7. NGFW vir klein besighede. Prestasie en algemene aanbevelings
Die tyd het aangebreek om die reeks artikels oor die nuwe generasie SMB Check Point (1500-reeks) te voltooi. Ons hoop dat dit 'n lonende ervaring vir jou was en dat jy sal voortgaan om saam met ons op die TS Solution blog te wees. Die onderwerp vir die finale artikel word nie wyd gedek nie, maar nie minder belangrik nie - SMB-prestasie-instelling. Daarin sal ons die konfigurasie-opsies vir die hardeware en sagteware van die NGFW bespreek, die beskikbare opdragte en metodes van interaksie beskryf.
Alle artikels in die reeks oor NGFW vir klein besighede:
Tans is daar nie baie bronne van inligting oor prestasie-instelling vir SMB-oplossings nie as gevolg van beperkings interne bedryfstelsel - Gaia 80.20 Ingebed. In ons artikel sal ons 'n uitleg gebruik met gesentraliseerde bestuur (toegewyde bestuursbediener) - dit laat jou toe om meer gereedskap te gebruik wanneer jy met NGFW werk.
Die hardeware deel
Voordat jy die Check Point SMB-familieargitektuur aanraak, kan jy altyd jou maat vra om die hulpprogram te gebruik Toestelgrootte-instrument, om die optimale oplossing te kies volgens die gespesifiseerde eienskappe (deurset, verwagte aantal gebruikers, ens.).
Belangrike notas wanneer jy met jou NGFW-hardeware interaksie het
NGFW-oplossings van die SMB-familie het nie die vermoë om stelselkomponente (CPU, RAM, HDD) op te gradeer nie; afhangende van die model, is daar ondersteuning vir SD-kaarte, dit laat jou toe om die skyfkapasiteit uit te brei, maar nie aansienlik nie.
Die werking van netwerkkoppelvlakke vereis beheer. Gaia 80.20 Embedded het nie baie moniteringsinstrumente nie, maar jy kan altyd die bekende opdrag in die CLI via Expert-modus gebruik
#ifconfig
Gee aandag aan die onderstreepte lyne, hulle sal jou toelaat om die aantal foute op die koppelvlak te skat. Dit word sterk aanbeveel om hierdie parameters na te gaan tydens die aanvanklike implementering van jou NGFW, sowel as periodiek tydens operasie.
Vir 'n volwaardige Gaia is daar 'n opdrag:
> wys diag
Met sy hulp is dit moontlik om inligting oor die temperatuur van die hardeware te verkry. Ongelukkig is hierdie opsie nie beskikbaar in 80.20 Embedded nie; ons sal die gewildste SNMP-lokvalle aandui:
Naam
Beskrywing
Koppelvlak ontkoppel
Deaktiveer die koppelvlak
VLAN verwyder
Die verwydering van Vlans
Hoë geheue gebruik
Hoë RAM-gebruik
Min skyfspasie
Nie genoeg HDD-spasie nie
Hoë CPU-gebruik
Hoë CPU-gebruik
Hoë CPU-onderbrekingstempo
Hoë onderbrekingstempo
Hoë verbindingskoers
Hoë vloei van nuwe verbindings
Hoë gelyktydige verbindings
Hoë vlak van mededingende sessies
Hoë Firewall deurset
Hoë deurset Firewall
Hoë aanvaarde pakkie koers
Hoë pakkie ontvangs koers
Klusterlidstaat verander
Verander die groepstatus
Verbinding met log bediener fout
Verlore verbinding met Log-Server
Die werking van jou poort vereis RAM-monitering. Vir Gaia (Linux-agtige OS) om te werk, is dit normale situasiewanneer RAM-verbruik 70-80% van gebruik bereik.
Die argitektuur van SMB-oplossings maak nie voorsiening vir die gebruik van SWAP-geheue nie, anders as ouer Check Point-modelle. In Linux-stelsellêers is dit egter opgemerk , wat die teoretiese moontlikheid aandui om die SWAP-parameter te verander.
Sagteware deel
Ten tyde van publikasie van die artikel werklike Gaia-weergawe - 80.20.10. Jy moet weet dat daar beperkings is wanneer jy in die CLI werk: sommige Linux-opdragte word in Expert-modus ondersteun. Die assessering van die prestasie van NGFW vereis die assessering van die prestasie van daemone en dienste, meer besonderhede hieroor kan gevind word in Artikel my kollega. Ons sal kyk na moontlike opdragte vir SMB.
Werk met Gaia OS
Blaai deur SecureXL-sjablone
#fwaccelstat
Bekyk stewel per kern
# fw ctl multik statistiek
Kyk na die aantal sessies (verbindings).
# fw ctl pstat
* Bekyk groepstatus
#cphaprob-statistiek
Klassieke Linux TOP-opdrag
Tekening
Soos u reeds weet, is daar drie maniere om met NGFW-logboeke te werk (berging, verwerking): plaaslik, sentraal en in die wolk. Die laaste twee opsies impliseer die teenwoordigheid van 'n entiteit - Bestuursbediener.
Moontlike NGFW-beheerskemas
Die waardevolste loglêers
Stelselboodskappe (bevat minder inligting as volle Gaia)
# stert -f /var/log/boodskappe2
Foutboodskappe in die werking van lemme (nogal 'n nuttige lêer wanneer probleme opgespoor word)
# stert -f /var/log/log/sfwd.elg
Bekyk boodskappe vanaf die buffer op die stelselkernvlak.
#dmesg
Bladkonfigurasie
Hierdie afdeling sal nie volledige instruksies vir die opstel van jou NGFW Check Point bevat nie; dit bevat slegs ons aanbevelings, gekies deur ervaring.
Toepassingsbeheer / URL-filtrering
Dit word aanbeveel om ENIGE, ENIGE (Bron, Bestemming) toestande in reëls te vermy.
Wanneer 'n gepasmaakte URL-hulpbron gespesifiseer word, sal dit meer effektief wees om gereelde uitdrukkings te gebruik soos: (^|..)checkpoint.com
Vermy oormatige gebruik van reëlregistrasie en vertoon van blokkeerbladsye (UserCheck).
Maak seker die tegnologie werk reg "SecureXL". Die meeste verkeer behoort deur te gaan versnelde/medium pad. Moet ook nie vergeet om die reëls te filter deur die mees gebruikte (veld treffers ).
HTTPS-inspeksie
Dit is geen geheim dat 70-80% van gebruikersverkeer van HTTPS-verbindings af kom nie, wat beteken dat dit hulpbronne van jou poortverwerker vereis. Daarbenewens neem HTTPS-inspeksie deel aan die werk van IPS, Antivirus, Antibot.
Vanaf weergawe 80.40 was daar geleentheid om met HTTPS-reëls te werk sonder Legacy Dashboard, hier is 'n paar aanbevole reëlvolgorde:
Omseil vir 'n groep adresse en netwerke (Bestemming).
Omseil vir 'n groep URL's.
Omseil vir interne IP en netwerke met bevoorregte toegang (Bron).
Inspekteer vir vereiste netwerke, gebruikers
Omseil vir almal anders.
* Dit is altyd beter om HTTPS of HTTPS Proxy-dienste handmatig te kies en Enige te verlaat. Teken gebeure aan volgens Inspect-reëls.
IPS
Die IPS-lem kan dalk misluk om beleid op jou NGFW te installeer as te veel handtekeninge gebruik word. Volgens Artikel vanaf Check Point is die SMB-toestelargitektuur nie ontwerp om die volle aanbevole IPS-konfigurasieprofiel te laat loop nie.
Volg hierdie stappe om die probleem op te los of te voorkom:
Kloon die geoptimaliseerde profiel genaamd "Geoptimaliseerde SMB" (of 'n ander een van jou keuse).
Wysig die profiel, gaan na die IPS → Pre R80.Settings-afdeling en skakel Bedienerbeskermings af.
Na u goeddunke kan u CVE's ouer as 2010 deaktiveer, hierdie kwesbaarhede kan selde in klein kantore gevind word, maar beïnvloed prestasie. Om sommige van hulle te deaktiveer, gaan na Profiel → IPS → Bykomende aktivering → Beskermings om lys te deaktiveer
In plaas daarvan om 'n gevolgtrekking
As deel van 'n reeks artikels oor die nuwe generasie NGFW van die SMB-familie (1500), het ons probeer om die belangrikste vermoëns van die oplossing uit te lig en die konfigurasie van belangrike sekuriteitskomponente met behulp van spesifieke voorbeelde gedemonstreer. Ons sal graag enige vrae oor die produk in die kommentaar beantwoord. Ons bly by jou, dankie vir jou aandag!