7. NGFW väikeettevõtetele. Toimivus ja üldised soovitused
On kätte jõudnud aeg lõpetada artiklisari uue põlvkonna SMB Check Pointi (1500 seeria) kohta. Loodame, et see oli teile rahuldust pakkuv kogemus ja jätkate meiega TS Solutioni ajaveebis. Viimase artikli teemat ei käsitleta laialdaselt, kuid mitte vähem oluline - SMB jõudluse häälestamine. Selles käsitleme NGFW riist- ja tarkvara konfiguratsioonivalikuid, kirjeldame saadaolevaid käske ja interaktsiooni meetodeid.
Kõik väikeettevõtetele mõeldud NGFW-sarja artiklid:
Praegu pole SMB lahenduste jõudluse häälestamise kohta palju teabeallikaid, kuna piirangud sisemine OS – Gaia 80.20 Embedded. Oma artiklis kasutame tsentraliseeritud haldusega paigutust (spetsiaalne haldusserver) - see võimaldab teil NGFW-ga töötamisel kasutada rohkem tööriistu.
Riistvara
Enne Check Pointi SMB perearhitektuuri puudutamist võite alati paluda oma partneril utiliiti kasutada Seadme suuruse määramise tööriist, et valida optimaalne lahendus vastavalt määratud omadustele (läbilaskvus, eeldatav kasutajate arv jne).
Olulised märkused NGFW riistvaraga suhtlemisel
SMB perekonna NGFW lahendustel puudub võimalus süsteemikomponente (CPU, RAM, HDD) riistvaraliselt uuendada, olenevalt mudelist on olemas SD-kaartide tugi, see võimaldab küll ketta mahtu suurendada, kuid mitte oluliselt.
Võrguliideste töö nõuab kontrolli. Gaia 80.20 Embeddedil pole palju jälgimistööriistu, kuid saate alati kasutada CLI-s tuntud käsku Expert režiimi kaudu
#ifconfig
Pöörake tähelepanu allajoonitud joontele, need võimaldavad teil hinnata liidese vigade arvu. Neid parameetreid on tungivalt soovitatav kontrollida oma NGFW esmasel rakendamisel, samuti perioodiliselt töö ajal.
Täisväärtusliku Gaia jaoks on käsk:
> näita diag
Selle abil on võimalik saada teavet riistvara temperatuuri kohta. Kahjuks pole see valik versioonis 80.20 Embedded saadaval; näitame kõige populaarsemad SNMP-lõksud:
nimi
Kirjeldus
Liides on lahti ühendatud
Liidese keelamine
VLAN eemaldatud
Vlanide eemaldamine
Kõrge mälukasutus
Kõrge RAM-i kasutus
Vähene kettaruumi
Pole piisavalt ruumi kõvakettal
Kõrge protsessori kasutus
Kõrge protsessori kasutus
Kõrge protsessori katkestuste määr
Kõrge katkestussagedus
Kõrge ühenduse kiirus
Uute ühenduste suur voog
Suured samaaegsed ühendused
Võistlusseansside kõrge tase
Kõrge tulemüüri läbilaskevõime
Suure läbilaskevõimega tulemüür
Kõrge aktsepteeritud paketimäär
Kõrge pakettide vastuvõtumäär
Klastri liikmesriik on muutunud
Klastri oleku muutmine
Ühenduse logiserveriga viga
Ühendus Log-Serveriga katkes
Teie lüüsi tööks on vaja RAM-i jälgimist. Selleks, et Gaia (Linux-tüüpi OS) töötaks, on see normaalne olukordkui RAM-i tarbimine jõuab 70-80% kasutusest.
SMB lahenduste arhitektuur ei näe erinevalt vanematest Check Pointi mudelitest ette SWAP-mälu kasutamist. Linuxi süsteemifailides pandi seda aga tähele , mis näitab SWAP parameetri muutmise teoreetilist võimalust.
Tarkvara osa
Artikli avaldamise ajal tegelik Gaia versioon - 80.20.10. Peate teadma, et CLI-s töötamisel on piiranguid: mõnda Linuxi käsku toetatakse ekspertrežiimis. NGFW toimivuse hindamine eeldab deemonite ja teenuste jõudluse hindamist, selle kohta leiate lisateavet siit minu kolleeg. Vaatame SMB võimalikke käske.
Töötamine Gaia OS-iga
Sirvige SecureXL-i malle
#fwaccelstat
Vaadake alglaadimist tuumade kaupa
# fw ctl multik stat
Vaadake seansside (ühenduste) arvu.
# fw ctl pstat
*Vaadake klastri olekut
#cphaprob stat
Klassikaline Linuxi TOP käsk
Logimine
Nagu te juba teate, on NGFW logidega töötamiseks kolm võimalust (salvestus, töötlemine): lokaalselt, tsentraalselt ja pilves. Kaks viimast valikut viitavad olemi olemasolule - haldusserver.
Võimalikud NGFW juhtimisskeemid
Kõige väärtuslikumad logifailid
Süsteemisõnumid (sisaldab vähem teavet kui täielik Gaia)
# saba -f /var/log/messages2
Veateated labade töös (üsna kasulik fail probleemide tõrkeotsingul)
# saba -f /var/log/log/sfwd.elg
Saate vaadata sõnumeid puhvrist süsteemi tuuma tasemel.
#dmesg
Tera konfiguratsioon
See jaotis ei sisalda täielikke juhiseid NGFW kontrollpunkti seadistamiseks; see sisaldab ainult meie soovitusi, mis on valitud kogemuse põhjal.
Rakenduse juhtimine / URL-i filtreerimine
Soovitatav on reeglites vältida MINGI, IGASUGU (Allikas, Sihtkoht) tingimusi.
Kohandatud URL-i ressursi määramisel on tõhusam kasutada regulaaravaldisi, näiteks: (^|..)checkpoint.com
Vältige reeglite logimise ja blokeerivate lehtede kuvamise (UserCheck) liigset kasutamist.
Veenduge, et tehnoloogia töötab õigesti "SecureXL". Suurem osa liiklusest peaks läbima kiirendatud/keskmine tee. Samuti ärge unustage filtreerida reegleid enimkasutatud reeglite järgi (väli Hits ).
HTTPS-kontroll
Pole saladus, et 70–80% kasutajate liiklusest pärineb HTTPS-ühendustest, mis tähendab, et see nõuab teie lüüsiprotsessorilt ressursse. Lisaks osaleb HTTPS-Inspection IPS, Antivirus, Antiboti töös.
Alates versioonist 80.40 oli olemas võimalus HTTPS-i reeglitega töötamiseks ilma pärandjuhtpaneelita on siin mõned soovitatavad reeglite järjekorrad:
Aadresside ja võrkude grupi ümbersõit (sihtkoht).
URL-ide rühmast möödaminek.
Sisemise IP ja privilegeeritud juurdepääsuga võrkude ümbersõit (allikas).
Kontrollige vajalikke võrke, kasutajaid
Kõigile teistele möödasõit.
* Alati on parem valida käsitsi HTTPS- või HTTPS-puhverserveri teenused ja jätta ükskõik milline. Logi sündmusi vastavalt kontrolli reeglitele.
IPS
Kui kasutatakse liiga palju allkirju, ei pruugi IPS-i tera teie NGFW-le poliitikat installida. Vastavalt siit Check Pointist ei ole SMB-seadme arhitektuur mõeldud täieliku soovitatava IPS-i konfiguratsiooniprofiili käitamiseks.
Probleemi lahendamiseks või vältimiseks toimige järgmiselt.
Kloonige optimeeritud profiil nimega "Optimized SMB" (või mõni muu teie valitud profiil).
Redigeerige profiili, minge jaotisse IPS → Pre R80.Settings ja lülitage Serverikaitsed välja.
Saate oma äranägemise järgi keelata CVE-d, mis on vanemad kui 2010. Neid turvaauke võib väikestes kontorites harva leida, kuid need mõjutavad jõudlust. Mõne neist keelamiseks avage Profiil → IPS → Täiendav aktiveerimine → Deaktiveerimisloendi kaitsed
Selle asemel, et järeldus
SMB perekonna uue põlvkonna NGFW (1500) artiklite sarja raames püüdsime välja tuua lahenduse peamised võimalused ja demonstreerisime konkreetsete näidete abil oluliste turvakomponentide konfiguratsiooni. Vastame hea meelega kõikidele tootega seotud küsimustele kommentaarides. Jääme teiega, täname tähelepanu eest!