7. NGFW for små virksomheder. Ydeevne og generelle anbefalinger
Tiden er inde til at færdiggøre serien af artikler om den nye generation af SMB Check Point (1500-serien). Vi håber, at dette var en givende oplevelse for dig, og at du fortsat vil være med os på TS Solution-bloggen. Emnet for den sidste artikel er ikke dækket bredt, men ikke mindre vigtigt - SMB-ydelsesjustering. I det vil vi diskutere konfigurationsmulighederne for hardwaren og softwaren til NGFW, beskrive de tilgængelige kommandoer og metoder til interaktion.
Alle artikler i serien om NGFW til små virksomheder:
I øjeblikket er der ikke mange informationskilder om performance tuning til SMB-løsninger pga restriktioner internt OS - Gaia 80.20 Embedded. I vores artikel vil vi bruge et layout med centraliseret styring (dedikeret Management Server) - det giver dig mulighed for at bruge flere værktøjer, når du arbejder med NGFW.
Hardwaren del
Før du rører ved Check Point SMB-familiearkitekturen, kan du altid bede din partner om at bruge værktøjet Værktøj til dimensionering af apparater, for at vælge den optimale løsning i henhold til de specificerede egenskaber (gennemstrømning, forventet antal brugere osv.).
Vigtige bemærkninger, når du interagerer med din NGFW-hardware
NGFW-løsninger fra SMB-familien har ikke mulighed for at hardwareopgradere systemkomponenter (CPU, RAM, HDD); afhængigt af modellen er der understøttelse af SD-kort, dette giver dig mulighed for at udvide diskkapaciteten, men ikke væsentligt.
Driften af netværksgrænseflader kræver kontrol. Gaia 80.20 Embedded har ikke mange overvågningsværktøjer, men du kan altid bruge den velkendte kommando i CLI via Expert mode
#ifconfig
Vær opmærksom på de understregede linjer, de giver dig mulighed for at estimere antallet af fejl på grænsefladen. Det anbefales stærkt at kontrollere disse parametre under den indledende implementering af din NGFW, såvel som periodisk under drift.
For en fuldgyldig Gaia er der en kommando:
>vis diag
Med dens hjælp er det muligt at få information om hardwarens temperatur. Desværre er denne mulighed ikke tilgængelig i 80.20 Embedded; vi vil angive de mest populære SNMP-fælder:
Navn
beskrivelse
Interface afbrudt
Deaktivering af grænsefladen
VLAN fjernet
Fjernelse af Vlans
Høj hukommelsesudnyttelse
Høj RAM-udnyttelse
Lav lagringsplads
Ikke nok HDD-plads
Høj CPU-udnyttelse
Høj CPU-udnyttelse
Høj CPU-afbrydelseshastighed
Høj afbrydelsesfrekvens
Høj forbindelseshastighed
Højt flow af nye forbindelser
Høje samtidige forbindelser
Højt niveau af konkurrenceprægede sessioner
Høj Firewall-gennemstrømning
Firewall med høj kapacitet
Høj accepteret pakkehastighed
Høj pakkemodtagelseshastighed
Klyngemedlemsstat ændret
Ændring af klyngetilstand
Forbindelse med logserverfejl
Mistet forbindelse til Log-Server
Betjening af din gateway kræver RAM-overvågning. For at Gaia (Linux-lignende OS) skal fungere, er dette normal situationnår RAM-forbruget når 70-80 % af brugen.
Arkitekturen af SMB-løsninger giver ikke mulighed for brug af SWAP-hukommelse i modsætning til ældre Check Point-modeller. Men i Linux-systemfiler blev det bemærket , som angiver den teoretiske mulighed for at ændre SWAP-parameteren.
Software del
På tidspunktet for udgivelsen af artiklen opdateret Gaia version - 80.20.10. Du skal vide, at der er begrænsninger, når du arbejder i CLI: nogle Linux-kommandoer understøttes i eksperttilstand. Vurdering af NGFW's ydeevne kræver vurdering af ydeevnen af dæmoner og tjenester, flere detaljer om dette kan findes i artiklen min kollega. Vi vil se på mulige kommandoer til SMB.
Arbejder med Gaia OS
Gennemse SecureXL skabeloner
#fwaccelstat
Se støvlen for kerne
# fw ctl multik-stat
Se antallet af sessioner (forbindelser).
# fw ctl pstat
*Se klyngestatus
#cphaprob stat
Klassisk Linux TOP-kommando
Logning
Som du allerede ved, er der tre måder at arbejde med NGFW-logfiler på (lagring, behandling): lokalt, centralt og i skyen. De sidste to muligheder indebærer tilstedeværelsen af en enhed - Management Server.
Mulige NGFW kontrolordninger
De mest værdifulde logfiler
Systemmeddelelser (indeholder mindre information end fuld Gaia)
# tail -f /var/log/messages2
Fejlmeddelelser i betjeningen af knive (en ret nyttig fil ved fejlfinding af problemer)
# hale -f /var/log/log/sfwd.elg
Se meddelelser fra bufferen på systemkerneniveau.
#dmesg
Klingekonfiguration
Dette afsnit vil ikke indeholde fuldstændige instruktioner til opsætning af dit NGFW Check Point; det indeholder kun vores anbefalinger, udvalgt af erfaring.
Applikationskontrol / URL-filtrering
Det anbefales at undgå ENHVER (Kilde, Destination) forhold i reglerne.
Når du angiver en brugerdefineret URL-ressource, vil det være mere effektivt at bruge regulære udtryk som: (^|..)checkpoint.com
Undgå overdreven brug af regellogning og visning af blokeringssider (UserCheck).
Sørg for, at teknologien fungerer korrekt "SecureXL". Det meste trafik skulle gå igennem accelereret/medium vej. Glem heller ikke at filtrere reglerne efter de mest brugte (felt Hits ).
HTTPS-inspektion
Det er ingen hemmelighed, at 70-80% af brugertrafikken kommer fra HTTPS-forbindelser, hvilket betyder, at dette kræver ressourcer fra din gateway-processor. Derudover deltager HTTPS-Inspection i arbejdet med IPS, Antivirus, Antibot.
Fra version 80.40 var der lejlighed for at arbejde med HTTPS-regler uden Legacy Dashboard, her er en anbefalet regelrækkefølge:
Omgå for en gruppe af adresser og netværk (destination).
Omgå for en gruppe af URL'er.
Bypass for intern IP og netværk med privilegeret adgang (Kilde).
Inspicer for nødvendige netværk, brugere
Bypass for alle andre.
* Det er altid bedre manuelt at vælge HTTPS eller HTTPS Proxy-tjenester og forlade Enhver. Log hændelser i henhold til Inspect-reglerne.
IPS
IPS-bladet kan muligvis ikke installere politik på din NGFW, hvis der bruges for mange signaturer. Ifølge artiklen fra Check Point er SMB-enhedsarkitekturen ikke designet til at køre den fulde anbefalede IPS-konfigurationsprofil.
Følg disse trin for at løse eller forhindre problemet:
Klon den optimerede profil kaldet "Optimeret SMB" (eller en anden efter eget valg).
Rediger profilen, gå til IPS → Pre R80.Settings sektionen, og deaktiver Serverbeskyttelse.
Efter eget skøn kan du deaktivere CVE'er ældre end 2010, disse sårbarheder kan sjældent findes i små kontorer, men påvirker ydeevnen. For at deaktivere nogle af dem, gå til Profil→IPS→Yderligere aktivering→Beskyttelser for at deaktivere listen
I stedet for en konklusion
Som en del af en serie artikler om den nye generation af NGFW fra SMB-familien (1500) forsøgte vi at fremhæve løsningens vigtigste muligheder og demonstrerede konfigurationen af vigtige sikkerhedskomponenter ved hjælp af specifikke eksempler. Vi besvarer gerne spørgsmål om produktet i kommentarerne. Vi bliver hos dig, tak for din opmærksomhed!