7. NGFW per i picculi imprese. Prestazione è cunsiglii generale

Hè ghjuntu u tempu di compie a serie di articuli nantu à a nova generazione di SMB Check Point (serie 1500). Speremu chì questa hè stata una sperienza gratificante per voi è chì continuerete à esse cun noi in u blog di Soluzione TS. U tema per l'articulu finale ùn hè micca cupartu assai, ma micca menu impurtante - tuning performance SMB. In questu discutemu l'opzioni di cunfigurazione per u hardware è u software di u NGFW, descrive i cumandamenti dispunibili è i metudi d'interazzione.

Tutti l'articuli in a serie nantu à NGFW per i picculi imprese:

1. Novu CheckPoint 1500 Security Gateway Line

2. Unboxing è Setup

3. Trasmissione di dati wireless: WiFi è LTE

4. VPN

5. Gestione Cloud SMP

6. Smart-1 Cloud

Attualmente, ùn ci sò parechje fonti d'infurmazioni nantu à l'accordu di rendiment per e soluzioni SMB per via di restrizioni OS internu - Gaia 80.20 Embedded. In u nostru articulu avemu aduprà un layout cù gestione centralizata (Servitore di Gestione dedicatu) - vi permette di utilizà più arnesi quandu u travagliu cù NGFW.

Hardware

Prima di tuccà l'architettura di famiglia Check Point SMB, pudete sempre dumandà à u vostru cumpagnu di utilizà l'utilità Strumentu di dimensionamentu di l'apparecchi, per selezziunà a suluzione ottima secondu e caratteristiche specificate (troughput, u numeru previstu di utilizatori, etc.).

Note impurtanti quandu interagisce cù u vostru hardware NGFW

1. Soluzioni NGFW di a famiglia SMB ùn anu micca a capacità di aghjurnà i cumpunenti di u sistema hardware (CPU, RAM, HDD secondu u mudellu, ci hè un supportu per e carte SD, questu permette di espansione a capacità di u discu, ma micca significativamente).

2. U funziunamentu di l'interfacce di rete richiede un cuntrollu. Gaia 80.20 Embedded ùn hà micca assai strumenti di monitoraghju, ma pudete sempre aduprà u cumandimu ben cunnisciutu in a CLI via u modu Expert. 

   # ifconfig

   

   Prestate attenzione à e linee sottolineate, vi permettenu di stimà u numeru di errori nantu à l'interfaccia. Hè assai ricumandemu di verificà questi paràmetri durante l'implementazione iniziale di u vostru NGFW, è ancu periodicamente durante l'operazione.

3. Per una Gaia piena ci hè un cumandamentu:

   > mostra diag

   Cù u so aiutu hè pussibule di ottene infurmazioni nantu à a temperatura di u hardware. Sfurtunatamente, sta opzione ùn hè micca dispunibule in 80.20 Embedded, indicheremu e trappule SNMP più populari:

   Titulu 

   discrizzione

   Interfaccia disconnected

   Disattivà l'interfaccia

   VLAN eliminata

   Eliminazione di Vlans

   Alta utilizazione di memoria

   Alta utilizazione di RAM

   Spaziu pocu discu

   Ùn hè abbastanza spaziu HDD

   Alta utilizazione di CPU

   Alta utilizazione di CPU

   Alta velocità di interruzioni di CPU

   Alta rata di interruzzione

   Alta rata di cunnessione

   Altu flussu di novi cunnessione

   Alta cunnessione simultanea

   Altu livellu di sessioni cumpetitive

   High Firewall throughput

   Firewall high throughput

   Alta tarifa accettata di pacchetti

   Alta rata di ricezione di pacchetti

   U statu membru di u cluster hè cambiatu

   Cambia u statu di cluster

   Cunnessione cù l'errore di u servitore di log

   Cunnessione persa cù Log-Server

4. U vostru gateway richiede u monitoraghju di a RAM per funziunà. Gaia richiede (Linux simile à OC) hè situazione normalequandu u cunsumu di RAM righjunghji 70-80% di usu.

   L'architettura di e suluzioni SMB ùn prevede micca l'usu di a memoria SWAP, à u cuntrariu di i mudelli Check Point più vechji. Tuttavia, in i fugliali di sistema Linux hè statu nutatu , chì indica a pussibilità teorica di cambià u parametru SWAP.

Parte di u software

À u mumentu di a publicazione di l'articulu currente Versione Gaia - 80.20.10. Avete bisognu di sapè chì ci sò limitazioni quandu u travagliu in a CLI: alcuni cumandamenti Linux sò supportati in u modu Expert. A valutazione di u rendiment di NGFW richiede a valutazione di u rendiment di i demoni è i servizii, più dettagli nantu à questu ponu esse truvati in articulu u mo cullega. Fighjemu i cumandamenti pussibuli per SMB.

U travagliu cù Gaia OS

1. Sfoglia i mudelli SecureXL

   #fwaccelstat

   

2. Vede u boot per core

   # fw ctl multik stat

   

3. Vede u numeru di sessioni (cunnessioni).

   # fw ctl pstat

   

4. * Vede u statutu di u cluster

   #cphaprob stat

   

5. Classical Linux-Squadra TOP

Logging

Comu sapete, ci sò trè manere di travaglià cù logs NGFW (almacenamiento, trasfurmazioni): lucale, cintrali è in u nuvulu. L'ultimi dui opzioni implicanu a prisenza di una entità - Management Server.

Possibili schemi di cuntrollu NGFW

I schedarii di log più preziosi

1. Missaghji di u sistema (cuntene menu infurmazione chè Gaia sanu)

   # tail -f /var/log/messages2

   

2. Missaghji d'errore in u funziunamentu di e lame (un schedariu abbastanza utile per risolve i prublemi)

   # tail -f /var/log/log/sfwd.elg

   

3. Vede i missaghji da u buffer à u livellu di u kernel di u sistema.

   #dmesg

   

Cunfigurazione di a lama

Questa rùbbrica ùn cuntene struzzioni cumpleti per a stallazione di u vostru Puntu di Verificazione NGFW cuntene solu i nostri cunsiglii, selezziunati da l'esperienza.

Cuntrolla di l'applicazione / Filtru URL

• Hè ricumandemu per evità ANY, ANY (Source, Destination) cundizioni in e regule.

• Quandu si specifica una risorsa URL persunalizata, serà più efficau per utilizà espressioni regulari cum'è: (^|..)checkpoint.com

• Evite l'usu eccessivu di a registrazione di e regule è a visualizazione di e pagine di bloccu (UserCheck).

• Assicuratevi chì a tecnulugia funziona bè "SecureXL". A maiò parte di u trafficu deve passà percorsu acceleratu / mediu. Inoltre, ùn vi scurdate di filtrà e regule per i più utilizati (campu Hits ).

Ispezione HTTPS

Ùn hè micca sicretu chì u 70-80% di u trafficu di l'utilizatori vene da e cunnessione HTTPS, chì significa chì questu richiede risorse da u vostru processore di gateway. Inoltre, HTTPS-Inspection participa à u travagliu di IPS, Antivirus, Antibot.

Partendu da a versione 80.40 ci era uppurtunità per travaglià cù e regule HTTPS senza Legacy Dashboard, eccu un ordine di regule cunsigliatu:

• Bypass per un gruppu di indirizzi è rete (destinazione).

• Bypass per un gruppu di URL.

• Bypass per IP internu è rete cù accessu privilegiatu (Source).

• Inspeccione per e rete richieste, utilizatori

• Bypass per tutti l'altri.

* Hè sempre megliu selezziunate manualmente i servizii HTTPS o HTTPS Proxy è lasciate Qualunque. Registra l'avvenimenti secondu e regule Inspect.

IPS

A lama IPS pò fallu installà a pulitica nantu à u vostru NGFW se troppu firme sò aduprate. Secondu articulu da Check Point, l'architettura di u dispositivu SMB ùn hè micca pensata per eseguisce u prufilu di cunfigurazione IPS cumpletu cunsigliatu.

Per risolve o prevene u prublema, seguitate sti passi:

1. Clone u prufilu Optimized chjamatu "Optimized SMB" (o un altru di a vostra scelta).

2. Edite u prufilu, andate à a sezione IPS → Pre R80.Settings è disattiveghjanu a Proteczione di u Servitore.

   

3. À a vostra discrezione, pudete disattivà CVE più vechje di 2010, queste vulnerabilità ponu raramenti truvate in picculi uffizii, ma affettanu u rendiment. Per disattivà alcuni di elli, andate à Profile→IPS→Additional Activation→Protections to disattivà a lista

   

Inveci di 'na cunchiusioni

Comu parte di una seria di articuli nantu à a nova generazione di NGFW di a famiglia SMB (1500), avemu pruvatu à mette in risaltu e capacità principali di a suluzione è dimustratu a cunfigurazione di cumpunenti di sicurità impurtanti utilizendu esempi specifichi. Seremu felici di risponde à qualsiasi dumande nantu à u pruduttu in i cumenti. Semu cun voi, grazie per a vostra attenzione !

Vasta scelta di materiali in Check Point da TS Solution. Per ùn mancà e novi publicazioni, seguite l'aghjurnamenti nantu à e nostre rete suciale (n'ambasciata, Facebook, VK, TS Solution Blog, Yandex Zen).

Source: www.habr.com