7. NGFW por malgrandaj entreprenoj. Agado kaj ĝeneralaj rekomendoj

Venis la tempo por kompletigi la serion de artikoloj pri la nova generacio de SMB Check Point (1500 serioj). Ni esperas, ke ĉi tio estis rekompenca sperto por vi kaj ke vi daŭre estos kun ni en la blogo de TS Solution. La temo por la fina artikolo ne estas vaste traktata, sed ne malpli grava - SMB-agordado. En ĝi ni diskutos la agordajn elektojn por la aparataro kaj programaro de la NGFW, priskribos la disponeblajn komandojn kaj metodojn de interago.

Ĉiuj artikoloj en la serio pri NGFW por malgrandaj entreprenoj:

1. Nova CheckPoint 1500 Security Gateway Line

2. Malboksado kaj Agordo

3. Sendrata transdono de datumoj: WiFi kaj LTE

4. VPN

5. Nuba SMP-Administrado

6. Smart-1 Nubo

Nuntempe, ne ekzistas multaj fontoj de informoj pri agordado de rendimento por SMB-solvoj pro restriktoj interna OS - Gaia 80.20 Embedded. En nia artikolo ni uzos aranĝon kun centralizita administrado (diligenta Administra Servilo) - ĝi permesas vin uzi pli da iloj kiam vi laboras kun NGFW.

Aparataro

Antaŭ ol tuŝi la familian arkitekturon de Check Point SMB, vi ĉiam povas peti vian partneron uzi la ilon Aparato Grandeca Ilo, por elekti la optimuman solvon laŭ la specifitaj trajtoj (trafluo, atendata nombro da uzantoj, ktp.).

Gravaj notoj dum interagado kun via NGFW-aparataro

1. NGFW-solvoj de la SMB-familio ne havas la kapablon ĝisdatigi aparataron sistemkomponentojn (CPU, RAM, HDD); depende de la modelo, ekzistas subteno por SD-kartoj, ĉi tio ebligas al vi pligrandigi la diskkapaciton, sed ne signife.

2. La funkciado de retaj interfacoj postulas kontrolon. Gaia 80.20 Embedded ne havas multajn monitorajn ilojn, sed vi ĉiam povas uzi la konatan komandon en la CLI per Sperta reĝimo 

   # ifconfig

   

   Atentu la substrekitajn liniojn, ili permesos al vi taksi la nombron da eraroj sur la interfaco. Estas tre rekomendite kontroli ĉi tiujn parametrojn dum la komenca efektivigo de via NGFW, same kiel periode dum operacio.

3. Por plenrajta Gaia estas ordono:

   >montri diag

   Kun ĝia helpo eblas akiri informojn pri la temperaturo de la aparataro. Bedaŭrinde, ĉi tiu opcio ne disponeblas en 80.20 Embedded; ni indikos la plej popularajn SNMP-kaptilojn:

   nomo 

   Priskribo

   Interfaco malkonektita

   Malebligante la interfacon

   VLAN forigita

   Forigante Vlanojn

   Alta memoruzo

   Alta RAM-uzado

   Malalta diskospaco

   Ne sufiĉas HDD-spaco

   Alta CPU-uzado

   Alta CPU-uzado

   Alta CPU interrompas rapidecon

   Alta interrompa indico

   Alta koneksa indico

   Alta fluo de novaj ligoj

   Altaj samtempaj konektoj

   Alta nivelo de konkurencivaj sesioj

   Alta Firewall trairo

   Alta traflua fajroŝirmilo

   Alta akceptita paka indico

   Alta paka riceva indico

   Cluster-membroŝtato ŝanĝiĝis

   Ŝanĝi la staton de la areto

   Konekto kun protokolo-servila eraro

   Perdita konekto kun Log-Server

4. Funkciado de via enirejo postulas RAM-monitoradon. Por ke Gaia (Linukso-simila OS) funkciu, ĉi tio estas normala situaciokiam RAM-konsumo atingas 70-80% de uzo.

   La arkitekturo de SMB-solvoj ne zorgas pri la uzado de SWAP-memoro, male al pli malnovaj Check Point-modeloj. Tamen, en Linukso sistemdosieroj ĝi estis rimarkita , kiu indikas la teorian eblecon ŝanĝi la SWAP-parametron.

Programaro parto

En la momento de publikigo de la artikolo ĝisdataj Gaia versio - 80.20.10. Vi devas scii, ke ekzistas limigoj kiam vi laboras en la CLI: iuj Linukso-komandoj estas subtenataj en Sperta reĝimo. Taksi la agadon de NGFW postulas taksi la agadon de demonoj kaj servoj, pli da detaloj pri tio troveblas en artikolo mia kolego. Ni rigardos eblajn komandojn por SMB.

Laborante kun Gaia OS

1. Foliumi SecureXL-ŝablonojn

   #fwaccelstat

   

2. Vidu lanĉon laŭ kerno

   # fw ctl multik stat

   

3. Rigardu la nombron da sesioj (konektoj).

   # fw ctl pstat

   

4. *Vidi la staton de la cluster

   #cphaprob stat

   

5. Klasika Linuksa TOP-komando

Enhavo

Kiel vi jam scias, estas tri manieroj labori kun NGFW-protokoloj (stokado, prilaborado): loke, centre kaj en la nubo. La lastaj du opcioj implicas la ĉeeston de ento - Administra Servilo.

Eblaj NGFW-kontrolkabaloj

La plej valoraj protokolaj dosieroj

1. Sistemmesaĝoj (enhavas malpli da informoj ol plena Gaia)

   # vosto -f /var/log/messages2

   

2. Eraraj mesaĝoj en la funkciado de klingoj (tre utila dosiero dum problemoj pri solvado de problemoj)

   # vosto -f /var/log/log/sfwd.elg

   

3. Rigardu mesaĝojn de la bufro ĉe la sistema kerno.

   #dmesg

   

Klingo-agordo

Ĉi tiu sekcio ne enhavos kompletajn instrukciojn por agordi vian Kontrolpunkton de NGFW; ĝi enhavas nur niajn rekomendojn, elektitajn de sperto.

Aplika Kontrolo / URL-Filtrado

• Oni rekomendas eviti AJN, AJN (Fonto, Celo) kondiĉojn en reguloj.

• Kiam oni specifas kutiman URL-rimedon, estos pli efika uzi regulajn esprimojn kiel: (^|..)checkpoint.com

• Evitu troan uzon de regulprotokolo kaj montradon de blokantaj paĝoj (UserCheck).

• Certiĝu, ke la teknologio funkcias ĝuste "SecureXL". Plej multe de la trafiko devus trairi akcelita/meza vojo. Ankaŭ, ne forgesu filtri la regulojn laŭ la plej uzataj (kampo Trafoj ).

HTTPS-Inspektado

Ne estas sekreto, ke 70-80% de uzanttrafiko venas de HTTPS-konektoj, kio signifas, ke tio postulas rimedojn de via enireja procesoro. Krome, HTTPS-Inspektado partoprenas en la laboro de IPS, Antivirus, Antibot.

Komencante de versio 80.40 ekzistis ŝanco por labori kun HTTPS-reguloj sen Legacy Dashboard, jen kelkaj rekomenditaj reguloj:

• Preterpasi por grupo de adresoj kaj retoj (Celo).

• Preterpasi por grupo de URL-oj.

• Preterpasi por interna IP kaj retoj kun privilegia aliro (Fonto).

• Inspektu por postulataj retoj, uzantoj

• Preterpasi por ĉiuj aliaj.

* Ĉiam pli bone estas mane elekti HTTPS aŭ HTTPS Prokurajn servojn kaj lasi Iun ajn. Ensalutu eventojn laŭ Inspekti reguloj.

IPS

La IPS-klingo eble malsukcesos instali politikon sur via NGFW se tro da subskriboj estas uzataj. Laŭ artikolo de Check Point, la arkitekturo de SMB-aparato ne estas dizajnita por ruli la plenan rekomenditan IPS-agordan profilon.

Por solvi aŭ malhelpi la problemon, sekvu ĉi tiujn paŝojn:

1. Klonu la Optimumigitan profilon nomatan "Optimigita SMB" (aŭ alia laŭ via elekto).

2. Redaktu la profilon, iru al la sekcio IPS → Antaŭ R80.Agordoj kaj malŝaltu Servilo-Protektoj.

   

3. Laŭ via bontrovo, vi povas malŝalti CVE-ojn pli malnovajn ol 2010, ĉi tiuj vundeblecoj eble malofte troviĝas en malgrandaj oficejoj, sed influas rendimenton. Por malŝalti kelkajn el ili, iru al Profilo→IPS→Aldona Aktivigo→Protektoj por malaktivigi liston.

   

Anstataŭ konkludo

Kiel parto de serio de artikoloj pri la nova generacio de NGFW de la SMB-familio (1500), ni provis reliefigi la ĉefajn kapablojn de la solvo kaj pruvis la agordon de gravaj sekurecaj komponantoj uzante specifajn ekzemplojn. Ni volonte respondos al ajnaj demandoj pri la produkto en la komentoj. Ni restas kun vi, dankon pro via atento!

Granda elekto de materialoj sur Check Point de TS Solution. Por ne maltrafi novajn eldonaĵojn, sekvu la ĝisdatigojn en niaj sociaj retoj (Telegramo, Facebook, VK, TS Solva Blogo, Yandex.Zen).

fonto: www.habr.com