Tha an t-àm ann sreath artaigilean a chrìochnachadh mun ghinealach ùr de SMB Check Point (sreath 1500). Tha sinn an dòchas gur e eòlas buannachdail a bha seo dhut agus gum bi thu fhathast còmhla rinn air blog TS Solution. Chan eil cuspair an artaigil mu dheireadh air a chòmhdach gu farsaing, ach chan eil e cho cudromach - gleusadh coileanaidh SMB. An seo bruidhnidh sinn air na roghainnean rèiteachaidh airson bathar-cruaidh is bathar-bog an NGFW, bheir sinn cunntas air na h-òrdughan a tha rim faighinn agus na dòighean eadar-obrachaidh.
A h-uile artaigil san t-sreath mu NGFW airson gnìomhachasan beaga:
An-dràsta, chan eil mòran stòran fiosrachaidh ann mu ghleusadh coileanaidh airson fuasglaidhean SMB ri linn OS a-staigh - Gaia 80.20 freumhaichte. Anns an artaigil againn cleachdaidh sinn cruth le riaghladh meadhanaichte (Frithealaiche Riaghlaidh coisrigte) - leigidh e leat barrachd innealan a chleachdadh nuair a bhios tu ag obair le NGFW.
Bathar cruaidh
Mus suathadh thu air ailtireachd teaghlaich Check Point SMB, faodaidh tu an-còmhnaidh iarraidh air do chompanach an goireas a chleachdadh Inneal meudachaidh inneal, gus am fuasgladh as fheàrr a thaghadh a rèir nam feartan ainmichte (trochur, àireamh dùil de luchd-cleachdaidh, msaa).
Notaichean cudromach nuair a bhios tu ag eadar-obrachadh leis a’ bhathar-cruaidh NGFW agad
-
Chan eil comas aig fuasglaidhean NGFW den teaghlach SMB co-phàirtean siostam ùrachadh bathar-cruaidh (CPU, RAM, HDD); a rèir a ’mhodail, tha taic ann airson cairtean SD, leigidh seo leat comas diosc a leudachadh, ach chan ann gu mòr.
-
Feumaidh obrachadh eadar-aghaidh lìonra smachd. Chan eil mòran innealan sgrùdaidh aig Gaia 80.20 Embedded, ach faodaidh tu an-còmhnaidh an àithne ainmeil a chleachdadh anns an CLI tro mhodh eòlaiche
#ifconfig
Thoir aire do na loidhnichean fo-loidhne, leigidh iad leat tuairmse a dhèanamh air an àireamh de mhearachdan air an eadar-aghaidh. Thathas a’ moladh gu mòr sùil a thoirt air na crìochan sin aig àm buileachadh tùsail an NGFW agad, a bharrachd air bho àm gu àm rè obrachadh.
-
Airson Gaia làn-chuimseach tha àithne:
> seall diag
Le cuideachadh tha e comasach fiosrachadh fhaighinn mu theodhachd a’ bhathar-cruaidh. Gu mì-fhortanach, chan eil an roghainn seo ri fhaighinn ann an 80.20 Embedded; seallaidh sinn na ribeachan SNMP as mòr-chòrdte:
Tiotal
Tuairisgeul
Eadar-aghaidh air a dhì-cheangal
A 'cur dheth an eadar-aghaidh
VLAN air a thoirt air falbh
A' toirt air falbh Vlans
Cleachdadh cuimhne àrd
Cleachdadh RAM àrd
Àite diosc ìosal
Chan eil àite HDD gu leòr ann
Cleachdadh CPU àrd
Cleachdadh CPU àrd
Ìre brisidh CPU àrd
Ìre brisidh àrd
Ìre ceangail àrd
Sruth àrd de cheanglaichean ùra
Ceanglaichean co-aontach àrd
Ìre àrd de sheiseanan farpaiseach
Trèilear balla-teine àrd
Balla-teine treòrachadh àrd
Ìre pacaid àrd ris an deach gabhail
Ìre fàilteachaidh pacaid àrd
Dh’ atharraich ball-stàite a’ chluais
Ag atharrachadh staid na buidhne
Ceangal ri loga frithealaiche mearachd
Chaill an ceangal le Log-Server
-
Feumaidh obrachadh do gheata sgrùdadh RAM. Airson Gaia (OS coltach ri Linux) a bhith ag obair, tha seo nuair a ruigeas caitheamh RAM 70-80% de chleachdadh.
Chan eil ailtireachd fuasglaidhean SMB a’ toirt seachad airson cleachdadh cuimhne SWAP, eu-coltach ri seann mhodalan Check Point. Ach, ann am faidhlichean siostam Linux chaidh mothachadh dha , a tha a’ nochdadh comas teòiridheach atharrachadh paramadair SWAP.
Pàirt bathar-bog
Aig àm foillseachaidh an artaigil Tionndadh Gaia - 80.20.10. Feumaidh fios a bhith agad gu bheil cuingealachaidhean ann nuair a bhios tu ag obair anns an CLI: tha cuid de òrdughan Linux a’ faighinn taic ann am modh Eòlaiche. Gus coileanadh NGFW a mheasadh feumar coileanadh deamhan agus seirbheisean a mheasadh, gheibhear barrachd fiosrachaidh mu dheidhinn seo ann an mo cho-obraiche. Seallaidh sinn ri òrdughan a dh’ fhaodadh a bhith ann airson SMB.
Ag obair le Gaia OS
-
Dèan brobhsadh air teamplaidean SecureXL
#fwaccelstat
-
Thoir sùil air boot le core
# fw ctl multik stat
-
Seall an àireamh de sheiseanan (ceanglaichean).
# fw ctl pstat
-
* Thoir sùil air inbhe brabhsair
#stat cphaprob
-
Òrdugh clasaigeach Linux TOP
Logadh
Mar a tha fios agad mu thràth, tha trì dòighean ann a bhith ag obair le logaichean NGFW (stòradh, giollachd): gu h-ionadail, sa mheadhan agus san sgòth. Tha an dà roghainn mu dheireadh a’ ciallachadh gu bheil eintiteas ann - Management Server.
Sgeamaichean smachd NGFW a dh’ fhaodadh a bhith ann
Na faidhlichean log as luachmhoire
-
Teachdaireachdan siostaim (tha nas lugha de dh'fhiosrachadh ann na làn Gaia)
# earball -f /var/log/messages2
-
Teachdaireachdan mearachd ann an obrachadh lannan (faidhle gu math feumail nuair a bhios tu a’ fuasgladh dhuilgheadasan)
# earball -f /var/log/log/sfwd.elg
-
Seall teachdaireachdan bhon bhufair aig ìre kernel an t-siostaim.
#dmsg
Suidheachadh lann
Cha bhi stiùireadh iomlan anns an roinn seo airson do phuing-sgrùdaidh NGFW a stèidheachadh; chan eil ann ach na molaidhean againn, air an taghadh le eòlas.
Smachd tagraidh / sìoladh URL
-
Thathas a’ moladh AON, AON (Stòr, Ceann-uidhe) a sheachnadh ann an riaghailtean.
-
Nuair a bhios tu a’ sònrachadh goireas URL gnàthaichte, bidh e nas èifeachdaiche abairtean cunbhalach a chleachdadh mar: (^|..) checkpoint.com
-
Seachain cus feum de chlàradh riaghailtean agus taisbeanadh dhuilleagan bacaidh (UserCheck).
-
Dèan cinnteach gu bheil an teicneòlas ag obair ceart "SecureXL". Bu chòir don mhòr-chuid de thrafaig a dhol troimhe slighe luathaichte/meadhanach. Cuideachd, na dìochuimhnich na riaghailtean a shìoladh leis an fheadhainn as motha a chleachdar (raon Hits ).
HTTPS - Sgrùdadh
Chan eil e na dhìomhaireachd gu bheil 70-80% de thrafaig luchd-cleachdaidh a’ tighinn bho cheanglaichean HTTPS, a tha a’ ciallachadh gu feum seo goireasan bhon phròiseasar geata agad. A bharrachd air an sin, tha HTTPS-Inspection a’ gabhail pàirt ann an obair IPS, Antivirus, Antibot.
A’ tòiseachadh bho dhreach 80.40 bha gus obrachadh le riaghailtean HTTPS às aonais deas-bhòrd dìleab, seo beagan òrdugh riaghailt a thathar a’ moladh:
-
Seach-rathad airson buidheann de sheòlaidhean agus lìonraidhean (Ceann-uidhe).
-
Seach-rathad airson buidheann de URLan.
-
Seach-rathad airson IP a-staigh agus lìonraidhean le ruigsinneachd sochair (Stòr).
-
Dèan sgrùdadh airson lìonraidhean riatanach, luchd-cleachdaidh
-
Seach-rathad airson a h-uile duine eile.
* Tha e an-còmhnaidh nas fheàrr seirbheisean HTTPS no HTTPS Proxy a thaghadh le làimh agus gin fhàgail. Clàraich tachartasan a rèir riaghailtean Inspect.
IPS
Is dòcha nach cuir an lann IPS poileasaidh an sàs air an NGFW agad ma thèid cus ainmean-sgrìobhte a chleachdadh. A rèir bho Check Point, chan eil ailtireachd inneal SMB air a dhealbhadh gus an làn phròifil rèiteachaidh IPS a tha air a mholadh a ruith.
Gus an duilgheadas fhuasgladh no a chasg, lean na ceumannan seo:
-
Clone am pròifil Optimized ris an canar “Optimized SMB” (no fear eile de do roghainn).
-
Deasaich am pròifil, rachaibh chun roinn IPS → Pre R80.Settings agus cuir dheth Dìon an Fhrithealaiche.
-
Ma thogras tu, faodaidh tu CVEn nas sine na 2010 a chuir dheth, is ann ainneamh a lorgar na so-leòntachd sin ann an oifisean beaga, ach bheir iad buaidh air coileanadh. Gus cuid dhiubh a chuir dheth, rachaibh gu Pròifil → IPS → Gnìomhachadh a bharrachd → Dìon liosta gus an liosta a chuir dheth
An àite a bhith co-dhùnadh
Mar phàirt de shreath artaigilean mun ghinealach ùr de NGFW den teaghlach SMB (1500), dh’ fheuch sinn ri prìomh chomasan an fhuasglaidh a shoilleireachadh agus sheall sinn rèiteachadh phàirtean tèarainteachd cudromach a’ cleachdadh eisimpleirean sònraichte. Bidh sinn toilichte ceistean sam bith a fhreagairt mun toradh anns na beachdan. Bidh sinn a’ fuireach còmhla riut, tapadh leat airson d’ aire!
. Gus nach caill thu foillseachaidhean ùra, lean na h-ùrachaidhean air na lìonraidhean sòisealta againn (, , , , ).
Source: www.habr.com