7. NGFW para pequenas empresas. Rendemento e recomendacións xerais

Chegou o momento de completar a serie de artigos sobre a nova xeración de SMB Check Point (serie 1500). Agardamos que esta fose unha experiencia gratificante para vostede e que siga estando connosco no blog de TS Solution. O tema do artigo final non está moi tratado, pero non é menos importante: o axuste do rendemento de SMB. Nel discutiremos as opcións de configuración para o hardware e software do NGFW, describiremos os comandos dispoñibles e os métodos de interacción.

Todos os artigos da serie sobre NGFW para pequenas empresas:

1. Nova liña de pasarela de seguranza CheckPoint 1500

2. Desembalaxe e configuración

3. Transmisión de datos sen fíos: WiFi e LTE

4. VPN

5. Xestión SMP na nube

6. Smart-1 Cloud

Actualmente, non hai moitas fontes de información sobre a optimización do rendemento das solucións SMB debido a restricións SO interno - Gaia 80.20 Embedded. No noso artigo, usaremos un deseño con xestión centralizada (Servidor de xestión dedicado): permíteche usar máis ferramentas cando traballas con NGFW.

Hardware

Antes de tocar a arquitectura da familia Check Point SMB, sempre podes pedirlle ao teu compañeiro que utilice a utilidade Ferramenta de dimensionamento do aparello, para seleccionar a solución óptima segundo as características especificadas (rendemento, número esperado de usuarios, etc.).

Notas importantes ao interactuar co teu hardware NGFW

1. As solucións NGFW da familia SMB non teñen a capacidade de actualizar os compoñentes do sistema de hardware (CPU, RAM, HDD); dependendo do modelo, hai soporte para tarxetas SD, isto permítelle ampliar a capacidade do disco, pero non de forma significativa.

2. O funcionamento das interfaces de rede require control. Gaia 80.20 Embedded non ten moitas ferramentas de monitorización, pero sempre podes usar o coñecido comando na CLI a través do modo Experto 

   #ifconfig

   

   Preste atención ás liñas subliñadas, que permitirán estimar o número de erros na interface. É moi recomendable comprobar estes parámetros durante a implementación inicial do seu NGFW, así como periódicamente durante a operación.

3. Para un Gaia en toda regla hai un comando:

   > mostrar diag

   Coa súa axuda é posible obter información sobre a temperatura do hardware. Desafortunadamente, esta opción non está dispoñible en 80.20 Embedded; indicaremos as trampas SNMP máis populares:

   nome 

   Descrición

   Interface desconectada

   Desactivando a interface

   VLAN eliminada

   Eliminando Vlans

   Alta utilización de memoria

   Alta utilización de RAM

   Espazo de disco baixo

   Non hai espazo suficiente no disco duro

   Alta utilización da CPU

   Alta utilización da CPU

   Alta taxa de interrupcións da CPU

   Alta taxa de interrupción

   Alta taxa de conexión

   Alto fluxo de novas conexións

   Conexións simultáneas altas

   Sesións competitivas de alto nivel

   Alto rendemento do firewall

   Firewall de alto rendemento

   Alta taxa de paquetes aceptados

   Alta taxa de recepción de paquetes

   O estado membro do clúster cambiou

   Cambiando o estado do clúster

   Erro de conexión co servidor de rexistro

   Perdeuse a conexión con Log-Server

4. O funcionamento da súa pasarela require un seguimento da memoria RAM. Para que Gaia (sistema operativo similar a Linux) funcione, isto é situación normalcando o consumo de RAM chega ao 70-80% do uso.

   A arquitectura das solucións SMB non prevé o uso de memoria SWAP, a diferenza dos modelos Check Point máis antigos. Non obstante, nos ficheiros do sistema Linux notouse , que indica a posibilidade teórica de cambiar o parámetro SWAP.

Parte de software

No momento da publicación do artigo actualizado Versión de Gaia - 80.20.10. Debes saber que hai limitacións ao traballar na CLI: algúns comandos de Linux son compatibles no modo Experto. Avaliar o rendemento de NGFW require avaliar o rendemento dos daemons e servizos. Podes atopar máis detalles sobre isto en Artigo meu colega. Veremos posibles comandos para SMB.

Traballando con Gaia OS

1. Explora os modelos de SecureXL

   #fwaccelstat

   

2. Ver o arranque por núcleo

   # fw ctl multik stat

   

3. Ver o número de sesións (conexións).

   # fw ctl pstat

   

4. *Ver o estado do clúster

   #cphaprob stat

   

5. Comando TOP clásico de Linux

Rexistro

Como xa sabes, hai tres formas de traballar cos rexistros de NGFW (almacenamento, procesamento): local, central e na nube. As dúas últimas opcións implican a presenza dunha entidade - Servidor de xestión.

Posibles esquemas de control de NGFW

Os ficheiros de rexistro máis valiosos

1. Mensaxes do sistema (contén menos información que Gaia completa)

   # tail -f /var/log/messages2

   

2. Mensaxes de erro no funcionamento das láminas (un ficheiro bastante útil para solucionar problemas)

   # tail -f /var/log/log/sfwd.elg

   

3. Ver mensaxes do búfer a nivel do núcleo do sistema.

   #dmesg

   

Configuración da lámina

Esta sección non conterá instrucións completas para configurar o teu punto de verificación NGFW; só contén as nosas recomendacións, seleccionadas pola experiencia.

Control de aplicacións / filtrado de URL

• Recoméndase evitar CALQUERA, CALQUERA condición (Fonte, Destino) nas regras.

• Ao especificar un recurso URL personalizado, será máis efectivo usar expresións regulares como: (^|..)checkpoint.com

• Evite o uso excesivo do rexistro de regras e a visualización de páxinas de bloqueo (UserCheck).

• Asegúrese de que a tecnoloxía funciona correctamente "SecureXL". A maior parte do tráfico debería pasar camiño acelerado/medio. Ademais, non esquezas filtrar as regras polas máis utilizadas (campo accesos ).

Inspección HTTPS

Non é ningún segredo que o 70-80% do tráfico de usuarios procede de conexións HTTPS, o que significa que isto require recursos do procesador da súa pasarela. Ademais, HTTPS-Inspection participa no traballo de IPS, Antivirus, Antibot.

A partir da versión 80.40 houbo oportunidade para traballar con regras HTTPS sen Legacy Dashboard, aquí tes algunha orde de regras recomendada:

• Omitir un grupo de enderezos e redes (Destino).

• Omitir un grupo de URL.

• Bypass para IP interna e redes con acceso privilexiado (Fonte).

• Inspeccionar as redes necesarias, usuarios

• Bypass para todos os demais.

* Sempre é mellor seleccionar manualmente os servizos HTTPS ou HTTPS Proxy e deixar Calquera. Rexistra eventos segundo as regras de Inspección.

IPS

É posible que a lámina IPS non instale a política no teu NGFW se se usan demasiadas sinaturas. Dacordo con Artigo de Check Point, a arquitectura do dispositivo SMB non está deseñada para executar o perfil de configuración IPS completo recomendado.

Para resolver ou previr o problema, siga estes pasos:

1. Clona o perfil Optimized chamado "Optimized SMB" (ou outro que elixas).

2. Edita o perfil, vai á sección IPS → Pre R80.Configuración e desactiva as Proteccións do servidor.

   

3. Segundo o teu criterio, podes desactivar CVE anteriores a 2010; estas vulnerabilidades poden atoparse raramente en oficinas pequenas, pero afectan o rendemento. Para desactivar algúns deles, vai a Perfil → IPS → Activación adicional → Proteccións para desactivar a lista

   

En vez de unha conclusión

Como parte dunha serie de artigos sobre a nova xeración de NGFW da familia SMB (1500), tentamos destacar as principais capacidades da solución e demostramos a configuración de compoñentes de seguridade importantes mediante exemplos específicos. Estaremos encantados de responder a calquera dúbida sobre o produto nos comentarios. Quedamos contigo, grazas pola túa atención!

Gran selección de materiais en Check Point de TS Solution. Para non perderte as novas publicacións, segue as novidades nas nosas redes sociais (Telegrama, Facebook, VK, Blog de solucións TS, Yandex Zen).

Fonte: www.habr.com