7. NGFW for små virksomheder. Ydeevne og generelle anbefalinger

Tiden er inde til at færdiggøre serien af ​​artikler om den nye generation af SMB Check Point (1500-serien). Vi håber, at dette var en givende oplevelse for dig, og at du fortsat vil være med os på TS Solution-bloggen. Emnet for den sidste artikel er ikke dækket bredt, men ikke mindre vigtigt - SMB-ydelsesjustering. I det vil vi diskutere konfigurationsmulighederne for hardwaren og softwaren til NGFW, beskrive de tilgængelige kommandoer og metoder til interaktion.

Alle artikler i serien om NGFW til små virksomheder:

1. Ny CheckPoint 1500 Security Gateway Line

2. Udpakning og opsætning

3. Trådløs dataoverførsel: WiFi og LTE

4. VPN

5. Cloud SMP Management

6. Smart-1 Cloud

I øjeblikket er der ikke mange informationskilder om performance tuning til SMB-løsninger pga restriktioner internt OS - Gaia 80.20 Embedded. I vores artikel vil vi bruge et layout med centraliseret styring (dedikeret Management Server) - det giver dig mulighed for at bruge flere værktøjer, når du arbejder med NGFW.

Hardwaren del

Før du rører ved Check Point SMB-familiearkitekturen, kan du altid bede din partner om at bruge værktøjet Værktøj til dimensionering af apparater, for at vælge den optimale løsning i henhold til de specificerede egenskaber (gennemstrømning, forventet antal brugere osv.).

Vigtige bemærkninger, når du interagerer med din NGFW-hardware

1. NGFW-løsninger fra SMB-familien har ikke mulighed for at hardwareopgradere systemkomponenter (CPU, RAM, HDD); afhængigt af modellen er der understøttelse af SD-kort, dette giver dig mulighed for at udvide diskkapaciteten, men ikke væsentligt.

2. Driften af ​​netværksgrænseflader kræver kontrol. Gaia 80.20 Embedded har ikke mange overvågningsværktøjer, men du kan altid bruge den velkendte kommando i CLI via Expert mode 

   #ifconfig

   

   Vær opmærksom på de understregede linjer, de giver dig mulighed for at estimere antallet af fejl på grænsefladen. Det anbefales stærkt at kontrollere disse parametre under den indledende implementering af din NGFW, såvel som periodisk under drift.

3. For en fuldgyldig Gaia er der en kommando:

   >vis diag

   Med dens hjælp er det muligt at få information om hardwarens temperatur. Desværre er denne mulighed ikke tilgængelig i 80.20 Embedded; vi vil angive de mest populære SNMP-fælder:

   Navn 

   beskrivelse

   Interface afbrudt

   Deaktivering af grænsefladen

   VLAN fjernet

   Fjernelse af Vlans

   Høj hukommelsesudnyttelse

   Høj RAM-udnyttelse

   Lav lagringsplads

   Ikke nok HDD-plads

   Høj CPU-udnyttelse

   Høj CPU-udnyttelse

   Høj CPU-afbrydelseshastighed

   Høj afbrydelsesfrekvens

   Høj forbindelseshastighed

   Højt flow af nye forbindelser

   Høje samtidige forbindelser

   Højt niveau af konkurrenceprægede sessioner

   Høj Firewall-gennemstrømning

   Firewall med høj kapacitet

   Høj accepteret pakkehastighed

   Høj pakkemodtagelseshastighed

   Klyngemedlemsstat ændret

   Ændring af klyngetilstand

   Forbindelse med logserverfejl

   Mistet forbindelse til Log-Server

4. Betjening af din gateway kræver RAM-overvågning. For at Gaia (Linux-lignende OS) skal fungere, er dette normal situationnår RAM-forbruget når 70-80 % af brugen.

   Arkitekturen af ​​SMB-løsninger giver ikke mulighed for brug af SWAP-hukommelse i modsætning til ældre Check Point-modeller. Men i Linux-systemfiler blev det bemærket , som angiver den teoretiske mulighed for at ændre SWAP-parameteren.

Software del

På tidspunktet for udgivelsen af ​​artiklen opdateret Gaia version - 80.20.10. Du skal vide, at der er begrænsninger, når du arbejder i CLI: nogle Linux-kommandoer understøttes i eksperttilstand. Vurdering af NGFW's ydeevne kræver vurdering af ydeevnen af ​​dæmoner og tjenester, flere detaljer om dette kan findes i artiklen min kollega. Vi vil se på mulige kommandoer til SMB.

Arbejder med Gaia OS

1. Gennemse SecureXL skabeloner

   #fwaccelstat

   

2. Se støvlen for kerne

   # fw ctl multik-stat

   

3. Se antallet af sessioner (forbindelser).

   # fw ctl pstat

   

4. *Se klyngestatus

   #cphaprob stat

   

5. Klassisk Linux TOP-kommando

Logning

Som du allerede ved, er der tre måder at arbejde med NGFW-logfiler på (lagring, behandling): lokalt, centralt og i skyen. De sidste to muligheder indebærer tilstedeværelsen af ​​en enhed - Management Server.

Mulige NGFW kontrolordninger

De mest værdifulde logfiler

1. Systemmeddelelser (indeholder mindre information end fuld Gaia)

   # tail -f /var/log/messages2

   

2. Fejlmeddelelser i betjeningen af ​​knive (en ret nyttig fil ved fejlfinding af problemer)

   # hale -f /var/log/log/sfwd.elg

   

3. Se meddelelser fra bufferen på systemkerneniveau.

   #dmesg

   

Klingekonfiguration

Dette afsnit vil ikke indeholde fuldstændige instruktioner til opsætning af dit NGFW Check Point; det indeholder kun vores anbefalinger, udvalgt af erfaring.

Applikationskontrol / URL-filtrering

• Det anbefales at undgå ENHVER (Kilde, Destination) forhold i reglerne.

• Når du angiver en brugerdefineret URL-ressource, vil det være mere effektivt at bruge regulære udtryk som: (^|..)checkpoint.com

• Undgå overdreven brug af regellogning og visning af blokeringssider (UserCheck).

• Sørg for, at teknologien fungerer korrekt "SecureXL". Det meste trafik skulle gå igennem accelereret/medium vej. Glem heller ikke at filtrere reglerne efter de mest brugte (felt Hits ).

HTTPS-inspektion

Det er ingen hemmelighed, at 70-80% af brugertrafikken kommer fra HTTPS-forbindelser, hvilket betyder, at dette kræver ressourcer fra din gateway-processor. Derudover deltager HTTPS-Inspection i arbejdet med IPS, Antivirus, Antibot.

Fra version 80.40 var der lejlighed for at arbejde med HTTPS-regler uden Legacy Dashboard, her er en anbefalet regelrækkefølge:

• Omgå for en gruppe af adresser og netværk (destination).

• Omgå for en gruppe af URL'er.

• Bypass for intern IP og netværk med privilegeret adgang (Kilde).

• Inspicer for nødvendige netværk, brugere

• Bypass for alle andre.

* Det er altid bedre manuelt at vælge HTTPS eller HTTPS Proxy-tjenester og forlade Enhver. Log hændelser i henhold til Inspect-reglerne.

IPS

IPS-bladet kan muligvis ikke installere politik på din NGFW, hvis der bruges for mange signaturer. Ifølge artiklen fra Check Point er SMB-enhedsarkitekturen ikke designet til at køre den fulde anbefalede IPS-konfigurationsprofil.

Følg disse trin for at løse eller forhindre problemet:

1. Klon den optimerede profil kaldet "Optimeret SMB" (eller en anden efter eget valg).

2. Rediger profilen, gå til IPS → Pre R80.Settings sektionen, og deaktiver Serverbeskyttelse.

   

3. Efter eget skøn kan du deaktivere CVE'er ældre end 2010, disse sårbarheder kan sjældent findes i små kontorer, men påvirker ydeevnen. For at deaktivere nogle af dem, gå til Profil→IPS→Yderligere aktivering→Beskyttelser for at deaktivere listen

   

I stedet for en konklusion

Som en del af en serie artikler om den nye generation af NGFW fra SMB-familien (1500) forsøgte vi at fremhæve løsningens vigtigste muligheder og demonstrerede konfigurationen af ​​vigtige sikkerhedskomponenter ved hjælp af specifikke eksempler. Vi besvarer gerne spørgsmål om produktet i kommentarerne. Vi bliver hos dig, tak for din opmærksomhed!

Stort udvalg af materialer på Check Point fra TS Solution. For ikke at gå glip af nye publikationer, følg opdateringerne på vores sociale netværk (Telegram, Facebook, VK, TS Solution Blog, Yandex Zen).

Kilde: www.habr.com