7. NGFW enpresa txikientzat. Errendimendua eta gomendio orokorrak
SMB Check Point-en belaunaldi berriari buruzko artikulu sorta osatzeko garaia iritsi da (1500 serie). Espero dugu zuretzako esperientzia aberasgarria izan izana eta gurekin jarraitzea TS Solution blogean. Azken artikuluaren gaia ez da oso jorratzen, baina ez da hain garrantzitsua - SMB errendimenduaren doikuntza. Bertan NGFWren hardware eta softwarearen konfigurazio aukerak eztabaidatuko ditugu, eskuragarri dauden komandoak eta elkarrekintza metodoak deskribatuko ditugu.
Enpresa txikientzako NGFWri buruzko serieko artikulu guztiak:
Gaur egun, ez dago SMB soluzioen errendimenduaren doikuntzari buruzko informazio iturri asko murrizketak barne OS - Gaia 80.20 Embedded. Gure artikuluan kudeaketa zentralizatua duen diseinua erabiliko dugu (Kudeaketa zerbitzari dedikatua) - NGFWrekin lan egiten duzunean tresna gehiago erabiltzeko aukera ematen du.
hardware zatia
Check Point SMB familiaren arkitektura ukitu aurretik, beti eska diezaiokezu zure bikoteari utilitatea erabiltzeko Etxetresna Dimentsionatzeko tresna, zehaztutako ezaugarrien arabera irtenbide optimoa aukeratzeko (erdibidez, espero den erabiltzaile kopurua, etab.).
Ohar garrantzitsuak zure NGFW hardwarearekin elkarreraginean
SMB familiako NGFW soluzioek ez dute sistemaren osagaiak (CPU, RAM, HDD) hardware berritzeko gaitasunik; ereduaren arabera, SD txartelak onartzen dituzte, honek diskoaren edukiera zabaltzeko aukera ematen du, baina ez nabarmen.
Sare-interfazeen funtzionamenduak kontrola behar du. Gaia 80.20 Embedded-ek ez du monitorizazio tresna askorik, baina beti erabil dezakezu CLI-ko komando ezaguna Aditu moduaren bidez.
#ifconfig
Erreparatu azpimarratutako lerroei, interfazearen errore kopurua kalkulatzeko aukera emango dizute. Oso gomendagarria da parametro hauek egiaztatzea zure NGFW hasierako inplementazioan, baita aldian-aldian ere.
Gaia oso batentzat agindu bat dago:
> erakutsi diag
Bere laguntzarekin hardwarearen tenperaturari buruzko informazioa lor daiteke. Zoritxarrez, aukera hau ez dago erabilgarri 80.20 Embedded-en; SNMP tranparik ezagunenak adieraziko ditugu:
Izena
Description
Interfazea deskonektatuta dago
Interfazea desgaitu
VLAN kendu da
Vlanak kentzea
Memoriaren erabilera handia
RAM erabilera handia
Disko espazio txikia
Ez dago nahikoa HDDan
CPU erabilera handia
CPU erabilera handia
CPU eten-tasa altua
Eten-tasa altua
Konexio-tasa altua
Konexio berrien fluxu handia
Aldibereko konexio handiak
Maila handiko saio lehiakorrak
Suebakiaren errendimendu handia
Errendimendu handiko suebakia
Onartutako pakete-tasa altua
Paketeen harrera tasa altua
Klusterreko estatu kidea aldatu da
Kluster egoera aldatzea
Erregistro-zerbitzariaren errorearekin konexioa
Log-Server-ekin konexioa galdu da
Zure atebidearen funtzionamenduak RAM monitorizatzea eskatzen du. Gaiak (Linux bezalako OS) funtziona dezan, hau da egoera normalaRAM kontsumoa erabileraren %70-80ra iristen denean.
SMB soluzioen arkitekturak ez du SWAP memoria erabiltzeko aukera ematen, Check Point eredu zaharragoak ez bezala. Hala ere, Linux sistemako fitxategietan nabaritu zen , SWAP parametroa aldatzeko aukera teorikoa adierazten duena.
Software zatia
Artikulua argitaratzeko unean eguneratuta Gaia bertsioa - 80.20.10. Jakin behar duzu CLIn lan egitean mugak daudela: Linux komando batzuk Aditu moduan onartzen dira. NGFW-ren errendimendua ebaluatzeko deabruen eta zerbitzuen errendimendua ebaluatu behar da, honi buruzko xehetasun gehiago hemen aurki daitezke. Artikulu nire lankidea. SMBrako komando posibleak aztertuko ditugu.
Gaia OSrekin lan egiten
Arakatu SecureXL txantiloiak
#fwaccelstat
Ikusi abiarazte nukleoaren arabera
# fw ctl multik stat
Ikusi saio kopurua (konexioak).
# fw ctl pstat
* Ikusi klusterraren egoera
#cphaprob stat
Linux TOP komando klasikoa
Erregistratzea
Dagoeneko dakizuenez, hiru modu daude NGFW erregistroekin lan egiteko (biltegiratzea, prozesatzea): lokalean, erdialdean eta hodeian. Azken bi aukerek entitate baten presentzia adierazten dute - Management Server.
NGFW kontrol-eskema posibleak
Erregistro fitxategi baliotsuenak
Sistemako mezuak (Gaia osoa baino informazio gutxiago dauka)
# buztana -f /var/log/messages2
Bladen funtzionamenduan errore-mezuak (arazoak konpontzeko nahiko fitxategi erabilgarria)
# buztana -f /var/log/log/sfwd.elg
Ikusi bufferreko mezuak sistemaren nukleo mailan.
#dmesg
Blade konfigurazioa
Atal honek ez du zure NGFW Check Point konfiguratzeko argibide osorik izango; gure gomendioak baino ez ditu, esperientziak hautatuak.
Aplikazioen Kontrola / URL Iragazkia
Arauetan EDOZEIN, EDOZEIN (Iturria, Helmuga) baldintza saihestea gomendatzen da.
URL baliabide pertsonalizatu bat zehaztean, eraginkorragoa izango da adierazpen erregularrak erabiltzea: (^|..)checkpoint.com
Saihestu arauen erregistroa gehiegi erabiltzea eta blokeatzen diren orrialdeak bistaratzea (UserCheck).
Ziurtatu teknologiak behar bezala funtzionatzen duela "SecureXL". Trafiko gehiena igaro behar da bide bizkortua/ertaina. Gainera, ez ahaztu arauak gehien erabiltzen direnen arabera iragaztea (eremua Hits ).
HTTPS-ikuskapena
Ez da sekretua erabiltzaileen trafikoaren % 70-80 HTTPS konexioetatik datorrela, eta horrek esan nahi du zure atebideko prozesadorearen baliabideak behar dituela. Horrez gain, HTTPS-Inspection IPS, Antivirus, Antibot lanetan parte hartzen du.
80.40 bertsiotik hasita zegoen aukera Legacy Dashboard gabe HTTPS arauekin lan egiteko, hona hemen gomendatutako arauen ordena:
Saihestu helbide eta sare talde baterako (helmuga).
Saihestu URL talde batentzat.
Saihestu barneko IP eta sarbide pribilegiatua duten sareetarako (Iturria).
Ikuskatu behar diren sareak, erabiltzaileak
Beste guztientzako saihesbidea.
* Beti da hobe HTTPS edo HTTPS Proxy zerbitzuak eskuz hautatzea eta Edozein uztea. Erregistratu gertaerak Ikuskatu arauen arabera.
IPS
Baliteke IPS bladeak zure NGFW-n gidalerroa ez instalatzea sinadura gehiegi erabiltzen badira. Ren arabera Artikulu Check Point-etik, SMB gailuaren arkitektura ez dago gomendatutako IPS konfigurazio-profil osoa exekutatzeko diseinatuta.
Arazoa konpontzeko edo saihesteko, jarraitu urrats hauek:
Klonatu "Optimized SMB" izeneko profil optimizatua (edo nahi duzun beste bat).
Editatu profila, joan IPS β Pre R80.Ezarpenak atalera eta desaktibatu Zerbitzariaren Babesak.
Zure diskrezioan, 2010 baino zaharragoak diren CVEak desgai ditzakezu; baliteke ahultasun hauek oso gutxitan aurkitzea bulego txikietan, baina errendimenduan eragina dute. Horietako batzuk desgaitzeko, joan Profila β IPS β Aktibazio gehigarria β Zerrenda desaktibatzeko babesak.
Horren ordez Ondorio baten
SMB familiako NGFW belaunaldi berriari buruzko artikulu sorta baten barruan (1500), irtenbidearen gaitasun nagusiak nabarmentzen saiatu gara eta segurtasun osagai garrantzitsuen konfigurazioa frogatu dugu adibide zehatzak erabiliz. Pozik erantzungo dugu produktuari buruzko edozein galdera iruzkinetan. Zurekin geratzen gara, eskerrik asko zuen arretagatik!