7. NGFW برای مشاغل کوچک. عملکرد و توصیه های کلی

زمان تکمیل مجموعه مقالات در مورد نسل جدید SMB Check Point (سری 1500) فرا رسیده است. امیدواریم این تجربه مفیدی برای شما بوده باشد و همچنان با ما در وبلاگ TS Solution همراه باشید. موضوع مقاله نهایی به طور گسترده پوشش داده نشده است، اما از اهمیت کمتری برخوردار نیست - تنظیم عملکرد SMB. در آن ما گزینه های پیکربندی سخت افزار و نرم افزار NGFW را مورد بحث قرار می دهیم، دستورات موجود و روش های تعامل را شرح می دهیم.

تمام مقالات این مجموعه در مورد NGFW برای مشاغل کوچک:

1. خط دروازه امنیتی جدید CheckPoint 1500

2. جعبه گشایی و راه اندازی

3. انتقال داده های بی سیم: WiFi و LTE

4. VPN

5. مدیریت SMP ابری

6. Smart-1 Cloud

در حال حاضر، منابع اطلاعاتی زیادی در مورد تنظیم عملکرد برای راه حل های SMB وجود ندارد محدودیت های سیستم عامل داخلی - Gaia 80.20 تعبیه شده است. در مقاله ما از یک طرح با مدیریت متمرکز (سرور مدیریت اختصاصی) استفاده خواهیم کرد - به شما امکان می دهد از ابزارهای بیشتری هنگام کار با NGFW استفاده کنید.

سخت افزار

قبل از لمس معماری خانواده Check Point SMB، همیشه می توانید از شریک خود بخواهید از این ابزار استفاده کند ابزار اندازه گیری لوازم خانگی، برای انتخاب راه حل بهینه با توجه به ویژگی های مشخص شده (خروجی، تعداد کاربران مورد انتظار و غیره).

نکات مهم هنگام تعامل با سخت افزار NGFW

1. راه حل های NGFW خانواده SMB توانایی ارتقاء سخت افزاری اجزای سیستم (CPU، RAM، HDD) را ندارند؛ بسته به مدل، از کارت های SD پشتیبانی می شود، این به شما امکان می دهد ظرفیت دیسک را افزایش دهید، اما نه به میزان قابل توجهی.

2. عملکرد رابط های شبکه نیاز به کنترل دارد. Gaia 80.20 Embedded ابزارهای نظارتی زیادی ندارد، اما همیشه می توانید از دستور معروف در CLI از طریق حالت Expert استفاده کنید. 

   # منfconfig

   

   به خطوط خط کشی شده توجه کنید، آنها به شما امکان می دهند تعداد خطاهای موجود در رابط را تخمین بزنید. به شدت توصیه می شود که این پارامترها را در طول اجرای اولیه NGFW خود و همچنین به صورت دوره ای در حین کار بررسی کنید.

3. برای یک Gaia تمام عیار این دستور وجود دارد:

   > نمایش دیگ

   با کمک آن می توان اطلاعاتی در مورد دمای سخت افزار به دست آورد. متأسفانه، این گزینه در 80.20 Embedded موجود نیست؛ ما محبوب ترین تله های SNMP را نشان خواهیم داد:

   نام 

   شرح

   رابط قطع شد

   غیرفعال کردن رابط

   VLAN حذف شد

   حذف Vlans

   استفاده از حافظه بالا

   استفاده از رم بالا

   کمبود فضای دیسک

   فضای HDD کافی نیست

   استفاده از CPU بالا

   استفاده از CPU بالا

   نرخ وقفه بالای CPU

   نرخ وقفه بالا

   نرخ اتصال بالا

   جریان بالای اتصالات جدید

   اتصالات همزمان بالا

   سطح بالایی از جلسات رقابتی

   توان عملیاتی فایروال بالا

   فایروال با توان عملیاتی بالا

   نرخ بسته پذیرفته شده بالا

   نرخ دریافت بسته بالا

   کشور عضو خوشه تغییر کرد

   تغییر حالت خوشه

   خطای اتصال با لاگ سرور

   اتصال با Log-Server قطع شد

4. عملکرد دروازه شما نیاز به نظارت بر رم دارد. برای اینکه Gaia (سیستم عامل لینوکس مانند) کار کند، این است وضعیت عادیزمانی که مصرف رم به 70-80 درصد استفاده می رسد.

   معماری راه حل های SMB بر خلاف مدل های قدیمی Check Point امکان استفاده از حافظه SWAP را فراهم نمی کند. با این حال، در فایل های سیستم لینوکس مورد توجه قرار گرفت که بیانگر امکان نظری تغییر پارامتر SWAP است.

بخش نرم افزاری

در زمان انتشار مقاله به روز نسخه گایا - 80.20.10. باید بدانید که هنگام کار در CLI محدودیت هایی وجود دارد: برخی از دستورات لینوکس در حالت Expert پشتیبانی می شوند. ارزیابی عملکرد NGFW مستلزم ارزیابی عملکرد دیمون ها و سرویس ها است، جزئیات بیشتر در این مورد را می توان در مقاله همکار من. ما به دستورات ممکن برای SMB نگاه خواهیم کرد.

کار با سیستم عامل Gaia

1. الگوهای SecureXL را مرور کنید

   #fwaccelstat

   

2. مشاهده بوت بر اساس هسته

   # fw ctl multik stat

   

3. مشاهده تعداد جلسات (اتصالات).

   # fw ctl pstat

   

4. *مشاهده وضعیت خوشه

   آمار #cphaprob

   

5. دستور کلاسیک لینوکس TOP

ورود به سیستم

همانطور که می دانید، سه راه برای کار با گزارش های NGFW (ذخیره سازی، پردازش) وجود دارد: به صورت محلی، مرکزی و در فضای ابری. دو گزینه آخر حاکی از حضور یک نهاد - مدیریت سرور است.

طرح های احتمالی کنترل NGFW

با ارزش ترین فایل های لاگ

1. پیام‌های سیستم (حاوی اطلاعات کمتری نسبت به Gaia کامل)

   # tail -f /var/log/messages2

   

2. پیام های خطا در عملکرد تیغه ها (فایل کاملا مفید برای عیب یابی مشکلات)

   # tail -f /var/log/log/sfwd.elg

   

3. پیام ها را از بافر در سطح هسته سیستم مشاهده کنید.

   #dmesg

   

پیکربندی تیغه

این بخش حاوی دستورالعمل‌های کاملی برای راه‌اندازی NGFW Check Point نیست، بلکه فقط حاوی توصیه‌های ما است که با تجربه انتخاب شده‌اند.

کنترل برنامه / فیلتر URL

• توصیه می شود در قوانین از شرایط ANY، ANY (منبع، مقصد) اجتناب کنید.

• هنگام تعیین یک منبع URL سفارشی، استفاده از عبارات منظم مانند: (^|..)checkpoint.com

• از استفاده بیش از حد از ثبت قوانین و نمایش صفحات مسدود شده (UserCheck) خودداری کنید.

• اطمینان حاصل کنید که فناوری به درستی کار می کند "SecureXL". بیشتر ترافیک باید انجام شود مسیر شتابدار/متوسط. همچنین فراموش نکنید که قوانین را بر اساس بیشترین موارد استفاده شده فیلتر کنید (فیلد بازدید ).

HTTPS-بازرسی

بر کسی پوشیده نیست که 70 تا 80 درصد از ترافیک کاربران از اتصالات HTTPS می آید، به این معنی که این امر به منابعی از پردازنده دروازه شما نیاز دارد. علاوه بر این، HTTPS-Inspection در کار IPS، Antivirus، Antibot شرکت می کند.

شروع از نسخه 80.40 وجود داشت فرصت برای کار با قوانین HTTPS بدون داشبورد قدیمی، در اینجا چند دستور توصیه شده وجود دارد:

• دور زدن گروهی از آدرس ها و شبکه ها (Destination).

• دور زدن گروهی از URL ها.

• دور زدن برای IP داخلی و شبکه های با دسترسی ممتاز (منبع).

• شبکه های مورد نیاز کاربران را بازرسی کنید

• دور زدن برای بقیه

* همیشه بهتر است خدمات HTTPS یا HTTPS Proxy را به صورت دستی انتخاب کنید و Any را ترک کنید. رویدادها را طبق قوانین بازرسی ثبت کنید.

IPS

در صورت استفاده از امضاهای زیاد، ممکن است تیغه IPS در نصب خط مشی روی NGFW شما ناکام باشد. مطابق با مقاله از Check Point، معماری دستگاه SMB برای اجرای نمایه پیکربندی کامل IPS توصیه شده طراحی نشده است.

برای حل یا جلوگیری از مشکل، مراحل زیر را دنبال کنید:

1. نمایه بهینه شده به نام "SMB بهینه شده" (یا یکی دیگر از انتخاب شما) را کلون کنید.

2. پروفایل را ویرایش کنید، به بخش IPS → Pre R80.Settings بروید و Server Protections را خاموش کنید.

   

3. به صلاحدید خود، می توانید CVE های قدیمی تر از 2010 را غیرفعال کنید، این آسیب پذیری ها ممکن است به ندرت در دفاتر کوچک یافت شوند، اما بر عملکرد تأثیر می گذارند. برای غیرفعال کردن برخی از آنها، برای غیرفعال کردن لیست، به نمایه → IPS → فعال سازی اضافی → محافظت ها بروید.

   

به جای یک نتیجه گیری

به عنوان بخشی از مجموعه ای از مقالات در مورد نسل جدید NGFW از خانواده SMB (1500)، ما سعی کردیم قابلیت های اصلی راه حل را برجسته کنیم و پیکربندی اجزای امنیتی مهم را با استفاده از مثال های خاص نشان دهیم. ما خوشحال خواهیم شد که به هر سوالی در مورد محصول در نظرات پاسخ دهیم. ما با شما هستیم، از توجه شما متشکرم!

انتخاب بزرگی از مواد در Check Point از TS Solution. برای اینکه انتشارات جدید را از دست ندهید، به روز رسانی ها را در شبکه های اجتماعی ما دنبال کنید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS, Yandex Zen).

منبع: www.habr.com