7. NGFW per a petites empreses. Rendiment i recomanacions generals

Ha arribat el moment de completar la sèrie d'articles sobre la nova generació de SMB Check Point (sèrie 1500). Esperem que aquesta hagi estat una experiència gratificant per a vosaltres i que continueu amb nosaltres al bloc de TS Solution. El tema de l'article final no es tracta àmpliament, però no és menys important: l'ajust del rendiment de SMB. En ell parlarem de les opcions de configuració del maquinari i programari de la NGFW, descriurem les ordres disponibles i els mètodes d'interacció.

Tots els articles de la sèrie sobre NGFW per a petites empreses:

1. Nova línia de passarel·la de seguretat CheckPoint 1500

2. Unboxing i configuració

3. Transmissió de dades sense fil: WiFi i LTE

4. VPN

5. Gestió SMP al núvol

6. Smart-1 Cloud

Actualment, no hi ha moltes fonts d'informació sobre l'ajust del rendiment de les solucions SMB a causa de restriccions SO intern - Gaia 80.20 Embedded. Al nostre article utilitzarem un disseny amb gestió centralitzada (Servidor de gestió dedicat): us permet utilitzar més eines quan treballeu amb NGFW.

Maquinari

Abans de tocar l'arquitectura de la família Check Point SMB, sempre podeu demanar a la vostra parella que utilitzi la utilitat Eina de mida de l'aparell, per seleccionar la solució òptima d'acord amb les característiques especificades (producció, nombre esperat d'usuaris, etc.).

Notes importants quan interactueu amb el vostre maquinari NGFW

1. Les solucions NGFW de la família SMB no tenen la capacitat d'actualitzar el maquinari dels components del sistema (CPU, RAM, HDD); depenent del model, hi ha suport per a targetes SD, això us permet ampliar la capacitat del disc, però no de manera significativa.

2. El funcionament de les interfícies de xarxa requereix control. Gaia 80.20 Embedded no té moltes eines de supervisió, però sempre podeu utilitzar l'ordre coneguda a la CLI mitjançant el mode Expert 

   # ifconfig

   

   Fixeu-vos en les línies subratllades, us permetran estimar el nombre d'errors a la interfície. És molt recomanable comprovar aquests paràmetres durant la implementació inicial del vostre NGFW, així com periòdicament durant el funcionament.

3. Per a una Gaia en tota regla, hi ha una ordre:

   > mostra el diag

   Amb la seva ajuda és possible obtenir informació sobre la temperatura del maquinari. Malauradament, aquesta opció no està disponible a 80.20 Embedded; us indicarem les trampes SNMP més populars:

   Nom 

   Descripció

   Interfície desconnectada

   Desactivació de la interfície

   S'ha eliminat la VLAN

   Eliminació de Vlans

   Alt ús de memòria

   Alt ús de RAM

   Poc espai al disc

   No hi ha prou espai al disc dur

   Alt ús de la CPU

   Alt ús de la CPU

   Alta taxa d'interrupcions de la CPU

   Alta taxa d'interrupció

   Alta taxa de connexió

   Alt flux de noves connexions

   Connexions concurrents altes

   Alt nivell de sessions competitives

   Alt rendiment del tallafoc

   Tallafocs d'alt rendiment

   Alta taxa de paquets acceptats

   Alta taxa de recepció de paquets

   L'estat membre del clúster ha canviat

   Canvi de l'estat del clúster

   Error de connexió amb el servidor de registre

   S'ha perdut la connexió amb Log-Server

4. El funcionament de la vostra passarel·la requereix un seguiment de la memòria RAM. Perquè Gaia (SO semblant a Linux) funcioni, això és situació normalquan el consum de RAM arriba al 70-80% d'ús.

   L'arquitectura de les solucions SMB no preveu l'ús de memòria SWAP, a diferència dels models de Check Point anteriors. Tanmateix, es va veure als fitxers del sistema Linux, cosa que indica que teòricament és possible canviar el paràmetre SWAP.

Part de programari

En el moment de la publicació de l'article real Versió de Gaia - 80.20.10. Heu de saber que hi ha limitacions a l'hora de treballar a la CLI:  en el mode Expert, s'admeten algunes ordres de Linux. Avaluar el rendiment de NGFW requereix avaluar el rendiment dels dimonis i serveis, es poden trobar més detalls sobre això a article el meu company. Veurem possibles ordres per a SMB.

Treballant amb Gaia OS

1. Exploreu les plantilles de SecureXL

   #fwaccelstat

   

2. Veure l'arrencada per nucli

   # fw ctl multik stat

   

3. Veure el nombre de sessions (connexions).

   # fw ctl pstat

   

4. *Veure l'estat del clúster

   #cphaprob stat

   

5. Comandament TOP de Linux clàssic

Enregistrament

Com ja sabeu, hi ha tres maneres de treballar amb els registres NGFW (emmagatzematge, processament): localment, centralment i al núvol. Les dues últimes opcions impliquen la presència d'una entitat: Servidor de gestió.

Possibles esquemes de control de NGFW

Els fitxers de registre més valuosos

1. Missatges del sistema (conté menys informació que Gaia completa)

   # tail -f /var/log/messages2

   

2. Missatges d'error en el funcionament de les fulles (un fitxer força útil per resoldre problemes)

   # tail -f /var/log/log/sfwd.elg

   

3. Veure missatges de la memòria intermèdia al nivell del nucli del sistema.

   #dmesg

   

Configuració de la fulla

Aquesta secció no contindrà instruccions completes per configurar el vostre punt de control NGFW; només conté les nostres recomanacions, seleccionades per experiència.

Control d'aplicacions/Filtratge d'URL

• Es recomana evitar QUALSEVOL, QUALSEVOL condicions (Font, Destinació) a les normes.

• Quan especifiqueu un recurs d'URL personalitzat, serà més efectiu utilitzar expressions regulars com: (^|..)checkpoint.com

• Eviteu l'ús excessiu del registre de regles i la visualització de pàgines de bloqueig (UserCheck).

• Assegureu-vos que la tecnologia funcioni correctament "SecureXL". La majoria del trànsit hauria de passar camí accelerat/mitjana. A més, no us oblideu de filtrar les regles per les més utilitzades (camp Accessos ).

Inspecció HTTPS

No és cap secret que el 70-80% del trànsit d'usuaris prové de connexions HTTPS, la qual cosa significa que això requereix recursos del processador de passarel·la. A més, HTTPS-Inspection participa en el treball d'IPS, Antivirus, Antibot.

A partir de la versió 80.40 hi havia oportunitat per treballar amb regles HTTPS sense Legacy Dashboard, aquí teniu un ordre de regles recomanat:

• Bypass per a un grup d'adreces i xarxes (Destinació).

• Ometre un grup d'URL.

• Bypass per a IP interna i xarxes amb accés privilegiat (Font).

• Inspeccioneu les xarxes requerides, usuaris

• Bypass per a tots els altres.

* Sempre és millor seleccionar manualment els serveis HTTPS o HTTPS Proxy i deixar Qualsevol. Registra els esdeveniments segons les regles d'inspecció.

IPS

El blade IPS pot no instal·lar la política al vostre NGFW si s'utilitzen massa signatures. D'acord amb article des de Check Point, l'arquitectura del dispositiu SMB no està dissenyada per executar el perfil de configuració IPS recomanat complet.

Per resoldre o prevenir el problema, seguiu aquests passos:

1. Cloneu el perfil optimitzat anomenat "Optimized SMB" (o un altre que trieu).

2. Editeu el perfil, aneu a la secció IPS → Pre R80.Configuració i desactiveu les Proteccions del servidor.

   

3. A la vostra discreció, podeu desactivar CVE anteriors al 2010, aquestes vulnerabilitats poden trobar-se poques vegades a les oficines petites, però afecten el rendiment. Per desactivar alguns d'ells, aneu a Perfil → IPS → Activació addicional → Proteccions per desactivar la llista

   

En lloc d'una conclusió

Com a part d'una sèrie d'articles sobre la nova generació de NGFW de la família SMB (1500), vam intentar destacar les principals capacitats de la solució i vam demostrar la configuració de components de seguretat importants mitjançant exemples concrets. Estarem encantats de respondre qualsevol pregunta sobre el producte als comentaris. Quedem amb vosaltres, gràcies per la vostra atenció!

Gran selecció de materials a Check Point de TS Solution. Per no perdre't les noves publicacions, segueix les novetats a les nostres xarxes socials (telegram, Facebook, VK, Bloc de solucions TS, Yandex Zen).

Font: www.habr.com