ProHoster > Блог > Administrado > 7. NGFW por malgrandaj entreprenoj. Agado kaj ĝeneralaj rekomendoj
7. NGFW por malgrandaj entreprenoj. Agado kaj ĝeneralaj rekomendoj
Venis la tempo por kompletigi la serion de artikoloj pri la nova generacio de SMB Check Point (1500 serioj). Ni esperas, ke ĉi tio estis rekompenca sperto por vi kaj ke vi daŭre estos kun ni en la blogo de TS Solution. La temo por la fina artikolo ne estas vaste traktata, sed ne malpli grava - SMB-agordado. En ĝi ni diskutos la agordajn elektojn por la aparataro kaj programaro de la NGFW, priskribos la disponeblajn komandojn kaj metodojn de interago.
Ĉiuj artikoloj en la serio pri NGFW por malgrandaj entreprenoj:
Nuntempe, ne ekzistas multaj fontoj de informoj pri agordado de rendimento por SMB-solvoj pro restriktoj interna OS - Gaia 80.20 Embedded. En nia artikolo ni uzos aranĝon kun centralizita administrado (diligenta Administra Servilo) - ĝi permesas vin uzi pli da iloj kiam vi laboras kun NGFW.
Aparataro
Antaŭ ol tuŝi la familian arkitekturon de Check Point SMB, vi ĉiam povas peti vian partneron uzi la ilon Aparato Grandeca Ilo, por elekti la optimuman solvon laŭ la specifitaj trajtoj (trafluo, atendata nombro da uzantoj, ktp.).
Gravaj notoj dum interagado kun via NGFW-aparataro
NGFW-solvoj de la SMB-familio ne havas la kapablon ĝisdatigi aparataron sistemkomponentojn (CPU, RAM, HDD); depende de la modelo, ekzistas subteno por SD-kartoj, ĉi tio ebligas al vi pligrandigi la diskkapaciton, sed ne signife.
La funkciado de retaj interfacoj postulas kontrolon. Gaia 80.20 Embedded ne havas multajn monitorajn ilojn, sed vi ĉiam povas uzi la konatan komandon en la CLI per Sperta reĝimo
# ifconfig
Atentu la substrekitajn liniojn, ili permesos al vi taksi la nombron da eraroj sur la interfaco. Estas tre rekomendite kontroli ĉi tiujn parametrojn dum la komenca efektivigo de via NGFW, same kiel periode dum operacio.
Por plenrajta Gaia estas ordono:
>montri diag
Kun ĝia helpo eblas akiri informojn pri la temperaturo de la aparataro. Bedaŭrinde, ĉi tiu opcio ne disponeblas en 80.20 Embedded; ni indikos la plej popularajn SNMP-kaptilojn:
nomo
Priskribo
Interfaco malkonektita
Malebligante la interfacon
VLAN forigita
Forigante Vlanojn
Alta memoruzo
Alta RAM-uzado
Malalta diskospaco
Ne sufiĉas HDD-spaco
Alta CPU-uzado
Alta CPU-uzado
Alta CPU interrompas rapidecon
Alta interrompa indico
Alta koneksa indico
Alta fluo de novaj ligoj
Altaj samtempaj konektoj
Alta nivelo de konkurencivaj sesioj
Alta Firewall trairo
Alta traflua fajroŝirmilo
Alta akceptita paka indico
Alta paka riceva indico
Cluster-membroŝtato ŝanĝiĝis
Ŝanĝi la staton de la areto
Konekto kun protokolo-servila eraro
Perdita konekto kun Log-Server
Funkciado de via enirejo postulas RAM-monitoradon. Por ke Gaia (Linukso-simila OS) funkciu, ĉi tio estas normala situaciokiam RAM-konsumo atingas 70-80% de uzo.
La arkitekturo de SMB-solvoj ne zorgas pri la uzado de SWAP-memoro, male al pli malnovaj Check Point-modeloj. Tamen, en Linukso sistemdosieroj ĝi estis rimarkita , kiu indikas la teorian eblecon ŝanĝi la SWAP-parametron.
Programaro parto
En la momento de publikigo de la artikolo ĝisdataj Gaia versio - 80.20.10. Vi devas scii, ke ekzistas limigoj kiam vi laboras en la CLI: iuj Linukso-komandoj estas subtenataj en Sperta reĝimo. Taksi la agadon de NGFW postulas taksi la agadon de demonoj kaj servoj, pli da detaloj pri tio troveblas en artikolo mia kolego. Ni rigardos eblajn komandojn por SMB.
Laborante kun Gaia OS
Foliumi SecureXL-ŝablonojn
#fwaccelstat
Vidu lanĉon laŭ kerno
# fw ctl multik stat
Rigardu la nombron da sesioj (konektoj).
# fw ctl pstat
*Vidi la staton de la cluster
#cphaprob stat
Klasika Linuksa TOP-komando
Enhavo
Kiel vi jam scias, estas tri manieroj labori kun NGFW-protokoloj (stokado, prilaborado): loke, centre kaj en la nubo. La lastaj du opcioj implicas la ĉeeston de ento - Administra Servilo.
Eblaj NGFW-kontrolkabaloj
La plej valoraj protokolaj dosieroj
Sistemmesaĝoj (enhavas malpli da informoj ol plena Gaia)
# vosto -f /var/log/messages2
Eraraj mesaĝoj en la funkciado de klingoj (tre utila dosiero dum problemoj pri solvado de problemoj)
# vosto -f /var/log/log/sfwd.elg
Rigardu mesaĝojn de la bufro ĉe la sistema kerno.
#dmesg
Klingo-agordo
Ĉi tiu sekcio ne enhavos kompletajn instrukciojn por agordi vian Kontrolpunkton de NGFW; ĝi enhavas nur niajn rekomendojn, elektitajn de sperto.
Aplika Kontrolo / URL-Filtrado
Oni rekomendas eviti AJN, AJN (Fonto, Celo) kondiĉojn en reguloj.
Kiam oni specifas kutiman URL-rimedon, estos pli efika uzi regulajn esprimojn kiel: (^|..)checkpoint.com
Evitu troan uzon de regulprotokolo kaj montradon de blokantaj paĝoj (UserCheck).
Certiĝu, ke la teknologio funkcias ĝuste "SecureXL". Plej multe de la trafiko devus trairi akcelita/meza vojo. Ankaŭ, ne forgesu filtri la regulojn laŭ la plej uzataj (kampo Trafoj ).
HTTPS-Inspektado
Ne estas sekreto, ke 70-80% de uzanttrafiko venas de HTTPS-konektoj, kio signifas, ke tio postulas rimedojn de via enireja procesoro. Krome, HTTPS-Inspektado partoprenas en la laboro de IPS, Antivirus, Antibot.
Komencante de versio 80.40 ekzistis ŝanco por labori kun HTTPS-reguloj sen Legacy Dashboard, jen kelkaj rekomenditaj reguloj:
Preterpasi por grupo de adresoj kaj retoj (Celo).
Preterpasi por grupo de URL-oj.
Preterpasi por interna IP kaj retoj kun privilegia aliro (Fonto).
Inspektu por postulataj retoj, uzantoj
Preterpasi por ĉiuj aliaj.
* Ĉiam pli bone estas mane elekti HTTPS aŭ HTTPS Prokurajn servojn kaj lasi Iun ajn. Ensalutu eventojn laŭ Inspekti reguloj.
IPS
La IPS-klingo eble malsukcesos instali politikon sur via NGFW se tro da subskriboj estas uzataj. Laŭ artikolo de Check Point, la arkitekturo de SMB-aparato ne estas dizajnita por ruli la plenan rekomenditan IPS-agordan profilon.
Por solvi aŭ malhelpi la problemon, sekvu ĉi tiujn paŝojn:
Klonu la Optimumigitan profilon nomatan "Optimigita SMB" (aŭ alia laŭ via elekto).
Redaktu la profilon, iru al la sekcio IPS → Antaŭ R80.Agordoj kaj malŝaltu Servilo-Protektoj.
Laŭ via bontrovo, vi povas malŝalti CVE-ojn pli malnovajn ol 2010, ĉi tiuj vundeblecoj eble malofte troviĝas en malgrandaj oficejoj, sed influas rendimenton. Por malŝalti kelkajn el ili, iru al Profilo→IPS→Aldona Aktivigo→Protektoj por malaktivigi liston.
Anstataŭ konkludo
Kiel parto de serio de artikoloj pri la nova generacio de NGFW de la SMB-familio (1500), ni provis reliefigi la ĉefajn kapablojn de la solvo kaj pruvis la agordon de gravaj sekurecaj komponantoj uzante specifajn ekzemplojn. Ni volonte respondos al ajnaj demandoj pri la produkto en la komentoj. Ni restas kun vi, dankon pro via atento!