ProHoster > Blog > uprava > 7. NGFW za mala poduzeća. Izvedba i opće preporuke

7. NGFW za mala poduzeća. Izvedba i opće preporuke

7. NGFW za mala poduzeća. Izvedba i opće preporuke

Došlo je vrijeme da završimo seriju članaka o novoj generaciji SMB Check Pointa (serija 1500). Nadamo se da je ovo bilo korisno iskustvo za vas i da ćete i dalje biti s nama na blogu TS Solution. Tema za završni članak nije široko pokrivena, ali ne manje važna - podešavanje performansi SMB-a. U njemu ćemo raspravljati o mogućnostima konfiguracije hardvera i softvera NGFW-a, opisati dostupne naredbe i metode interakcije.

Svi članci u seriji o NGFW za mala poduzeća:

  1. Nova linija CheckPoint 1500 Security Gateway

  2. Raspakiranje i postavljanje

  3. Bežični prijenos podataka: WiFi i LTE

  4. VPN

  5. Cloud SMP Management

  6. Smart-1 Cloud

Trenutačno nema mnogo izvora informacija o podešavanju performansi za SMB rješenja zbog ograničenja interni OS - Gaia 80.20 Embedded. U našem članku koristit ćemo izgled s centraliziranim upravljanjem (namjenski poslužitelj za upravljanje) - omogućuje vam korištenje više alata pri radu s NGFW.

Hardverski dio

Prije nego što dodirnete obiteljsku arhitekturu Check Point SMB, uvijek možete zamoliti svog partnera da koristi uslužni program Alat za dimenzioniranje uređaja, odabrati optimalno rješenje prema zadanim karakteristikama (propusna moć, očekivani broj korisnika itd.).

Važne napomene pri interakciji s vašim NGFW hardverom

  1. NGFW rješenja SMB obitelji nemaju mogućnost hardverske nadogradnje komponenti sustava (CPU, RAM, HDD); ovisno o modelu, postoji podrška za SD kartice, to vam omogućuje proširenje kapaciteta diska, ali ne značajno.

  2. Rad mrežnih sučelja zahtijeva kontrolu. Gaia 80.20 Embedded nema mnogo alata za nadzor, ali uvijek možete koristiti dobro poznatu naredbu u CLI-ju putem Stručnog načina rada 

    # ifconfig

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

    Obratite pozornost na podcrtane linije, one će vam omogućiti procjenu broja pogrešaka na sučelju. Preporučljivo je provjeriti ove parametre tijekom početne implementacije vašeg NGFW-a, kao i povremeno tijekom rada.

  3. Za punopravnu Gaju postoji naredba:

    >pokaži dijag

    Uz njegovu pomoć moguće je dobiti informacije o temperaturi hardvera. Nažalost, ova opcija nije dostupna u 80.20 Embedded; navest ćemo najpopularnije SNMP zamke:

    ime 

    Opis

    Sučelje prekinuto

    Onemogućavanje sučelja

    VLAN uklonjen

    Uklanjanje Vlanova

    Visoka iskoristivost memorije

    Visoka iskorištenost RAM-a

    Malo prostora na disku

    Nema dovoljno prostora na HDD-u

    Visoka iskoristivost procesora

    Visoka iskoristivost procesora

    Visoka stopa CPU prekida

    Visoka stopa prekida

    Visoka stopa veze

    Veliki protok novih priključaka

    Visoke istodobne veze

    Visoka razina natjecateljskih sesija

    Visoka propusnost vatrozida

    Vatrozid visoke propusnosti

    Visoka brzina prihvaćenih paketa

    Visoka stopa prijema paketa

    Država članica klastera je promijenjena

    Promjena stanja klastera

    Veza s pogreškom poslužitelja zapisa

    Izgubljena veza s Log-Serverom

  4. Rad vašeg pristupnika zahtijeva nadzor RAM-a. Da bi Gaia (OS sličan Linuxu) radio, ovo je normalna situacijakada potrošnja RAM-a dosegne 70-80% korištenja.

    Arhitektura SMB rješenja ne predviđa korištenje SWAP memorije, za razliku od starijih Check Point modela. Međutim, u sistemskim datotekama Linuxa to je primijećeno , što ukazuje na teoretsku mogućnost promjene SWAP parametra.

Softverski dio

U trenutku objave članka stvarni Gaia verzija - 80.20.10. Morate znati da postoje ograničenja pri radu u CLI-ju: neke Linux naredbe podržane su u Stručnom načinu rada. Procjena izvedbe NGFW-a zahtijeva procjenu izvedbe demona i usluga, više detalja o tome možete pronaći u članak moj kolega. Pogledat ćemo moguće naredbe za SMB.

Rad s Gaia OS-om

  1. Pregledajte SecureXL predloške

    #fwaccelstat

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  2. Pregledajte pokretanje po jezgri

    # fw ctl multik stat

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  3. Pregledajte broj sesija (veza).

    # fw ctl pstat

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  4. * Pregled statusa klastera

    #cphaprob stat

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  5. Klasična Linux TOP naredba

Sječa drva

Kao što već znate, postoje tri načina rada s NGFW zapisnicima (pohrana, obrada): lokalno, centralno i u oblaku. Posljednje dvije opcije podrazumijevaju prisutnost entiteta - Management Server.

Moguće sheme kontrole NGFW7. NGFW za mala poduzeća. Izvedba i opće preporuke

Najvrjednije datoteke dnevnika

  1. Poruke sustava (sadrži manje informacija od pune Gaie)

    # rep -f /var/log/messages2

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  2. Poruke o pogrešci u radu oštrica (prilično korisna datoteka pri rješavanju problema)

    # rep -f /var/log/log/sfwd.elg

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  3. Pregledajte poruke iz međuspremnika na razini jezgre sustava.

    #dmesg

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

Konfiguracija oštrice

Ovaj odjeljak neće sadržavati potpune upute za postavljanje vaše NGFW kontrolne točke; sadrži samo naše preporuke, odabrane na temelju iskustva.

Kontrola aplikacije / URL filtriranje

  • Preporuča se izbjegavanje BILO KOJIH uvjeta (izvor, odredište) u pravilima.

  • Prilikom navođenja resursa prilagođenog URL-a, bit će učinkovitije koristiti regularne izraze kao što su: (^|..)checkpoint.com

  • Izbjegavajte pretjerano korištenje zapisivanja pravila i prikaza blokirajućih stranica (UserCheck).

  • Provjerite radi li tehnologija ispravno "SecureXL". Većina prometa trebala bi proći ubrzani/srednji put. Također, ne zaboravite filtrirati pravila prema onima koja se najčešće koriste (polje Posjeta ).

HTTPS-Inspekcija

Nije tajna da 70-80% korisničkog prometa dolazi preko HTTPS veza, što znači da to zahtijeva resurse vašeg procesora pristupnika. Osim toga, HTTPS-inspekcija sudjeluje u radu IPS-a, Antivirusa, Antibota.

Počevši od verzije 80.40 bilo je prilika za rad s HTTPS pravilima bez naslijeđene nadzorne ploče, evo nekih preporučenih redoslijeda pravila:

  • Premosnica za grupu adresa i mreža (Destination).

  • Premosnica za grupu URL-ova.

  • Premosnica za interni IP i mreže s povlaštenim pristupom (izvor).

  • Pregledajte potrebne mreže, korisnike

  • Zaobilaznica za sve ostale.

* Uvijek je bolje ručno odabrati HTTPS ili HTTPS proxy usluge i ostaviti Bilo koje. Bilježite događaje prema pravilima pregleda.

IPS

IPS blade možda neće uspjeti instalirati politiku na vaš NGFW ako se koristi previše potpisa. Prema članak od Check Pointa, arhitektura SMB uređaja nije dizajnirana za pokretanje punog preporučenog IPS konfiguracijskog profila.

Da biste riješili ili spriječili problem, slijedite ove korake:

  1. Klonirajte optimizirani profil pod nazivom “Optimizirani SMB” (ili neki drugi po vašem izboru).

  2. Uredite profil, idite na odjeljak IPS → Pre R80.Settings i isključite Server Protections.

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

  3. Prema vlastitom nahođenju, možete onemogućiti CVE-ove starije od 2010. Ove se ranjivosti mogu rijetko naći u malim uredima, ali utječu na performanse. Da biste onemogućili neke od njih, idite na Profil→IPS→Dodatna aktivacija→Popis zaštite za deaktivaciju

    7. NGFW za mala poduzeća. Izvedba i opće preporuke

Umjesto zaključka

U sklopu serije članaka o novoj generaciji NGFW-a SMB obitelji (1500) pokušali smo istaknuti glavne mogućnosti rješenja i na konkretnim primjerima demonstrirali konfiguraciju važnih sigurnosnih komponenti. Rado ćemo odgovoriti na sva pitanja o proizvodu u komentarima. Ostajemo s vama, hvala na pažnji!

Veliki izbor materijala na Check Pointu tvrtke TS Solution. Kako ne biste propustili nove publikacije, pratite ažuriranja na našim društvenim mrežama (TelegramFacebookVKBlog o TS rješenjimaYandex Zen).

Izvor: www.habr.com

Dodajte komentar