7. NGFW pienyrityksille. Suorituskyky ja yleiset suositukset
On tullut aika täydentää SMB Check Pointin uutta sukupolvea (1500-sarja) käsittelevä artikkelisarja. Toivomme, että tämä oli palkitseva kokemus sinulle ja että jatkat kanssamme TS Solution -blogissa. Viimeisen artikkelin aihetta ei käsitellä laajasti, mutta se ei ole vähemmän tärkeä - SMB-suorituskyvyn viritys. Siinä käsitellään NGFW:n laitteiston ja ohjelmiston konfigurointivaihtoehtoja, kuvataan käytettävissä olevia komentoja ja vuorovaikutustapoja.
Tällä hetkellä ei ole olemassa monia tietolähteitä SMB-ratkaisujen suorituskyvyn virityksestä johtuen rajoituksia sisäinen käyttöjärjestelmä - Gaia 80.20 Embedded. Artikkelissamme käytämme asettelua, jossa on keskitetty hallinta (omistettu Management Server) - sen avulla voit käyttää enemmän työkaluja työskennellessäsi NGFW:n kanssa.
Laitteiston osa
Ennen kuin kosketat Check Point SMB -perhearkkitehtuuria, voit aina pyytää kumppaniasi käyttämään apuohjelmaa Laitteen mitoitustyökalu, valitaksesi optimaalisen ratkaisun määritettyjen ominaisuuksien mukaan (suorituskyky, odotettu käyttäjien määrä jne.).
Tärkeitä huomautuksia, kun käytät NGFW-laitteistoasi
SMB-perheen NGFW-ratkaisuilla ei ole mahdollisuutta laitteiston päivittämiseen järjestelmäkomponentteja (CPU, RAM, HDD); mallista riippuen SD-korteille on tuki, jonka avulla voit laajentaa levykapasiteettia, mutta ei merkittävästi.
Verkkorajapintojen toiminta vaatii valvontaa. Gaia 80.20 Embeddedissä ei ole monia valvontatyökaluja, mutta voit aina käyttää tunnettua komentoa CLI:ssä Expert-tilan kautta
#ifconfig
Kiinnitä huomiota alleviivattuihin riveihin, niiden avulla voit arvioida käyttöliittymän virheiden määrän. On erittäin suositeltavaa tarkistaa nämä parametrit NGFW:n ensimmäisen käyttöönoton aikana sekä ajoittain käytön aikana.
Täysimmäiselle Gaialle on komento:
> näytä diag
Sen avulla on mahdollista saada tietoa laitteiston lämpötilasta. Valitettavasti tämä vaihtoehto ei ole käytettävissä 80.20 Embeddedissä; ilmoitamme suosituimmat SNMP-trapit:
Nimi
Kuvaus
Liitäntä irrotettu
Käyttöliittymän poistaminen käytöstä
VLAN poistettu
Vlanien poistaminen
Korkea muistin käyttöaste
Korkea RAM-käyttöaste
Levytila vähissä
Kiintolevytila ei riitä
Korkea prosessorin käyttöaste
Korkea prosessorin käyttöaste
Korkea suorittimen keskeytysnopeus
Korkea keskeytysnopeus
Korkea yhteysnopeus
Suuri määrä uusia yhteyksiä
Korkeat samanaikaiset yhteydet
Korkeatasoiset kilpailusessiot
Palomuurin korkea suorituskyky
Korkean suorituskyvyn palomuuri
Korkea hyväksytty pakettinopeus
Korkea pakettien vastaanottonopeus
Klusterin jäsenmaa muuttunut
Muutetaan klusterin tilaa
Yhteys lokipalvelimen kanssa -virhe
Yhteys lokipalvelimeen katkesi
Yhdyskäytäväsi toiminta vaatii RAM-valvonnan. Jotta Gaia (Linuxin kaltainen käyttöjärjestelmä) toimisi, tämä on normaali tilannekun RAM-muistin kulutus saavuttaa 70-80 % käytöstä.
SMB-ratkaisujen arkkitehtuuri ei mahdollista SWAP-muistin käyttöä, toisin kuin vanhemmissa Check Point -malleissa. Kuitenkin Linux-järjestelmätiedostoissa se havaittiin , joka osoittaa teoreettisen mahdollisuuden muuttaa SWAP-parametria.
Ohjelmisto-osa
Artikkelin julkaisuhetkellä todellinen Gaia-versio - 80.20.10. Sinun on tiedettävä, että työskentelyssä CLI:ssä on rajoituksia: joitain Linux-komentoja tuetaan Expert-tilassa. NGFW:n suorituskyvyn arvioiminen edellyttää demonien ja palveluiden suorituskyvyn arviointia, lisätietoja tästä löytyy osoitteesta статье kollegani. Tarkastelemme mahdollisia komentoja SMB:lle.
Työskentely Gaia OS:n kanssa
Selaa SecureXL-malleja
#fwaccelstat
Näytä käynnistys ytimeltä
# fw ctl multik stat
Katso istuntojen (yhteyksien) lukumäärä.
# fw ctl pstat
*Näytä klusterin tila
#cphaprob stat
Klassinen Linux TOP -komento
Kirjaaminen
Kuten jo tiedät, on kolme tapaa työskennellä NGFW-lokien kanssa (tallennus, käsittely): paikallisesti, keskitetysti ja pilvessä. Kaksi viimeistä vaihtoehtoa tarkoittavat entiteetin - Management Server - läsnäoloa.
Mahdolliset NGFW-ohjausjärjestelmät
Arvokkaimmat lokitiedostot
Järjestelmäviestit (sisältää vähemmän tietoa kuin koko Gaia)
# tail -f /var/log/messages2
Virheilmoitukset terien toiminnassa (varsin hyödyllinen tiedosto ongelmien vianmäärityksessä)
# tail -f /var/log/log/sfwd.elg
Tarkastele puskurin viestejä järjestelmäytimen tasolla.
#dmesg
Terän kokoonpano
Tämä osio ei sisällä täydellisiä ohjeita NGFW Check Pointin määrittämiseen; se sisältää vain suosituksiamme, jotka on valittu kokemuksen perusteella.
Sovellusten ohjaus / URL-suodatus
On suositeltavaa välttää säännöissä KAIKKI, KAIKKI (lähde, kohde) ehtoja.
Kun määrität mukautetun URL-resurssin, on tehokkaampaa käyttää säännöllisiä lausekkeita, kuten: (^|..)checkpoint.com
Vältä liiallista sääntöjen kirjaamista ja estosivujen näyttämistä (UserCheck).
Varmista, että tekniikka toimii oikein "SecureXL". Suurin osa liikenteestä pitäisi kulkea läpi kiihdytetty/keskipitkä reitti. Älä myöskään unohda suodattaa sääntöjä eniten käytettyjen sääntöjen mukaan (kenttä Osumien ).
HTTPS-tarkastus
Ei ole mikään salaisuus, että 70-80 % käyttäjäliikenteestä tulee HTTPS-yhteyksistä, mikä tarkoittaa, että tämä vaatii resursseja yhdyskäytäväprosessorilta. Lisäksi HTTPS-Inspection osallistuu IPS:n, Antivirusin, Antibotin työhön.
Versiosta 80.40 alkaen siellä oli tilaisuus Jos haluat työskennellä HTTPS-sääntöjen kanssa ilman Legacy Dashboardia, tässä on suositeltu sääntöjärjestys:
Osoitteiden ja verkkojen ryhmän ohitus (kohde).
Ohita URL-osoitteiden ryhmä.
Ohitus sisäiselle IP-osoitteelle ja verkoille, joilla on etuoikeutettu pääsy (lähde).
Tarkista tarvittavat verkot, käyttäjät
Ohitus kaikille muille.
* On aina parempi valita manuaalisesti HTTPS- tai HTTPS-välityspalvelinpalvelut ja jättää kaikki. Kirjaa tapahtumat tarkastussääntöjen mukaan.
IPS
IPS-kortti ei ehkä pysty asentamaan käytäntöä NGFW:hen, jos käytetään liian monta allekirjoitusta. Mukaan статье Check Pointista, SMB-laitearkkitehtuuria ei ole suunniteltu suorittamaan koko suositeltua IPS-määritysprofiilia.
Voit ratkaista tai estää ongelman seuraavasti:
Kloonaa optimoitu profiili nimeltä "Optimized SMB" (tai jokin muu valitsemasi profiili).
Muokkaa profiilia, siirry kohtaan IPS → Pre R80.Settings ja poista Palvelimen suojaukset käytöstä.
Harkintasi mukaan voit poistaa käytöstä yli 2010 vanhemmat CVE:t. Näitä haavoittuvuuksia voi harvoin löytää pienissä toimistoissa, mutta ne vaikuttavat suorituskykyyn. Voit poistaa jotkin niistä käytöstä valitsemalla Profiili→IPS→Lisäaktivointi→Suojaukset deaktivoidaksesi luettelon.
Sen sijaan johtopäätös
Osana SMB-perheen uuden sukupolven NGFW:tä (1500) käsittelevää artikkelisarjaa yritimme korostaa ratkaisun pääominaisuuksia ja esitellä tärkeiden tietoturvakomponenttien konfigurointia erityisillä esimerkeillä. Vastaamme mielellämme kaikkiin tuotetta koskeviin kysymyksiin kommenteissa. Pysymme kanssasi, kiitos huomiostasi!