زمان تکمیل مجموعه مقالات در مورد نسل جدید SMB Check Point (سری 1500) فرا رسیده است. امیدواریم این تجربه مفیدی برای شما بوده باشد و همچنان با ما در وبلاگ TS Solution همراه باشید. موضوع مقاله نهایی به طور گسترده پوشش داده نشده است، اما از اهمیت کمتری برخوردار نیست - تنظیم عملکرد SMB. در آن ما گزینه های پیکربندی سخت افزار و نرم افزار NGFW را مورد بحث قرار می دهیم، دستورات موجود و روش های تعامل را شرح می دهیم.
تمام مقالات این مجموعه در مورد NGFW برای مشاغل کوچک:
در حال حاضر، منابع اطلاعاتی زیادی در مورد تنظیم عملکرد برای راه حل های SMB وجود ندارد محدودیت های سیستم عامل داخلی - Gaia 80.20 تعبیه شده است. در مقاله ما از یک طرح با مدیریت متمرکز (سرور مدیریت اختصاصی) استفاده خواهیم کرد - به شما امکان می دهد از ابزارهای بیشتری هنگام کار با NGFW استفاده کنید.
سخت افزار
قبل از لمس معماری خانواده Check Point SMB، همیشه می توانید از شریک خود بخواهید از این ابزار استفاده کند ابزار اندازه گیری لوازم خانگی، برای انتخاب راه حل بهینه با توجه به ویژگی های مشخص شده (خروجی، تعداد کاربران مورد انتظار و غیره).
نکات مهم هنگام تعامل با سخت افزار NGFW
راه حل های NGFW خانواده SMB توانایی ارتقاء سخت افزاری اجزای سیستم (CPU، RAM، HDD) را ندارند؛ بسته به مدل، از کارت های SD پشتیبانی می شود، این به شما امکان می دهد ظرفیت دیسک را افزایش دهید، اما نه به میزان قابل توجهی.
عملکرد رابط های شبکه نیاز به کنترل دارد. Gaia 80.20 Embedded ابزارهای نظارتی زیادی ندارد، اما همیشه می توانید از دستور معروف در CLI از طریق حالت Expert استفاده کنید.
# منfconfig
به خطوط خط کشی شده توجه کنید، آنها به شما امکان می دهند تعداد خطاهای موجود در رابط را تخمین بزنید. به شدت توصیه می شود که این پارامترها را در طول اجرای اولیه NGFW خود و همچنین به صورت دوره ای در حین کار بررسی کنید.
برای یک Gaia تمام عیار این دستور وجود دارد:
> نمایش دیگ
با کمک آن می توان اطلاعاتی در مورد دمای سخت افزار به دست آورد. متأسفانه، این گزینه در 80.20 Embedded موجود نیست؛ ما محبوب ترین تله های SNMP را نشان خواهیم داد:
نام
شرح
رابط قطع شد
غیرفعال کردن رابط
VLAN حذف شد
حذف Vlans
استفاده از حافظه بالا
استفاده از رم بالا
کمبود فضای دیسک
فضای HDD کافی نیست
استفاده از CPU بالا
استفاده از CPU بالا
نرخ وقفه بالای CPU
نرخ وقفه بالا
نرخ اتصال بالا
جریان بالای اتصالات جدید
اتصالات همزمان بالا
سطح بالایی از جلسات رقابتی
توان عملیاتی فایروال بالا
فایروال با توان عملیاتی بالا
نرخ بسته پذیرفته شده بالا
نرخ دریافت بسته بالا
کشور عضو خوشه تغییر کرد
تغییر حالت خوشه
خطای اتصال با لاگ سرور
اتصال با Log-Server قطع شد
عملکرد دروازه شما نیاز به نظارت بر رم دارد. برای اینکه Gaia (سیستم عامل لینوکس مانند) کار کند، این است وضعیت عادیزمانی که مصرف رم به 70-80 درصد استفاده می رسد.
معماری راه حل های SMB بر خلاف مدل های قدیمی Check Point امکان استفاده از حافظه SWAP را فراهم نمی کند. با این حال، در فایل های سیستم لینوکس مورد توجه قرار گرفت که بیانگر امکان نظری تغییر پارامتر SWAP است.
بخش نرم افزاری
در زمان انتشار مقاله به روز نسخه گایا - 80.20.10. باید بدانید که هنگام کار در CLI محدودیت هایی وجود دارد: برخی از دستورات لینوکس در حالت Expert پشتیبانی می شوند. ارزیابی عملکرد NGFW مستلزم ارزیابی عملکرد دیمون ها و سرویس ها است، جزئیات بیشتر در این مورد را می توان در مقاله همکار من. ما به دستورات ممکن برای SMB نگاه خواهیم کرد.
کار با سیستم عامل Gaia
الگوهای SecureXL را مرور کنید
#fwaccelstat
مشاهده بوت بر اساس هسته
# fw ctl multik stat
مشاهده تعداد جلسات (اتصالات).
# fw ctl pstat
*مشاهده وضعیت خوشه
آمار #cphaprob
دستور کلاسیک لینوکس TOP
ورود به سیستم
همانطور که می دانید، سه راه برای کار با گزارش های NGFW (ذخیره سازی، پردازش) وجود دارد: به صورت محلی، مرکزی و در فضای ابری. دو گزینه آخر حاکی از حضور یک نهاد - مدیریت سرور است.
طرح های احتمالی کنترل NGFW
با ارزش ترین فایل های لاگ
پیامهای سیستم (حاوی اطلاعات کمتری نسبت به Gaia کامل)
# tail -f /var/log/messages2
پیام های خطا در عملکرد تیغه ها (فایل کاملا مفید برای عیب یابی مشکلات)
# tail -f /var/log/log/sfwd.elg
پیام ها را از بافر در سطح هسته سیستم مشاهده کنید.
#dmesg
پیکربندی تیغه
این بخش حاوی دستورالعملهای کاملی برای راهاندازی NGFW Check Point نیست، بلکه فقط حاوی توصیههای ما است که با تجربه انتخاب شدهاند.
کنترل برنامه / فیلتر URL
توصیه می شود در قوانین از شرایط ANY، ANY (منبع، مقصد) اجتناب کنید.
هنگام تعیین یک منبع URL سفارشی، استفاده از عبارات منظم مانند: (^|..)checkpoint.com
از استفاده بیش از حد از ثبت قوانین و نمایش صفحات مسدود شده (UserCheck) خودداری کنید.
اطمینان حاصل کنید که فناوری به درستی کار می کند "SecureXL". بیشتر ترافیک باید انجام شود مسیر شتابدار/متوسط. همچنین فراموش نکنید که قوانین را بر اساس بیشترین موارد استفاده شده فیلتر کنید (فیلد بازدید ).
HTTPS-بازرسی
بر کسی پوشیده نیست که 70 تا 80 درصد از ترافیک کاربران از اتصالات HTTPS می آید، به این معنی که این امر به منابعی از پردازنده دروازه شما نیاز دارد. علاوه بر این، HTTPS-Inspection در کار IPS، Antivirus، Antibot شرکت می کند.
شروع از نسخه 80.40 وجود داشت فرصت برای کار با قوانین HTTPS بدون داشبورد قدیمی، در اینجا چند دستور توصیه شده وجود دارد:
دور زدن گروهی از آدرس ها و شبکه ها (Destination).
دور زدن گروهی از URL ها.
دور زدن برای IP داخلی و شبکه های با دسترسی ممتاز (منبع).
شبکه های مورد نیاز کاربران را بازرسی کنید
دور زدن برای بقیه
* همیشه بهتر است خدمات HTTPS یا HTTPS Proxy را به صورت دستی انتخاب کنید و Any را ترک کنید. رویدادها را طبق قوانین بازرسی ثبت کنید.
IPS
در صورت استفاده از امضاهای زیاد، ممکن است تیغه IPS در نصب خط مشی روی NGFW شما ناکام باشد. مطابق با مقاله از Check Point، معماری دستگاه SMB برای اجرای نمایه پیکربندی کامل IPS توصیه شده طراحی نشده است.
برای حل یا جلوگیری از مشکل، مراحل زیر را دنبال کنید:
نمایه بهینه شده به نام "SMB بهینه شده" (یا یکی دیگر از انتخاب شما) را کلون کنید.
پروفایل را ویرایش کنید، به بخش IPS → Pre R80.Settings بروید و Server Protections را خاموش کنید.
به صلاحدید خود، می توانید CVE های قدیمی تر از 2010 را غیرفعال کنید، این آسیب پذیری ها ممکن است به ندرت در دفاتر کوچک یافت شوند، اما بر عملکرد تأثیر می گذارند. برای غیرفعال کردن برخی از آنها، برای غیرفعال کردن لیست، به نمایه → IPS → فعال سازی اضافی → محافظت ها بروید.
به جای یک نتیجه گیری
به عنوان بخشی از مجموعه ای از مقالات در مورد نسل جدید NGFW از خانواده SMB (1500)، ما سعی کردیم قابلیت های اصلی راه حل را برجسته کنیم و پیکربندی اجزای امنیتی مهم را با استفاده از مثال های خاص نشان دهیم. ما خوشحال خواهیم شد که به هر سوالی در مورد محصول در نظرات پاسخ دهیم. ما با شما هستیم، از توجه شما متشکرم!