7. NGFW vir klein besighede. Prestasie en algemene aanbevelings

Die tyd het aangebreek om die reeks artikels oor die nuwe generasie SMB Check Point (1500-reeks) te voltooi. Ons hoop dat dit 'n lonende ervaring vir jou was en dat jy sal voortgaan om saam met ons op die TS Solution blog te wees. Die onderwerp vir die finale artikel word nie wyd gedek nie, maar nie minder belangrik nie - SMB-prestasie-instelling. Daarin sal ons die konfigurasie-opsies vir die hardeware en sagteware van die NGFW bespreek, die beskikbare opdragte en metodes van interaksie beskryf.

Alle artikels in die reeks oor NGFW vir klein besighede:

1. Nuwe CheckPoint 1500 Security Gateway Line

2. Uitboks en opstel

3. Draadlose data-oordrag: WiFi en LTE

4. Skynprivaatnetwerk

5. Wolk SMP Bestuur

6. Smart-1 Wolk

Tans is daar nie baie bronne van inligting oor prestasie-instelling vir SMB-oplossings nie as gevolg van beperkings interne bedryfstelsel - Gaia 80.20 Ingebed. In ons artikel sal ons 'n uitleg gebruik met gesentraliseerde bestuur (toegewyde bestuursbediener) - dit laat jou toe om meer gereedskap te gebruik wanneer jy met NGFW werk.

Die hardeware deel

Voordat jy die Check Point SMB-familieargitektuur aanraak, kan jy altyd jou maat vra om die hulpprogram te gebruik Toestelgrootte-instrument, om die optimale oplossing te kies volgens die gespesifiseerde eienskappe (deurset, verwagte aantal gebruikers, ens.).

Belangrike notas wanneer jy met jou NGFW-hardeware interaksie het

1. NGFW-oplossings van die SMB-familie het nie die vermoë om stelselkomponente (CPU, RAM, HDD) op te gradeer nie; afhangende van die model, is daar ondersteuning vir SD-kaarte, dit laat jou toe om die skyfkapasiteit uit te brei, maar nie aansienlik nie.

2. Die werking van netwerkkoppelvlakke vereis beheer. Gaia 80.20 Embedded het nie baie moniteringsinstrumente nie, maar jy kan altyd die bekende opdrag in die CLI via Expert-modus gebruik 

   #ifconfig

   

   Gee aandag aan die onderstreepte lyne, hulle sal jou toelaat om die aantal foute op die koppelvlak te skat. Dit word sterk aanbeveel om hierdie parameters na te gaan tydens die aanvanklike implementering van jou NGFW, sowel as periodiek tydens operasie.

3. Vir 'n volwaardige Gaia is daar 'n opdrag:

   > wys diag

   Met sy hulp is dit moontlik om inligting oor die temperatuur van die hardeware te verkry. Ongelukkig is hierdie opsie nie beskikbaar in 80.20 Embedded nie; ons sal die gewildste SNMP-lokvalle aandui:

   Naam 

   Beskrywing

   Koppelvlak ontkoppel

   Deaktiveer die koppelvlak

   VLAN verwyder

   Die verwydering van Vlans

   Hoë geheue gebruik

   Hoë RAM-gebruik

   Min skyfspasie

   Nie genoeg HDD-spasie nie

   Hoë CPU-gebruik

   Hoë CPU-gebruik

   Hoë CPU-onderbrekingstempo

   Hoë onderbrekingstempo

   Hoë verbindingskoers

   Hoë vloei van nuwe verbindings

   Hoë gelyktydige verbindings

   Hoë vlak van mededingende sessies

   Hoë Firewall deurset

   Hoë deurset Firewall

   Hoë aanvaarde pakkie koers

   Hoë pakkie ontvangs koers

   Klusterlidstaat verander

   Verander die groepstatus

   Verbinding met log bediener fout

   Verlore verbinding met Log-Server

4. Die werking van jou poort vereis RAM-monitering. Vir Gaia (Linux-agtige OS) om te werk, is dit normale situasiewanneer RAM-verbruik 70-80% van gebruik bereik.

   Die argitektuur van SMB-oplossings maak nie voorsiening vir die gebruik van SWAP-geheue nie, anders as ouer Check Point-modelle. In Linux-stelsellêers is dit egter opgemerk , wat die teoretiese moontlikheid aandui om die SWAP-parameter te verander.

Sagteware deel

Ten tyde van publikasie van die artikel werklike Gaia-weergawe - 80.20.10. Jy moet weet dat daar beperkings is wanneer jy in die CLI werk: sommige Linux-opdragte word in Expert-modus ondersteun. Die assessering van die prestasie van NGFW vereis die assessering van die prestasie van daemone en dienste, meer besonderhede hieroor kan gevind word in Artikel my kollega. Ons sal kyk na moontlike opdragte vir SMB.

Werk met Gaia OS

1. Blaai deur SecureXL-sjablone

   #fwaccelstat

   

2. Bekyk stewel per kern

   # fw ctl multik statistiek

   

3. Kyk na die aantal sessies (verbindings).

   # fw ctl pstat

   

4. * Bekyk groepstatus

   #cphaprob-statistiek

   

5. Klassieke Linux TOP-opdrag

Tekening

Soos u reeds weet, is daar drie maniere om met NGFW-logboeke te werk (berging, verwerking): plaaslik, sentraal en in die wolk. Die laaste twee opsies impliseer die teenwoordigheid van 'n entiteit - Bestuursbediener.

Moontlike NGFW-beheerskemas

Die waardevolste loglêers

1. Stelselboodskappe (bevat minder inligting as volle Gaia)

   # stert -f /var/log/boodskappe2

   

2. Foutboodskappe in die werking van lemme (nogal 'n nuttige lêer wanneer probleme opgespoor word)

   # stert -f /var/log/log/sfwd.elg

   

3. Bekyk boodskappe vanaf die buffer op die stelselkernvlak.

   #dmesg

   

Bladkonfigurasie

Hierdie afdeling sal nie volledige instruksies vir die opstel van jou NGFW Check Point bevat nie; dit bevat slegs ons aanbevelings, gekies deur ervaring.

Toepassingsbeheer / URL-filtrering

• Dit word aanbeveel om ENIGE, ENIGE (Bron, Bestemming) toestande in reëls te vermy.

• Wanneer 'n gepasmaakte URL-hulpbron gespesifiseer word, sal dit meer effektief wees om gereelde uitdrukkings te gebruik soos: (^|..)checkpoint.com

• Vermy oormatige gebruik van reëlregistrasie en vertoon van blokkeerbladsye (UserCheck).

• Maak seker die tegnologie werk reg "SecureXL". Die meeste verkeer behoort deur te gaan versnelde/medium pad. Moet ook nie vergeet om die reëls te filter deur die mees gebruikte (veld treffers ).

HTTPS-inspeksie

Dit is geen geheim dat 70-80% van gebruikersverkeer van HTTPS-verbindings af kom nie, wat beteken dat dit hulpbronne van jou poortverwerker vereis. Daarbenewens neem HTTPS-inspeksie deel aan die werk van IPS, Antivirus, Antibot.

Vanaf weergawe 80.40 was daar geleentheid om met HTTPS-reëls te werk sonder Legacy Dashboard, hier is 'n paar aanbevole reëlvolgorde:

• Omseil vir 'n groep adresse en netwerke (Bestemming).

• Omseil vir 'n groep URL's.

• Omseil vir interne IP en netwerke met bevoorregte toegang (Bron).

• Inspekteer vir vereiste netwerke, gebruikers

• Omseil vir almal anders.

* Dit is altyd beter om HTTPS of HTTPS Proxy-dienste handmatig te kies en Enige te verlaat. Teken gebeure aan volgens Inspect-reëls.

IPS

Die IPS-lem kan dalk misluk om beleid op jou NGFW te installeer as te veel handtekeninge gebruik word. Volgens Artikel vanaf Check Point is die SMB-toestelargitektuur nie ontwerp om die volle aanbevole IPS-konfigurasieprofiel te laat loop nie.

Volg hierdie stappe om die probleem op te los of te voorkom:

1. Kloon die geoptimaliseerde profiel genaamd "Geoptimaliseerde SMB" (of 'n ander een van jou keuse).

2. Wysig die profiel, gaan na die IPS → Pre R80.Settings-afdeling en skakel Bedienerbeskermings af.

   

3. Na u goeddunke kan u CVE's ouer as 2010 deaktiveer, hierdie kwesbaarhede kan selde in klein kantore gevind word, maar beïnvloed prestasie. Om sommige van hulle te deaktiveer, gaan na Profiel → IPS → Bykomende aktivering → Beskermings om lys te deaktiveer

   

In plaas daarvan om 'n gevolgtrekking

As deel van 'n reeks artikels oor die nuwe generasie NGFW van die SMB-familie (1500), het ons probeer om die belangrikste vermoëns van die oplossing uit te lig en die konfigurasie van belangrike sekuriteitskomponente met behulp van spesifieke voorbeelde gedemonstreer. Ons sal graag enige vrae oor die produk in die kommentaar beantwoord. Ons bly by jou, dankie vir jou aandag!

'n Groot verskeidenheid materiaal op Check Point van TS Solution. Om nie nuwe publikasies te mis nie, volg die opdaterings op ons sosiale netwerke (telegram, Facebook, VK, TS Oplossing Blog, Yandex Zen).

Bron: will.com