ProHoster > Blog > Bestjoer > 7. NGFW foar lytse bedriuwen. Prestaasje en algemiene oanbefellings
7. NGFW foar lytse bedriuwen. Prestaasje en algemiene oanbefellings
De tiid is kommen om de searje artikels oer de nije generaasje fan SMB Check Point (1500-searje) te foltôgjen. Wy hoopje dat dit in beleanjend ûnderfining foar jo wie en dat jo trochgean sille by ús wêze op it TS Solution-blog. It ûnderwerp foar it definitive artikel is net breed behannele, mar net minder wichtich - SMB-prestaasjestuning. Dêryn sille wy de konfiguraasjeopsjes foar de hardware en software fan 'e NGFW besprekke, de beskikbere kommando's en metoaden fan ynteraksje beskriuwe.
Alle artikels yn 'e searje oer NGFW foar lytse bedriuwen:
На текущий момент существует не так много источников информации о тюнинге производительности для SMB решений ввиду beheinings внутренней ОС — Gaia 80.20 Embedded. В нашей статье мы будем использовать макет с централизованным управлением ( выделенный Management Server ) — он позволяет применить большее количество инструментов при работе с NGFW.
Hardware
Прежде чем затрагивать архитектуру Check Point семейства SMB, вы всегда можете обратиться к вашему партнеру, чтобы он использовал утилиту Appliance Sizing Tool, om de optimale oplossing te selektearjen neffens de oantsjutte skaaimerken (trochput, ferwachte oantal brûkers, ensfh.).
Wichtige notysjes by ynteraksje mei jo NGFW-hardware
NGFW-oplossingen fan 'e SMB-famylje hawwe net de mooglikheid om systeemkomponinten te ferbetterjen (CPU, RAM, HDD); ôfhinklik fan it model is d'r stipe foar SD-kaarten, dit kinne jo de skiifkapasiteit útwreidzje, mar net signifikant.
Работа сетевых интерфейсов требует контроля. В Gaia 80.20 Embedded не так много инструментов для мониторинга, но вы всегда можете использовать общеизвестную команду в CLI через режим Expert
#ikfconfig
Soarch omtinken foar de ûnderstreke rigels, se sille jo it oantal flaters op 'e ynterface skatte kinne. It is tige oan te rieden om dizze parameters te kontrolearjen tidens de earste ymplemintaasje fan jo NGFW, lykas periodyk tidens operaasje.
Foar in folweardige Gaia is d'r in kommando:
> sjen litte diag
Mei har help is it mooglik om ynformaasje te krijen oer de temperatuer fan 'e hardware. Spitigernôch is dizze opsje net beskikber yn 80.20 Embedded; wy sille de populêrste SNMP-fallen oanjaan:
Titel
beskriuwing
Ynterface loskeppele
It útskeakeljen fan de ynterface
VLAN fuorthelle
Fuortsmite Vlans
Hege ûnthâld utilisaasje
Hege RAM-gebrûk
Lege skiifromte
Net genôch HDD romte
Hege CPU-gebrûk
Hege CPU-gebrûk
Hege CPU ûnderbrekt rate
Hege ûnderbrekkingsrate
Hege ferbining taryf
Hege stream fan nije ferbiningen
Hege tagelyk ferbiningen
Heech nivo fan kompetitive sesjes
Hege Firewall trochfier
Firewall mei hege trochset
Hege akseptearre pakket taryf
Hege pakket ûntfangst taryf
Cluster lidsteat feroare
It feroarjen fan de kluster steat
Ferbining mei log tsjinner flater
Ferlern ferbining mei Log-tsjinner
Operaasje fan jo gateway fereasket RAM-monitoring. Foar Gaia (Linux-like OS) om te wurkjen, dit is normale situaasjedoe't RAM konsumpsje berikt 70-80% fan gebrûk.
De arsjitektuer fan SMB-oplossingen soarget net foar it brûken fan SWAP-ûnthâld, yn tsjinstelling ta âldere Check Point-modellen. Yn Linux-systeembestannen waard it lykwols opmurken , wat de teoretyske mooglikheid oanjout om de SWAP-parameter te feroarjen.
Software diel
Op it momint fan publikaasje fan it artikel Aktueel Gaia ferzje - 80.20.10. Jo moatte witte dat d'r beheiningen binne by it wurkjen yn 'e CLI: guon Linux-kommando's wurde stipe yn Expert-modus. It beoardieljen fan de prestaasjes fan NGFW fereasket it beoardieljen fan de prestaasjes fan daemons en tsjinsten, mear details oer dit kinne fûn wurde yn artikel myn kollega. Wy sille sjen nei mooglike kommando's foar SMB.
Wurkje mei Gaia OS
Blêdzje troch SecureXL-sjabloanen
#fwaccelstat
Besjoch boot troch kearn
# fw ctl multik stat
Besjoch it oantal sesjes (ferbinings).
# fw ctl pstat
* Besjoch klusterstatus
#cphaprob stat
Klassike Linux TOP kommando
Logging
Lykas jo al witte, binne d'r trije manieren om te wurkjen mei NGFW-logs (opslach, ferwurking): lokaal, sintraal en yn 'e wolk. De lêste twa opsjes betsjutte de oanwêzigens fan in entiteit - Management Server.
Mooglike NGFW-kontrôleskema's
De meast weardefolle log triemmen
Systeemberjochten (befettet minder ynformaasje dan folsleine Gaia)
# tail -f /var/log/messages2
Flaterberjochten yn 'e wurking fan blêden (hiel in nuttich bestân by it oplossen fan problemen)
# tail -f /var/log/log/sfwd.elg
Besjoch berjochten fan 'e buffer op it systeemkernelnivo.
#dmesg
Blade konfiguraasje
Dizze seksje sil gjin folsleine ynstruksjes befetsje foar it ynstellen fan jo NGFW Check Point; it befettet allinich ús oanbefellings, selekteare troch ûnderfining.
Applikaasjekontrôle / URL-filtering
It is oan te rieden om ELKE, ELKE (Boarne, Destination) betingsten yn regels te foarkommen.
By it opjaan fan in oanpaste URL-boarne sil it effektiver wêze om reguliere útdrukkingen te brûken lykas: (^|..)checkpoint.com
Избегайте чрезмерного использования логирования по правилам и показа страниц блокировки (UserCheck).
Soargje derfoar dat de technology goed wurket "SecureXL". It measte ferkear moat troch fersneld / medium paad. Ferjit ek net de regels te filterjen troch de meast brûkte (fjild Hits ).
HTTPS-ynspeksje
It is gjin geheime dat 70-80% fan brûkersferkear komt fan HTTPS-ferbiningen, wat betsjut dat dit boarnen fereasket fan jo gateway-prosessor. Derneist docht HTTPS-ynspeksje diel oan it wurk fan IPS, Antivirus, Antibot.
Fanôf ferzje 80.40 wie d'r kâns работать с HTTPS-правилами без Legacy Dashboard, вот некоторый рекомендуемый порядок правил:
Bypass foar in groep adressen en netwurken (Bestimming).
Bypass foar in groep URL's.
Bypass foar ynterne IP en netwurken mei befoarrjochte tagong (Boarne).
Ynspektearje foar fereaske netwurken, brûkers
Bypass foar alle oaren.
* It is altyd better om HTTPS- of HTTPS-proxytsjinsten manuell te selektearjen en Any te ferlitten. Log eveneminten neffens Inspect regels.
IPS
Блейд IPS может вызывать ошибку при инсталляции политики на вашем NGFW , если используется слишком много сигнатур. Согласно artikel от Check Point, архитектура SMB устройств не рассчитана для запуска полного рекомендуемого профиля настроек IPS.
Om it probleem op te lossen of te foarkommen, folgje dizze stappen:
Kloon it optimisearre profyl neamd "Optimisearre SMB" (as in oar fan jo kar).
Bewurkje it profyl, gean nei de IPS → Pre R80.Settings seksje en útsette Server Protections.
Nei jo ynsjoch kinne jo CVE's âlder dan 2010 útskeakelje, dizze kwetsberens kinne komselden fûn wurde yn lytse kantoaren, mar beynfloedzje prestaasjes. Om guon fan har út te skeakeljen, gean nei Profile → IPS → Oanfoljende aktivearring → Beskermingen om list te deaktivearjen
Yn stee fan in konklúzje
As ûnderdiel fan in searje artikels oer de nije generaasje fan NGFW fan 'e SMB-famylje (1500), hawwe wy besocht de wichtichste mooglikheden fan' e oplossing te markearjen en de konfiguraasje fan wichtige feiligenskomponinten te demonstrearjen mei spesifike foarbylden. Wy sille bliid wêze om alle fragen oer it produkt te beantwurdzjen yn 'e opmerkings. Wy bliuwe by dy, tank foar dyn oandacht!