Es ist an der Zeit, die Artikelserie über die neue Generation von SMB Check Point (Serie 1500) abzuschließen. Wir hoffen, dass dies eine lohnende Erfahrung für Sie war und dass Sie uns weiterhin im TS Solution-Blog begleiten. Das Thema des letzten Artikels wird nicht ausführlich behandelt, ist aber nicht weniger wichtig: SMB-Leistungsoptimierung. Darin besprechen wir die Konfigurationsmöglichkeiten für die Hardware und Software der NGFW, beschreiben die verfügbaren Befehle und Interaktionsmethoden.
Alle Artikel der Serie über NGFW für Kleinunternehmen:
Derzeit gibt es nicht viele Informationsquellen zur Leistungsoptimierung für SMB-Lösungen internes Betriebssystem – Gaia 80.20 Embedded. In unserem Artikel verwenden wir ein Layout mit zentraler Verwaltung (dedizierter Verwaltungsserver) – es ermöglicht Ihnen, bei der Arbeit mit NGFW mehr Tools zu verwenden.
Hardware
Bevor Sie die Architektur der Check Point SMB-Familie berühren, können Sie Ihren Partner jederzeit bitten, das Dienstprogramm zu verwenden Gerätedimensionierungstool, um die optimale Lösung entsprechend den angegebenen Merkmalen (Durchsatz, erwartete Anzahl von Benutzern usw.) auszuwählen.
Wichtige Hinweise zur Interaktion mit Ihrer NGFW-Hardware
-
NGFW-Lösungen der SMB-Familie bieten keine Möglichkeit zur Hardware-Aktualisierung von Systemkomponenten (CPU, RAM, HDD); je nach Modell gibt es Unterstützung für SD-Karten, wodurch Sie die Festplattenkapazität erweitern können, jedoch nicht wesentlich.
-
Der Betrieb von Netzwerkschnittstellen erfordert Kontrolle. Gaia 80.20 Embedded verfügt nicht über viele Überwachungstools, aber Sie können jederzeit den bekannten Befehl in der CLI über den Expertenmodus verwenden
# ichfconfig
Achten Sie auf die unterstrichenen Linien, sie ermöglichen Ihnen, die Anzahl der Fehler auf der Schnittstelle abzuschätzen. Es wird dringend empfohlen, diese Parameter bei der ersten Implementierung Ihrer NGFW sowie regelmäßig während des Betriebs zu überprüfen.
-
Für eine vollwertige Gaia gibt es einen Befehl:
>Diag anzeigen
Mit seiner Hilfe ist es möglich, Informationen über die Temperatur der Hardware zu erhalten. Leider ist diese Option in 80.20 Embedded nicht verfügbar; wir zeigen Ihnen die beliebtesten SNMP-Traps:
Name
Beschreibung
Schnittstelle getrennt
Deaktivierung der Schnittstelle
VLAN entfernt
Vlans entfernen
Hohe Speicherauslastung
Hohe RAM-Auslastung
Geringer Speicherplatz
Nicht genügend Festplattenspeicher
Hohe CPU-Auslastung
Hohe CPU-Auslastung
Hohe CPU-Interrupt-Rate
Hohe Unterbrechungsrate
Hohe Verbindungsrate
Hoher Zustrom an neuen Verbindungen
Hohe gleichzeitige Verbindungen
Hohes Niveau an Wettkampfsitzungen
Hoher Firewall-Durchsatz
Firewall mit hohem Durchsatz
Hohe akzeptierte Paketrate
Hohe Paketempfangsrate
Cluster-Mitgliedsstaat geändert
Ändern des Clusterstatus
Verbindung mit Protokollserverfehler
Verbindung zum Log-Server verloren
-
Der Betrieb Ihres Gateways erfordert eine RAM-Überwachung. Damit Gaia (Linux-ähnliches Betriebssystem) funktioniert, ist dies der Fall wenn der RAM-Verbrauch 70–80 % der Nutzung erreicht.
Die Architektur von SMB-Lösungen sieht im Gegensatz zu älteren Check Point-Modellen keinen Einsatz von SWAP-Speicher vor. In Linux-Systemdateien wurde es jedoch bemerkt , was auf die theoretische Möglichkeit hinweist, den SWAP-Parameter zu ändern.
Softwareteil
Zum Zeitpunkt der Veröffentlichung des Artikels Gaia-Version – 80.20.10. Sie müssen wissen, dass es beim Arbeiten in der CLI Einschränkungen gibt: Einige Linux-Befehle werden im Expertenmodus unterstützt. Um die Leistung von NGFW zu bewerten, muss die Leistung von Daemons und Diensten bewertet werden. Weitere Einzelheiten hierzu finden Sie in mein Kollege. Wir werden uns mögliche Befehle für SMB ansehen.
Arbeiten mit Gaia OS
-
Durchsuchen Sie SecureXL-Vorlagen
#fwaccelstat
-
Boot nach Kern anzeigen
# fw ctl multik stat
-
Zeigen Sie die Anzahl der Sitzungen (Verbindungen) an.
# fw ctl pstat
-
*Clusterstatus anzeigen
#cphaprob-Statistik
-
Klassischer Linux-TOP-Befehl
Protokollierung
Wie Sie bereits wissen, gibt es drei Möglichkeiten, mit NGFW-Protokollen zu arbeiten (Speicherung, Verarbeitung): lokal, zentral und in der Cloud. Die letzten beiden Optionen implizieren das Vorhandensein einer Entität – eines Verwaltungsservers.
Mögliche NGFW-Kontrollschemata
Die wertvollsten Protokolldateien
-
Systemmeldungen (enthalten weniger Informationen als vollständiges Gaia)
# tail -f /var/log/messages2
-
Fehlermeldungen beim Betrieb von Blades (eine sehr nützliche Datei bei der Fehlerbehebung)
# tail -f /var/log/log/sfwd.elg
-
Anzeigen von Nachrichten aus dem Puffer auf Systemkernebene.
#dmesg
Blade-Konfiguration
Dieser Abschnitt enthält keine vollständigen Anweisungen zum Einrichten Ihres NGFW-Kontrollpunkts; er enthält nur unsere Empfehlungen, die aufgrund unserer Erfahrung ausgewählt wurden.
Anwendungskontrolle/URL-Filterung
-
Es wird empfohlen, ANY, ANY (Quelle, Ziel)-Bedingungen in Regeln zu vermeiden.
-
Bei der Angabe einer benutzerdefinierten URL-Ressource ist es effektiver, reguläre Ausdrücke wie die folgenden zu verwenden: (^|..)checkpoint.com
-
Vermeiden Sie den übermäßigen Einsatz von Regelprotokollierung und Anzeige von Sperrseiten (UserCheck).
-
Stellen Sie sicher, dass die Technologie ordnungsgemäß funktioniert „SecureXL“. Der Großteil des Verkehrs sollte passieren beschleunigter/mittlerer Weg. Vergessen Sie auch nicht, die Regeln nach den am häufigsten verwendeten zu filtern (Feld Treffer ).
HTTPS-Inspektion
Es ist kein Geheimnis, dass 70–80 % des Benutzerverkehrs von HTTPS-Verbindungen stammen, was bedeutet, dass dafür Ressourcen von Ihrem Gateway-Prozessor benötigt werden. Darüber hinaus beteiligt sich HTTPS-Inspection an der Arbeit von IPS, Antivirus, Antibot.
Ab Version 80.40 gab es Um mit HTTPS-Regeln ohne Legacy Dashboard zu arbeiten, finden Sie hier einige empfohlene Regelreihenfolgen:
-
Bypass für eine Gruppe von Adressen und Netzwerken (Ziel).
-
Umgehen für eine Gruppe von URLs.
-
Umgehung für interne IP und Netzwerke mit privilegiertem Zugriff (Quelle).
-
Suchen Sie nach erforderlichen Netzwerken und Benutzern
-
Bypass für alle anderen.
* Es ist immer besser, HTTPS- oder HTTPS-Proxy-Dienste manuell auszuwählen und „Alle“ zu belassen. Protokollieren Sie Ereignisse gemäß den Inspect-Regeln.
IPS
Wenn zu viele Signaturen verwendet werden, kann der IPS-Blade möglicherweise keine Richtlinien auf Ihrer NGFW installieren. Entsprechend Laut Check Point ist die SMB-Gerätearchitektur nicht für die Ausführung des vollständigen empfohlenen IPS-Konfigurationsprofils ausgelegt.
Um das Problem zu beheben oder zu verhindern, führen Sie die folgenden Schritte aus:
-
Klonen Sie das optimierte Profil mit dem Namen „Optimized SMB“ (oder ein anderes Ihrer Wahl).
-
Bearbeiten Sie das Profil, gehen Sie zum Abschnitt IPS → Pre R80.Settings und deaktivieren Sie den Serverschutz.
-
Sie können CVEs, die älter als 2010 sind, nach eigenem Ermessen deaktivieren. Diese Schwachstellen treten in kleinen Büros möglicherweise selten auf, beeinträchtigen jedoch die Leistung. Um einige davon zu deaktivieren, gehen Sie zu Profil→IPS→Zusätzliche Aktivierung→Schutz, um die Liste zu deaktivieren
Statt einer Schlussfolgerung
Im Rahmen einer Artikelserie über die neue NGFW-Generation der SMB-Familie (1500) haben wir versucht, die wesentlichen Fähigkeiten der Lösung hervorzuheben und die Konfiguration wichtiger Sicherheitskomponenten anhand konkreter Beispiele demonstriert. Fragen zum Produkt beantworten wir gerne in den Kommentaren. Wir bleiben bei Ihnen, vielen Dank für Ihre Aufmerksamkeit!
. Um neue Veröffentlichungen nicht zu verpassen, verfolgen Sie die Updates in unseren sozialen Netzwerken (, , , , ).
Source: habr.com