Ha llegado el momento de completar la serie de artículos sobre la nueva generación de Check Point SMB (serie 1500). Esperamos que esta haya sido una experiencia gratificante para usted y que continúe estando con nosotros en el blog de TS Solution. El tema del artículo final no se trata ampliamente, pero no es menos importante: el ajuste del rendimiento de las SMB. En él discutiremos las opciones de configuración para el hardware y software del NGFW, describiremos los comandos disponibles y los métodos de interacción.
Todos los artículos de la serie sobre NGFW para pequeñas empresas:
Actualmente, no hay muchas fuentes de información sobre el ajuste del rendimiento para soluciones para PYMES debido a Sistema operativo interno: Gaia 80.20 integrado. En nuestro artículo usaremos un diseño con administración centralizada (Servidor de administración dedicado): le permite usar más herramientas cuando trabaja con NGFW.
Hardware
Antes de tocar la arquitectura de la familia Check Point SMB, siempre puedes pedirle a tu socio que utilice la utilidad Herramienta de dimensionamiento de electrodomésticos, para seleccionar la solución óptima según las características especificadas (rendimiento, número esperado de usuarios, etc.).
Notas importantes al interactuar con su hardware NGFW
-
Las soluciones NGFW de la familia SMB no tienen la capacidad de actualizar los componentes del sistema de hardware (CPU, RAM, HDD); según el modelo, hay soporte para tarjetas SD, esto le permite ampliar la capacidad del disco, pero no significativamente.
-
El funcionamiento de las interfaces de red requiere control. Gaia 80.20 Embedded no tiene muchas herramientas de monitoreo, pero siempre puedes usar el conocido comando en la CLI a través del modo Experto.
# Ifconfig
Preste atención a las líneas subrayadas, le permitirán estimar la cantidad de errores en la interfaz. Se recomienda encarecidamente verificar estos parámetros durante la implementación inicial de su NGFW, así como periódicamente durante la operación.
-
Para una Gaia en toda regla existe un comando:
>mostrar diag.
Con su ayuda es posible obtener información sobre la temperatura del hardware. Lamentablemente esta opción no está disponible en 80.20 Embedded, indicaremos las trampas SNMP más populares:
nombre
Descripción
Interfaz desconectada
Deshabilitar la interfaz
VLAN eliminada
Eliminación de VLAN
Alta utilización de memoria
Alta utilización de RAM
Poco espacio en el disco
No hay suficiente espacio en el disco duro
Alta utilización de CPU
Alta utilización de CPU
Alta tasa de interrupciones de la CPU
Alta tasa de interrupción
Alta tasa de conexión
Alto flujo de nuevas conexiones
Altas conexiones concurrentes
Alto nivel de sesiones competitivas.
Alto rendimiento del firewall
Cortafuegos de alto rendimiento
Alta tasa de paquetes aceptados
Alta tasa de recepción de paquetes
El estado miembro del clúster cambió
Cambiar el estado del clúster
Error de conexión con el servidor de registro
Conexión perdida con Log-Server
-
El funcionamiento de su puerta de enlace requiere monitoreo de RAM. Para que Gaia (sistema operativo tipo Linux) funcione, esto es cuando el consumo de RAM alcanza el 70-80% de uso.
La arquitectura de las soluciones SMB no prevé el uso de memoria SWAP, a diferencia de los modelos más antiguos de Check Point. Sin embargo, en los archivos del sistema Linux se notó , que indica la posibilidad teórica de cambiar el parámetro SWAP.
Parte de software
En el momento de la publicación del artículo. Versión Gaia - 80.20.10. Debe saber que existen limitaciones al trabajar en la CLI: algunos comandos de Linux son compatibles con el modo Experto. Evaluar el rendimiento de NGFW requiere evaluar el rendimiento de demonios y servicios; se pueden encontrar más detalles sobre esto en mi colega. Analizaremos posibles comandos para SMB.
Trabajar con el sistema operativo Gaia
-
Explorar plantillas de SecureXL
#fwaccelstat
-
Ver arranque por núcleo
# fw ctl estadística múltiple
-
Ver el número de sesiones (conexiones).
# fw ctl pstat
-
*Ver el estado del clúster
#cphaprob estadística
-
Comando TOP clásico de Linux
Inicio sesión
Como ya sabes, hay tres formas de trabajar con registros NGFW (almacenamiento, procesamiento): localmente, centralmente y en la nube. Las dos últimas opciones implican la presencia de una entidad: Management Server.
Posibles esquemas de control de NGFW
Los archivos de registro más valiosos
-
Mensajes del sistema (contiene menos información que Gaia completo)
# cola -f /var/log/messages2
-
Mensajes de error en el funcionamiento de las palas (un archivo bastante útil a la hora de solucionar problemas)
# cola -f /var/log/log/sfwd.elg
-
Ver mensajes del búfer en el nivel del kernel del sistema.
#dmesg
Configuración de la hoja
Esta sección no contendrá instrucciones completas para configurar su NGFW Check Point; solo contiene nuestras recomendaciones, seleccionadas por experiencia.
Control de aplicaciones/filtrado de URL
-
Se recomienda evitar CUALQUIER condición (Origen, Destino) en las reglas.
-
Al especificar un recurso de URL personalizado, será más eficaz utilizar expresiones regulares como: (^|..)checkpoint.com
-
Evite el uso excesivo del registro de reglas y la visualización de páginas de bloqueo (UserCheck).
-
Asegúrese de que la tecnología funcione correctamente "SeguroXL". La mayor parte del tráfico debería pasar trayectoria acelerada/media. Además, no olvides filtrar las reglas por las más utilizadas (campo Golpes ).
Inspección HTTPS
No es ningún secreto que entre el 70% y el 80% del tráfico de usuarios proviene de conexiones HTTPS, lo que significa que esto requiere recursos del procesador de su puerta de enlace. Además, HTTPS-Inspection participa en el trabajo de IPS, Antivirus, Antibot.
A partir de la versión 80.40 hubo Para trabajar con reglas HTTPS sin Legacy Dashboard, a continuación se muestra el orden de reglas recomendado:
-
Bypass para un grupo de direcciones y redes (Destino).
-
Omitir para un grupo de URL.
-
Bypass para IP interna y redes con acceso privilegiado (Fuente).
-
Inspeccionar las redes y usuarios requeridos
-
Evitar a todos los demás.
* Siempre es mejor seleccionar manualmente los servicios HTTPS o HTTPS Proxy y dejar Cualquiera. Registre eventos de acuerdo con las reglas de inspección.
IPS
Es posible que el módulo IPS no pueda instalar la política en su NGFW si se utilizan demasiadas firmas. De acuerdo a Según Check Point, la arquitectura del dispositivo SMB no está diseñada para ejecutar el perfil de configuración IPS completo recomendado.
Para resolver o prevenir el problema, siga estos pasos:
-
Clona el perfil Optimizado llamado “SMB Optimizado” (u otro de tu elección).
-
Edite el perfil, vaya a la sección IPS → Pre R80.Configuración y desactive las Protecciones del servidor.
-
A su discreción, puede desactivar CVE anteriores a 2010; es posible que estas vulnerabilidades rara vez se encuentren en oficinas pequeñas, pero afectan el rendimiento. Para deshabilitar algunos de ellos, vaya a Perfil→IPS→Activación adicional→Protecciones para desactivar la lista
En lugar de una conclusión
Como parte de una serie de artículos sobre la nueva generación de NGFW de la familia SMB (1500), intentamos resaltar las principales capacidades de la solución y demostramos la configuración de importantes componentes de seguridad mediante ejemplos específicos. Estaremos encantados de responder cualquier duda sobre el producto en los comentarios. Seguimos contigo, ¡gracias por tu atención!
. Para no perderte nuevas publicaciones, sigue las actualizaciones en nuestras redes sociales (, , , , ).
Fuente: habr.com