7. NGFW per a petites empreses. Rendiment i recomanacions generals
Ha arribat el moment de completar la sèrie d'articles sobre la nova generació de SMB Check Point (sèrie 1500). Esperem que aquesta hagi estat una experiència gratificant per a vosaltres i que continueu amb nosaltres al bloc de TS Solution. El tema de l'article final no es tracta àmpliament, però no és menys important: l'ajust del rendiment de SMB. En ell parlarem de les opcions de configuració del maquinari i programari de la NGFW, descriurem les ordres disponibles i els mètodes d'interacció.
Tots els articles de la sèrie sobre NGFW per a petites empreses:
Actualment, no hi ha moltes fonts d'informació sobre l'ajust del rendiment de les solucions SMB a causa de restriccions SO intern - Gaia 80.20 Embedded. Al nostre article utilitzarem un disseny amb gestió centralitzada (Servidor de gestió dedicat): us permet utilitzar més eines quan treballeu amb NGFW.
Maquinari
Abans de tocar l'arquitectura de la família Check Point SMB, sempre podeu demanar a la vostra parella que utilitzi la utilitat Eina de mida de l'aparell, per seleccionar la solució òptima d'acord amb les característiques especificades (producció, nombre esperat d'usuaris, etc.).
Notes importants quan interactueu amb el vostre maquinari NGFW
Les solucions NGFW de la família SMB no tenen la capacitat d'actualitzar el maquinari dels components del sistema (CPU, RAM, HDD); depenent del model, hi ha suport per a targetes SD, això us permet ampliar la capacitat del disc, però no de manera significativa.
El funcionament de les interfícies de xarxa requereix control. Gaia 80.20 Embedded no té moltes eines de supervisió, però sempre podeu utilitzar l'ordre coneguda a la CLI mitjançant el mode Expert
# ifconfig
Fixeu-vos en les línies subratllades, us permetran estimar el nombre d'errors a la interfície. És molt recomanable comprovar aquests paràmetres durant la implementació inicial del vostre NGFW, així com periòdicament durant el funcionament.
Per a una Gaia en tota regla, hi ha una ordre:
> mostra el diag
Amb la seva ajuda és possible obtenir informació sobre la temperatura del maquinari. Malauradament, aquesta opció no està disponible a 80.20 Embedded; us indicarem les trampes SNMP més populars:
Nom
Descripció
Interfície desconnectada
Desactivació de la interfície
S'ha eliminat la VLAN
Eliminació de Vlans
Alt ús de memòria
Alt ús de RAM
Poc espai al disc
No hi ha prou espai al disc dur
Alt ús de la CPU
Alt ús de la CPU
Alta taxa d'interrupcions de la CPU
Alta taxa d'interrupció
Alta taxa de connexió
Alt flux de noves connexions
Connexions concurrents altes
Alt nivell de sessions competitives
Alt rendiment del tallafoc
Tallafocs d'alt rendiment
Alta taxa de paquets acceptats
Alta taxa de recepció de paquets
L'estat membre del clúster ha canviat
Canvi de l'estat del clúster
Error de connexió amb el servidor de registre
S'ha perdut la connexió amb Log-Server
El funcionament de la vostra passarel·la requereix un seguiment de la memòria RAM. Perquè Gaia (SO semblant a Linux) funcioni, això és situació normalquan el consum de RAM arriba al 70-80% d'ús.
L'arquitectura de les solucions SMB no preveu l'ús de memòria SWAP, a diferència dels models de Check Point anteriors. Tanmateix, es va veure als fitxers del sistema Linux, cosa que indica que teòricament és possible canviar el paràmetre SWAP.
Part de programari
En el moment de la publicació de l'article real Versió de Gaia - 80.20.10. Heu de saber que hi ha limitacions a l'hora de treballar a la CLI: en el mode Expert, s'admeten algunes ordres de Linux. Avaluar el rendiment de NGFW requereix avaluar el rendiment dels dimonis i serveis, es poden trobar més detalls sobre això a article el meu company. Veurem possibles ordres per a SMB.
Treballant amb Gaia OS
Exploreu les plantilles de SecureXL
#fwaccelstat
Veure l'arrencada per nucli
# fw ctl multik stat
Veure el nombre de sessions (connexions).
# fw ctl pstat
*Veure l'estat del clúster
#cphaprob stat
Comandament TOP de Linux clàssic
Enregistrament
Com ja sabeu, hi ha tres maneres de treballar amb els registres NGFW (emmagatzematge, processament): localment, centralment i al núvol. Les dues últimes opcions impliquen la presència d'una entitat: Servidor de gestió.
Possibles esquemes de control de NGFW
Els fitxers de registre més valuosos
Missatges del sistema (conté menys informació que Gaia completa)
# tail -f /var/log/messages2
Missatges d'error en el funcionament de les fulles (un fitxer força útil per resoldre problemes)
# tail -f /var/log/log/sfwd.elg
Veure missatges de la memòria intermèdia al nivell del nucli del sistema.
#dmesg
Configuració de la fulla
Aquesta secció no contindrà instruccions completes per configurar el vostre punt de control NGFW; només conté les nostres recomanacions, seleccionades per experiència.
Control d'aplicacions/Filtratge d'URL
Es recomana evitar QUALSEVOL, QUALSEVOL condicions (Font, Destinació) a les normes.
Quan especifiqueu un recurs d'URL personalitzat, serà més efectiu utilitzar expressions regulars com: (^|..)checkpoint.com
Eviteu l'ús excessiu del registre de regles i la visualització de pàgines de bloqueig (UserCheck).
Assegureu-vos que la tecnologia funcioni correctament "SecureXL". La majoria del trànsit hauria de passar camí accelerat/mitjana. A més, no us oblideu de filtrar les regles per les més utilitzades (camp Accessos ).
Inspecció HTTPS
No és cap secret que el 70-80% del trànsit d'usuaris prové de connexions HTTPS, la qual cosa significa que això requereix recursos del processador de passarel·la. A més, HTTPS-Inspection participa en el treball d'IPS, Antivirus, Antibot.
A partir de la versió 80.40 hi havia oportunitat per treballar amb regles HTTPS sense Legacy Dashboard, aquí teniu un ordre de regles recomanat:
Bypass per a un grup d'adreces i xarxes (Destinació).
Ometre un grup d'URL.
Bypass per a IP interna i xarxes amb accés privilegiat (Font).
Inspeccioneu les xarxes requerides, usuaris
Bypass per a tots els altres.
* Sempre és millor seleccionar manualment els serveis HTTPS o HTTPS Proxy i deixar Qualsevol. Registra els esdeveniments segons les regles d'inspecció.
IPS
El blade IPS pot no instal·lar la política al vostre NGFW si s'utilitzen massa signatures. D'acord amb article des de Check Point, l'arquitectura del dispositiu SMB no està dissenyada per executar el perfil de configuració IPS recomanat complet.
Per resoldre o prevenir el problema, seguiu aquests passos:
Cloneu el perfil optimitzat anomenat "Optimized SMB" (o un altre que trieu).
Editeu el perfil, aneu a la secció IPS → Pre R80.Configuració i desactiveu les Proteccions del servidor.
A la vostra discreció, podeu desactivar CVE anteriors al 2010, aquestes vulnerabilitats poden trobar-se poques vegades a les oficines petites, però afecten el rendiment. Per desactivar alguns d'ells, aneu a Perfil → IPS → Activació addicional → Proteccions per desactivar la llista
En lloc d'una conclusió
Com a part d'una sèrie d'articles sobre la nova generació de NGFW de la família SMB (1500), vam intentar destacar les principals capacitats de la solució i vam demostrar la configuració de components de seguretat importants mitjançant exemples concrets. Estarem encantats de respondre qualsevol pregunta sobre el producte als comentaris. Quedem amb vosaltres, gràcies per la vostra atenció!