ProHoster > Blog > uprava > 7. NGFW za mala poduzeća. Izvedba i opće preporuke
7. NGFW za mala poduzeća. Izvedba i opće preporuke
Došlo je vrijeme da završimo seriju članaka o novoj generaciji SMB Check Pointa (serija 1500). Nadamo se da je ovo bilo korisno iskustvo za vas i da ćete i dalje biti s nama na blogu TS Solution. Tema za završni članak nije široko pokrivena, ali ne manje važna - podešavanje performansi SMB-a. U njemu ćemo raspravljati o mogućnostima konfiguracije hardvera i softvera NGFW-a, opisati dostupne naredbe i metode interakcije.
Trenutačno nema mnogo izvora informacija o podešavanju performansi za SMB rješenja zbog ograničenja interni OS - Gaia 80.20 Embedded. U našem članku koristit ćemo izgled s centraliziranim upravljanjem (namjenski poslužitelj za upravljanje) - omogućuje vam korištenje više alata pri radu s NGFW.
Hardverski dio
Prije nego što dodirnete obiteljsku arhitekturu Check Point SMB, uvijek možete zamoliti svog partnera da koristi uslužni program Alat za dimenzioniranje uređaja, odabrati optimalno rješenje prema zadanim karakteristikama (propusna moć, očekivani broj korisnika itd.).
Važne napomene pri interakciji s vašim NGFW hardverom
NGFW rješenja SMB obitelji nemaju mogućnost hardverske nadogradnje komponenti sustava (CPU, RAM, HDD); ovisno o modelu, postoji podrška za SD kartice, to vam omogućuje proširenje kapaciteta diska, ali ne značajno.
Rad mrežnih sučelja zahtijeva kontrolu. Gaia 80.20 Embedded nema mnogo alata za nadzor, ali uvijek možete koristiti dobro poznatu naredbu u CLI-ju putem Stručnog načina rada
# ifconfig
Obratite pozornost na podcrtane linije, one će vam omogućiti procjenu broja pogrešaka na sučelju. Preporučljivo je provjeriti ove parametre tijekom početne implementacije vašeg NGFW-a, kao i povremeno tijekom rada.
Za punopravnu Gaju postoji naredba:
>pokaži dijag
Uz njegovu pomoć moguće je dobiti informacije o temperaturi hardvera. Nažalost, ova opcija nije dostupna u 80.20 Embedded; navest ćemo najpopularnije SNMP zamke:
ime
Opis
Sučelje prekinuto
Onemogućavanje sučelja
VLAN uklonjen
Uklanjanje Vlanova
Visoka iskoristivost memorije
Visoka iskorištenost RAM-a
Malo prostora na disku
Nema dovoljno prostora na HDD-u
Visoka iskoristivost procesora
Visoka iskoristivost procesora
Visoka stopa CPU prekida
Visoka stopa prekida
Visoka stopa veze
Veliki protok novih priključaka
Visoke istodobne veze
Visoka razina natjecateljskih sesija
Visoka propusnost vatrozida
Vatrozid visoke propusnosti
Visoka brzina prihvaćenih paketa
Visoka stopa prijema paketa
Država članica klastera je promijenjena
Promjena stanja klastera
Veza s pogreškom poslužitelja zapisa
Izgubljena veza s Log-Serverom
Rad vašeg pristupnika zahtijeva nadzor RAM-a. Da bi Gaia (OS sličan Linuxu) radio, ovo je normalna situacijakada potrošnja RAM-a dosegne 70-80% korištenja.
Arhitektura SMB rješenja ne predviđa korištenje SWAP memorije, za razliku od starijih Check Point modela. Međutim, u sistemskim datotekama Linuxa to je primijećeno , što ukazuje na teoretsku mogućnost promjene SWAP parametra.
Softverski dio
U trenutku objave članka stvarni Gaia verzija - 80.20.10. Morate znati da postoje ograničenja pri radu u CLI-ju: neke Linux naredbe podržane su u Stručnom načinu rada. Procjena izvedbe NGFW-a zahtijeva procjenu izvedbe demona i usluga, više detalja o tome možete pronaći u članak moj kolega. Pogledat ćemo moguće naredbe za SMB.
Rad s Gaia OS-om
Pregledajte SecureXL predloške
#fwaccelstat
Pregledajte pokretanje po jezgri
# fw ctl multik stat
Pregledajte broj sesija (veza).
# fw ctl pstat
* Pregled statusa klastera
#cphaprob stat
Klasična Linux TOP naredba
Sječa drva
Kao što već znate, postoje tri načina rada s NGFW zapisnicima (pohrana, obrada): lokalno, centralno i u oblaku. Posljednje dvije opcije podrazumijevaju prisutnost entiteta - Management Server.
Moguće sheme kontrole NGFW
Najvrjednije datoteke dnevnika
Poruke sustava (sadrži manje informacija od pune Gaie)
# rep -f /var/log/messages2
Poruke o pogrešci u radu oštrica (prilično korisna datoteka pri rješavanju problema)
# rep -f /var/log/log/sfwd.elg
Pregledajte poruke iz međuspremnika na razini jezgre sustava.
#dmesg
Konfiguracija oštrice
Ovaj odjeljak neće sadržavati potpune upute za postavljanje vaše NGFW kontrolne točke; sadrži samo naše preporuke, odabrane na temelju iskustva.
Kontrola aplikacije / URL filtriranje
Preporuča se izbjegavanje BILO KOJIH uvjeta (izvor, odredište) u pravilima.
Prilikom navođenja resursa prilagođenog URL-a, bit će učinkovitije koristiti regularne izraze kao što su: (^|..)checkpoint.com
Izbjegavajte pretjerano korištenje zapisivanja pravila i prikaza blokirajućih stranica (UserCheck).
Provjerite radi li tehnologija ispravno "SecureXL". Većina prometa trebala bi proći ubrzani/srednji put. Također, ne zaboravite filtrirati pravila prema onima koja se najčešće koriste (polje Posjeta ).
HTTPS-Inspekcija
Nije tajna da 70-80% korisničkog prometa dolazi preko HTTPS veza, što znači da to zahtijeva resurse vašeg procesora pristupnika. Osim toga, HTTPS-inspekcija sudjeluje u radu IPS-a, Antivirusa, Antibota.
Počevši od verzije 80.40 bilo je prilika za rad s HTTPS pravilima bez naslijeđene nadzorne ploče, evo nekih preporučenih redoslijeda pravila:
Premosnica za grupu adresa i mreža (Destination).
Premosnica za grupu URL-ova.
Premosnica za interni IP i mreže s povlaštenim pristupom (izvor).
Pregledajte potrebne mreže, korisnike
Zaobilaznica za sve ostale.
* Uvijek je bolje ručno odabrati HTTPS ili HTTPS proxy usluge i ostaviti Bilo koje. Bilježite događaje prema pravilima pregleda.
IPS
IPS blade možda neće uspjeti instalirati politiku na vaš NGFW ako se koristi previše potpisa. Prema članak od Check Pointa, arhitektura SMB uređaja nije dizajnirana za pokretanje punog preporučenog IPS konfiguracijskog profila.
Da biste riješili ili spriječili problem, slijedite ove korake:
Klonirajte optimizirani profil pod nazivom “Optimizirani SMB” (ili neki drugi po vašem izboru).
Uredite profil, idite na odjeljak IPS → Pre R80.Settings i isključite Server Protections.
Prema vlastitom nahođenju, možete onemogućiti CVE-ove starije od 2010. Ove se ranjivosti mogu rijetko naći u malim uredima, ali utječu na performanse. Da biste onemogućili neke od njih, idite na Profil→IPS→Dodatna aktivacija→Popis zaštite za deaktivaciju
Umjesto zaključka
U sklopu serije članaka o novoj generaciji NGFW-a SMB obitelji (1500) pokušali smo istaknuti glavne mogućnosti rješenja i na konkretnim primjerima demonstrirali konfiguraciju važnih sigurnosnih komponenti. Rado ćemo odgovoriti na sva pitanja o proizvodu u komentarima. Ostajemo s vama, hvala na pažnji!