Efter brandväggsbytet i maj har vi efter den initiala rushen att fixa reglerna för att allt ska bli åtkomligt har vi så smått gått över i nästa fas: konsolidering av regler.
Eftersom Palo Alto Networks brandväggar är applikationsbrandväggar tar det ett tag innan man kommer in i tänket jämfört med en traditionell brandvägg med SPI.
I vår gamla brandvägg hade vi närmare 150 regler och, upptäckte vi, en del dubbletter eftersom brandväggen "ärvts" av olika nätverkstekniker genom åren.
I nya brandväggen är vi nere i 66 regler och jag har gott hopp om att minska dem med ungefär 10 stycken innan jag konsoliderat klart. Främst är det de gamla reglerna med port-för-port för webbtrafik till olika servrar som när man väl gjort NAT-regler kan slå ihop till en regel, snyggt och fint.
Jag funderar på följande:
En regel för servrar som bara kör http. En regel för servrar som bara kör https. Och slutligen en regel för servrar som kör både http och https (det är denna regeln jag börjat med).
Ju färre regler desto överskådligare - och bieffekten är förstås att brandväggen får jobba mindre.
Jag vill understryka att det Palo Alto Networks gör med sin brandvägg inte är något magiskt eller något som bara just dem kan göra men efter att ha provkört alternativen är det en sak de absolut är bäst på: användargränssnitt.
Ofta behöver man inte produkten som gör en sak BÄST, Palo Alto Networks gör många saker bra nog och förpackar det i det bästa gränssnittet jag sett på en brandvägg någonsin. Det är deras styrka.
Vi hade tänkt köra den nya brandväggen och Websense samtidigt för URL-filtrering under ett par månader för att se om de gav olika resultat men Websense, sin vana trogen, kraschade och efter ett par dagars sessioner med supporten gav dem upp och bad oss installera om hela produkten. Jag drog ur proppen då och ingen har saknat dem sedan dess.
Inga kommentarer:
Skicka en kommentar