7. NGFW для малога бізнэсу. Прадукцыйнасць і агульныя рэкамендацыі
Наступіла час для завяршэння цыклу артыкулаў аб новым пакаленні SMB Check Point (1500 серыя). Мы спадзяемся, што для вас гэта быў карысны вопыт, і вы працягнеце быць з намі ў блогу TS Solution. Тэма для заключнага артыкула шырока не асветлена, але не менш важная – цюнінг прадукцыйнасці SMB. У ёй мы абмяркуем магчымасці канфігурацыі апаратнай і праграмнай часткі працы NGFW, апішам даступныя каманды і спосабы ўзаемадзеяння.
На бягучы момант існуе не так шмат крыніц інфармацыі аб цюнінгу прадукцыйнасці для SMB рашэнняў з прычыны абмежаванняў ўнутранай АС - Gaia 80.20 Embedded. У нашым артыкуле мы будзем выкарыстоўваць макет з цэнтралізаваным кіраваннем (выдзелены Management Server) – ён дазваляе прымяніць большую колькасць інструментаў пры працы з NGFW.
апаратная частка
Перш чым закранаць архітэктуру Check Point сямейства SMB, вы заўсёды можаце звярнуцца да вашага партнёра, каб ён выкарыстоўваў утыліту Appliance Sizing Tool, для падбору аптымальнага рашэння паводле зададзеных характарыстык (прапускная здольнасць, чаканая колькасць карыстальнікаў і г.д).
Важныя нататкі пры ўзаемадзеянні з апаратнай часткай вашага NGFW
NGFW рашэнні сямейства SMB не маюць магчымасці апаратнага апгрэйду сістэмных кампанентаў (CPU, RAM, HDD), у залежнасці ад мадэлі ёсць падтрымка SD-карт, гэта дазваляе пашырыць ёмістасць дыска, але не значна.
Праца сеткавых інтэрфейсаў патрабуе кантролю. У Gaia 80.20 Embedded не так шмат інструментаў для маніторынгу, але вы заўсёды можаце выкарыстоўваць агульнавядомую каманду ў CLI праз рэжым Expert
# ifconfig
Звярніце ўвагу на падкрэсленыя радкі, яны дазволяць вам ацаніць колькасць памылак на інтэрфейсе. Вельмі рэкамендуецца правяраць дадзеныя параметры пры першасным укараненні вашага NGFW, а таксама перыядычна ўжо падчас эксплуатацый.
Для паўнавартаснай Gaia ёсць каманда:
> show diag
З яе дапамогай магчыма атрымаць інфармацыю аб тэмпературы апаратнага забеспячэння. Нажаль, у 80.20 Embedded дадзенай опцыі няма, пакажам найболей папулярныя SNMP-traps:
Назва
Апісанне
Interface disconnected
Адключэнне інтэрфейсу
VLAN removed
Выдаленне Vlan
High memory utilization
Высокая ўтылізацыя RAM
Нізкая дыскавая прастора
Мала месца на HDD
High CPU utilization
Высокая ўтылізацыя CPU
High CPU interrupts rate
Высокая частата перапыненняў
High connection rate
Высокі паток новых падлучэнняў
High concurrent connections
Высокі ўзровень канкурэнтных сесій
High Firewall throughput
Высокі ўзровень прапускной здольнасці Firewall
High accepted packet rate
Высокі ўзровень прыёму пакетаў
Cluster member state changed
Змена стану кластара
Connection with log server error
Страта сувязі з Log-Server
Праца вашага шлюза патрабуе кантролю RAM. Для працы Gaia (Linux падобная OC) гэта нармальная сітуацыя, Калі выдатак RAM даходзіць да 70-80% выкарыстання.
У архітэктуры SMB-рашэнняў не прадугледжана выкарыстанні SWAP-памяці, у адрозненне ад больш старэйшых мадэляў Check Point. Тым не менш, у сістэмных файлах Linux быў заўважаны , Што кажа аб тэарэтычнай магчымасці змяняць параметр SWAP.
Праграмная частка
На момант выхаду артыкула актуальная версіі Gaia - 80.20.10. Вам трэба ведаць, што прысутнічаюць абмежаванні пры працы ў CLI: у рэжыме Expert падтрымліваюцца некаторыя Linuх каманды. Для ацэнкі працы NGFW патрабуецца ацэнка працы дэманаў і службаў, больш падрабязна пра гэта можна даведацца ў артыкуле майго калегі. Мы ж разгледзім магчымыя каманды для SMB.
Праца з Gaia OS
Прагляд шаблонаў SecureXL
# fwaccel stat
Прагляд загрузкі па ядрах
# fw ctl multik stat
Прагляд колькасці сесій (злучэнняў).
# fw ctl pstat
*Прагляд стану кластара
# cphaprob stat
Класічная Linux-каманда TOP
Лагіраванне
Як вы ўжо ведаеце, ёсць тры спосабу працы з логамі NGFW (захоўванне, апрацоўка): лакальна, цэнтралізавана і ў воблаку. Апошнія два варыянты маюць на ўвазе наяўнасць сутнасці – Management Server.
Магчымыя схемы кіравання NGFW
Найбольш каштоўныя файлы логаў
Сістэмныя паведамленні (змяшчае менш інфармацыі, чым у паўнавартаснай Gaia)
# tail -f /var/log/messages2
Паведамлення пра памылкі ў працы блейдаў (дастаткова карысны файл пры пошуку праблем)
# tail -f /var/log/log/sfwd.elg
Прагляд паведамленняў з буфера на ўзроўні ядра сістэмы.
# dmesg
Канфігурацыя блейдаў
Дадзеная частка не будзе ўтрымоўваць паўнавартасных інструкцый па наладзе вашага NGFW Сheck Point, ён толькі ўтрымоўвае нашы рэкамендацыі, падабраныя дасведчаным шляхам.
Application Control / URL Filtering
Рэкамендавана пазбягаць у правілах умовы ANY, ANY (Source, Destination).
У выпадку задання кастамнага URL-рэсурсу больш дзейсна будзе выкарыстоўваць рэгулярны выраз тыпу: (^|..)checkpoint.com
Пазбягайце празмернага выкарыстання лагіравання па правілах і паказу старонак блакіроўкі (UserCheck).
Пераканайцеся, што карэктна працуе тэхналогія "SecureXL". Большая частка трафіку павінна праходзіць праз accelerated / medium path. Таксама не забывайце фільтраваць правілы па найболей выкарыстоўваным (поле колькасць праглядаў ).
HTTPS-Inspection
Ні для каго не сакрэт, што 70-80% карыстацкага трафіку прыпадае на HTTPS-злучэнні, адпаведна, гэта патрабуе рэсурсаў ад працэсара вашага шлюза. Акрамя гэтага, HTTPS-Inspection удзельнічае ў рабоце IPS, Antivirus, Antibot.
Пачынаючы з версіі 80.40 з'явілася магчымасць працаваць з HTTPS-правіламі без Legacy Dashboard, вось некаторы рэкамендуемы парадак правіл:
Bypass для групы адрасоў і сетак (Destination).
Bypass для групы URL-адрасоў.
Bypass для ўнутраных IP і сетак з прывілеяваным доступам (Source).
Inspect для неабходных сетак, карыстальнікаў
Bypass для ўсіх астатніх.
* Заўсёды лепш выбіраць уручную сэрвісы HTTPS ці HTTPS Proxy, не пакідаць Any. Лагаваць падзеі па правілах Inspect.
IPS
Блэйд IPS можа выклікаць памылку пры ўсталёўцы палітыкі на вашым NGFW , калі выкарыстоўваецца занадта шмат сігнатур. Згодна артыкуле ад Check Point, архітэктура SMB прылад не разлічана для запуску поўнага рэкамендуемага профіля налад IPS.
Каб вырашыць ці прадухіліць праблему, выканайце наступныя крокі:
Клануйце Optimized профіль пад назвай “Optimized SMB” ( альбо іншым на ваша меркаванне).
Адрэдагуйце профіль, перайдзіце ў падзел IPS → Pre R80.Settings і выключыце Server Protections.
Па вашым меркаванні вы можаце дэактываваць CVE старэйшыя за 2010, дадзеныя ўразлівасці могуць быць рэдка выяўленыя ў малых офісах, але ўплываюць на прадукцыйнасць. Каб адключыць некаторыя з іх, перайдзіце ў Profile→ IPS→ Additional Activation → Protections to deactivate list
замест заключэння
У рамках цыкла артыкулаў аб новым пакаленні NGFW сямейства SMB (1500) мы пастараліся асвятліць асноўныя магчымасці рашэння, прадэманстравалі на канкрэтных прыкладах наладу важных кампанентаў бяспекі. Будзем рады адказаць на любыя пытанні аб прадукце ў каментарах. Застаемся з вамі, дзякуй за ўвагу!