7. NGFW enpresa txikientzat. Errendimendua eta gomendio orokorrak

SMB Check Point-en belaunaldi berriari buruzko artikulu sorta osatzeko garaia iritsi da (1500 serie). Espero dugu zuretzako esperientzia aberasgarria izan izana eta gurekin jarraitzea TS Solution blogean. Azken artikuluaren gaia ez da oso jorratzen, baina ez da hain garrantzitsua - SMB errendimenduaren doikuntza. Bertan NGFWren hardware eta softwarearen konfigurazio aukerak eztabaidatuko ditugu, eskuragarri dauden komandoak eta elkarrekintza metodoak deskribatuko ditugu.

Enpresa txikientzako NGFWri buruzko serieko artikulu guztiak:

1. CheckPoint 1500 Security Gateway Line berria

2. Desontziratzea eta konfigurazioa

3. Haririk gabeko datu-transmisioa: WiFi eta LTE

4. VPN

5. Hodeiko SMP kudeaketa

6. Smart-1 Hodeia

Gaur egun, ez dago SMB soluzioen errendimenduaren doikuntzari buruzko informazio iturri asko murrizketak barne OS - Gaia 80.20 Embedded. Gure artikuluan kudeaketa zentralizatua duen diseinua erabiliko dugu (Kudeaketa zerbitzari dedikatua) - NGFWrekin lan egiten duzunean tresna gehiago erabiltzeko aukera ematen du.

hardware zatia

Check Point SMB familiaren arkitektura ukitu aurretik, beti eska diezaiokezu zure bikoteari utilitatea erabiltzeko Etxetresna Dimentsionatzeko tresna, zehaztutako ezaugarrien arabera irtenbide optimoa aukeratzeko (erdibidez, espero den erabiltzaile kopurua, etab.).

Ohar garrantzitsuak zure NGFW hardwarearekin elkarreraginean

1. SMB familiako NGFW soluzioek ez dute sistemaren osagaiak (CPU, RAM, HDD) hardware berritzeko gaitasunik; ereduaren arabera, SD txartelak onartzen dituzte, honek diskoaren edukiera zabaltzeko aukera ematen du, baina ez nabarmen.

2. Sare-interfazeen funtzionamenduak kontrola behar du. Gaia 80.20 Embedded-ek ez du monitorizazio tresna askorik, baina beti erabil dezakezu CLI-ko komando ezaguna Aditu moduaren bidez. 

   #ifconfig

   

   Erreparatu azpimarratutako lerroei, interfazearen errore kopurua kalkulatzeko aukera emango dizute. Oso gomendagarria da parametro hauek egiaztatzea zure NGFW hasierako inplementazioan, baita aldian-aldian ere.

3. Gaia oso batentzat agindu bat dago:

   > erakutsi diag

   Bere laguntzarekin hardwarearen tenperaturari buruzko informazioa lor daiteke. Zoritxarrez, aukera hau ez dago erabilgarri 80.20 Embedded-en; SNMP tranparik ezagunenak adieraziko ditugu:

   Izena 

   Description

   Interfazea deskonektatuta dago

   Interfazea desgaitu

   VLAN kendu da

   Vlanak kentzea

   Memoriaren erabilera handia

   RAM erabilera handia

   Disko espazio txikia

   Ez dago nahikoa HDDan

   CPU erabilera handia

   CPU erabilera handia

   CPU eten-tasa altua

   Eten-tasa altua

   Konexio-tasa altua

   Konexio berrien fluxu handia

   Aldibereko konexio handiak

   Maila handiko saio lehiakorrak

   Suebakiaren errendimendu handia

   Errendimendu handiko suebakia

   Onartutako pakete-tasa altua

   Paketeen harrera tasa altua

   Klusterreko estatu kidea aldatu da

   Kluster egoera aldatzea

   Erregistro-zerbitzariaren errorearekin konexioa

   Log-Server-ekin konexioa galdu da

4. Zure atebidearen funtzionamenduak RAM monitorizatzea eskatzen du. Gaiak (Linux bezalako OS) funtziona dezan, hau da egoera normalaRAM kontsumoa erabileraren %70-80ra iristen denean.

   SMB soluzioen arkitekturak ez du SWAP memoria erabiltzeko aukera ematen, Check Point eredu zaharragoak ez bezala. Hala ere, Linux sistemako fitxategietan nabaritu zen , SWAP parametroa aldatzeko aukera teorikoa adierazten duena.

Software zatia

Artikulua argitaratzeko unean eguneratuta Gaia bertsioa - 80.20.10. Jakin behar duzu CLIn lan egitean mugak daudela: Linux komando batzuk Aditu moduan onartzen dira. NGFW-ren errendimendua ebaluatzeko deabruen eta zerbitzuen errendimendua ebaluatu behar da, honi buruzko xehetasun gehiago hemen aurki daitezke. Artikulu nire lankidea. SMBrako komando posibleak aztertuko ditugu.

Gaia OSrekin lan egiten

1. Arakatu SecureXL txantiloiak

   #fwaccelstat

   

2. Ikusi abiarazte nukleoaren arabera

   # fw ctl multik stat

   

3. Ikusi saio kopurua (konexioak).

   # fw ctl pstat

   

4. * Ikusi klusterraren egoera

   #cphaprob stat

   

5. Linux TOP komando klasikoa

Erregistratzea

Dagoeneko dakizuenez, hiru modu daude NGFW erregistroekin lan egiteko (biltegiratzea, prozesatzea): lokalean, erdialdean eta hodeian. Azken bi aukerek entitate baten presentzia adierazten dute - Management Server.

NGFW kontrol-eskema posibleak

Erregistro fitxategi baliotsuenak

1. Sistemako mezuak (Gaia osoa baino informazio gutxiago dauka)

   # buztana -f /var/log/messages2

   

2. Bladen funtzionamenduan errore-mezuak (arazoak konpontzeko nahiko fitxategi erabilgarria)

   # buztana -f /var/log/log/sfwd.elg

   

3. Ikusi bufferreko mezuak sistemaren nukleo mailan.

   #dmesg

   

Blade konfigurazioa

Atal honek ez du zure NGFW Check Point konfiguratzeko argibide osorik izango; gure gomendioak baino ez ditu, esperientziak hautatuak.

Aplikazioen Kontrola / URL Iragazkia

• Arauetan EDOZEIN, EDOZEIN (Iturria, Helmuga) baldintza saihestea gomendatzen da.

• URL baliabide pertsonalizatu bat zehaztean, eraginkorragoa izango da adierazpen erregularrak erabiltzea: (^|..)checkpoint.com

• Saihestu arauen erregistroa gehiegi erabiltzea eta blokeatzen diren orrialdeak bistaratzea (UserCheck).

• Ziurtatu teknologiak behar bezala funtzionatzen duela "SecureXL". Trafiko gehiena igaro behar da bide bizkortua/ertaina. Gainera, ez ahaztu arauak gehien erabiltzen direnen arabera iragaztea (eremua Hits ).

HTTPS-ikuskapena

Ez da sekretua erabiltzaileen trafikoaren % 70-80 HTTPS konexioetatik datorrela, eta horrek esan nahi du zure atebideko prozesadorearen baliabideak behar dituela. Horrez gain, HTTPS-Inspection IPS, Antivirus, Antibot lanetan parte hartzen du.

80.40 bertsiotik hasita zegoen aukera Legacy Dashboard gabe HTTPS arauekin lan egiteko, hona hemen gomendatutako arauen ordena:

• Saihestu helbide eta sare talde baterako (helmuga).

• Saihestu URL talde batentzat.

• Saihestu barneko IP eta sarbide pribilegiatua duten sareetarako (Iturria).

• Ikuskatu behar diren sareak, erabiltzaileak

• Beste guztientzako saihesbidea.

* Beti da hobe HTTPS edo HTTPS Proxy zerbitzuak eskuz hautatzea eta Edozein uztea. Erregistratu gertaerak Ikuskatu arauen arabera.

IPS

Baliteke IPS bladeak zure NGFW-n gidalerroa ez instalatzea sinadura gehiegi erabiltzen badira. Ren arabera Artikulu Check Point-etik, SMB gailuaren arkitektura ez dago gomendatutako IPS konfigurazio-profil osoa exekutatzeko diseinatuta.

Arazoa konpontzeko edo saihesteko, jarraitu urrats hauek:

1. Klonatu "Optimized SMB" izeneko profil optimizatua (edo nahi duzun beste bat).

2. Editatu profila, joan IPS → Pre R80.Ezarpenak atalera eta desaktibatu Zerbitzariaren Babesak.

   

3. Zure diskrezioan, 2010 baino zaharragoak diren CVEak desgai ditzakezu; baliteke ahultasun hauek oso gutxitan aurkitzea bulego txikietan, baina errendimenduan eragina dute. Horietako batzuk desgaitzeko, joan Profila → IPS → Aktibazio gehigarria → Zerrenda desaktibatzeko babesak.

   

Horren ordez Ondorio baten

SMB familiako NGFW belaunaldi berriari buruzko artikulu sorta baten barruan (1500), irtenbidearen gaitasun nagusiak nabarmentzen saiatu gara eta segurtasun osagai garrantzitsuen konfigurazioa frogatu dugu adibide zehatzak erabiliz. Pozik erantzungo dugu produktuari buruzko edozein galdera iruzkinetan. Zurekin geratzen gara, eskerrik asko zuen arretagatik!

TS Solution-ren Check Point-eko material aukera zabala. Argitalpen berriak ez galtzeko, jarraitu gure sare sozialetako eguneraketak (Telegrama, Facebook, VK, TS Solution Bloga, Yandex.Zen).

Iturria: www.habr.com