนแตละ Virtual System นนท าใหเราสามารถแบงกลมของ interface ทงทเปน physical และทเปน logical ( รวมไปถง VLAN และ Virtual wire ) รวมทงยงแบง security zone ซงใชก าหนด policies ตามทเราตองการได จากรปขางตนสามารถบงบอกรายละเอยดไดดงน
Unit Virtual System
Interface Interface type
Security Zone
PAN-NIDA Vsys1 Eth1/1 Vwire OutAcc
Eth1/2 Vwire InAcc
Vsys2 Eth1/5 Layer3 OutDataCtr
Eth1/6 Layer3 InDataCtr Vwiew หรอ Virtual Wire คอรปแบบการดชอมตอทเปนแบบ transparent
โดยไมตองตงคาเพมเตมใดๆ ใหกบตว box
13
Layer3 คอ รปแบบการเชอมตอทเปนแบบ routing mode โดยตองก าหนด protocol ทใชในการหาเสนทาง โดยสามารถก าหนดเปน static, RIP หรอ OSPF ซงขอมลของ routing นนจะเกบแยกไวในสวนของ Virtual router เพอทจะก าหนดไปยงแตละ interfaces ตอไป
เมอเราก าหนด Virtual System ดงน เราอาจจะใหสวนของ vsys1 เปน admin ของฝาย account เปนผดแล และสวนของ vsys2 เปน admin ของ datacenter เปนผดแล โดย admin แตละฝายนนสามารถ access vsys อนทไมใชของตนเองและแกไขไดหรอแคดไดอยางเดยวเทานนกได
เราสามารถเพม account ของ admin ทจะเขามาจดการดแลแตละ Virtual System ได ท าใหสามารถแบงหนาทดแลตวอปกรณไดอยางสะดวก
Virtual System มประโยชนอยางไร
Interfaces, virtual routers, VLANs, virtual wires, และ security zones สามารถก าหนดไดโดยอสระ ไมขนตอกนในแตละ Virtual System
สามารถก าหนด Policies และ Objects ไดในแตละ Virtual System ซงในสวนของ objects นนสามารถทจะ share ระหวาง Virtual System ได
Remote logging destination ( SNMP,Syslog,and email ) , applications, services และ profiles ทสามารถ share กนระหวาง Virtual System ไดหรอก าหนดเฉพาะเจาะจงไปในแตละ Virtual System ได
14
ตวอยางหนาจอ Palo alto Firewall
Dashboard ส าหรบดขอมลโดยรวม
15
ขอมล Application ทอยบนเครอขาย
การ Monitor Log บน Firewall
16
การก าหนด policies บน Firewall
การก าหนด Objects ตางๆ เชน Address Group เปนตน
17
การก าหนดคาตางๆทางดาน Network เชน Routing ,vlan, ip interface เปนตน
การก าหนดคาตางๆบน device box เชนการ install licenses ,backup & restore configuration เปนตน
18
ตวอยางรายงานขอมลทไดจาก Firewall ในแตละวน
แสดงประเภทเวบไซตทมผใชงานมากทสดในแตละวน
แสดงการใชงาน Application ทมาทสดในแตละวน
19
แสดงขอมลปลายทางทผใชงานเวบไซดหรอแอพลเคชนสวนใหญอยในประเทศไทย
แนวโนมการใชงาน bandwidth อยทประมาณ 1089 GB
20
ขอมลการถกคกคามระบบมากทสดคอ 177 k ซง Firewall สามารถตรวจสอบได
21
2. Device Management
พนฐานของผดแลระบบตองเขาใจระบบเครอขายของสถาบนอยางงายตามรป Diagram ดานลาง
ทางโครงสรางพนฐานท าการแบง IP Address ทใชงานภายในสถาบนดงน
Network Type / Zone
อาคาร หนวยงาน IP Address Type
DMZ1 สยามฯ ITC 202.44.72.0 /24 Public
DMZ2 สยามฯ ITC 202.44.73.0 /24 Public
Library บญชนะฯ หองสมด(Server)
202.28.16.0 /24 Public
22
Inside อาคาร 6 สป. 202.21.149.0 /24 Public
Inside นราธปฯ - 10.10.21.0 /24 Private
Inside อาคาร 6 - 10.10.61.0 /24 Private
Inside สยามฯ ITC 10.10.31.0 /24 Private
Inside สยามฯ ITC/LAB 10.10.37.0 /24 Private
Inside สยามฯ - 10.10.34.0 /24 Private
Inside บญชนะฯ นตฯ 10.10.122.0/24 Private
Inside บญชนะฯ รศ. , บธ 10.10.121.0/24 Private
Inside บญชนะฯ หองสมด 10.10.123.0/24 Private
Inside บญชนะฯ หองสมด 10.10.124.0/24 Private
Inside WiFi 172.17.0.0/16
172.18.0.0/16
Private
การก าหนดคณสมบตทวไปบน Firewall
Device > Setup > Management
เมอ click ท Device จะแสดงรายละเอยดตางๆ คอ General Setting, Management Settings, Authentication Settings, Logging and Reporting Settings, Panorama Settings ตามรป
23
ทเราสนใจจะมสามสวนคอ
General Settings
24
Hostname ชอเครอง สงสด 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน
Domain ชอโดเมนเนม
Login Banner ขอความทใชแสดงในหนา Login page ซงอยใต Name และ Password
Time Zone เขตเวลาประเทศ เลอก Asia/Bangkok
Locale ภาษาทใชส าหรบแสดงผล
Date วนท
Time เวลา
Latitude
Longitude
Management Interface Settings
เปนการ set port ส าหรบใชจดการหรอท าการ configure Firewall
Speed รองรบการท างาน 10/100/1000
IP Address/Netmask/Default Gateway
รองรบการใชงาน IPv6 แลว
Services รองรบการท างาน แบบ Http, Https, Telnet, SSH, Ping, SNMP
25
Permitted IP Address เปนการอนญาต ให IP Address หรอ กลม IP Address ใดบาง บนเครอขายเขามา จดการ Firewall ไดบาง
Authentication Settings
Authentication Profile Profileผใชทเปน Admin เพอเขาถง Firewall
Client Certificate Profile ส าหรบ certificate เพอการเขาถง Firewall
Idle Timeout ชวงเวลาท login และไมไดท างานไดๆ ทงหนา Web หรอ CLI เซตได ไดตงแต 1-1440
Failed Attempts จ านวนครงท login ไมส าเรจ สามารถเซต ได 0-10 หาก มคาเปน 0 จะไมจ ากดจ านวนครง
Lockout Time ระยะเวลาในการ logout เซตไดตงแต 0 – 60 นาท คาโดยปกต จะเปน 0 คอไมจ ากดเวลา
26
Device > Setup > Operations
เปนหนาจอส าหรบ Back up, Restore configuration รวมถงการ Reboot ตวเครอง
Configuration Management
- Validate ตรวจสอบ ความถกตอง ของคา Configuration - Revert การยอนกลบ หากมการแกคา Configuration ผดพลาด ท าได 2
ลกษณะ คอ ยอนกลบไปใชคา Configuration บน Memory หรอ บน Flash
27
- Save คา configuration ลงบน Flash memory - Load ท าการ load คา configuration ทตองการ จาก Flash Memory มาใช
งาน - Export คอการท า Back up configuration ของ อปกรณมาเกบไว - Import คอการท า Restore configuration ของ อปกรณ
Device Operations
- Reboot Device คอค าสงส าหรบ reboot firewall - Restart Dataplane คอการ Restart เฉพาะสวนของ Function ตางๆ แตจะ
ไม Reboot ตว Firewall
การก าหนดคา Administrator Roles
Device > Admin Roles
28
การก าหนดคาตางๆ มดงน
- Name ชอ Roles สงสด 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน
- Description ค าอธบายเกยวกบ Roles - Roles เปนการเลอกเพอ ก าหนด Role ส าหรบตวเครอง หรอ Role ส าหรบ
Virtual System - WebUI เปนการก าหนดเพอเขาถง Function การท างานตางๆบน Firewall
สามารถเลอกได 3 แบบคอ
Enable
Read Only
Disable - CLI Role ประกอบดวย 5 วธในการเขาถงอปกรณ
None ไมอนญาตใหเขาถงอปกรณผาน CLI
29
Superuser อนญาตใหเขาถงอปกรณผาน CLI รวมทงสามารถ แกไขคาตางๆได
Superreader อนญาตใหเขาถงอปกรณผาน CLI แตไมสามารถแกไขคาตางๆได
Deviceadmin อนญาตใหเขาถงอปกรณผาน CLI และสามารถ แกไขคาตางๆได รวมถง ก าหนด Accounts บนอปกรณ หรอ สราง Virtual System ได
Devicereader อนญาตใหเขาถงอปกรณผาน CLI แตไมสามารถแกไขคาตางๆได
การสราง Administrative Accounts
Device > Administrators
เมอเขามาในสวนของ Administrator แลว ให click add เพอสราง account
30
- Name ชอ สงสด 15 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย – และ เครองหมาย _ เทานน
- Authentication Profile สามารถเชอมตอการ Authentication ผานทาง RADIUS, LDAP, Kerberos, หรอ Local DB
- User only client certificate authentication (web) หากเลอก Function นจะไมตองใช user/password ส าหรบ login แตจะใช certificate ในการเขาถงแทน
- New Password/Confirm New Password ก าหนด password สงสดไมเกน 15 ตวอกขระ
- User Public Key Authentication (SSH) หากเลอก Function นตองท าการ Import key เพอ upload key ไปยงอปกรณ และ จะรองรบรปแบบ key ดงน IETF SECSH และ OpenSSH และ Algorithms DSA(1024 bits) RSA (768-4096 bits)
31
- แบบ Dynamic จะสามารถเลอก Role จาก Drop-down list ไดอก 6 แบบ คอ
Superuser สามารถแสดงผล และ แกไข Configuration ตางๆได
Superuser(read only) แสดงผลอยางเดยว ไมสามารถแกไขได
Device admin สามารถแสดงผล และ แกไข Configuration ตางๆได รวมถง ยงสามารถสราง Account หรอ virtual system ได
Device admin (read only) แสดงผลอยางเดยว ไมสามารถแกไขได
Virtual system administrator สามารถเขาถง Virtual System แบบ Full Access
Virtual system administrator(read only) สามารถเขาถง Virtual System แบบ Read only
- แบบ Role Based จะสามารถเลอกจาก Profile ทเราสรางจาก Admin Role - Virtual system คอ virtual system ทตองการให admin เขาถง โดยการ
Click Add และ เลอก Virtual system ทตองการ
32
3. การ Configuration ดาน Network
การตดตง Firewall ของสถาบน ฯ ซงถกตดตงอยระหวาง Router กบ Internal Network (เนตเวอรกภายในองคกร) รปแบบการตดตงทสามารถท าไดม 4 รปแบบดงน
1. การตดตงแบบ Virtual Wire คอ การวางตว firewall ระหวาง Internal network กบ Router ในลกษณะวางขวาง และไมจ าเปนตองก าหนด IP Address หรอ Routing ไดๆใหกบ Firewall (ยกเวน Management IP เทานน) ตามรปดานลาง
2. การตดตงแบบ Layer 2 คอ การวางตว firewall ระหวาง Internal network
กบ Router ในลกษณะวางขวาง และ แตละกลม Interface ตองก าหนด VLAN ตามรปดานลาง
3. การตดตงแบบ Layer 3 (สถาบนฯ ตดตงวธน) คอ การวางตว firewall
ระหวาง Internal network กบ Router ในลกษณะวางขวาง และ มการก าหนด WAN IP และ Static Route รวมถงการท า NAT ดวย ตามรปดานลาง
33
4. การตดตงแบบ Tap Mode คอ การตดตงในลกษณะทใช Monitor traffic อยางเดยว โดยการท า mirror port บน switch วธนไมสามารถ จดการกบ traffic ตางๆ เชน block traffic ได
การแสดงสถานะ ของ Network Interfaces
Network > Interfaces
ใน Interfaces Tab จะแสดงสถานะการท างานของ Interfaces port บน Firewall ดงนคอ สเขยว:ท างานปกต สแดง:Link Down และ สเทา:ไมไดใชงาน
การแบง ZONE ใน Firewall
Network > Zones
เปนการแยก กลมเครอขายออกเปนกลมๆ เพอใหงายตอการจดการตามนโยบาย
34
กลมเครอขายของสถาบนฯจะแบงเปน 5 กลม คอ
DMZ1 คอ กลมเครองแมขายหลกของสถาบนฯ
DMZ2 คอ กลมเครองแมขายหลกของสถาบนฯ หรอ เครองแมขายของหนวยงานตางๆภายใน สถาบนฯ
Inside คอ กลมเครองของผใชงานทอยภายในสถาบนฯ
Library คอ กลมเครองแมขายของหองสมด
Outside คอ กลมของอปกรณเครอขายทเชอมตอ Internet เพอออกสภายนอก เชน Router เปนตน
Routing Protocols และ Virtual Routers
Network > Virtual Routers
Firewall สนบสนนการท า Routing ในแบบตางๆได เชน RIP, OSPF, และ BGP เปนตน แตในการใชงานภายในสถาบนฯ จะท าเพยงแค static route เทานน
35
ตวอยาง การก าหนดคา Static Routes
จากรป การท า static route คอ
Name ชอทก าหนด ไมเกน 31 ตวอกขระ ใสไดเฉพาะ ตวอกษร, ตวเลข, เครองหมาย –, เวนวรรค และ เครองหมาย _ เทานน
Destination คอ IP Address และ network mask ของกลมเครอขาย ทตองการท า Routing
Interface คอ Interface ทตองการ forward packet ไปยง Next hop อนๆตอไป
36
Next Hop ประกอบดวย None คอ ไมม next hop ถดไป IP Address ก าหนด IP Address ของ Next hop ถดไป Discard คอการ Drop packet ทจะ forward ไปยง Next Hop ถดไป Next VR คอ Firewall ยอมให route ถงกนระหวาง virtual routers
รปการท า Static Route
Admin Distance คอการก าหนดคา administrative distance ส าหรบ static route (คาจะอยระหวาง 10-240 โดยปกตจะก าหนดไว 10)
Metric เปนการก าหนดคาเสนทางของการท า static route (คาจะอยระหวาง 1-65535)
No Install ไมตองการก าหนดคาลงในตาราง route เพยงแตตองการเกบไวอางองในอนาคต
37
4. Policies and Security Profiles
Policies คอ นโยบายควบคมการท างานของ Firewall ในสวนซงเกยวกบ traffic ทวง เขา – ออก จาก Firewall โดยอตโนมต
Note ในคมอนจะกลาวถงเฉพาะ Basic security policies ไมรวมไปถง NAT Policies และ QOS
ขนตอน การก าหนด Policies
เมอเขามาท Policies Tab จะเหนรายละเอยดเกยวกบ Policies ทงหมด เลอนหนาจอลงมาดานลาง และ clickท Add แลว ท าขนตอนดงน
38
1. General tab
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน - Description ค าอธบายเกยวกบการก าหนด Policies (option) - Tag การก าหนด tag ไวเพอคนหา (option)
2. Source tab
39
- Source Zone Click Add เพอเลอก zone ทก าหนดไวในสวนของ Network (default คอ any) - Source Address คอ address ตนทาง สามารถก าหนดเปน IP เดยว หรอ กลม IP หรอ เปนกลม Network ได
3. User tab
- Source User สามารถก าหนดเปนราย user หรอ กลม user ได (option) - HIP Profiles คอ Host Information Profiles (option)
4. Destination tab
40
- Destination Zone Click Add เพอเลอก zone ทก าหนดไวในสวนของ Network (default คอ any) - Destination Address คอ address ปลายทาง สามารถก าหนดเปน IP เดยว หรอ กลม IP หรอ เปนกลม Network ได (default คอ any)
5. Application tab
- Application สามารถก าหนดเปนรายชอ ของ Application ทมอยในฐานขอมลของ Firewall ได
6. Service / URL Category
41
- Service คอการก าหนด port บน TCP หรอ UDP สามารถก าหนดทละ port หรอ เปนกลม port ได - URL Category คอการก าหนด policies ใหกบ web ซงจะเลอกจากฐานขอมลทอยบน Firewall
7. Action tab
- Action Setting เลอกวาจะก าหนดเปน deny หรอ allow ส าหรบการใช policies - Profile Setting คอการก าหนดการตวรจสอบตาม profile ทก าหนด เชน antivirus, anti-spyware, vulnerability protection เปนตน - Log Setting >Log at Session Start คอ log ตอนเรมตนเชอมตอ คาปกตจะถก ปดอย >Log at Session End คอ log ทสนสดการเชอมตอ คาปกตจะถก เปดอย >Log Forwarding คอการสง log ไปยงเครองแมขายอน เชน syslog server - Other Settings >Schedule ก าหนดการตงเวลาท างานของ policies
42
>QoS Marking การก าหนดคา Qos
Security Profiles
ในการก าหนดนโยบายเพอรกษาความปลอดภยเครอขายสามารถก าหนดไดมากกวาหนงรปแบบ ซงการปองกนและการควบคม มประเภทและรายละเอยดดงตอไปน
Antivirus profiles คอการปองกน virus และ worm หรอ block spyware
Anti-spyware profiles คอการปองกน spyware ทจะเขาถงเครอขาย
Vulnerability protection profiles คอการปองกนความพยายามเพอเขาถงชองโหวตางๆ
File blocking profiles คอ การปองกนประเภทของ File ทตองการ
Data filtering profiles คอ การปองกนขอมลทส าคญ เชน รหสบตรเครดต เปนตน
Denial of service (DoS) profiles คอการปองกน DoS attacks
43
ตวอยางหนาจอของ security profiles ซงอยใน Objects tab
Antivirus Profiles
Objects > Security Profiles > Antivirus
44
ใน Profiles พนฐานของ Antivirus จะก าหนด protocol เพอการตรวจสอบดงน ftp, http, imap, pop3, smb, และ smtp ซง Action ของ protocol เหลานคอ
ftp : default(block)
http : default(block)
imap : default(alert)
pop3 : default(alert)
smb : default(block)
smtp : default(alert)
รป Antivirus Profile
45
การก าหนดคา Antivirus Profiles (ตามรป Antivirus Profile)
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option)
Antivirus Tab
- Packet Capture ถาเลอก จะเปนการดกจบ packet เพอน าไปวเคราะหขอมล
- Decoders and Actions คอการตรวจสอบ packet คนหา virus - Application Exception and Actions คอการก าหนด Application ทยกเวน
การตรวจสอบ virus ตวอยางเชน การ block บรการ http ทงหมด แตยงสามารถยกเวน http ทตองการใชไดส าหรบบาง Application ได
การก าหนดคา Antivirus Profiles (ตามรป virus Exception Tab)
รป virus Exception tab
46
- Threat ID คอ การใหระบบเพกเฉยตอภยคกคามทเฉพาะเจาะจง และ ยงสามารถเพมไดตามตองการ โดยการใส ID แลว Click Add เพอเพมขอมล
Anti-Spyware Profiles
Objects > Security Profiles > Anti-Spyware
การปรบแตง Anti-Spyware Profile เพอ ลดการตรวจสอบ traffic ทเชอถอได เชน trust zone และ เขมงวดส าหรบ traffic ทไมนาเชอถอ เชน internet zone ได
การก าหนดคา Anti-Spyware Profiles Rules tab
47
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Rules คอการก าหนด ชอ rule ทมอยในระบบแลว โดยการเลอกแตละชอท
ตองการ - Severity คอการเลอกระดบความรนแรง ม 5 ระดบ โดยเรยงล าดบจาก
รนแรงมาก ไป รนแรงนอย ดงน critical, high, medium, low, และ informational
- Action เลอก การจดการในแตละ ภยคกคาม คอ Default, Alert, Allow, หรอ Drop
- Packet Capture คอ การดกจบ packet เพอน าไปวเคราะหขอมล
การก าหนดคา Anti-Spyware Profiles Exceptions tab
48
- Exceptions ถาเลอก Enable คอการเปดใชงานแตละภยคกคามทตองการ หรอ สามารถเลอกทงหมดขนอยกบความตองการ จากรป รายการยงวางอยแสดงวายงไมมการเลอกใชภยคกคาม
Vulnerability Protection Profiles
Objects > Security Profiles > Vulnerability Protection
เปนการก าหนดนโยบายเพอปองกนชองโหว ตางๆทมในเครองแมขายและเครองลกขาย
การก าหนดคา Vulnerability Protection Profile Rules tab
49
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” “.” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Rules คอการก าหนดชอ rule - Threat Name คอการระบขอความใหตรงกบ signature ทอยใน Firewall - Action คอ การจดการ traffic ทเกดจากชองโหว เมอตรวจพบ (Alert, Allow,
Default หรอ Block) - Host Type คอ ชนดของ เครองเปน Client หรอ server - Packet คอ การดกจบ packet เพอน าไปวเคราะหขอมล - Category คอ กลมของชองโหวตางๆทตองการควบคม - CVE List คอ การระบชองโหวทพบบอยทตองการควบคม - Vendor ID คอ การระบ รหสผผลตลงไปเพอการควบคมชองโหวของผลตภณฑ
นนๆ - Severity คอการเลอกระดบความรนแรง ม 5 ระดบ โดยเรยงล าดบจาก
รนแรงมาก ไป รนแรงนอย ดงน critical, high, medium, low, และ informational
การก าหนดคา Vulnerability Protection Profile Exception tab
50
- Exceptions ถาเลอก Enable คอการเปดใชงานแตละประเภทของชองโหวทตองการ หรอ สามารถเลอกทงหมดขนอยกบความตองการ จากรป รายการยงวางอยแสดงวายงไมมการเลอกใชประเภทของชองโหว
URL Filtering Profiles
Objects > Security Profiles > URL Filtering
เปนคณสมบตในการกรอง URL และปองกนการเขาถงเวบไซดโดยเฉพาะ โดยสามารถทจะอนญาต หรอ ไมอนญาตเพอเขาถงเวบไซดตางๆได
การก าหนดคา URL Filtering Profiles
51
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Action on License Expiration การเลอก Action เพอการกรอง URL ม 2
Action
Block คอ การหามการเขาถงเวบไซดทถกก าหนดไวในรายการ
Allow คอ การอนญาตการเขาถงเวบไซดทถกก าหนดไวในรายการ - Dynamic URL Filtering หากเลอกเปด option นการกรอง URL โดยกรอง
ตามฐานขอมลบน Firewall โดยเลอกจาก ขอมลทมความนยมมากทสด - Log Container Page Only คอการเกบ log URL ทตรงกบในรายการท
ก าหนด - Block List คอ การใส IP Address หรอ URL path name ของเวบไซด ท
ตองการหามการเขาถง เชน
www.ebay.com
198.133.219.25/en/US - Action คอ การเลอก Action เมอเวบไซดถกหามเขาถง สามารถเลอกได 4
แบบคอ
alert อนญาตใหผใชเขาถงเวบไซด แตจะบนทก log ลง URL log
block ไมอนญาตการเขาถงเวบไซด
continue อนญาตใหผใช เขาถงโดยคลก Continue บนหนา block เพอด าเนนการตอ
override อนญาตใหผใช เขาถงโดยใส Password เพอด าเนนการตอ - Allow List คอ การอนญาตใหเขาถง IP Address หรอ URL path name
ของเวบไซด ตวอยางการใสขอมลเหมอน Block list - Category / Action ส าหรบในแตละประเภทของเวบไซดสามารถก าหนดการ
เขาถงไดดงน
Alert อนญาตใหผใชเขาถงเวบไซดแตจะบนทกการเขาถงลง URL log
52
Allow อนญาตใหผใชเขาถงเวบไซด
Block ไมอนญาตใหผใชเขาถงเวบไซด
Continue อนญาตใหผใชเขาถงเวบไซด โดยการคลก Continue บนหนา block เพอด าเนนการตอ
Override อนญาตใหผใช เขาถงโดยใส Password เพอด าเนนการตอ - Check URL Category คอการเขาเวบไซด
http://www.brightcloud.com/support/lookup.php?dfa51120 เพอน าขอมล URL ไปตรวจสอบขอมล ของประเภทเวบไซด
File Blocking Profiles
Object > Security Profiles > File Blocking
เราสามารถก าหนดนโยบายเกยวกบการ upload หรอ download file ชนดตางๆตามความตองการได
53
การก าหนดคา File Blocking Profiles
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Rules เราสามารถก าหนดเงอนไขไดมากวา 1 เงอนไขโดยคลก Add
Name ก าหนดชอ rule
Applications เลอก application ทตองการหรอ เลอก any
File Types ชนดของ File ทจะ block หรอ การแจงเตอน
Action เลอก action ทจะกระท าเมอตรวจพบชนดของ file - alert แจงเตอนลง threat log - block ปดกน file
54
- continue สงขอความแจงเตอนไปยงผใช เพอด าเนนการ หรอ หยด เมอตรวจพบชนด File ทก าหนด - forward สง file โดยอตโนมตไปยง WildFire - continue-and-forward สงขอความแจงเตอนไปยงผใช เพอด าเนนการ หรอ หยด เมอตรวจพบชนด File ทก าหนด และ สง file โดยอตโนมตไปยง WildFire
ชนดของ File ทสนบสนน File Blocking
55
56
Data Filtering Profiles
Objects > Security Profiles > Data Filtering
การปองกนขอมลทส าคญ เชน รหสบตรเครดต หรอ ขอมลตางๆทส าคญ
การก าหนดคา Data Filtering Profiles
57
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Data Capture เมอเลอกระบบจะเกบขอมลทถก block โดยอตโนมต - Data Pattern สามารถเลอกจากรายการ หรอ สราง pattern ใหมได
ตวอยางการสราง Data Patterns ขนใหม (รายละเอยดตามรปดานลาง)
รปการสราง data pattern
- Name ก าหนดชอใหกบ data pattern - Description ค าอธบายเกยวกบ data pattern - Shared แชร data pattern ระหวาง virtual system - Weight คอการก าหนดคาเกณฑส าหรบการค านวน
CC# คาเกณฑ credit card มชวงระหวาง 0-255
58
SSN# คาเกณฑ social security number แบบม “-”เชน 123-45-6789 มชวงระหวาง 0-255 SSN#(without dash) คาเกณฑ social security number แบบไมม “-”เชน 123456789 มชวงระหวาง 0-255
- Applications เลอก application ทตองการกรอง
Any เปนการเลอก application ทงหมดทมอยในรายการ
คลก Add เพอก าหนดเปนราย Application - File Types เลอกชนดของ file ทตองการกรอง
Any เปนการเลอกชนดของ file ทกประเภท
คลก Add เพอก าหนดเปนรายประเภท - Direction คอ การระบทศทางการกรอง download หรอ upload หรอ ทง
สอง - Alert Threshold การระบคาเพอการแจงเตอน ถาก าหนดคา threshold =
100 และ SSN = 5 การเตอนจะแจงเมอมการตรวจพบอยางนอยเทากบ 20 (20 x 5 = 100)
- Block Threshold การระบคาการ Block data ถาก าหนดคา threshold = 100 และ SSN = 5 การ Block จะ Block เมอมการตรวจพบอยางนอยเทากบ 20 (20 x 5 = 100)
DoS Profiles
Objects > Security Profiles > DoS Protection
เปนการปองกนการโจมตในรปแบบ Denial of service (DOS)
59
การก าหนดคา DoS Profiles
- Name ก าหนดชอใหกบ policies ใสไดสงสด 31 ตวอกขระ ประกอบดวย ตวอกษร ตวเลข ชองวาง เครองหมาย “-” และ เครองหมาย “_” เทานน
- Description คอ ค าอธบาย Profile (option) - Shared ถามหลายๆ virtual system และเลอกการท างานน จะถก share ไป
ในทกๆ system - Type จะตองระบเปนประเภทใดประเภทหนงดงน
Aggregate คอการก าหนดคา packet เชน ก าหนด 1000 pack ตอ วนาท (pps) ใหหมายถงการโจมตแบบ DoS เปนตน
60
Classified คอการก าหนดคา packet ทมาจาก IP ทโจมตแบบ DoS เชน IP ตนทาง หรอ IP ปลายทาง หรอทงตนทาง ปลายทาง
Flood Protection Tab
ประกอบไปดวย SYN flood, UDP flood, ICMP flood, และ Other IP flood
Choice มเฉพาะใน SYN Flood Tab อยางเดยว ม 2 หวขอใหเลอก ดงน
- Random early drop Drop packet แบบสมกอนทจะจ ากด การ DoS - SYN cookies คอการสราง acknowledge โดยไมจ าเปนตองตดการเชอม
ตอเมอถกโจมตแบบSYN Flood
61
- Alarm Rate ก าหนดคา pps (packet per second) มคาระหวาง 0-2000000 คาปกตคอ 10000 pps
- Activate Rate ก าหนดคา pps (packet per second) มคาระหวาง 0-2000000 คาปกตคอ 10000 pps
- Maximal Rate ก าหนดคาสงสด ทจะ Drop หรอ Block packet - Block Duration ชวงเวลา(วนาท)ทปฏเสธ packet จากการโจมต
Resources Protection Tab
- Sessions คอการปองกนทรพยากร (ตว Firewall) จากการโจมต - Max Concurrent Limit คอการก าหนดคาสงสดของ Concurrent session
คาปกตคอ 32768
62
5. Reports and Logs
การใชงาน Dashboard
> Dashboard
หนา Dashboard จะแสดงขอมลของอปกรณทวๆไป เชน รนของซอฟตแวร สถานะ interface การใชงานทรพยากร 10 รายงานลาสดการคกคาม เราสามารถตงคาหนา Dashboard ของแตละ user ไดตามความจ าเปนหรอ ตามความตองการ ชวงเวลาการ refresh หนาจอโดยอตโนมตสามารถเลอกจาก drop-down list 1นาท, 2นาท, 5นาท, หรอ แบบ manual รวมถงเพม หรอ ลบแผนภมตางๆ ไดตามตองการ
63
ตวอยาง การตงคา Refresh page
ตวอยางการ ตงคา Layout ของ Dash board
ตวอยางการเลอกแผนภมตางๆเพอแสดงใน Dashboard
64
รายละเอยดของแผนภมตางทแสดงใน Dashboard
- Top Application แสดงการใชงานทม sessions มากทสด ขนาดของบลอกบงชจ านวน sessions (เมอน าเมาสจะแสดงจ านวน sessions) สบงชถงความเสยง สเขยว (ต าสสด) สแดง (สงสด)
- Top High Risk Applications จะคลายกบการใชงาน Top Application แตจะแสดงแค การใชงาน Application สงสด กบ sessions มากทสด เทานน
- General Information แสดงชออปกรณ, รนซอฟตแวร, threat และ รน URL Filtering และระยะเวลาตงแต restart ระบบครงลาสด ถง ปจจบน (uptime)
- Interface Status แสดงสถานะ Interface สเขยว สถานะปกต สเทายงไมไดใชงาน สแดง สถานะผกปกต หรอ link down
- Threat Logs แสดง log ของภยคกคามตางๆ application วนเวลา และ สถานะทแสดงถงความรนแรง จะแสดงแค 10 ราการลาสด
- Config Logs แสดงชอ ผดแลระบบ (ทง web และ CLI) วนทและเวลา ทเขามา Config หรอ แกไข Config
- Data Filtering Log แสดงรายระเอยด วนท และ เวลา เมอ 60 นาททผานมามขอมลไดบางเขาสการกรอง
- URL Filtering Logs แสดงรายระเอยด วนท และ เวลา เมอ 60 นาททผานมาม URL ไดบางเขาสการกรอง
- System Logs แสดงรายละเอยดเกยวกบระบบ วนทและเวลา 10 รายการลาสด
- Resources Information แสดงสถานะ CPU ปจจบน หนวยความจ า การใชงาน disk และ จ านวน sessions ทงหมดทผาน Firewall
- Logged In Admins แสดง IP ตนทาง ชนดของ session (Web หรอ CLI) และเวลาเรมตน (start time) ทผดแลระบบเขาสระบบ
- ACC Risk Factor แสดงปจจยความเสยง (1ถง5) ส าหรบการประมวลผล traffic บนเครอขายในสปดาหทผานมาถาคาสงแสดงวามความเสยงสง
- High Availability แสดงสถานะการท า HA ของอปกรณ
65
การใชงาน Application Command Center (ACC)
> ACC
ACC แสดงระดบความเสยงโดยรวมส าหรบเครอขาย และ จ านวนของภยคกคามทตรวจพบมากทสดและมความเสยงสงทสด รวมทง จ านวนการใชงาน Application จากทระดบความเสยงสามารถ ดไดตงแตชวโมงทผานมา วน สปดาห เดอน หรอ ตามกรอบเวลาทก าหนด ระดบความเสยง 1 = ต าสด 5 = สงสด
ภายใต ACC Tab เราสามารถปรบการแสดงผลบนหนาจอไดดงตอไปน
1. การปรบแตงการแสดงผลหนาจอ ACC
- เลอก virtual system ทตองการก าหนด
66
- เลอกชวงเวลา จาก Time Frame คาปกตคอ Last Hour - เลอกการเรยงล าดบ Sort By เลอกได 3 รปแบบ คอ sessions,
bytes หรอ threats คาปกตคอ sessions - Top เลอกล าดบทสงทสด คาปกตคอ 25
2. การดขอมล Log ทเกยวของกบขอมลบนหนา ACC นนโดยการคลก Icon ตามรปดานลาง
3. คลกทเครองหมาย “+” เพอก าหนดคาทตองการแสดงผลตวอยางตามรป
ดานลาง
4. เลอกมมมองรายการจาก drop-down list ส าหรบขอมลทตองการ
การใชงาน App-Scope
> Monitor > App Scope
เปนเครองมอในการแสดงผล และ วเคราะหเพอชวยใหสามารถระบพฤตกรรมทมปญหาไดอยางรวดเรว
67
Summary Report
แสดงแผนภม 5 ล าดบสงสดไดแก gainers, losers, Bandwidth Consuming Source, Bandwidth Consuming Apps, Bandwidth Consuming App categories และ Threats
68
Change Monitor Report
แสดงการเปลยนแปลงในชวงเวลาทก าหนด ตวอยาง จากรปดานลาง แสดงการใช Application ใน 1 ชวโมงผานไปเทยบกบ ระยะเวลา 24 ชวโมงทผานมา ดจากจ านวน sessions ทจดเรยงเปนรอยละ
69
ตวเลอก ส าหรบ Change Monitor Report
ก าหนดจ านวนของ record สงสดบนแผนภม
ก าหนดประเภทของรายการทมในรายงาน เชน Application, Application Category, Source หรอ Destination
แสดงผลการวดของรายการทเพมขน กบชวงเวลาทวด
แสดงผลการวดของรายการทลดลง กบชวงเวลาทวด
แสดงผลการวดของรายการทถกเพมเขาไปใหม กบชวงเวลาทวด
แสดงผลการวดของรายการทถกยกเลก กบชวงเวลาทวด
การใชตวกรองเพอแสดงเฉพาะรายการทเลอก ไมแสดงทงหมด
ก าหนดใหแสดงขอมลเปน session หรอ byte
ก าหนดการเรยงรายการเปนเปอรเซน หรอ ตามคาจรง
คอระบระยะเวลาการเปรยบเทยบส าหรบการเปลยนแปลง
Threat Monitor Report
การแสดงจ านวนของภยคกคามสงสด ในชวงเวลาทเลอก ตวอยางจากรปดานลาง แสดงใหเหน 10 อนดบภยคกคามสงสดใน 6 ชวโมงทผานมา
70
ภยคกคามแตละประเภทจะมรหสสระบไวในแผนภมดานลาง
ฟงกชนการท างานตางของ threat monitor
ก าหนดจ านวนของภยคกคามสงสดทจะแสดงในแผนภม
ก าหนดประเภทของรายการตาม หมวดหม แหลงทมา หรอ ปลายทาง
การใชตวกรองเฉพาะประเภททตองการ
การก าหนดรปแบบของแผนภม
71
ระบระยะเวลาทตองการ
Threat Map Report
รายงานภยคกคามมมมองทางภมศาสตร รวมทงแสดงความรนแรงของภยคกคาม
ภยคกคามแตละประเภทจะแยกตามรหสสและสามารถคลกเลอกบนแผนทได รวมทง Zoom in และ Zoom out ได
ฟงกชนการท างานของ Threat Map
ก าหนดจ านวนของภยคกคามสงสดทจะแสดงในแผนภม
แสดงภยคกคามทเขามา
แสดงภยคกคามทออกไป
การใชตวกรองเฉพาะประเภททตองการ
ระบระยะเวลาทตองการ
72
Network Monitor Report
รายงานการตรวจสอบเครอขาย แสดงการใชงาน bandwidth ในชวงเวลาทแตกตางกนและจะมสก ากบอยในแผนภมดานลาง ตวอยางตามรปดานลาง จะเหนวาแตละ application ใช bandwidth ไปเทาไรบางใน 6 ชวโมงทผานมา
ฟงกชนการท างานของ Network Monitor
ก าหนดจ านวนสงสดทตองการแสดงในแผนภม
ก าหนดประเภทของรายงาน เชนการใช Application ประเภทแหลงทมา หรอ ปลายทาง
73
การใชตวกรองเพอแสดงเฉพาะรายการทเลอก
ก าหนดวาจะแสดงขอมลแบบ session หรอ byte
การก าหนดรปแบบของแผนภม
ระบระยะเวลาทตองการ
Traffic Map Report
รายงาน traffic ในมมมองทางภมศาสตร ตามชวงเวลาทก าหนด ในแตละ traffic จะมรหสสระบในแผนภม ตามรปดานลาง
ฟงกชนการท างานของ Traffic Map
ก าหนดจ านวนสงสดทตองการแสดงในแผนภม
แสดง traffic ทเขามา
แสดง traffic ทออกไป
ก าหนดวาจะแสดงขอมลแบบ session หรอ byte
74
ระบระยะเวลาทตองการ
การแสดง Log
Monitor > Logs
ไฟรวอลลจะบนทก log ของกจกรรมตางๆ คอ traffic, threats, URL, Data, และ ขอมลเกยวกบ Host เราสามารถ ด Log ปจจบนไดตลอดเวลา หรอ คนหาเฉพาะ ทสนใจ โดยการใชตวกรองทมอยได
การเขาถง Log แบงเปนประเภทดงน
- Traffic แสดงรายการส าหรบ ตนทาง ปลายทาง วนท เวลา พอรต application rule action (Allow, deny, หรอ drop) ของ session
- Threat แสดงรายการส าหรบเตอนทสรางขนบนไฟรวอลล มวนท เวลา ชอภยคกคาม แหลงทมา ปลายทาง application พอรต และ ระดบความรนแรง
- URL Filtering แสดง log ทมการเขาถงเวบไซต ประเภทเวบไซต - Data Filtering แสดง log เกยวกบการใช นโยบาย ปกปองขอมลทส าคญ - Configuration แสดง log ส าหรบการเปลยนแปลงการตงคาตางๆบนไฟร
วอลล เชน ชอผดแล IP วนทและเวลา จะบนทกทงการเขาถงผานหนา Web และ CLI
- System แสดงรายการส าหรบเหตการณ โดยมรายระเอยด วนท เวลา เหตการณ และ ค าอธบายเหตการณ
75
การจดการรายงาน
Monitor > PDF Report
การสรางรายงานสรป แบบ PDF โดยการคลก Manage PDF Summary และคลก Add จะแสดงดงรปดานลาง
เราสามารถสรางรายงานแบบ PDF แบบตางๆ ไดจากหนา PDF Summary Report โดยการเลอกจาก ตวเลอกทมอย ในหนงรายงานสามารถเลอกไดสงสด 18 องคประกอบ
การจดการรายงานกจกรรมของผใช
Monitor > PDF Report > User Activity
ใชเพจนเพอสรางรายงานสรปกจกรรมของผใชแตละราย โดยคลก Add
76
- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”
- User ใสชอผใชหรอ IP ของผใชทจะแสดงในรายงาน - Time Period เลอกกรอบเวลาส าหรบรายงาน
การจดการกลมของรายงาน
Monitor > PDF Reports > Report Groups
ระบบยอมใหสรางกลมของรายงานเพอรวมเปน PDF Report ในหนงรายงาน
77
- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”
- Title Page จะรวมชอเพจในรายงาน - Title การก าหนดชอทปรากฎในรายงาน - Report selection เลอกรายงานจากคอลมนดานซาย และ คลก Add แตละ
กลมรายงานจะไปอยทางดานขวา
การสรางรายงานตามความตองการ
Monitor > Manage > Custom Reports
เราสามารถสรางรายงานแบบทก าหนดเอง หรอ ตามตองการไดดงน โดยการคลก Add
- Name ปอนชอ (สงสด 31 ตวอกขระ) ประกอบดวย ตวอกษร ตวเลข เวนวรรค เครองหมาย “-” และ เครองหมาย “_”
- Database เลอกฐานขอมลเพอใชเปนขอมลในรายงาน - Time Frame เลอกกรอบเวลา หรอ ก าหนดชวงเวลาเอง - Sort By การเรยงล าดบในรายงาน
78
- Group By การจดกลมในรายงาน - Scheduled หากเลอก check box น รายงานจะสรางขนโดยอตโนมตในทก
ๆ วน - Available Columns คอการเลอก คอลมนทจะแสดงในรายงาน - Query Builder การสรางแบบสอบถามมรายละเอยดดงน
Connector เลอกการเชอมเปน and หรอ or
Attribute เลอกองคประกอบของขอมลซงจะเปลยนไปตามฐานขอมล
Operator เกณฑทก าหนดเพอตรวจสอบคาเชน เครองหมาย “=” ขนอยกบ ฐานขอมล
Value ระบคาให attribute
Negate จะตความเปนปฏเสธ
แหลงขอมล
1. Administrator Guide version 4.10
2. https://support.paloaltonetworks.com