Miabot na ang panahon aron makompleto ang serye sa mga artikulo bahin sa bag-ong henerasyon sa SMB Check Point (1500 series). Kami nanghinaut nga kini usa ka magantihon nga kasinatian alang kanimo ug nga ikaw magpadayon sa pag-uban kanamo sa TS Solution blog. Ang hilisgutan alang sa katapusan nga artikulo dili kaylap nga nasakup, apan dili kaayo hinungdanon - pag-tune sa pasundayag sa SMB. Niini atong hisgutan ang mga opsyon sa pag-configure alang sa hardware ug software sa NGFW, ihulagway ang anaa nga mga sugo ug mga pamaagi sa interaksyon.
Ang tanan nga mga artikulo sa serye bahin sa NGFW alang sa gagmay nga mga negosyo:
Sa pagkakaron, walay daghang tinubdan sa impormasyon mahitungod sa performance tuning alang sa mga solusyon sa SMB tungod sa internal nga OS - Gaia 80.20 Naka-embed. Sa among artikulo mogamit kami og usa ka layout nga adunay sentralisadong pagdumala (dedicated Management Server) - kini nagtugot kanimo sa paggamit sa dugang nga mga himan sa dihang nagtrabaho uban sa NGFW.
Hardware
Sa dili pa mohikap sa arkitektura sa pamilya sa Check Point SMB, mahimo nimong hangyoon kanunay ang imong partner sa paggamit sa utility Himan sa Pagsukod sa Appliance, aron mapili ang labing maayo nga solusyon sumala sa gipiho nga mga kinaiya (throughput, gilauman nga gidaghanon sa mga tiggamit, ug uban pa).
Importante nga mga nota sa dihang nakig-interact sa imong NGFW hardware
-
Ang mga solusyon sa NGFW sa pamilyang SMB walay katakus sa pag-upgrade sa mga sangkap sa sistema sa hardware (CPU, RAM, HDD); depende sa modelo, adunay suporta alang sa mga SD card, kini nagtugot kanimo sa pagpalapad sa kapasidad sa disk, apan dili kaayo.
-
Ang operasyon sa mga interface sa network nanginahanglan kontrol. Ang Gaia 80.20 Ang naka-embed walaβy daghang mga himan sa pag-monitor, apan mahimo nimo kanunay gamiton ang bantog nga mando sa CLI pinaagi sa Expert mode
# akofconfig
Hatagi'g pagtagad ang mga linya sa linya, tugotan ka nila nga mabanabana ang gidaghanon sa mga sayup sa interface. Girekomenda nga susihon kini nga mga parameter sa panahon sa una nga pagpatuman sa imong NGFW, ingon man matag karon ug unya sa panahon sa operasyon.
-
Alang sa usa ka hingpit nga Gaia adunay usa ka sugo:
> ipakita ang diag
Uban sa tabang niini posible nga makakuha og kasayuran mahitungod sa temperatura sa hardware. Ikasubo, kini nga kapilian wala magamit sa 80.20 Embedded; among ipakita ang labing inila nga SNMP traps:
Titulo
paghulagway
Interface naputol
Pag-disable sa interface
Gitangtang ang VLAN
Pagtangtang sa mga Vlan
Taas nga paggamit sa memorya
Taas nga paggamit sa RAM
Ubos nga espasyo sa disk
Dili igo nga espasyo sa HDD
Taas nga paggamit sa CPU
Taas nga paggamit sa CPU
Taas nga CPU interrupts rate
Taas nga interrupt rate
Taas nga rate sa koneksyon
Taas nga dagan sa bag-ong mga koneksyon
Taas nga dungan nga mga koneksyon
Taas nga lebel sa kompetisyon nga mga sesyon
Taas nga Firewall throughput
Taas nga throughput nga Firewall
Taas nga gidawat nga rate sa pakete
Taas nga rate sa pagdawat sa pakete
Nabag-o ang estado sa miyembro sa cluster
Pag-usab sa kahimtang sa cluster
Koneksyon sa log server error
Nawala ang koneksyon sa Log-Server
-
Ang operasyon sa imong ganghaan nanginahanglan pag-monitor sa RAM. Alang sa Gaia (Linux-like OS) nga magtrabaho, mao kini kung ang konsumo sa RAM moabot sa 70-80% sa paggamit.
Ang arkitektura sa mga solusyon sa SMB wala maghatag alang sa paggamit sa SWAP memory, dili sama sa mga daan nga modelo sa Check Point. Bisan pa, sa mga file sa sistema sa Linux namatikdan kini , nga nagpakita sa teoretikal nga posibilidad sa pag-usab sa SWAP parameter.
Bahin sa software
Sa panahon sa pagmantala sa artikulo Gaia nga bersyon - 80.20.10. Kinahanglan nimo mahibal-an nga adunay mga limitasyon kung nagtrabaho sa CLI: ang pipila nga mga mando sa Linux gisuportahan sa mode nga Eksperto. Ang pag-assess sa performance sa NGFW nagkinahanglan sa pag-assess sa performance sa mga daemon ug mga serbisyo, ang dugang nga mga detalye mahitungod niini makita sa akong kauban. Atong tan-awon ang posible nga mga sugo alang sa SMB.
Nagtrabaho sa Gaia OS
-
Pag-browse sa SecureXL nga mga template
#fwaccelstat
-
Tan-awa ang boot pinaagi sa kinauyokan
# fw ctl multik stat
-
Tan-awa ang gidaghanon sa mga sesyon (koneksyon).
# fw ctl pstat
-
* Tan-awa ang kahimtang sa cluster
#cphaprob stat
-
Classic Linux TOP nga sugo
Pag-log
Sama sa nahibal-an na nimo, adunay tulo ka paagi sa pagtrabaho sa NGFW logs (storage, pagproseso): lokal, sentral ug sa panganod. Ang katapusang duha ka mga kapilian nagpasabot sa presensya sa usa ka entidad - Management Server.
Posibleng NGFW control schemes
Ang labing bililhon nga mga file sa log
-
Mga mensahe sa sistema (naglangkob gamay nga kasayuran kaysa sa tibuuk nga Gaia)
# ikog -f /var/log/messages2
-
Mga mensahe sa sayup sa operasyon sa mga blades (usa ka mapuslanon nga file kung mag-troubleshoot sa mga problema)
# ikog -f /var/log/log/sfwd.elg
-
Tan-awa ang mga mensahe gikan sa buffer sa lebel sa kernel sa sistema.
#dmesg
Pag-configure sa blade
Kini nga seksyon dili maglangkob sa kompleto nga mga panudlo alang sa pag-set up sa imong NGFW Check Point; kini naglangkob lamang sa among mga rekomendasyon, gipili pinaagi sa kasinatian.
Pagkontrol sa Aplikasyon / Pagsala sa URL
-
Girekomenda nga likayan ang ANY, ANY (Source, Destination) nga kondisyon sa mga lagda.
-
Kung nagpiho sa usa ka naandan nga kapanguhaan sa URL, mas epektibo ang paggamit sa mga regular nga ekspresyon sama sa: (^|..)checkpoint.com
-
Likayi ang sobra nga paggamit sa pag-log sa lagda ug pagpakita sa mga panid nga nagbabag (UserCheck).
-
Siguroha nga ang teknolohiya nagtrabaho sa husto "SecureXL". Kadaghanan sa trapiko kinahanglan nga moagi accelerated/medium nga dalan. Usab, ayaw kalimti ang pagsala sa mga lagda sa labing gigamit nga mga (field Hits ).
HTTPS-Inspeksyon
Dili kini sekreto nga ang 70-80% sa trapiko sa tiggamit gikan sa mga koneksyon sa HTTPS, nga nagpasabot nga nagkinahanglan kini og mga kapanguhaan gikan sa imong gateway processor. Dugang pa, ang HTTPS-Inspection miapil sa buhat sa IPS, Antivirus, Antibot.
Sugod gikan sa bersyon 80.40 adunay aron magtrabaho sa mga lagda sa HTTPS nga walay Legacy Dashboard, ania ang pipila ka girekomendar nga han-ay sa lagda:
-
Bypass para sa grupo sa mga adres ug network (Destinasyon).
-
Bypass para sa grupo sa mga URL.
-
Pag-bypass alang sa internal nga IP ug mga network nga adunay pribilehiyo nga pag-access (Source).
-
Susiha ang gikinahanglan nga mga network, mga tiggamit
-
Bypass para sa tanan.
* Kanunay nga mas maayo nga mano-mano ang pagpili sa mga serbisyo sa HTTPS o HTTPS Proxy ug ibilin ang Bisan unsa. Pag-log sa mga panghitabo sumala sa mga lagda sa Inspeksyon.
IPS
Ang IPS blade mahimong mapakyas sa pag-instalar sa polisiya sa imong NGFW kung daghan kaayong pirma ang gigamit. Sumala sa gikan sa Check Point, ang SMB device nga arkitektura wala gidesinyo sa pagpadagan sa hingpit nga girekomendar nga IPS configuration profile.
Aron masulbad o mapugngan ang problema, sunda kini nga mga lakang:
-
I-clone ang Optimized nga profile nga gitawag og "Optimized SMB" (o lain nga imong gipili).
-
I-edit ang profile, adto sa IPS β Pre R80.Settings section ug i-off ang Server Protections.
-
Sa imong pagkabuotan, mahimo nimong i-disable ang mga CVE nga mas tigulang kaysa 2010, kini nga mga kahuyangan mahimong panagsa ra makit-an sa gagmay nga mga opisina, apan makaapekto sa pasundayag. Aron ma-disable ang pipila niini, adto sa ProfileβIPSβAdditional ActivationβProtections to deactivate list
Kay sa usa ka konklusyon
Isip bahin sa serye sa mga artikulo bahin sa bag-ong henerasyon sa NGFW sa pamilyang SMB (1500), gisulayan namon nga ipasiugda ang mga nag-unang kapabilidad sa solusyon ug gipakita ang pagsumpo sa hinungdanon nga mga sangkap sa seguridad gamit ang piho nga mga pananglitan. Malipay kami nga tubagon ang bisan unsang mga pangutana bahin sa produkto sa mga komento. Nagpabilin kami kanimo, salamat sa imong pagtagad!
. Aron dili makalimtan ang mga bag-ong publikasyon, sunda ang mga update sa among mga social network (, , , , ).
Source: www.habr.com