ProHoster > blog > Gweinyddiaeth > 7. NGFW ar gyfer busnesau bach. Perfformiad ac argymhellion cyffredinol
7. NGFW ar gyfer busnesau bach. Perfformiad ac argymhellion cyffredinol
Mae'r amser wedi dod i gwblhau'r gyfres o erthyglau am y genhedlaeth newydd o SMB Check Point (cyfres 1500). Gobeithiwn fod hwn yn brofiad gwerth chweil i chi ac y byddwch yn parhau i fod gyda ni ar flog TS Solution. Nid yw'r pwnc ar gyfer yr erthygl olaf yn cael sylw eang, ond nid yw'n llai pwysig - tiwnio perfformiad SMB. Ynddo byddwn yn trafod yr opsiynau ffurfweddu ar gyfer caledwedd a meddalwedd NGFW, yn disgrifio'r gorchmynion sydd ar gael a'r dulliau rhyngweithio.
Ar hyn o bryd, nid oes llawer o ffynonellau gwybodaeth am tiwnio perfformiad ar gyfer datrysiadau SMB oherwydd cyfyngiadau AO mewnol - Gaia 80.20 Wedi'i fewnosod. Yn ein herthygl byddwn yn defnyddio cynllun gyda rheolaeth ganolog (Gweinydd Rheoli ymroddedig) - mae'n caniatΓ‘u ichi ddefnyddio mwy o offer wrth weithio gyda NGFW.
Caledwedd
Cyn cyffwrdd Γ’ phensaernΓ―aeth teulu Check Point SMB, gallwch chi bob amser ofyn i'ch partner ddefnyddio'r cyfleustodau Offeryn Maint Offer, i ddewis yr ateb gorau posibl yn Γ΄l y nodweddion penodedig (trwybwn, nifer disgwyliedig o ddefnyddwyr, ac ati).
Nodiadau pwysig wrth ryngweithio Γ’'ch caledwedd NGFW
Nid oes gan atebion NGFW o'r teulu SMB y gallu i uwchraddio caledwedd cydrannau system (CPU, RAM, HDD); yn dibynnu ar y model, mae cefnogaeth i gardiau SD, mae hyn yn caniatΓ‘u ichi ehangu cynhwysedd y ddisg, ond nid yn sylweddol.
Mae angen rheolaeth ar weithrediad rhyngwynebau rhwydwaith. Nid oes gan Gaia 80.20 Embedded lawer o offer monitro, ond gallwch chi bob amser ddefnyddio'r gorchymyn adnabyddus yn y CLI trwy'r modd Arbenigol
# fffconfig
Rhowch sylw i'r llinellau sydd wedi'u tanlinellu, byddant yn caniatΓ‘u ichi amcangyfrif nifer y gwallau ar y rhyngwyneb. Argymhellir yn gryf eich bod yn gwirio'r paramedrau hyn yn ystod gweithrediad cychwynnol eich NGFW, yn ogystal ag o bryd i'w gilydd yn ystod gweithrediad.
Ar gyfer Gaia cyflawn mae gorchymyn:
>dangos diag
Gyda'i help mae'n bosibl cael gwybodaeth am dymheredd y caledwedd. Yn anffodus, nid yw'r opsiwn hwn ar gael yn 80.20 Embedded; byddwn yn nodi'r trapiau SNMP mwyaf poblogaidd:
Enw
Disgrifiad
Rhyngwyneb wedi'i ddatgysylltu
Analluogi'r rhyngwyneb
VLAN tynnu
Cael gwared ar Vlans
Defnydd cof uchel
Defnydd uchel o RAM
Gofod disg isel
Dim digon o le HDD
Defnydd CPU uchel
Defnydd CPU uchel
Cyfradd ymyrraeth CPU uchel
Cyfradd ymyrraeth uchel
Cyfradd cysylltiad uchel
Llif uchel o gysylltiadau newydd
Cysylltiadau cydamserol uchel
Lefel uchel o sesiynau cystadleuol
Trwybwn Firewall Uchel
Mur gwarchod trwybwn uchel
Cyfradd pecyn derbyniol uchel
Cyfradd derbyniad pecyn uchel
Newidiodd aelod-wladwriaeth clwstwr
Newid cyflwr y clwstwr
Cysylltiad Γ’ gwall gweinydd log
Colli cysylltiad Γ’ Log-Server
Mae gweithrediad eich porth yn gofyn am fonitro RAM. Er mwyn i Gaia (OS tebyg i Linux) weithio, dyma sefyllfa arferolpan fydd defnydd RAM yn cyrraedd 70-80% o ddefnydd.
Nid yw pensaernΓ―aeth datrysiadau SMB yn darparu ar gyfer defnyddio cof SWAP, yn wahanol i fodelau Check Point hΕ·n. Fodd bynnag, mewn ffeiliau system Linux sylwyd arno , sy'n nodi'r posibilrwydd damcaniaethol o newid y paramedr SWAP.
Rhan meddalwedd
Ar adeg cyhoeddi'r erthygl yn gyfoes Fersiwn Gaia - 80.20.10. Mae angen i chi wybod bod cyfyngiadau wrth weithio yn y CLI: cefnogir rhai gorchmynion Linux yn y modd Arbenigol. Mae asesu perfformiad NGFW yn gofyn am asesu perfformiad daemoniaid a gwasanaethau, mae mwy o fanylion am hyn i'w cael yn Erthygl fy nghydweithiwr. Byddwn yn edrych ar orchmynion posibl ar gyfer SMB.
Gweithio gyda Gaia OS
Pori templedi SecureXL
#fwaccelstat
Gweld y cychwyn yn Γ΄l craidd
# fw ctl multik stat
Gweld nifer y sesiynau (cysylltiadau).
# fw ctl pstat
* Gweld statws clwstwr
#cphaprob stat
Gorchymyn TOP clasurol Linux
Logio
Fel y gwyddoch eisoes, mae tair ffordd o weithio gyda logiau NGFW (storio, prosesu): yn lleol, yn ganolog ac yn y cwmwl. Mae'r ddau opsiwn olaf yn awgrymu presenoldeb endid - Gweinyddwr Rheoli.
Cynlluniau rheoli NGFW posibl
Y ffeiliau log mwyaf gwerthfawr
Negeseuon system (yn cynnwys llai o wybodaeth na Gaia llawn)
# cynffon -f /var/log/messages2
Negeseuon gwall wrth weithredu llafnau (ffeil eithaf defnyddiol wrth ddatrys problemau)
# cynffon -f /var/log/log/sfwd.elg
Gweld negeseuon o'r byffer ar lefel cnewyllyn y system.
#dmsg
Ffurfweddiad llafn
Ni fydd yr adran hon yn cynnwys cyfarwyddiadau cyflawn ar gyfer sefydlu eich Pwynt Gwirio NGFW; dim ond ein hargymhellion y mae'n eu cynnwys, wedi'u dewis yn Γ΄l profiad.
Rheoli Cais / Hidlo URL
Argymhellir osgoi UNRHYW, UNRHYW UNRHYW amodau (Ffynhonnell, Cyrchfan) mewn rheolau.
Wrth nodi adnodd URL personol, bydd yn fwy effeithiol defnyddio ymadroddion rheolaidd fel: (^|..)checkpoint.com
Osgoi defnydd gormodol o gofnodi rheolau ac arddangos tudalennau blocio (UserCheck).
Sicrhewch fod y dechnoleg yn gweithio'n gywir "SecureXL". Dylai'r rhan fwyaf o draffig fynd drwodd llwybr carlam/canolig. Hefyd, peidiwch ag anghofio hidlo'r rheolau yn Γ΄l y rhai a ddefnyddir fwyaf (maes hits ).
HTTPS-Arolygiad
Nid yw'n gyfrinach bod 70-80% o draffig defnyddwyr yn dod o gysylltiadau HTTPS, sy'n golygu bod hyn yn gofyn am adnoddau gan eich prosesydd porth. Yn ogystal, mae HTTPS-Inspection yn cymryd rhan yng ngwaith IPS, Antivirus, Antibot.
Gan ddechrau o fersiwn 80.40 roedd cyfle i weithio gyda rheolau HTTPS heb Ddangosfwrdd Etifeddiaeth, dyma rywfaint o orchymyn rheol a argymhellir:
Ffordd osgoi ar gyfer grΕ΅p o gyfeiriadau a rhwydweithiau (Cyrchfan).
Ffordd osgoi ar gyfer grΕ΅p o URLs.
Ffordd osgoi ar gyfer IP mewnol a rhwydweithiau gyda mynediad breintiedig (Ffynhonnell).
Archwilio ar gyfer rhwydweithiau gofynnol, defnyddwyr
Ffordd osgoi i bawb arall.
* Mae bob amser yn well dewis gwasanaethau HTTPS neu HTTPS Proxy Γ’ llaw a gadael Unrhyw. Logio digwyddiadau yn unol Γ’ rheolau Archwilio.
Gwasanaeth Hunaniaeth a Phasbortau
Mae'n bosibl y bydd llafn yr IPS yn methu Γ’ gosod polisi ar eich NGFW os defnyddir gormod o lofnodion. Yn Γ΄l Erthygl o Check Point, nid yw pensaernΓ―aeth dyfais SMB wedi'i gynllunio i redeg y proffil cyfluniad IPS llawn a argymhellir.
I ddatrys neu atal y broblem, dilynwch y camau hyn:
Cloniwch y proffil Optimized o'r enw βOptimized SMBβ (neu un arall o'ch dewis).
Golygwch y proffil, ewch i'r adran IPS β Pre R80.Settings a diffodd Diogelwch Gweinyddwr.
Yn Γ΄l eich disgresiwn, gallwch analluogi CVEs sy'n hΕ·n na 2010, yn anaml y gwelir y gwendidau hyn mewn swyddfeydd bach, ond maent yn effeithio ar berfformiad. I analluogi rhai ohonynt, ewch i Proffil β IPS β Ysgogi Ychwanegol β Amddiffyniadau i ddadactifadu rhestr
Yn hytrach na i gasgliad
Fel rhan o gyfres o erthyglau am y genhedlaeth newydd o NGFW o'r teulu SMB (1500), fe wnaethom geisio tynnu sylw at brif alluoedd y datrysiad a dangos ffurfweddiad cydrannau diogelwch pwysig gan ddefnyddio enghreifftiau penodol. Byddwn yn hapus i ateb unrhyw gwestiynau am y cynnyrch yn y sylwadau. Rydyn ni'n aros gyda chi, diolch am eich sylw!