7. NGFW ar gyfer busnesau bach. Perfformiad ac argymhellion cyffredinol

Mae'r amser wedi dod i gwblhau'r gyfres o erthyglau am y genhedlaeth newydd o SMB Check Point (cyfres 1500). Gobeithiwn fod hwn yn brofiad gwerth chweil i chi ac y byddwch yn parhau i fod gyda ni ar flog TS Solution. Nid yw'r pwnc ar gyfer yr erthygl olaf yn cael sylw eang, ond nid yw'n llai pwysig - tiwnio perfformiad SMB. Ynddo byddwn yn trafod yr opsiynau ffurfweddu ar gyfer caledwedd a meddalwedd NGFW, yn disgrifio'r gorchmynion sydd ar gael a'r dulliau rhyngweithio.

Pob erthygl yn y gyfres am NGFW i fusnesau bach:

1. Llinell Porth Diogelwch CheckPoint 1500 newydd

2. Dadbocsio a Gosod

3. Trosglwyddo data di-wifr: WiFi ac LTE

4. VPN

5. Rheoli CRhT Cwmwl

6. Clyfar-1 Cwmwl

Ar hyn o bryd, nid oes llawer o ffynonellau gwybodaeth am tiwnio perfformiad ar gyfer datrysiadau SMB oherwydd cyfyngiadau AO mewnol - Gaia 80.20 Wedi'i fewnosod. Yn ein herthygl byddwn yn defnyddio cynllun gyda rheolaeth ganolog (Gweinydd Rheoli ymroddedig) - mae'n caniatáu ichi ddefnyddio mwy o offer wrth weithio gyda NGFW.

Caledwedd

Cyn cyffwrdd â phensaernïaeth teulu Check Point SMB, gallwch chi bob amser ofyn i'ch partner ddefnyddio'r cyfleustodau Offeryn Maint Offer, i ddewis yr ateb gorau posibl yn ôl y nodweddion penodedig (trwybwn, nifer disgwyliedig o ddefnyddwyr, ac ati).

Nodiadau pwysig wrth ryngweithio â'ch caledwedd NGFW

1. Nid oes gan atebion NGFW o'r teulu SMB y gallu i uwchraddio caledwedd cydrannau system (CPU, RAM, HDD); yn dibynnu ar y model, mae cefnogaeth i gardiau SD, mae hyn yn caniatáu ichi ehangu cynhwysedd y ddisg, ond nid yn sylweddol.

2. Mae angen rheolaeth ar weithrediad rhyngwynebau rhwydwaith. Nid oes gan Gaia 80.20 Embedded lawer o offer monitro, ond gallwch chi bob amser ddefnyddio'r gorchymyn adnabyddus yn y CLI trwy'r modd Arbenigol 

   # fffconfig

   

   Rhowch sylw i'r llinellau sydd wedi'u tanlinellu, byddant yn caniatáu ichi amcangyfrif nifer y gwallau ar y rhyngwyneb. Argymhellir yn gryf eich bod yn gwirio'r paramedrau hyn yn ystod gweithrediad cychwynnol eich NGFW, yn ogystal ag o bryd i'w gilydd yn ystod gweithrediad.

3. Ar gyfer Gaia cyflawn mae gorchymyn:

   >dangos diag

   Gyda'i help mae'n bosibl cael gwybodaeth am dymheredd y caledwedd. Yn anffodus, nid yw'r opsiwn hwn ar gael yn 80.20 Embedded; byddwn yn nodi'r trapiau SNMP mwyaf poblogaidd:

   Enw 

   Disgrifiad

   Rhyngwyneb wedi'i ddatgysylltu

   Analluogi'r rhyngwyneb

   VLAN tynnu

   Cael gwared ar Vlans

   Defnydd cof uchel

   Defnydd uchel o RAM

   Gofod disg isel

   Dim digon o le HDD

   Defnydd CPU uchel

   Defnydd CPU uchel

   Cyfradd ymyrraeth CPU uchel

   Cyfradd ymyrraeth uchel

   Cyfradd cysylltiad uchel

   Llif uchel o gysylltiadau newydd

   Cysylltiadau cydamserol uchel

   Lefel uchel o sesiynau cystadleuol

   Trwybwn Firewall Uchel

   Mur gwarchod trwybwn uchel

   Cyfradd pecyn derbyniol uchel

   Cyfradd derbyniad pecyn uchel

   Newidiodd aelod-wladwriaeth clwstwr

   Newid cyflwr y clwstwr

   Cysylltiad â gwall gweinydd log

   Colli cysylltiad â Log-Server

4. Mae gweithrediad eich porth yn gofyn am fonitro RAM. Er mwyn i Gaia (OS tebyg i Linux) weithio, dyma sefyllfa arferolpan fydd defnydd RAM yn cyrraedd 70-80% o ddefnydd.

   Nid yw pensaernïaeth datrysiadau SMB yn darparu ar gyfer defnyddio cof SWAP, yn wahanol i fodelau Check Point hŷn. Fodd bynnag, mewn ffeiliau system Linux sylwyd arno , sy'n nodi'r posibilrwydd damcaniaethol o newid y paramedr SWAP.

Rhan meddalwedd

Ar adeg cyhoeddi'r erthygl yn gyfoes Fersiwn Gaia - 80.20.10. Mae angen i chi wybod bod cyfyngiadau wrth weithio yn y CLI: cefnogir rhai gorchmynion Linux yn y modd Arbenigol. Mae asesu perfformiad NGFW yn gofyn am asesu perfformiad daemoniaid a gwasanaethau, mae mwy o fanylion am hyn i'w cael yn Erthygl fy nghydweithiwr. Byddwn yn edrych ar orchmynion posibl ar gyfer SMB.

Gweithio gyda Gaia OS

1. Pori templedi SecureXL

   #fwaccelstat

   

2. Gweld y cychwyn yn ôl craidd

   # fw ctl multik stat

   

3. Gweld nifer y sesiynau (cysylltiadau).

   # fw ctl pstat

   

4. * Gweld statws clwstwr

   #cphaprob stat

   

5. Gorchymyn TOP clasurol Linux

Logio

Fel y gwyddoch eisoes, mae tair ffordd o weithio gyda logiau NGFW (storio, prosesu): yn lleol, yn ganolog ac yn y cwmwl. Mae'r ddau opsiwn olaf yn awgrymu presenoldeb endid - Gweinyddwr Rheoli.

Cynlluniau rheoli NGFW posibl

Y ffeiliau log mwyaf gwerthfawr

1. Negeseuon system (yn cynnwys llai o wybodaeth na Gaia llawn)

   # cynffon -f /var/log/messages2

   

2. Negeseuon gwall wrth weithredu llafnau (ffeil eithaf defnyddiol wrth ddatrys problemau)

   # cynffon -f /var/log/log/sfwd.elg

   

3. Gweld negeseuon o'r byffer ar lefel cnewyllyn y system.

   #dmsg

   

Ffurfweddiad llafn

Ni fydd yr adran hon yn cynnwys cyfarwyddiadau cyflawn ar gyfer sefydlu eich Pwynt Gwirio NGFW; dim ond ein hargymhellion y mae'n eu cynnwys, wedi'u dewis yn ôl profiad.

Rheoli Cais / Hidlo URL

• Argymhellir osgoi UNRHYW, UNRHYW UNRHYW amodau (Ffynhonnell, Cyrchfan) mewn rheolau.

• Wrth nodi adnodd URL personol, bydd yn fwy effeithiol defnyddio ymadroddion rheolaidd fel: (^|..)checkpoint.com

• Osgoi defnydd gormodol o gofnodi rheolau ac arddangos tudalennau blocio (UserCheck).

• Sicrhewch fod y dechnoleg yn gweithio'n gywir "SecureXL". Dylai'r rhan fwyaf o draffig fynd drwodd llwybr carlam/canolig. Hefyd, peidiwch ag anghofio hidlo'r rheolau yn ôl y rhai a ddefnyddir fwyaf (maes hits ).

HTTPS-Arolygiad

Nid yw'n gyfrinach bod 70-80% o draffig defnyddwyr yn dod o gysylltiadau HTTPS, sy'n golygu bod hyn yn gofyn am adnoddau gan eich prosesydd porth. Yn ogystal, mae HTTPS-Inspection yn cymryd rhan yng ngwaith IPS, Antivirus, Antibot.

Gan ddechrau o fersiwn 80.40 roedd cyfle i weithio gyda rheolau HTTPS heb Ddangosfwrdd Etifeddiaeth, dyma rywfaint o orchymyn rheol a argymhellir:

• Ffordd osgoi ar gyfer grŵp o gyfeiriadau a rhwydweithiau (Cyrchfan).

• Ffordd osgoi ar gyfer grŵp o URLs.

• Ffordd osgoi ar gyfer IP mewnol a rhwydweithiau gyda mynediad breintiedig (Ffynhonnell).

• Archwilio ar gyfer rhwydweithiau gofynnol, defnyddwyr

• Ffordd osgoi i bawb arall.

* Mae bob amser yn well dewis gwasanaethau HTTPS neu HTTPS Proxy â llaw a gadael Unrhyw. Logio digwyddiadau yn unol â rheolau Archwilio.

Gwasanaeth Hunaniaeth a Phasbortau

Mae'n bosibl y bydd llafn yr IPS yn methu â gosod polisi ar eich NGFW os defnyddir gormod o lofnodion. Yn ôl Erthygl o Check Point, nid yw pensaernïaeth dyfais SMB wedi'i gynllunio i redeg y proffil cyfluniad IPS llawn a argymhellir.

I ddatrys neu atal y broblem, dilynwch y camau hyn:

1. Cloniwch y proffil Optimized o'r enw “Optimized SMB” (neu un arall o'ch dewis).

2. Golygwch y proffil, ewch i'r adran IPS → Pre R80.Settings a diffodd Diogelwch Gweinyddwr.

   

3. Yn ôl eich disgresiwn, gallwch analluogi CVEs sy'n hŷn na 2010, yn anaml y gwelir y gwendidau hyn mewn swyddfeydd bach, ond maent yn effeithio ar berfformiad. I analluogi rhai ohonynt, ewch i Proffil → IPS → Ysgogi Ychwanegol → Amddiffyniadau i ddadactifadu rhestr

   

Yn hytrach na i gasgliad

Fel rhan o gyfres o erthyglau am y genhedlaeth newydd o NGFW o'r teulu SMB (1500), fe wnaethom geisio tynnu sylw at brif alluoedd y datrysiad a dangos ffurfweddiad cydrannau diogelwch pwysig gan ddefnyddio enghreifftiau penodol. Byddwn yn hapus i ateb unrhyw gwestiynau am y cynnyrch yn y sylwadau. Rydyn ni'n aros gyda chi, diolch am eich sylw!

Detholiad mawr o ddeunyddiau ar Check Point o TS Solution. Er mwyn peidio â cholli cyhoeddiadau newydd, dilynwch y diweddariadau ar ein rhwydweithiau cymdeithasol (Telegram, Facebook, VK, Blog Ateb TS, Yandex Zen).

Ffynhonnell: hab.com