7. NGFW ለአነስተኛ ንግዶች. አፈጻጸም እና አጠቃላይ ምክሮች

ስለ አዲሱ ትውልድ SMB Check Point (1500 ተከታታይ) ተከታታይ መጣጥፎችን ለማጠናቀቅ ጊዜው ደርሷል። ይህ ለእርስዎ የሚክስ ተሞክሮ እንደሆነ እና በ TS Solution ብሎግ ላይ ከእኛ ጋር መሆንዎን እንደሚቀጥሉ ተስፋ እናደርጋለን። ለመጨረሻው መጣጥፍ ርዕስ በሰፊው አልተሸፈነም ፣ ግን ብዙም አስፈላጊ አይደለም - የ SMB አፈፃፀም ማስተካከያ። በውስጡም የ NGFW ሃርድዌር እና ሶፍትዌሮችን የማዋቀር አማራጮችን እንነጋገራለን ፣ ያሉትን ትዕዛዞች እና የግንኙነት ዘዴዎችን እንገልፃለን።

ስለ NGFW ለአነስተኛ ንግዶች በተከታታይ ውስጥ ያሉ ሁሉም መጣጥፎች፡-

1. አዲስ የፍተሻ ነጥብ 1500 የደህንነት መግቢያ መስመር

2. Unboxing እና ማዋቀር

3. የገመድ አልባ ውሂብ ማስተላለፍ: WiFi እና LTE

4. የ VPN

5. የደመና SMP አስተዳደር

6. ስማርት-1 ደመና

በአሁኑ ጊዜ ለኤስኤምቢ መፍትሄዎች የአፈጻጸም ማስተካከያ ብዙ የመረጃ ምንጮች የሉም ገደቦች የውስጥ ስርዓተ ክወና - Gaia 80.20 የተከተተ. በእኛ ጽሑፉ ከማዕከላዊ አስተዳደር (የተሰጠ አስተዳደር አገልጋይ) አቀማመጥን እንጠቀማለን - ከ NGFW ጋር ሲሰሩ ተጨማሪ መሳሪያዎችን እንዲጠቀሙ ይፈቅድልዎታል.

ሃርድ ዌር

የCheck Point SMB ቤተሰብ አርክቴክቸርን ከመንካትዎ በፊት ሁል ጊዜ አጋርዎን መገልገያውን እንዲጠቀም መጠየቅ ይችላሉ። የመሳሪያ መጠን መለኪያ መሣሪያ, በተገለጹት ባህሪያት (በመጠኑ, የሚጠበቀው የተጠቃሚዎች ብዛት, ወዘተ) መሰረት ጥሩውን መፍትሄ ለመምረጥ.

ከእርስዎ NGFW ሃርድዌር ጋር ሲገናኙ ጠቃሚ ማስታወሻዎች

1. የኤስኤምቢ ቤተሰብ የ NGFW መፍትሄዎች የስርዓት ክፍሎችን (ሲፒዩ ፣ ራም ፣ ኤችዲዲ) የሃርድዌር ማሻሻል ችሎታ የላቸውም ፣ በአምሳያው ላይ በመመስረት ለኤስዲ ካርዶች ድጋፍ አለ ፣ ይህ የዲስክን አቅም ለማስፋት ያስችልዎታል ፣ ግን ጉልህ አይደለም።

2. የአውታረ መረብ መገናኛዎች አሠራር ቁጥጥር ያስፈልገዋል. Gaia 80.20 Embedded ብዙ የክትትል መሳሪያዎች የሉትም ነገር ግን ሁልጊዜ በኤክስፐርት ሁነታ በ CLI ውስጥ የታወቀውን ትዕዛዝ መጠቀም ይችላሉ. 

   # እኔfconfig

   

   ለተሰመሩት መስመሮች ትኩረት ይስጡ, በይነገጹ ላይ ያሉትን ስህተቶች ብዛት ለመገመት ያስችሉዎታል. በእርስዎ NGFW የመጀመሪያ አተገባበር እና እንዲሁም በሚሠራበት ጊዜ እነዚህን መለኪያዎች መፈተሽ በጣም ይመከራል።

3. ለሙሉ የተሟላ ጋያ ትእዛዝ አለ፡-

   > ዲያግ አሳይ

   በእሱ እርዳታ ስለ ሃርድዌር ሙቀት መረጃን ማግኘት ይቻላል. እንደ አለመታደል ሆኖ ይህ አማራጭ በ 80.20 Embedded ውስጥ አይገኝም፤ በጣም ታዋቂዎቹን የ SNMP ወጥመዶች እንጠቁማለን፡

   ርዕስ 

   መግለጫ

   የበይነገጽ ግንኙነት ተቋርጧል

   በይነገጹን በማሰናከል ላይ

   VLAN ተወግዷል

   Vlans በማስወገድ ላይ

   ከፍተኛ ማህደረ ትውስታ አጠቃቀም

   ከፍተኛ የ RAM አጠቃቀም

   ዝቅተኛ የዲስክ ቦታ

   በቂ የኤችዲዲ ቦታ የለም።

   ከፍተኛ የሲፒዩ አጠቃቀም

   ከፍተኛ የሲፒዩ አጠቃቀም

   ከፍተኛ የሲፒዩ የማቋረጥ ፍጥነት

   ከፍተኛ የማቋረጥ መጠን

   ከፍተኛ የግንኙነት ፍጥነት

   የአዳዲስ ግንኙነቶች ከፍተኛ ፍሰት

   ከፍተኛ ተያያዥነት ያላቸው ግንኙነቶች

   ከፍተኛ የውድድር ክፍለ ጊዜዎች

   ከፍተኛ የፋየርዎል ፍሰት

   ከፍተኛ መጠን ያለው ፋየርዎል

   ከፍተኛ ተቀባይነት ያለው የፓኬት ዋጋ

   ከፍተኛ የፓኬት መቀበያ መጠን

   የክላስተር አባል ሀገር ተለውጧል

   የክላስተር ሁኔታን መለወጥ

   ከሎግ አገልጋይ ስህተት ጋር ግንኙነት

   ከLog-server ጋር ያለው ግንኙነት ጠፍቷል

4. የመተላለፊያ መንገዱ ስራ የ RAM ክትትል ያስፈልገዋል። Gaia (Linux-like OS) እንዲሰራ ይህ ነው። መደበኛ ሁኔታየ RAM ፍጆታ ከ70-80% ጥቅም ላይ ሲውል.

   የኤስኤምቢ መፍትሄዎች አርክቴክቸር እንደ አሮጌው የፍተሻ ነጥብ ሞዴሎች ለ SWAP ማህደረ ትውስታ አገልግሎት አይሰጥም። ሆኖም በሊኑክስ ሲስተም ፋይሎች ውስጥ ተስተውሏል , ይህም የ SWAP መለኪያን የመቀየር የንድፈ ሃሳብ እድልን ያመለክታል.

የሶፍትዌር ክፍል

ጽሑፉ በሚታተምበት ጊዜ እስካሁን Gaia ስሪት - 80.20.10. በ CLI ውስጥ ሲሰሩ ገደቦች እንዳሉ ማወቅ አለብዎት: አንዳንድ የሊኑክስ ትዕዛዞች በኤክስፐርት ሁነታ ይደገፋሉ. የ NGFW አፈጻጸምን መገምገም የዴሞኖች እና አገልግሎቶችን አፈጻጸም መገምገምን ይጠይቃል፣ስለዚህ ተጨማሪ ዝርዝሮች በ ውስጥ ይገኛሉ። ጽሑፍ የሥራ ባልደረባዬ ። ለ SMB ሊሆኑ የሚችሉ ትዕዛዞችን እንመለከታለን.

ከ Gaia OS ጋር በመስራት ላይ

1. SecureXL አብነቶችን ያስሱ

   #fwaccelstat

   

2. ማስነሻን በዋናው ይመልከቱ

   # fw ctl መልቲክ ስታቲስቲክስ

   

3. የክፍለ-ጊዜዎች ብዛት (ግንኙነቶች) ይመልከቱ.

   # fw ctl pstat

   

4. * የክላስተር ሁኔታን ይመልከቱ

   # cphaprob ስታቲስቲክስ

   

5. ክላሲክ የሊኑክስ TOP ትዕዛዝ

መግባት

አስቀድመው እንደሚያውቁት, ከ NGFW ምዝግብ ማስታወሻዎች (ማከማቻ, ማቀነባበሪያ) ጋር ለመስራት ሶስት መንገዶች አሉ-በአካባቢው, በማዕከላዊ እና በደመና ውስጥ. የመጨረሻዎቹ ሁለት አማራጮች የአንድ አካል መኖርን ያመለክታሉ - የአስተዳደር አገልጋይ።

ሊሆኑ የሚችሉ የ NGFW ቁጥጥር እቅዶች

በጣም ዋጋ ያላቸው የምዝግብ ማስታወሻዎች

1. የስርዓት መልዕክቶች (ከሙሉ Gaia ያነሰ መረጃ ይዟል)

   # ጅራት -f /var/log/messages2

   

2. ስለ ምላጭ አሠራር ውስጥ የተሳሳቱ መልዕክቶች (ችግሮችን በሚፈታበት ጊዜ በጣም ጠቃሚ ፋይል)

   # ጅራት -f /var/log/log/sfwd.elg

   

3. በስርዓት ከርነል ደረጃ ከጠባቂው የሚመጡ መልዕክቶችን ይመልከቱ።

   #dmesg

   

Blade ውቅር

ይህ ክፍል የእርስዎን NGFW የፍተሻ ነጥብ ለማቀናበር የተሟላ መመሪያዎችን አይይዝም፤ በተሞክሮ የተመረጡ ምክሮቻችንን ብቻ ይዟል።

የመተግበሪያ ቁጥጥር / URL ማጣሪያ

• በሕጎች ውስጥ ማንኛውንም ፣ ማንኛውንም (ምንጭ ፣ መድረሻ) ሁኔታዎችን ለማስወገድ ይመከራል።

• ብጁ የዩአርኤል ምንጭን ሲገልጹ፣ እንደሚከተሉት ያሉ መደበኛ አገላለጾችን መጠቀም የበለጠ ውጤታማ ይሆናል። (^|...) checkpoint.com

• ከመጠን በላይ የመመዝገቢያ ደንቦችን ከመጠቀም እና የማገጃ ገጾችን (UserCheck) ከማሳየት ይቆጠቡ።

• ቴክኖሎጂው በትክክል መስራቱን ያረጋግጡ "SecureXL". አብዛኛው ትራፊክ ማለፍ አለበት። የተፋጠነ/መካከለኛ መንገድ. እንዲሁም ህጎቹን በብዛት ጥቅም ላይ በዋሉት (መስክ ዘይቤዎች ).

HTTPS-ፍተሻ

ከ70-80% የሚሆነው የተጠቃሚ ትራፊክ የሚመጣው ከኤችቲቲፒኤስ ግንኙነቶች መሆኑ ሚስጥር አይደለም፣ ይህ ማለት ከእርስዎ የጌትዌይ ፕሮሰሰር ግብዓት ይፈልጋል ማለት ነው። በተጨማሪም HTTPS-Inspection በ IPS, Antivirus, Antibot ሥራ ውስጥ ይሳተፋል.

ከስሪት 80.40 ጀምሮ ነበር። ዕድል ያለ Legacy Dashboard ከኤችቲቲፒኤስ ህጎች ጋር ለመስራት፣ አንዳንድ የሚመከሩ የደንብ ቅደም ተከተል እዚህ አለ፡-

• ለአድራሻዎች እና አውታረ መረቦች ቡድን ማለፍ (መድረሻ)።

• የዩአርኤሎች ቡድን ማለፍ።

• ለውስጣዊ አይፒ እና ልዩ መዳረሻ (ምንጭ) አውታረ መረቦችን ማለፍ።

• የሚፈለጉትን ኔትወርኮች፣ ተጠቃሚዎችን መርምር

• ለሌላ ሰው ማለፍ።

* HTTPS ወይም HTTPS ተኪ አገልግሎቶችን በእጅ መምረጥ እና ማንኛውንም መተው ሁል ጊዜ የተሻለ ነው። በምርመራ ደንቦች መሰረት ክስተቶችን ይመዝግቡ.

IPS

በጣም ብዙ ፊርማዎች ጥቅም ላይ ከዋሉ የአይፒኤስ ምላጩ በእርስዎ NGFW ላይ ፖሊሲን መጫን ላይሳካ ይችላል። አጭጮርዲንግ ቶ ጽሑፍ ከቼክ ፖይንት፣ የኤስኤምቢ መሣሪያ አርክቴክቸር የተመከረውን የአይፒኤስ ውቅር መገለጫ ለማስኬድ የተነደፈ አይደለም።

ችግሩን ለመፍታት ወይም ለመከላከል የሚከተሉትን ደረጃዎች ይከተሉ።

1. የተመቻቸ ኤስኤምቢ (ወይም ሌላ የመረጡት) የተባለውን ፕሮፋይል ዝጋ።

2. መገለጫውን ያርትዑ፣ ወደ IPS → Pre R80.Settings ክፍል ይሂዱ እና የአገልጋይ ጥበቃን ያጥፉ።

   

3. በእርስዎ ውሳኔ፣ ከ2010 በላይ የቆዩ CVEዎችን ማሰናከል ይችላሉ፣ እነዚህ ተጋላጭነቶች በትናንሽ ቢሮዎች ውስጥ እምብዛም ላይገኙ ይችላሉ፣ነገር ግን አፈጻጸሙን ይነካል። አንዳንዶቹን ለማሰናከል ወደ መገለጫ →IPS →ተጨማሪ ማግበር →ዝርዝርን ለማቦዘን መከላከያዎች ይሂዱ

   

ከዚህ ይልቅ አንድ መደምደሚያ

ስለ አዲሱ የ NGFW ትውልድ የ SMB ቤተሰብ (1500) ተከታታይ መጣጥፎች አካል የመፍትሄውን ዋና ችሎታዎች ለማጉላት ሞከርን እና የተወሰኑ ምሳሌዎችን በመጠቀም አስፈላጊ የደህንነት ክፍሎችን ውቅር አሳይተናል። በአስተያየቶቹ ውስጥ ስለ ምርቱ ማንኛውንም ጥያቄዎች ለመመለስ ደስተኞች ነን. ከእርስዎ ጋር እንቆያለን, ለእርስዎ ትኩረት እናመሰግናለን!

በቼክ ነጥብ ላይ ትልቅ የቁሳቁስ ምርጫ ከ TS Solution. አዳዲስ ህትመቶችን እንዳያመልጥዎ፣ በማህበራዊ ድረ-ገጾቻችን ላይ ያሉ ዝመናዎችን ይከተሉ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ, Yandex ዜን).

ምንጭ: hab.com