7. NGFW pro malé podniky. Výkon a obecná doporučení
Nastal čas dokončit sérii článků o nové generaci SMB Check Point (série 1500). Doufáme, že to pro vás byla obohacující zkušenost a že s námi na blogu TS Solution zůstanete i nadále. Téma pro závěrečný článek není široce probrané, ale neméně důležité – ladění výkonu SMB. V něm probereme možnosti konfigurace pro hardware a software NGFW, popíšeme dostupné příkazy a způsoby interakce.
V současné době není k dispozici mnoho zdrojů informací o ladění výkonu pro SMB řešení omezení interní OS - Gaia 80.20 Embedded. V našem článku použijeme rozvržení s centralizovanou správou (dedikovaný Management Server) - umožňuje používat více nástrojů při práci s NGFW.
Hardware
Než se dotknete architektury rodiny Check Point SMB, můžete vždy požádat svého partnera, aby nástroj použil Nástroj pro dimenzování spotřebiče, vybrat optimální řešení podle zadaných charakteristik (propustnost, předpokládaný počet uživatelů atd.).
Důležité poznámky při interakci s vaším hardwarem NGFW
Řešení NGFW rodiny SMB nemají možnost hardwarově upgradovat systémové komponenty (CPU, RAM, HDD), v závislosti na modelu je podpora SD karet, což umožňuje rozšířit kapacitu disku, ale ne výrazně.
Provoz síťových rozhraní vyžaduje kontrolu. Gaia 80.20 Embedded nemá mnoho monitorovacích nástrojů, ale vždy můžete použít známý příkaz v CLI prostřednictvím režimu Expert
#ifconfig
Věnujte pozornost podtrženým řádkům, umožní vám odhadnout počet chyb na rozhraní. Důrazně se doporučuje kontrolovat tyto parametry během počáteční implementace vašeho NGFW a také pravidelně během provozu.
Pro plnohodnotnou Gaiu existuje příkaz:
> zobrazit diag
S jeho pomocí je možné získat informace o teplotě hardwaru. Tato možnost bohužel není k dispozici v 80.20 Embedded; uvedeme nejoblíbenější depeše SNMP:
Jméno
popis
Rozhraní odpojeno
Zakázání rozhraní
VLAN odstraněna
Odstranění Vlans
Vysoké využití paměti
Vysoké využití RAM
Málo místa na disku
Nedostatek místa na HDD
Vysoké využití CPU
Vysoké využití CPU
Vysoká frekvence přerušení CPU
Vysoká míra přerušení
Vysoká rychlost připojení
Vysoký tok nových spojení
Vysoká souběžná připojení
Vysoká úroveň soutěžních sezení
Vysoká propustnost firewallu
Firewall s vysokou propustností
Vysoká přijatá rychlost paketů
Vysoká rychlost příjmu paketů
Členský stát klastru se změnil
Změna stavu clusteru
Chyba připojení k serveru protokolu
Ztratilo se spojení s Log-Server
Provoz vaší brány vyžaduje monitorování RAM. Aby Gaia (OS podobný Linuxu) fungovala, je to tak normální situacikdy spotřeba RAM dosáhne 70-80 % využití.
Architektura SMB řešení neumožňuje využití SWAP paměti, na rozdíl od starších modelů Check Point. V souborech systému Linux to však bylo zaznamenáno , což naznačuje teoretickou možnost změny parametru SWAP.
Softwarová část
V době zveřejnění článku aktuální Verze Gaia - 80.20.10. Musíte vědět, že při práci v CLI existují omezení: některé příkazy Linuxu jsou podporovány v režimu Expert. Hodnocení výkonu NGFW vyžaduje hodnocení výkonu démonů a služeb, více podrobností o tom lze nalézt v článek moje kolegyně. Podíváme se na možné příkazy pro SMB.
Práce s Gaia OS
Procházet šablony SecureXL
#fwaccelstat
Zobrazit boot podle jádra
# fw ctl multik stat
Zobrazení počtu relací (připojení).
# fw ctl pstat
* Zobrazit stav clusteru
#cphaprob stat
Klasický linuxový TOP příkaz
Protokolování
Jak již víte, existují tři způsoby, jak pracovat s protokoly NGFW (ukládání, zpracování): lokálně, centrálně a v cloudu. Poslední dvě možnosti znamenají přítomnost entity – Management Serveru.
Možná schémata ovládání NGFW
Nejcennější soubory protokolu
Systémové zprávy (obsahují méně informací než plná Gaia)
# tail -f /var/log/messages2
Chybová hlášení při provozu blade serverů (docela užitečný soubor při odstraňování problémů)
# tail -f /var/log/log/sfwd.elg
Zobrazení zpráv z vyrovnávací paměti na úrovni jádra systému.
#dmesg
Konfigurace čepele
Tato část nebude obsahovat úplné pokyny pro nastavení vašeho NGFW Check Point; obsahuje pouze naše doporučení vybraná na základě zkušeností.
Kontrola aplikací / filtrování URL
V pravidlech se doporučuje vyhnout se JAKÝKOLIV, JAKÝKOLI (zdroj, cíl).
Při zadávání vlastního zdroje adresy URL bude efektivnější používat regulární výrazy, jako jsou: (^|..)checkpoint.com
Vyhněte se nadměrnému používání protokolování pravidel a zobrazování blokujících stránek (UserCheck).
Ujistěte se, že technologie funguje správně "SecureXL". Většina provozu by měla projít zrychlená/střední dráha. Také nezapomeňte filtrovat pravidla podle nejpoužívanějších (pole hity ).
HTTPS-Inspekce
Není žádným tajemstvím, že 70–80 % uživatelského provozu pochází z připojení HTTPS, což znamená, že to vyžaduje zdroje z procesoru vaší brány. Kromě toho se HTTPS-Inspection podílí na práci IPS, Antivirus, Antibot.
Počínaje verzí 80.40 tam byl příležitost pro práci s pravidly HTTPS bez staršího řídicího panelu je zde několik doporučených pravidel:
Bypass pro skupinu adres a sítí (Cíl).
Obejít pro skupinu adres URL.
Bypass pro interní IP a sítě s privilegovaným přístupem (Zdroj).
Zkontrolujte požadované sítě, uživatele
Obchvat pro všechny ostatní.
* Vždy je lepší ručně vybrat služby HTTPS nebo HTTPS Proxy a nechat Libovolné. Protokolovat události podle pravidel Inspect.
IPS
Pokud je použito příliš mnoho signatur, může se stát, že IPS blade nenainstaluje zásady do vašeho NGFW. Podle článek od Check Point není architektura zařízení SMB navržena tak, aby provozovala úplný doporučený konfigurační profil IPS.
Chcete-li problém vyřešit nebo mu předejít, postupujte takto:
Naklonujte optimalizovaný profil s názvem „Optimalizované SMB“ (nebo jiný podle vašeho výběru).
Upravte profil, přejděte do sekce IPS → Pre R80.Settings a vypněte Server Protections.
Podle svého uvážení můžete zakázat CVE starší než 2010, tyto chyby zabezpečení se v malých kancelářích mohou vyskytovat jen zřídka, ale ovlivňují výkon. Chcete-li některé z nich deaktivovat, přejděte na Profil→IPS→Další aktivace→Ochrany pro deaktivaci seznamu
Místo závěru
V rámci série článků o nové generaci NGFW rodiny SMB (1500) jsme se pokusili vyzdvihnout hlavní schopnosti řešení a na konkrétních příkladech předvedli konfiguraci důležitých bezpečnostních komponent. Jakékoliv dotazy k produktu rádi zodpovíme v komentářích. Zůstaneme s vámi, děkujeme za pozornost!