7. NGFW väikeettevõtetele. Toimivus ja üldised soovitused

On kätte jõudnud aeg lõpetada artiklisari uue põlvkonna SMB Check Pointi (1500 seeria) kohta. Loodame, et see oli teile rahuldust pakkuv kogemus ja jätkate meiega TS Solutioni ajaveebis. Viimase artikli teemat ei käsitleta laialdaselt, kuid mitte vähem oluline - SMB jõudluse häälestamine. Selles käsitleme NGFW riist- ja tarkvara konfiguratsioonivalikuid, kirjeldame saadaolevaid käske ja interaktsiooni meetodeid.

Kõik väikeettevõtetele mõeldud NGFW-sarja artiklid:

1. Uus CheckPoint 1500 turvavärava liin

2. Lahtipakkimine ja seadistamine

3. Juhtmeta andmeedastus: WiFi ja LTE

4. VPN

5. Pilve SMP haldus

6. Smart-1 pilv

Praegu pole SMB lahenduste jõudluse häälestamise kohta palju teabeallikaid, kuna piirangud sisemine OS – Gaia 80.20 Embedded. Oma artiklis kasutame tsentraliseeritud haldusega paigutust (spetsiaalne haldusserver) - see võimaldab teil NGFW-ga töötamisel kasutada rohkem tööriistu.

Riistvara

Enne Check Pointi SMB perearhitektuuri puudutamist võite alati paluda oma partneril utiliiti kasutada Seadme suuruse määramise tööriist, et valida optimaalne lahendus vastavalt määratud omadustele (läbilaskvus, eeldatav kasutajate arv jne).

Olulised märkused NGFW riistvaraga suhtlemisel

1. SMB perekonna NGFW lahendustel puudub võimalus süsteemikomponente (CPU, RAM, HDD) riistvaraliselt uuendada, olenevalt mudelist on olemas SD-kaartide tugi, see võimaldab küll ketta mahtu suurendada, kuid mitte oluliselt.

2. Võrguliideste töö nõuab kontrolli. Gaia 80.20 Embeddedil pole palju jälgimistööriistu, kuid saate alati kasutada CLI-s tuntud käsku Expert režiimi kaudu 

   #ifconfig

   

   Pöörake tähelepanu allajoonitud joontele, need võimaldavad teil hinnata liidese vigade arvu. Neid parameetreid on tungivalt soovitatav kontrollida oma NGFW esmasel rakendamisel, samuti perioodiliselt töö ajal.

3. Täisväärtusliku Gaia jaoks on käsk:

   > näita diag

   Selle abil on võimalik saada teavet riistvara temperatuuri kohta. Kahjuks pole see valik versioonis 80.20 Embedded saadaval; näitame kõige populaarsemad SNMP-lõksud:

   nimi 

   Kirjeldus

   Liides on lahti ühendatud

   Liidese keelamine

   VLAN eemaldatud

   Vlanide eemaldamine

   Kõrge mälukasutus

   Kõrge RAM-i kasutus

   Vähene kettaruumi

   Pole piisavalt ruumi kõvakettal

   Kõrge protsessori kasutus

   Kõrge protsessori kasutus

   Kõrge protsessori katkestuste määr

   Kõrge katkestussagedus

   Kõrge ühenduse kiirus

   Uute ühenduste suur voog

   Suured samaaegsed ühendused

   Võistlusseansside kõrge tase

   Kõrge tulemüüri läbilaskevõime

   Suure läbilaskevõimega tulemüür

   Kõrge aktsepteeritud paketimäär

   Kõrge pakettide vastuvõtumäär

   Klastri liikmesriik on muutunud

   Klastri oleku muutmine

   Ühenduse logiserveriga viga

   Ühendus Log-Serveriga katkes

4. Teie lüüsi tööks on vaja RAM-i jälgimist. Selleks, et Gaia (Linux-tüüpi OS) töötaks, on see normaalne olukordkui RAM-i tarbimine jõuab 70-80% kasutusest.

   SMB lahenduste arhitektuur ei näe erinevalt vanematest Check Pointi mudelitest ette SWAP-mälu kasutamist. Linuxi süsteemifailides pandi seda aga tähele , mis näitab SWAP parameetri muutmise teoreetilist võimalust.

Tarkvara osa

Artikli avaldamise ajal tegelik Gaia versioon - 80.20.10. Peate teadma, et CLI-s töötamisel on piiranguid: mõnda Linuxi käsku toetatakse ekspertrežiimis. NGFW toimivuse hindamine eeldab deemonite ja teenuste jõudluse hindamist, selle kohta leiate lisateavet siit minu kolleeg. Vaatame SMB võimalikke käske.

Töötamine Gaia OS-iga

1. Sirvige SecureXL-i malle

   #fwaccelstat

   

2. Vaadake alglaadimist tuumade kaupa

   # fw ctl multik stat

   

3. Vaadake seansside (ühenduste) arvu.

   # fw ctl pstat

   

4. *Vaadake klastri olekut

   #cphaprob stat

   

5. Klassikaline Linuxi TOP käsk

Logimine

Nagu te juba teate, on NGFW logidega töötamiseks kolm võimalust (salvestus, töötlemine): lokaalselt, tsentraalselt ja pilves. Kaks viimast valikut viitavad olemi olemasolule - haldusserver.

Võimalikud NGFW juhtimisskeemid

Kõige väärtuslikumad logifailid

1. Süsteemisõnumid (sisaldab vähem teavet kui täielik Gaia)

   # saba -f /var/log/messages2

   

2. Veateated labade töös (üsna kasulik fail probleemide tõrkeotsingul)

   # saba -f /var/log/log/sfwd.elg

   

3. Saate vaadata sõnumeid puhvrist süsteemi tuuma tasemel.

   #dmesg

   

Tera konfiguratsioon

See jaotis ei sisalda täielikke juhiseid NGFW kontrollpunkti seadistamiseks; see sisaldab ainult meie soovitusi, mis on valitud kogemuse põhjal.

Rakenduse juhtimine / URL-i filtreerimine

• Soovitatav on reeglites vältida MINGI, IGASUGU (Allikas, Sihtkoht) tingimusi.

• Kohandatud URL-i ressursi määramisel on tõhusam kasutada regulaaravaldisi, näiteks: (^|..)checkpoint.com

• Vältige reeglite logimise ja blokeerivate lehtede kuvamise (UserCheck) liigset kasutamist.

• Veenduge, et tehnoloogia töötab õigesti "SecureXL". Suurem osa liiklusest peaks läbima kiirendatud/keskmine tee. Samuti ärge unustage filtreerida reegleid enimkasutatud reeglite järgi (väli Hits ).

HTTPS-kontroll

Pole saladus, et 70–80% kasutajate liiklusest pärineb HTTPS-ühendustest, mis tähendab, et see nõuab teie lüüsiprotsessorilt ressursse. Lisaks osaleb HTTPS-Inspection IPS, Antivirus, Antiboti töös.

Alates versioonist 80.40 oli olemas võimalus HTTPS-i reeglitega töötamiseks ilma pärandjuhtpaneelita on siin mõned soovitatavad reeglite järjekorrad:

• Aadresside ja võrkude grupi ümbersõit (sihtkoht).

• URL-ide rühmast möödaminek.

• Sisemise IP ja privilegeeritud juurdepääsuga võrkude ümbersõit (allikas).

• Kontrollige vajalikke võrke, kasutajaid

• Kõigile teistele möödasõit.

* Alati on parem valida käsitsi HTTPS- või HTTPS-puhverserveri teenused ja jätta ükskõik milline. Logi sündmusi vastavalt kontrolli reeglitele.

IPS

Kui kasutatakse liiga palju allkirju, ei pruugi IPS-i tera teie NGFW-le poliitikat installida. Vastavalt siit Check Pointist ei ole SMB-seadme arhitektuur mõeldud täieliku soovitatava IPS-i konfiguratsiooniprofiili käitamiseks.

Probleemi lahendamiseks või vältimiseks toimige järgmiselt.

1. Kloonige optimeeritud profiil nimega "Optimized SMB" (või mõni muu teie valitud profiil).

2. Redigeerige profiili, minge jaotisse IPS → Pre R80.Settings ja lülitage Serverikaitsed välja.

   

3. Saate oma äranägemise järgi keelata CVE-d, mis on vanemad kui 2010. Neid turvaauke võib väikestes kontorites harva leida, kuid need mõjutavad jõudlust. Mõne neist keelamiseks avage Profiil → IPS → Täiendav aktiveerimine → Deaktiveerimisloendi kaitsed

   

Selle asemel, et järeldus

SMB perekonna uue põlvkonna NGFW (1500) artiklite sarja raames püüdsime välja tuua lahenduse peamised võimalused ja demonstreerisime konkreetsete näidete abil oluliste turvakomponentide konfiguratsiooni. Vastame hea meelega kõikidele tootega seotud küsimustele kommentaarides. Jääme teiega, täname tähelepanu eest!

Suur valik materjale Check Pointis TS Solutionilt. Et mitte jääda ilma uutest väljaannetest, jälgige värskendusi meie sotsiaalvõrgustikes (Telegramm, Facebook, VK, TS lahenduste ajaveeb, Yandex Zen).

Allikas: www.habr.com