7. NGFW pienyrityksille. Suorituskyky ja yleiset suositukset

On tullut aika täydentää SMB Check Pointin uutta sukupolvea (1500-sarja) käsittelevä artikkelisarja. Toivomme, että tämä oli palkitseva kokemus sinulle ja että jatkat kanssamme TS Solution -blogissa. Viimeisen artikkelin aihetta ei käsitellä laajasti, mutta se ei ole vähemmän tärkeä - SMB-suorituskyvyn viritys. Siinä käsitellään NGFW:n laitteiston ja ohjelmiston konfigurointivaihtoehtoja, kuvataan käytettävissä olevia komentoja ja vuorovaikutustapoja.

Kaikki pienyritysten NGFW-sarjan artikkelit:

1. Uusi CheckPoint 1500 Security Gateway Line

2. Pakkauksen purkaminen ja asennus

3. Langaton tiedonsiirto: WiFi ja LTE

4. VPN

5. Pilvi SMP-hallinta

6. Smart-1 Cloud

Tällä hetkellä ei ole olemassa monia tietolähteitä SMB-ratkaisujen suorituskyvyn virityksestä johtuen rajoituksia sisäinen käyttöjärjestelmä - Gaia 80.20 Embedded. Artikkelissamme käytämme asettelua, jossa on keskitetty hallinta (omistettu Management Server) - sen avulla voit käyttää enemmän työkaluja työskennellessäsi NGFW:n kanssa.

Laitteiston osa

Ennen kuin kosketat Check Point SMB -perhearkkitehtuuria, voit aina pyytää kumppaniasi käyttämään apuohjelmaa Laitteen mitoitustyökalu, valitaksesi optimaalisen ratkaisun määritettyjen ominaisuuksien mukaan (suorituskyky, odotettu käyttäjien määrä jne.).

Tärkeitä huomautuksia, kun käytät NGFW-laitteistoasi

1. SMB-perheen NGFW-ratkaisuilla ei ole mahdollisuutta laitteiston päivittämiseen järjestelmäkomponentteja (CPU, RAM, HDD); mallista riippuen SD-korteille on tuki, jonka avulla voit laajentaa levykapasiteettia, mutta ei merkittävästi.

2. Verkkorajapintojen toiminta vaatii valvontaa. Gaia 80.20 Embeddedissä ei ole monia valvontatyökaluja, mutta voit aina käyttää tunnettua komentoa CLI:ssä Expert-tilan kautta 

   #ifconfig

   

   Kiinnitä huomiota alleviivattuihin riveihin, niiden avulla voit arvioida käyttöliittymän virheiden määrän. On erittäin suositeltavaa tarkistaa nämä parametrit NGFW:n ensimmäisen käyttöönoton aikana sekä ajoittain käytön aikana.

3. Täysimmäiselle Gaialle on komento:

   > näytä diag

   Sen avulla on mahdollista saada tietoa laitteiston lämpötilasta. Valitettavasti tämä vaihtoehto ei ole käytettävissä 80.20 Embeddedissä; ilmoitamme suosituimmat SNMP-trapit:

   Nimi 

   Kuvaus

   Liitäntä irrotettu

   Käyttöliittymän poistaminen käytöstä

   VLAN poistettu

   Vlanien poistaminen

   Korkea muistin käyttöaste

   Korkea RAM-käyttöaste

   Levytila ​​vähissä

   Kiintolevytila ​​ei riitä

   Korkea prosessorin käyttöaste

   Korkea prosessorin käyttöaste

   Korkea suorittimen keskeytysnopeus

   Korkea keskeytysnopeus

   Korkea yhteysnopeus

   Suuri määrä uusia yhteyksiä

   Korkeat samanaikaiset yhteydet

   Korkeatasoiset kilpailusessiot

   Palomuurin korkea suorituskyky

   Korkean suorituskyvyn palomuuri

   Korkea hyväksytty pakettinopeus

   Korkea pakettien vastaanottonopeus

   Klusterin jäsenmaa muuttunut

   Muutetaan klusterin tilaa

   Yhteys lokipalvelimen kanssa -virhe

   Yhteys lokipalvelimeen katkesi

4. Yhdyskäytäväsi toiminta vaatii RAM-valvonnan. Jotta Gaia (Linuxin kaltainen käyttöjärjestelmä) toimisi, tämä on normaali tilannekun RAM-muistin kulutus saavuttaa 70-80 % käytöstä.

   SMB-ratkaisujen arkkitehtuuri ei mahdollista SWAP-muistin käyttöä, toisin kuin vanhemmissa Check Point -malleissa. Kuitenkin Linux-järjestelmätiedostoissa se havaittiin , joka osoittaa teoreettisen mahdollisuuden muuttaa SWAP-parametria.

Ohjelmisto-osa

Artikkelin julkaisuhetkellä todellinen Gaia-versio - 80.20.10. Sinun on tiedettävä, että työskentelyssä CLI:ssä on rajoituksia: joitain Linux-komentoja tuetaan Expert-tilassa. NGFW:n suorituskyvyn arvioiminen edellyttää demonien ja palveluiden suorituskyvyn arviointia, lisätietoja tästä löytyy osoitteesta статье kollegani. Tarkastelemme mahdollisia komentoja SMB:lle.

Työskentely Gaia OS:n kanssa

1. Selaa SecureXL-malleja

   #fwaccelstat

   

2. Näytä käynnistys ytimeltä

   # fw ctl multik stat

   

3. Katso istuntojen (yhteyksien) lukumäärä.

   # fw ctl pstat

   

4. *Näytä klusterin tila

   #cphaprob stat

   

5. Klassinen Linux TOP -komento

Kirjaaminen

Kuten jo tiedät, on kolme tapaa työskennellä NGFW-lokien kanssa (tallennus, käsittely): paikallisesti, keskitetysti ja pilvessä. Kaksi viimeistä vaihtoehtoa tarkoittavat entiteetin - Management Server - läsnäoloa.

Mahdolliset NGFW-ohjausjärjestelmät

Arvokkaimmat lokitiedostot

1. Järjestelmäviestit (sisältää vähemmän tietoa kuin koko Gaia)

   # tail -f /var/log/messages2

   

2. Virheilmoitukset terien toiminnassa (varsin hyödyllinen tiedosto ongelmien vianmäärityksessä)

   # tail -f /var/log/log/sfwd.elg

   

3. Tarkastele puskurin viestejä järjestelmäytimen tasolla.

   #dmesg

   

Terän kokoonpano

Tämä osio ei sisällä täydellisiä ohjeita NGFW Check Pointin määrittämiseen; se sisältää vain suosituksiamme, jotka on valittu kokemuksen perusteella.

Sovellusten ohjaus / URL-suodatus

• On suositeltavaa välttää säännöissä KAIKKI, KAIKKI (lähde, kohde) ehtoja.

• Kun määrität mukautetun URL-resurssin, on tehokkaampaa käyttää säännöllisiä lausekkeita, kuten: (^|..)checkpoint.com

• Vältä liiallista sääntöjen kirjaamista ja estosivujen näyttämistä (UserCheck).

• Varmista, että tekniikka toimii oikein "SecureXL". Suurin osa liikenteestä pitäisi kulkea läpi kiihdytetty/keskipitkä reitti. Älä myöskään unohda suodattaa sääntöjä eniten käytettyjen sääntöjen mukaan (kenttä Osumien ).

HTTPS-tarkastus

Ei ole mikään salaisuus, että 70-80 % käyttäjäliikenteestä tulee HTTPS-yhteyksistä, mikä tarkoittaa, että tämä vaatii resursseja yhdyskäytäväprosessorilta. Lisäksi HTTPS-Inspection osallistuu IPS:n, Antivirusin, Antibotin työhön.

Versiosta 80.40 alkaen siellä oli tilaisuus Jos haluat työskennellä HTTPS-sääntöjen kanssa ilman Legacy Dashboardia, tässä on suositeltu sääntöjärjestys:

• Osoitteiden ja verkkojen ryhmän ohitus (kohde).

• Ohita URL-osoitteiden ryhmä.

• Ohitus sisäiselle IP-osoitteelle ja verkoille, joilla on etuoikeutettu pääsy (lähde).

• Tarkista tarvittavat verkot, käyttäjät

• Ohitus kaikille muille.

* On aina parempi valita manuaalisesti HTTPS- tai HTTPS-välityspalvelinpalvelut ja jättää kaikki. Kirjaa tapahtumat tarkastussääntöjen mukaan.

IPS

IPS-kortti ei ehkä pysty asentamaan käytäntöä NGFW:hen, jos käytetään liian monta allekirjoitusta. Mukaan статье Check Pointista, SMB-laitearkkitehtuuria ei ole suunniteltu suorittamaan koko suositeltua IPS-määritysprofiilia.

Voit ratkaista tai estää ongelman seuraavasti:

1. Kloonaa optimoitu profiili nimeltä "Optimized SMB" (tai jokin muu valitsemasi profiili).

2. Muokkaa profiilia, siirry kohtaan IPS → Pre R80.Settings ja poista Palvelimen suojaukset käytöstä.

   

3. Harkintasi mukaan voit poistaa käytöstä yli 2010 vanhemmat CVE:t. Näitä haavoittuvuuksia voi harvoin löytää pienissä toimistoissa, mutta ne vaikuttavat suorituskykyyn. Voit poistaa jotkin niistä käytöstä valitsemalla Profiili→IPS→Lisäaktivointi→Suojaukset deaktivoidaksesi luettelon.

   

Sen sijaan johtopäätös

Osana SMB-perheen uuden sukupolven NGFW:tä (1500) käsittelevää artikkelisarjaa yritimme korostaa ratkaisun pääominaisuuksia ja esitellä tärkeiden tietoturvakomponenttien konfigurointia erityisillä esimerkeillä. Vastaamme mielellämme kaikkiin tuotetta koskeviin kysymyksiin kommenteissa. Pysymme kanssasi, kiitos huomiostasi!

Laaja valikoima materiaaleja Check Pointissa TS Solutionilta. Jotta et jää paitsi uusista julkaisuista, seuraa päivityksiä sosiaalisissa verkostoissamme (Telegram, Facebook, VK, TS Solution -blogi, Yandex Zen).

Lähde: will.com