7. NGFW foar lytse bedriuwen. Prestaasje en algemiene oanbefellings

De tiid is kommen om de searje artikels oer de nije generaasje fan SMB Check Point (1500-searje) te foltôgjen. Wy hoopje dat dit in beleanjend ûnderfining foar jo wie en dat jo trochgean sille by ús wêze op it TS Solution-blog. It ûnderwerp foar it definitive artikel is net breed behannele, mar net minder wichtich - SMB-prestaasjestuning. Dêryn sille wy de konfiguraasjeopsjes foar de hardware en software fan 'e NGFW besprekke, de beskikbere kommando's en metoaden fan ynteraksje beskriuwe.

Alle artikels yn 'e searje oer NGFW foar lytse bedriuwen:

1. Nije CheckPoint 1500 Security Gateway Line

2. Unboxing en opset

3. Draadloze gegevensoerdracht: WiFi en LTE

4. VPN

5. Cloud SMP Management

6. Smart-1 Cloud

На текущий момент существует не так много источников информации о тюнинге производительности для SMB решений ввиду beheinings внутренней ОС — Gaia 80.20 Embedded. В нашей статье мы будем использовать макет с централизованным управлением ( выделенный Management Server ) — он позволяет применить большее количество инструментов при работе с NGFW.

Hardware

Прежде чем затрагивать архитектуру Check Point семейства SMB, вы всегда можете обратиться к вашему партнеру, чтобы он использовал утилиту Appliance Sizing Tool, om de optimale oplossing te selektearjen neffens de oantsjutte skaaimerken (trochput, ferwachte oantal brûkers, ensfh.).

Wichtige notysjes by ynteraksje mei jo NGFW-hardware

1. NGFW-oplossingen fan 'e SMB-famylje hawwe net de mooglikheid om systeemkomponinten te ferbetterjen (CPU, RAM, HDD); ôfhinklik fan it model is d'r stipe foar SD-kaarten, dit kinne jo de skiifkapasiteit útwreidzje, mar net signifikant.

2. Работа сетевых интерфейсов требует контроля. В Gaia 80.20 Embedded не так много инструментов для мониторинга, но вы всегда можете использовать общеизвестную команду в CLI через режим Expert 

   #ikfconfig

   

   Soarch omtinken foar de ûnderstreke rigels, se sille jo it oantal flaters op 'e ynterface skatte kinne. It is tige oan te rieden om dizze parameters te kontrolearjen tidens de earste ymplemintaasje fan jo NGFW, lykas periodyk tidens operaasje.

3. Foar in folweardige Gaia is d'r in kommando:

   > sjen litte diag

   Mei har help is it mooglik om ynformaasje te krijen oer de temperatuer fan 'e hardware. Spitigernôch is dizze opsje net beskikber yn 80.20 Embedded; wy sille de populêrste SNMP-fallen oanjaan:

   Titel 

   beskriuwing

   Ynterface loskeppele

   It útskeakeljen fan de ynterface

   VLAN fuorthelle

   Fuortsmite Vlans

   Hege ûnthâld utilisaasje

   Hege RAM-gebrûk

   Lege skiifromte

   Net genôch HDD romte

   Hege CPU-gebrûk

   Hege CPU-gebrûk

   Hege CPU ûnderbrekt rate

   Hege ûnderbrekkingsrate

   Hege ferbining taryf

   Hege stream fan nije ferbiningen

   Hege tagelyk ferbiningen

   Heech nivo fan kompetitive sesjes

   Hege Firewall trochfier

   Firewall mei hege trochset

   Hege akseptearre pakket taryf

   Hege pakket ûntfangst taryf

   Cluster lidsteat feroare

   It feroarjen fan de kluster steat

   Ferbining mei log tsjinner flater

   Ferlern ferbining mei Log-tsjinner

4. Operaasje fan jo gateway fereasket RAM-monitoring. Foar Gaia (Linux-like OS) om te wurkjen, dit is normale situaasjedoe't RAM konsumpsje berikt 70-80% fan gebrûk.

   De arsjitektuer fan SMB-oplossingen soarget net foar it brûken fan SWAP-ûnthâld, yn tsjinstelling ta âldere Check Point-modellen. Yn Linux-systeembestannen waard it lykwols opmurken , wat de teoretyske mooglikheid oanjout om de SWAP-parameter te feroarjen.

Software diel

Op it momint fan publikaasje fan it artikel Aktueel Gaia ferzje - 80.20.10. Jo moatte witte dat d'r beheiningen binne by it wurkjen yn 'e CLI: guon Linux-kommando's wurde stipe yn Expert-modus. It beoardieljen fan de prestaasjes fan NGFW fereasket it beoardieljen fan de prestaasjes fan daemons en tsjinsten, mear details oer dit kinne fûn wurde yn artikel myn kollega. Wy sille sjen nei mooglike kommando's foar SMB.

Wurkje mei Gaia OS

1. Blêdzje troch SecureXL-sjabloanen

   #fwaccelstat

   

2. Besjoch boot troch kearn

   # fw ctl multik stat

   

3. Besjoch it oantal sesjes (ferbinings).

   # fw ctl pstat

   

4. * Besjoch klusterstatus

   #cphaprob stat

   

5. Klassike Linux TOP kommando

Logging

Lykas jo al witte, binne d'r trije manieren om te wurkjen mei NGFW-logs (opslach, ferwurking): lokaal, sintraal en yn 'e wolk. De lêste twa opsjes betsjutte de oanwêzigens fan in entiteit - Management Server.

Mooglike NGFW-kontrôleskema's

De meast weardefolle log triemmen

1. Systeemberjochten (befettet minder ynformaasje dan folsleine Gaia)

   # tail -f /var/log/messages2

   

2. Flaterberjochten yn 'e wurking fan blêden (hiel in nuttich bestân by it oplossen fan problemen)

   # tail -f /var/log/log/sfwd.elg

   

3. Besjoch berjochten fan 'e buffer op it systeemkernelnivo.

   #dmesg

   

Blade konfiguraasje

Dizze seksje sil gjin folsleine ynstruksjes befetsje foar it ynstellen fan jo NGFW Check Point; it befettet allinich ús oanbefellings, selekteare troch ûnderfining.

Applikaasjekontrôle / URL-filtering

• It is oan te rieden om ELKE, ELKE (Boarne, Destination) betingsten yn regels te foarkommen.

• By it opjaan fan in oanpaste URL-boarne sil it effektiver wêze om reguliere útdrukkingen te brûken lykas: (^|..)checkpoint.com

• Избегайте чрезмерного использования логирования по правилам и показа страниц блокировки (UserCheck).

• Soargje derfoar dat de technology goed wurket "SecureXL". It measte ferkear moat troch fersneld / medium paad. Ferjit ek net de regels te filterjen troch de meast brûkte (fjild Hits ).

HTTPS-ynspeksje

It is gjin geheime dat 70-80% fan brûkersferkear komt fan HTTPS-ferbiningen, wat betsjut dat dit boarnen fereasket fan jo gateway-prosessor. Derneist docht HTTPS-ynspeksje diel oan it wurk fan IPS, Antivirus, Antibot.

Fanôf ferzje 80.40 wie d'r kâns работать с HTTPS-правилами без Legacy Dashboard, вот некоторый рекомендуемый порядок правил:

• Bypass foar in groep adressen en netwurken (Bestimming).

• Bypass foar in groep URL's.

• Bypass foar ynterne IP en netwurken mei befoarrjochte tagong (Boarne).

• Ynspektearje foar fereaske netwurken, brûkers

• Bypass foar alle oaren.

* It is altyd better om HTTPS- of HTTPS-proxytsjinsten manuell te selektearjen en Any te ferlitten. Log eveneminten neffens Inspect regels.

IPS

Блейд IPS может вызывать ошибку при инсталляции политики на вашем NGFW , если используется слишком много сигнатур. Согласно artikel от Check Point, архитектура SMB устройств не рассчитана для запуска полного рекомендуемого профиля настроек IPS.

Om it probleem op te lossen of te foarkommen, folgje dizze stappen:

1. Kloon it optimisearre profyl neamd "Optimisearre SMB" (as in oar fan jo kar).

2. Bewurkje it profyl, gean nei de IPS → Pre R80.Settings seksje en útsette Server Protections.

   

3. Nei jo ynsjoch kinne jo CVE's âlder dan 2010 útskeakelje, dizze kwetsberens kinne komselden fûn wurde yn lytse kantoaren, mar beynfloedzje prestaasjes. Om guon fan har út te skeakeljen, gean nei Profile → IPS → Oanfoljende aktivearring → Beskermingen om list te deaktivearjen

   

Yn stee fan in konklúzje

As ûnderdiel fan in searje artikels oer de nije generaasje fan NGFW fan 'e SMB-famylje (1500), hawwe wy besocht de wichtichste mooglikheden fan' e oplossing te markearjen en de konfiguraasje fan wichtige feiligenskomponinten te demonstrearjen mei spesifike foarbylden. Wy sille bliid wêze om alle fragen oer it produkt te beantwurdzjen yn 'e opmerkings. Wy bliuwe by dy, tank foar dyn oandacht!

Grutte seleksje fan materialen op Check Point út TS Solution. Om nije publikaasjes net te missen, folgje de updates op ús sosjale netwurken (Telegram, facebook, VK, TS Solution Blog, Yandex Zen).

Boarne: www.habr.com