Ήρθε η ώρα να ολοκληρώσουμε τη σειρά άρθρων για τη νέα γενιά του SMB Check Point (σειρά 1500). Ελπίζουμε ότι αυτή ήταν μια συναρπαστική εμπειρία για εσάς και ότι θα συνεχίσετε να είστε μαζί μας στο ιστολόγιο TS Solution. Το θέμα για το τελικό άρθρο δεν καλύπτεται ευρέως, αλλά δεν είναι λιγότερο σημαντικό - συντονισμός απόδοσης SMB. Σε αυτό θα συζητήσουμε τις επιλογές διαμόρφωσης για το υλικό και το λογισμικό του NGFW, θα περιγράψουμε τις διαθέσιμες εντολές και μεθόδους αλληλεπίδρασης.
Όλα τα άρθρα της σειράς σχετικά με το NGFW για μικρές επιχειρήσεις:
Επί του παρόντος, δεν υπάρχουν πολλές πηγές πληροφοριών σχετικά με τον συντονισμό απόδοσης για λύσεις SMB λόγω εσωτερικό λειτουργικό σύστημα - Gaia 80.20 Ενσωματωμένο. Στο άρθρο μας θα χρησιμοποιήσουμε μια διάταξη με κεντρική διαχείριση (αποκλειστικός διακομιστής διαχείρισης) - σας επιτρέπει να χρησιμοποιείτε περισσότερα εργαλεία όταν εργάζεστε με το NGFW.
Υλικό
Προτού αγγίξετε την οικογενειακή αρχιτεκτονική του Check Point SMB, μπορείτε πάντα να ζητήσετε από τον συνεργάτη σας να χρησιμοποιήσει το βοηθητικό πρόγραμμα Εργαλείο ταξινόμησης μεγέθους συσκευής, για να επιλέξετε τη βέλτιστη λύση σύμφωνα με τα καθορισμένα χαρακτηριστικά (διακίνηση, αναμενόμενος αριθμός χρηστών κ.λπ.).
Σημαντικές σημειώσεις κατά την αλληλεπίδραση με το υλικό NGFW
-
Οι λύσεις NGFW της οικογένειας SMB δεν έχουν τη δυνατότητα αναβάθμισης υλικού συστήματος (CPU, RAM, HDD), ανάλογα με το μοντέλο, υπάρχει υποστήριξη για κάρτες SD, αυτό σας επιτρέπει να επεκτείνετε τη χωρητικότητα του δίσκου, αλλά όχι σημαντικά.
-
Η λειτουργία των διεπαφών δικτύου απαιτεί έλεγχο. Το Gaia 80.20 Embedded δεν διαθέτει πολλά εργαλεία παρακολούθησης, αλλά μπορείτε πάντα να χρησιμοποιήσετε τη γνωστή εντολή στο CLI μέσω της λειτουργίας Expert
# Εγώfconfig
Δώστε προσοχή στις υπογραμμισμένες γραμμές, θα σας επιτρέψουν να υπολογίσετε τον αριθμό των σφαλμάτων στη διεπαφή. Συνιστάται ιδιαίτερα να ελέγχετε αυτές τις παραμέτρους κατά την αρχική εφαρμογή του NGFW σας, καθώς και περιοδικά κατά τη λειτουργία.
-
Για μια πλήρη Gaia υπάρχει μια εντολή:
>εμφάνιση διαγ
Με τη βοήθειά του είναι δυνατή η λήψη πληροφοριών σχετικά με τη θερμοκρασία του υλικού. Δυστυχώς, αυτή η επιλογή δεν είναι διαθέσιμη στο 80.20 Embedded. Θα υποδείξουμε τις πιο δημοφιλείς παγίδες SNMP:
Όνομα
Περιγραφή
Η διεπαφή αποσυνδέθηκε
Απενεργοποίηση της διεπαφής
Το VLAN καταργήθηκε
Αφαίρεση Vlans
Υψηλή χρήση μνήμης
Υψηλή χρήση RAM
Χαμηλός χώρος στο δίσκο
Δεν υπάρχει αρκετός χώρος στον σκληρό δίσκο
Υψηλή χρήση CPU
Υψηλή χρήση CPU
Υψηλός ρυθμός διακοπών CPU
Υψηλός ρυθμός διακοπής
Υψηλό ποσοστό σύνδεσης
Υψηλή ροή νέων συνδέσεων
Υψηλές ταυτόχρονες συνδέσεις
Υψηλό επίπεδο ανταγωνιστικών συνεδριών
Υψηλή απόδοση τείχους προστασίας
Τείχος προστασίας υψηλής απόδοσης
Υψηλό αποδεκτό ποσοστό πακέτων
Υψηλό ποσοστό λήψης πακέτων
Το κράτος μέλος του συμπλέγματος άλλαξε
Αλλαγή της κατάστασης του συμπλέγματος
Σφάλμα σύνδεσης με διακομιστή καταγραφής
Χάθηκε η σύνδεση με το Log-Server
-
Η λειτουργία της πύλης σας απαιτεί παρακολούθηση RAM. Για να λειτουργήσει το Gaia (λειτουργικό σύστημα τύπου Linux), αυτό είναι όταν η κατανάλωση RAM φτάνει το 70-80% της χρήσης.
Η αρχιτεκτονική των λύσεων SMB δεν προβλέπει τη χρήση μνήμης SWAP, σε αντίθεση με τα παλαιότερα μοντέλα Check Point. Ωστόσο, στα αρχεία συστήματος Linux παρατηρήθηκε , το οποίο υποδεικνύει τη θεωρητική δυνατότητα αλλαγής της παραμέτρου SWAP.
Μέρος λογισμικού
Κατά τη δημοσίευση του άρθρου Έκδοση Gaia - 80.20.10. Πρέπει να γνωρίζετε ότι υπάρχουν περιορισμοί όταν εργάζεστε στο CLI: ορισμένες εντολές Linux υποστηρίζονται σε λειτουργία Expert. Η αξιολόγηση της απόδοσης του NGFW απαιτεί αξιολόγηση της απόδοσης των δαιμόνων και των υπηρεσιών, περισσότερες λεπτομέρειες σχετικά με αυτό μπορείτε να βρείτε στο ο συνάδελφός μου. Θα εξετάσουμε πιθανές εντολές για SMB.
Εργασία με το Gaia OS
-
Περιηγηθείτε στα πρότυπα SecureXL
#fwaccelstat
-
Προβολή εκκίνησης ανά πυρήνα
# fw ctl multik stat
-
Δείτε τον αριθμό των συνεδριών (συνδέσεις).
# fw ctl pstat
-
*Προβολή κατάστασης συμπλέγματος
#cphaprob stat
-
Κλασική εντολή Linux TOP
Ξύλευση
Όπως ήδη γνωρίζετε, υπάρχουν τρεις τρόποι για να εργαστείτε με αρχεία καταγραφής NGFW (αποθήκευση, επεξεργασία): τοπικά, κεντρικά και στο cloud. Οι δύο τελευταίες επιλογές υποδηλώνουν την παρουσία μιας οντότητας - Management Server.
Πιθανά σχήματα ελέγχου NGFW
Τα πιο πολύτιμα αρχεία καταγραφής
-
Μηνύματα συστήματος (περιέχει λιγότερες πληροφορίες από το πλήρες Gaia)
# tail -f /var/log/messages2
-
Μηνύματα σφάλματος στη λειτουργία των blades (αρκετά χρήσιμο αρχείο για την αντιμετώπιση προβλημάτων)
# tail -f /var/log/log/sfwd.elg
-
Προβολή μηνυμάτων από το buffer σε επίπεδο πυρήνα συστήματος.
#dmesg
Διαμόρφωση λεπίδας
Αυτή η ενότητα δεν θα περιέχει πλήρεις οδηγίες για τη ρύθμιση του σημείου ελέγχου NGFW, περιέχει μόνο τις προτάσεις μας, επιλεγμένες από την εμπειρία.
Έλεγχος εφαρμογής / Φιλτράρισμα URL
-
Συνιστάται να αποφεύγετε ΟΠΟΙΑΔΗΠΟΤΕ, ΟΠΟΙΑΔΗΠΟΤΕ (Πηγή, Προορισμός) συνθήκες στους κανόνες.
-
Κατά τον καθορισμό ενός προσαρμοσμένου πόρου URL, θα είναι πιο αποτελεσματικό να χρησιμοποιείτε κανονικές εκφράσεις όπως: (^|..)checkpoint.com
-
Αποφύγετε την υπερβολική χρήση της καταγραφής κανόνων και την εμφάνιση αποκλεισμένων σελίδων (UserCheck).
-
Βεβαιωθείτε ότι η τεχνολογία λειτουργεί σωστά "SecureXL". Η περισσότερη κίνηση πρέπει να περνάει επιταχυνόμενη/μέτρια διαδρομή. Επίσης, μην ξεχάσετε να φιλτράρετε τους κανόνες με βάση τους πιο χρησιμοποιούμενους (πεδίο Επισκέψεις ).
HTTPS-Επιθεώρηση
Δεν είναι μυστικό ότι το 70-80% της επισκεψιμότητας των χρηστών προέρχεται από συνδέσεις HTTPS, πράγμα που σημαίνει ότι αυτό απαιτεί πόρους από τον επεξεργαστή πύλης σας. Επιπλέον, το HTTPS-Inspection συμμετέχει στις εργασίες των IPS, Antivirus, Antibot.
Ξεκινώντας από την έκδοση 80.40 υπήρχε Για να εργαστείτε με κανόνες HTTPS χωρίς Πίνακα ελέγχου παλαιού τύπου, ακολουθήστε μια προτεινόμενη σειρά κανόνων:
-
Παράκαμψη για μια ομάδα διευθύνσεων και δικτύων (Προορισμός).
-
Παράκαμψη για μια ομάδα διευθύνσεων URL.
-
Παράκαμψη για εσωτερική IP και δίκτυα με προνομιακή πρόσβαση (Πηγή).
-
Επιθεωρήστε για απαιτούμενα δίκτυα, χρήστες
-
Παράκαμψη για όλους τους άλλους.
* Είναι πάντα καλύτερο να επιλέγετε με μη αυτόματο τρόπο υπηρεσίες HTTPS ή HTTPS Proxy και να αφήνετε το Any. Καταγραφή συμβάντων σύμφωνα με τους κανόνες επιθεώρησης.
IPS
Το IPS blade ενδέχεται να αποτύχει να εγκαταστήσει την πολιτική στο NGFW σας εάν χρησιμοποιούνται πάρα πολλές υπογραφές. Σύμφωνα με από το Check Point, η αρχιτεκτονική της συσκευής SMB δεν έχει σχεδιαστεί για να εκτελεί το πλήρες προτεινόμενο προφίλ διαμόρφωσης IPS.
Για να επιλύσετε ή να αποτρέψετε το πρόβλημα, ακολουθήστε τα εξής βήματα:
-
Κλωνοποιήστε το Βελτιστοποιημένο προφίλ που ονομάζεται "Optimized SMB" (ή άλλο της επιλογής σας).
-
Επεξεργαστείτε το προφίλ, μεταβείτε στην ενότητα IPS → Pre R80.Settings και απενεργοποιήστε το Server Protections.
-
Κατά την κρίση σας, μπορείτε να απενεργοποιήσετε CVE παλαιότερα από το 2010, αυτά τα τρωτά σημεία μπορεί να βρίσκονται σπάνια σε μικρά γραφεία, αλλά επηρεάζουν την απόδοση. Για να απενεργοποιήσετε ορισμένα από αυτά, μεταβείτε στο Προφίλ→IPS→Πρόσθετη ενεργοποίηση→Προστασίες για απενεργοποίηση λίστας
Αντί για ένα συμπέρασμα
Ως μέρος μιας σειράς άρθρων σχετικά με τη νέα γενιά NGFW της οικογένειας SMB (1500), προσπαθήσαμε να επισημάνουμε τις κύριες δυνατότητες της λύσης και δείξαμε τη διαμόρφωση σημαντικών στοιχείων ασφαλείας χρησιμοποιώντας συγκεκριμένα παραδείγματα. Θα χαρούμε να απαντήσουμε σε οποιαδήποτε ερώτηση σχετικά με το προϊόν στα σχόλια. Μένουμε μαζί σας, σας ευχαριστούμε για την προσοχή σας!
. Για να μην χάσετε νέες δημοσιεύσεις, ακολουθήστε τις ενημερώσεις στα κοινωνικά μας δίκτυα (, , , , ).
Πηγή: www.habr.com