Le moment est venu de compléter la série d'articles sur la nouvelle génération de SMB Check Point (série 1500). Nous espérons que cette expérience a été enrichissante pour vous et que vous continuerez à être avec nous sur le blog TS Solution. Le sujet de l'article final n'est pas largement couvert, mais il n'est pas moins important : le réglage des performances des PME. Nous y discuterons des options de configuration pour le matériel et les logiciels du NGFW, décrirons les commandes disponibles et les méthodes d'interaction.
Tous les articles de la série sur NGFW pour les petites entreprises :
Actuellement, il n'existe pas beaucoup de sources d'informations sur l'optimisation des performances des solutions PME en raison de Système d'exploitation interne - Gaia 80.20 Embedded. Dans notre article, nous utiliserons une mise en page avec gestion centralisée (serveur de gestion dédié) - elle vous permet d'utiliser plus d'outils lorsque vous travaillez avec NGFW.
Matériel
Avant de toucher à l'architecture de la famille Check Point SMB, vous pouvez toujours demander à votre partenaire d'utiliser l'utilitaire Outil de dimensionnement des appareils électroménagers, pour sélectionner la solution optimale en fonction des caractéristiques spécifiées (débit, nombre d'utilisateurs attendu, etc.).
Remarques importantes lors de l'interaction avec votre matériel NGFW
-
Les solutions NGFW de la famille SMB n'ont pas la possibilité de mettre à niveau matériellement les composants du système (CPU, RAM, disque dur) ; selon le modèle, il existe un support pour les cartes SD, cela vous permet d'augmenter la capacité du disque, mais pas de manière significative.
-
Le fonctionnement des interfaces réseau nécessite un contrôle. Gaia 80.20 Embedded n'a pas beaucoup d'outils de surveillance, mais vous pouvez toujours utiliser la commande bien connue dans la CLI via le mode Expert
# jefconfig
Faites attention aux lignes soulignées, elles vous permettront d'estimer le nombre d'erreurs sur l'interface. Il est fortement recommandé de vérifier ces paramètres lors de la mise en œuvre initiale de votre NGFW, ainsi que périodiquement pendant l'exploitation.
-
Pour un Gaia à part entière, il existe une commande :
>afficher le diagramme
Avec son aide, il est possible d'obtenir des informations sur la température du matériel. Malheureusement, cette option n'est pas disponible en 80.20 Embedded, nous indiquerons les traps SNMP les plus répandus :
Nom
description
Interface déconnectée
Désactiver l'interface
VLAN supprimé
Suppression des VLAN
Utilisation élevée de la mémoire
Utilisation élevée de la RAM
Espace disque faible
Pas assez d'espace disque dur
Utilisation élevée du processeur
Utilisation élevée du processeur
Taux d'interruptions CPU élevé
Taux d'interruption élevé
Taux de connexion élevé
Flux élevé de nouvelles connexions
Connexions simultanées élevées
Haut niveau de séances compétitives
Débit élevé du pare-feu
Pare-feu haut débit
Taux de paquets acceptés élevé
Taux de réception de paquets élevé
L'état membre du cluster a changé
Modification de l'état du cluster
Erreur de connexion avec le serveur de journaux
Connexion perdue avec Log-Server
-
Le fonctionnement de votre passerelle nécessite une surveillance de la RAM. Pour que Gaia (OS de type Linux) fonctionne, c'est lorsque la consommation de RAM atteint 70 à 80 % de l'utilisation.
L'architecture des solutions SMB ne prévoit pas l'utilisation de la mémoire SWAP, contrairement aux anciens modèles Check Point. Cependant, dans les fichiers système Linux, il a été remarqué , ce qui indique la possibilité théorique de modifier le paramètre SWAP.
Partie logicielle
Au moment de la publication de l'article Version Gaia - 80.20.10. Il faut savoir qu'il existe des limitations lorsque l'on travaille en CLI : certaines commandes Linux sont prises en charge en mode Expert. L'évaluation des performances de NGFW nécessite d'évaluer les performances des démons et des services. Plus de détails à ce sujet peuvent être trouvés dans Mon collègue. Nous examinerons les commandes possibles pour SMB.
Travailler avec Gaia OS
-
Parcourir les modèles SecureXL
#fwaccelstat
-
Afficher le démarrage par cœur
# fw ctl multik stat
-
Visualiser le nombre de sessions (connexions).
# fw ctl pstat
-
*Afficher l'état du cluster
Statistique #cphaprob
-
Commande TOP Linux classique
Enregistrement
Comme vous le savez déjà, il existe trois manières de travailler avec les journaux NGFW (stockage, traitement) : localement, de manière centralisée et dans le cloud. Les deux dernières options impliquent la présence d'une entité - Management Server.
Schémas possibles de contrôle des NGFW
Les fichiers journaux les plus précieux
-
Messages système (contient moins d'informations que Gaia complet)
# tail -f /var/log/messages2
-
Messages d'erreur dans le fonctionnement des lames (un fichier très utile lors du dépannage des problèmes)
# tail -f /var/log/log/sfwd.elg
-
Affichez les messages du tampon au niveau du noyau du système.
#dmesg
Configuration de la lame
Cette section ne contiendra pas d'instructions complètes pour configurer votre point de contrôle NGFW ; elle contient uniquement nos recommandations, sélectionnées par expérience.
Contrôle des applications / Filtrage d'URL
-
Il est recommandé d’éviter TOUTES les conditions (Source, Destination) dans les règles.
-
Lors de la spécification d'une ressource URL personnalisée, il sera plus efficace d'utiliser des expressions régulières telles que : (^|..)checkpoint.com
-
Évitez l’utilisation excessive de la journalisation des règles et l’affichage des pages bloquantes (UserCheck).
-
Assurez-vous que la technologie fonctionne correctement "SécuriséXL". La majeure partie du trafic devrait passer par voie accélérée/moyenne. N'oubliez pas non plus de filtrer les règles par les plus utilisées (champ Hits ).
Inspection HTTPS
Ce n'est un secret pour personne que 70 à 80 % du trafic utilisateur provient de connexions HTTPS, ce qui signifie que cela nécessite des ressources de la part du processeur de votre passerelle. De plus, HTTPS-Inspection participe aux travaux d'IPS, Antivirus, Antibot.
À partir de la version 80.40, il y avait Pour travailler avec des règles HTTPS sans Legacy Dashboard, voici l'ordre des règles recommandé :
-
Bypass pour un groupe d'adresses et de réseaux (Destination).
-
Contourner un groupe d'URL.
-
Bypass pour IP interne et réseaux avec accès privilégié (Source).
-
Inspecter les réseaux requis et les utilisateurs
-
Contourner pour tout le monde.
* Il est toujours préférable de sélectionner manuellement les services HTTPS ou HTTPS Proxy et de quitter Any. Enregistrez les événements conformément aux règles d’inspection.
IPS
La lame IPS peut ne pas réussir à installer la stratégie sur votre NGFW si trop de signatures sont utilisées. Selon de Check Point, l'architecture du périphérique SMB n'est pas conçue pour exécuter le profil de configuration IPS complet recommandé.
Pour résoudre ou éviter le problème, procédez comme suit :
-
Clonez le profil optimisé appelé « SMB optimisé » (ou un autre de votre choix).
-
Modifiez le profil, accédez à la section IPS → Pre R80.Settings et désactivez les protections du serveur.
-
À votre discrétion, vous pouvez désactiver les CVE antérieurs à 2010. Ces vulnérabilités peuvent être rarement trouvées dans les petits bureaux, mais affectent les performances. Pour désactiver certains d'entre eux, allez dans Profil → IPS → Activation supplémentaire → Protections pour désactiver la liste
Au lieu d'une conclusion
Dans le cadre d'une série d'articles sur la nouvelle génération de NGFW de la famille SMB (1500), nous avons tenté de mettre en évidence les principales capacités de la solution et démontré la configuration des composants de sécurité importants à l'aide d'exemples précis. Nous serons heureux de répondre à toutes vos questions sur le produit dans les commentaires. Nous restons avec vous, merci de votre attention !
. Afin de ne pas manquer les nouvelles publications, suivez les mises à jour sur nos réseaux sociaux (, , , , ).
Source: habr.com