7. NGFW para pequenas empresas. Rendemento e recomendacións xerais
Chegou o momento de completar a serie de artigos sobre a nova xeración de SMB Check Point (serie 1500). Agardamos que esta fose unha experiencia gratificante para vostede e que siga estando connosco no blog de TS Solution. O tema do artigo final non está moi tratado, pero non é menos importante: o axuste do rendemento de SMB. Nel discutiremos as opcións de configuración para o hardware e software do NGFW, describiremos os comandos dispoñibles e os métodos de interacción.
Todos os artigos da serie sobre NGFW para pequenas empresas:
Actualmente, non hai moitas fontes de información sobre a optimización do rendemento das solucións SMB debido a restricións SO interno - Gaia 80.20 Embedded. No noso artigo, usaremos un deseño con xestión centralizada (Servidor de xestión dedicado): permíteche usar máis ferramentas cando traballas con NGFW.
Hardware
Antes de tocar a arquitectura da familia Check Point SMB, sempre podes pedirlle ao teu compañeiro que utilice a utilidade Ferramenta de dimensionamento do aparello, para seleccionar a solución óptima segundo as características especificadas (rendemento, número esperado de usuarios, etc.).
Notas importantes ao interactuar co teu hardware NGFW
As solucións NGFW da familia SMB non teñen a capacidade de actualizar os compoñentes do sistema de hardware (CPU, RAM, HDD); dependendo do modelo, hai soporte para tarxetas SD, isto permítelle ampliar a capacidade do disco, pero non de forma significativa.
O funcionamento das interfaces de rede require control. Gaia 80.20 Embedded non ten moitas ferramentas de monitorización, pero sempre podes usar o coñecido comando na CLI a través do modo Experto
#ifconfig
Preste atención ás liñas subliñadas, que permitirán estimar o número de erros na interface. É moi recomendable comprobar estes parámetros durante a implementación inicial do seu NGFW, así como periódicamente durante a operación.
Para un Gaia en toda regla hai un comando:
> mostrar diag
Coa súa axuda é posible obter información sobre a temperatura do hardware. Desafortunadamente, esta opción non está dispoñible en 80.20 Embedded; indicaremos as trampas SNMP máis populares:
nome
Descrición
Interface desconectada
Desactivando a interface
VLAN eliminada
Eliminando Vlans
Alta utilización de memoria
Alta utilización de RAM
Espazo de disco baixo
Non hai espazo suficiente no disco duro
Alta utilización da CPU
Alta utilización da CPU
Alta taxa de interrupcións da CPU
Alta taxa de interrupción
Alta taxa de conexión
Alto fluxo de novas conexións
Conexións simultáneas altas
Sesións competitivas de alto nivel
Alto rendemento do firewall
Firewall de alto rendemento
Alta taxa de paquetes aceptados
Alta taxa de recepción de paquetes
O estado membro do clúster cambiou
Cambiando o estado do clúster
Erro de conexión co servidor de rexistro
Perdeuse a conexión con Log-Server
O funcionamento da súa pasarela require un seguimento da memoria RAM. Para que Gaia (sistema operativo similar a Linux) funcione, isto é situación normalcando o consumo de RAM chega ao 70-80% do uso.
A arquitectura das solucións SMB non prevé o uso de memoria SWAP, a diferenza dos modelos Check Point máis antigos. Non obstante, nos ficheiros do sistema Linux notouse , que indica a posibilidade teórica de cambiar o parámetro SWAP.
Parte de software
No momento da publicación do artigo actualizado Versión de Gaia - 80.20.10. Debes saber que hai limitacións ao traballar na CLI: algúns comandos de Linux son compatibles no modo Experto. Avaliar o rendemento de NGFW require avaliar o rendemento dos daemons e servizos. Podes atopar máis detalles sobre isto en Artigo meu colega. Veremos posibles comandos para SMB.
Traballando con Gaia OS
Explora os modelos de SecureXL
#fwaccelstat
Ver o arranque por núcleo
# fw ctl multik stat
Ver o número de sesións (conexións).
# fw ctl pstat
*Ver o estado do clúster
#cphaprob stat
Comando TOP clásico de Linux
Rexistro
Como xa sabes, hai tres formas de traballar cos rexistros de NGFW (almacenamento, procesamento): local, central e na nube. As dúas últimas opcións implican a presenza dunha entidade - Servidor de xestión.
Posibles esquemas de control de NGFW
Os ficheiros de rexistro máis valiosos
Mensaxes do sistema (contén menos información que Gaia completa)
# tail -f /var/log/messages2
Mensaxes de erro no funcionamento das láminas (un ficheiro bastante útil para solucionar problemas)
# tail -f /var/log/log/sfwd.elg
Ver mensaxes do búfer a nivel do núcleo do sistema.
#dmesg
Configuración da lámina
Esta sección non conterá instrucións completas para configurar o teu punto de verificación NGFW; só contén as nosas recomendacións, seleccionadas pola experiencia.
Control de aplicacións / filtrado de URL
Recoméndase evitar CALQUERA, CALQUERA condición (Fonte, Destino) nas regras.
Ao especificar un recurso URL personalizado, será máis efectivo usar expresións regulares como: (^|..)checkpoint.com
Evite o uso excesivo do rexistro de regras e a visualización de páxinas de bloqueo (UserCheck).
Asegúrese de que a tecnoloxía funciona correctamente "SecureXL". A maior parte do tráfico debería pasar camiño acelerado/medio. Ademais, non esquezas filtrar as regras polas máis utilizadas (campo accesos ).
Inspección HTTPS
Non é ningún segredo que o 70-80% do tráfico de usuarios procede de conexións HTTPS, o que significa que isto require recursos do procesador da súa pasarela. Ademais, HTTPS-Inspection participa no traballo de IPS, Antivirus, Antibot.
A partir da versión 80.40 houbo oportunidade para traballar con regras HTTPS sen Legacy Dashboard, aquí tes algunha orde de regras recomendada:
Omitir un grupo de enderezos e redes (Destino).
Omitir un grupo de URL.
Bypass para IP interna e redes con acceso privilexiado (Fonte).
Inspeccionar as redes necesarias, usuarios
Bypass para todos os demais.
* Sempre é mellor seleccionar manualmente os servizos HTTPS ou HTTPS Proxy e deixar Calquera. Rexistra eventos segundo as regras de Inspección.
IPS
É posible que a lámina IPS non instale a política no teu NGFW se se usan demasiadas sinaturas. Dacordo con Artigo de Check Point, a arquitectura do dispositivo SMB non está deseñada para executar o perfil de configuración IPS completo recomendado.
Para resolver ou previr o problema, siga estes pasos:
Clona o perfil Optimized chamado "Optimized SMB" (ou outro que elixas).
Edita o perfil, vai á sección IPS → Pre R80.Configuración e desactiva as Proteccións do servidor.
Segundo o teu criterio, podes desactivar CVE anteriores a 2010; estas vulnerabilidades poden atoparse raramente en oficinas pequenas, pero afectan o rendemento. Para desactivar algúns deles, vai a Perfil → IPS → Activación adicional → Proteccións para desactivar a lista
En vez de unha conclusión
Como parte dunha serie de artigos sobre a nova xeración de NGFW da familia SMB (1500), tentamos destacar as principais capacidades da solución e demostramos a configuración de compoñentes de seguridade importantes mediante exemplos específicos. Estaremos encantados de responder a calquera dúbida sobre o produto nos comentarios. Quedamos contigo, grazas pola túa atención!