7. NGFW pro malé podniky. Výkon a obecná doporučení

Nastal čas dokončit sérii článků o nové generaci SMB Check Point (série 1500). Doufáme, že to pro vás byla obohacující zkušenost a že s námi na blogu TS Solution zůstanete i nadále. Téma pro závěrečný článek není široce probrané, ale neméně důležité – ladění výkonu SMB. V něm probereme možnosti konfigurace pro hardware a software NGFW, popíšeme dostupné příkazy a způsoby interakce.

Všechny články ze série o NGFW pro malé podniky:

1. Nová linka bezpečnostní brány CheckPoint 1500

2. Rozbalení a nastavení

3. Bezdrátový přenos dat: WiFi a LTE

4. VPN

5. Cloudová správa SMP

6. Smart-1 Cloud

V současné době není k dispozici mnoho zdrojů informací o ladění výkonu pro SMB řešení omezení interní OS - Gaia 80.20 Embedded. V našem článku použijeme rozvržení s centralizovanou správou (dedikovaný Management Server) - umožňuje používat více nástrojů při práci s NGFW.

Hardware

Než se dotknete architektury rodiny Check Point SMB, můžete vždy požádat svého partnera, aby nástroj použil Nástroj pro dimenzování spotřebiče, vybrat optimální řešení podle zadaných charakteristik (propustnost, předpokládaný počet uživatelů atd.).

Důležité poznámky při interakci s vaším hardwarem NGFW

1. Řešení NGFW rodiny SMB nemají možnost hardwarově upgradovat systémové komponenty (CPU, RAM, HDD), v závislosti na modelu je podpora SD karet, což umožňuje rozšířit kapacitu disku, ale ne výrazně.

2. Provoz síťových rozhraní vyžaduje kontrolu. Gaia 80.20 Embedded nemá mnoho monitorovacích nástrojů, ale vždy můžete použít známý příkaz v CLI prostřednictvím režimu Expert 

   #ifconfig

   

   Věnujte pozornost podtrženým řádkům, umožní vám odhadnout počet chyb na rozhraní. Důrazně se doporučuje kontrolovat tyto parametry během počáteční implementace vašeho NGFW a také pravidelně během provozu.

3. Pro plnohodnotnou Gaiu existuje příkaz:

   > zobrazit diag

   S jeho pomocí je možné získat informace o teplotě hardwaru. Tato možnost bohužel není k dispozici v 80.20 Embedded; uvedeme nejoblíbenější depeše SNMP:

   Jméno 

   popis

   Rozhraní odpojeno

   Zakázání rozhraní

   VLAN odstraněna

   Odstranění Vlans

   Vysoké využití paměti

   Vysoké využití RAM

   Málo místa na disku

   Nedostatek místa na HDD

   Vysoké využití CPU

   Vysoké využití CPU

   Vysoká frekvence přerušení CPU

   Vysoká míra přerušení

   Vysoká rychlost připojení

   Vysoký tok nových spojení

   Vysoká souběžná připojení

   Vysoká úroveň soutěžních sezení

   Vysoká propustnost firewallu

   Firewall s vysokou propustností

   Vysoká přijatá rychlost paketů

   Vysoká rychlost příjmu paketů

   Členský stát klastru se změnil

   Změna stavu clusteru

   Chyba připojení k serveru protokolu

   Ztratilo se spojení s Log-Server

4. Provoz vaší brány vyžaduje monitorování RAM. Aby Gaia (OS podobný Linuxu) fungovala, je to tak normální situacikdy spotřeba RAM dosáhne 70-80 % využití.

   Architektura SMB řešení neumožňuje využití SWAP paměti, na rozdíl od starších modelů Check Point. V souborech systému Linux to však bylo zaznamenáno , což naznačuje teoretickou možnost změny parametru SWAP.

Softwarová část

V době zveřejnění článku aktuální Verze Gaia - 80.20.10. Musíte vědět, že při práci v CLI existují omezení: některé příkazy Linuxu jsou podporovány v režimu Expert. Hodnocení výkonu NGFW vyžaduje hodnocení výkonu démonů a služeb, více podrobností o tom lze nalézt v článek moje kolegyně. Podíváme se na možné příkazy pro SMB.

Práce s Gaia OS

1. Procházet šablony SecureXL

   #fwaccelstat

   

2. Zobrazit boot podle jádra

   # fw ctl multik stat

   

3. Zobrazení počtu relací (připojení).

   # fw ctl pstat

   

4. * Zobrazit stav clusteru

   #cphaprob stat

   

5. Klasický linuxový TOP příkaz

Protokolování

Jak již víte, existují tři způsoby, jak pracovat s protokoly NGFW (ukládání, zpracování): lokálně, centrálně a v cloudu. Poslední dvě možnosti znamenají přítomnost entity – Management Serveru.

Možná schémata ovládání NGFW

Nejcennější soubory protokolu

1. Systémové zprávy (obsahují méně informací než plná Gaia)

   # tail -f /var/log/messages2

   

2. Chybová hlášení při provozu blade serverů (docela užitečný soubor při odstraňování problémů)

   # tail -f /var/log/log/sfwd.elg

   

3. Zobrazení zpráv z vyrovnávací paměti na úrovni jádra systému.

   #dmesg

   

Konfigurace čepele

Tato část nebude obsahovat úplné pokyny pro nastavení vašeho NGFW Check Point; obsahuje pouze naše doporučení vybraná na základě zkušeností.

Kontrola aplikací / filtrování URL

• V pravidlech se doporučuje vyhnout se JAKÝKOLIV, JAKÝKOLI (zdroj, cíl).

• Při zadávání vlastního zdroje adresy URL bude efektivnější používat regulární výrazy, jako jsou: (^|..)checkpoint.com

• Vyhněte se nadměrnému používání protokolování pravidel a zobrazování blokujících stránek (UserCheck).

• Ujistěte se, že technologie funguje správně "SecureXL". Většina provozu by měla projít zrychlená/střední dráha. Také nezapomeňte filtrovat pravidla podle nejpoužívanějších (pole hity ).

HTTPS-Inspekce

Není žádným tajemstvím, že 70–80 % uživatelského provozu pochází z připojení HTTPS, což znamená, že to vyžaduje zdroje z procesoru vaší brány. Kromě toho se HTTPS-Inspection podílí na práci IPS, Antivirus, Antibot.

Počínaje verzí 80.40 tam byl příležitost pro práci s pravidly HTTPS bez staršího řídicího panelu je zde několik doporučených pravidel:

• Bypass pro skupinu adres a sítí (Cíl).

• Obejít pro skupinu adres URL.

• Bypass pro interní IP a sítě s privilegovaným přístupem (Zdroj).

• Zkontrolujte požadované sítě, uživatele

• Obchvat pro všechny ostatní.

* Vždy je lepší ručně vybrat služby HTTPS nebo HTTPS Proxy a nechat Libovolné. Protokolovat události podle pravidel Inspect.

IPS

Pokud je použito příliš mnoho signatur, může se stát, že IPS blade nenainstaluje zásady do vašeho NGFW. Podle článek od Check Point není architektura zařízení SMB navržena tak, aby provozovala úplný doporučený konfigurační profil IPS.

Chcete-li problém vyřešit nebo mu předejít, postupujte takto:

1. Naklonujte optimalizovaný profil s názvem „Optimalizované SMB“ (nebo jiný podle vašeho výběru).

2. Upravte profil, přejděte do sekce IPS → Pre R80.Settings a vypněte Server Protections.

   

3. Podle svého uvážení můžete zakázat CVE starší než 2010, tyto chyby zabezpečení se v malých kancelářích mohou vyskytovat jen zřídka, ale ovlivňují výkon. Chcete-li některé z nich deaktivovat, přejděte na Profil→IPS→Další aktivace→Ochrany pro deaktivaci seznamu

   

Místo závěru

V rámci série článků o nové generaci NGFW rodiny SMB (1500) jsme se pokusili vyzdvihnout hlavní schopnosti řešení a na konkrétních příkladech předvedli konfiguraci důležitých bezpečnostních komponent. Jakékoliv dotazy k produktu rádi zodpovíme v komentářích. Zůstaneme s vámi, děkujeme za pozornost!

Velký výběr materiálů na Check Point od TS Solution. Abyste nezmeškali nové publikace, sledujte aktualizace na našich sociálních sítích (Telegram, facebook, VK, Blog řešení TS, Yandex Zen).

Zdroj: www.habr.com