7. NGFW kisvállalkozások számára. Teljesítmény és általános ajánlások

Eljött az idő, hogy befejezzük az SMB Check Point új generációjáról szóló cikksorozatot (1500-as sorozat). Reméljük, hogy ez hasznos élmény volt számodra, és továbbra is velünk leszel a TS Solution blogon. Az utolsó cikk témája nem terjedt el széles körben, de nem kevésbé fontos – az SMB teljesítményhangolása. Ebben megvitatjuk az NGFW hardverének és szoftverének konfigurációs lehetőségeit, ismertetjük az elérhető parancsokat és interakciós módszereket.

Az NGFW kisvállalkozásoknak szóló sorozat összes cikke:

1. Új CheckPoint 1500 biztonsági átjáróvonal

2. Kicsomagolás és beállítás

3. Vezeték nélküli adatátvitel: WiFi és LTE

4. VPN

5. Felhő SMP-kezelés

6. Smart-1 felhő

Jelenleg nem sok információforrás áll rendelkezésre az SMB-megoldások teljesítményhangolásáról korlátozások belső operációs rendszer – Gaia 80.20 Embedded. Cikkünkben egy központi felügyelettel rendelkező elrendezést fogunk használni (dedikált Management Server) - ez lehetővé teszi több eszköz használatát az NGFW-vel való munka során.

A hardver rész

Mielőtt megérintené a Check Point SMB család architektúráját, bármikor megkérheti partnerét a segédprogram használatára Készülék méretező eszköz, a megadott jellemzők (áteresztőképesség, várható felhasználók száma stb.) szerinti optimális megoldás kiválasztásához.

Fontos megjegyzések az NGFW hardverrel való interakció során

1. Az SMB család NGFW megoldásai nem képesek a rendszerelemek (CPU, RAM, HDD) hardveres frissítésére, típustól függően SD kártyák támogatása van, ez lehetővé teszi a lemezkapacitás bővítését, de nem jelentősen.

2. A hálózati interfészek működése ellenőrzést igényel. A Gaia 80.20 Embedded nem rendelkezik sok megfigyelő eszközzel, de mindig használhatja a jól ismert parancsot a CLI-ben Expert módban 

   #ifconfig

   

   Ügyeljen az aláhúzott vonalakra, ezek segítségével megbecsülheti a felületen előforduló hibák számát. Erősen ajánlott ezeket a paramétereket ellenőrizni az NGFW kezdeti megvalósítása során, valamint időszakonként az üzemeltetés során.

3. Egy teljes értékű Gaia számára van egy parancs:

   >diag megjelenítése

   Segítségével információt lehet szerezni a hardver hőmérsékletéről. Sajnos ez a lehetőség nem érhető el a 80.20 Embedded verzióban; a legnépszerűbb SNMP csapdákat fogjuk jelezni:

   Név 

   Leírás

   Az interfész megszakadt

   Az interfész letiltása

   VLAN eltávolítva

   Vlanok eltávolítása

   Magas memória kihasználtság

   Magas RAM kihasználtság

   Kevés lemezterület

   Nincs elég hely a merevlemezen

   Magas CPU kihasználtság

   Magas CPU kihasználtság

   Magas CPU megszakítási arány

   Magas megszakítási arány

   Magas csatlakozási sebesség

   Az új kapcsolatok nagy áramlása

   Magas egyidejű kapcsolatok

   Magas szintű versenyes foglalkozások

   Magas tűzfal átviteli sebesség

   Nagy áteresztőképességű tűzfal

   Magas elfogadott csomagsebesség

   Magas csomagfogadási arány

   A klaszter tagállama megváltozott

   A klaszter állapotának megváltoztatása

   Hiba a kapcsolat naplószerverrel

   Megszakadt a kapcsolat a Log-Serverrel

4. Az átjáró működéséhez RAM-felügyelet szükséges. A Gaia (Linux-szerű operációs rendszer) működéséhez ez az normális helyzetamikor a RAM-fogyasztás eléri a használat 70-80%-át.

   Az SMB-megoldások architektúrája nem biztosítja a SWAP memória használatát, ellentétben a régebbi Check Point modellekkel. A Linux rendszerfájlokban azonban észrevették , amely a SWAP paraméter megváltoztatásának elméleti lehetőségét jelzi.

Szoftver rész

A cikk megjelenésekor naprakész Gaia verzió - 80.20.10. Tudnia kell, hogy a CLI-vel végzett munka során korlátozások vannak: egyes Linux-parancsok Expert módban támogatottak. Az NGFW teljesítményének értékeléséhez szükség van a démonok és szolgáltatások teljesítményének felmérésére, erről bővebben itt olvashat. cikk a kollégám. Megvizsgáljuk az SMB lehetséges parancsait.

Gaia operációs rendszerrel való munka

1. Böngésszen a SecureXL sablonok között

   #fwaccelstat

   

2. Boot megtekintése mag szerint

   # fw ctl multik stat

   

3. A munkamenetek (kapcsolatok) számának megtekintése.

   # fw ctl pstat

   

4. *A fürt állapotának megtekintése

   #cphaprob stat

   

5. Klasszikus Linux TOP parancs

Fakitermelés

Mint már tudja, háromféleképpen dolgozhat az NGFW-naplókkal (tárolás, feldolgozás): lokálisan, központilag és felhőben. Az utolsó két lehetőség egy entitás – Management Server – jelenlétét jelenti.

Lehetséges NGFW szabályozási sémák

A legértékesebb naplófájlok

1. Rendszerüzenetek (kevesebb információt tartalmaz, mint a teljes Gaia)

   # tail -f /var/log/messages2

   

2. Hibaüzenetek a pengék működésében (elég hasznos fájl a problémák hibaelhárításához)

   # tail -f /var/log/log/sfwd.elg

   

3. Üzenetek megtekintése a pufferből a rendszermag szintjén.

   #dmesg

   

Penge konfiguráció

Ez a rész nem tartalmazza az NGFW Check Point beállítására vonatkozó teljes útmutatást, csak a tapasztalat alapján kiválasztott ajánlásainkat tartalmazza.

Alkalmazásvezérlés / URL-szűrés

• A szabályokban BÁRMILYEN, BÁRMELY (Source, Destination) feltételt javasolt kerülni.

• Egyéni URL-erőforrás megadásakor hatékonyabb a reguláris kifejezések használata, például: (^|..)checkpoint.com

• Kerülje a szabálynaplózás túlzott használatát és a blokkoló oldalak megjelenítését (UserCheck).

• Győződjön meg arról, hogy a technológia megfelelően működik "SecureXL". A forgalom nagy részének át kell mennie gyorsított/közepes út. Ne felejtse el szűrni a szabályokat a leggyakrabban használt szabályok szerint (mező Találat ).

HTTPS-ellenőrzés

Nem titok, hogy a felhasználói forgalom 70-80%-a HTTPS-kapcsolatokból származik, ami azt jelenti, hogy ehhez erőforrásokra van szükség az átjáró processzorától. Ezen kívül a HTTPS-Inspection részt vesz az IPS, Antivirus, Antibot munkájában.

A 80.40-es verziótól kezdve volt alkalom Ha szeretne HTTPS-szabályokkal dolgozni a Legacy Dashboard nélkül, íme néhány ajánlott szabálysorrend:

• Címek és hálózatok csoportjának megkerülése (Cél).

• URL-ek csoportjának megkerülése.

• Belső IP és hálózatok kiiktatása privilegizált hozzáféréssel (forrás).

• Vizsgálja meg a szükséges hálózatokat, felhasználókat

• Kitérő mindenki másnak.

* Mindig jobb manuálisan kiválasztani a HTTPS vagy HTTPS Proxy szolgáltatásokat, és elhagyni a Bármelyiket. Az események naplózása az Inspect szabályok szerint.

IPS

Előfordulhat, hogy az IPS blade nem telepíti a házirendet az NGFW-re, ha túl sok aláírást használ. Alapján cikk A Check Pointból az SMB-eszköz architektúráját nem úgy tervezték, hogy a teljes ajánlott IPS-konfigurációs profilt futtassa.

A probléma megoldásához vagy megelőzéséhez kövesse az alábbi lépéseket:

1. Klónozza az „Optimalizált SMB” nevű optimalizált profilt (vagy egy másikat, amelyet választott).

2. Szerkessze a profilt, lépjen az IPS → Pre R80.Settings részre, és kapcsolja ki a Kiszolgálóvédelmet.

   

3. Saját belátása szerint letilthatja a 2010-nél régebbi CVE-ket, ezek a biztonsági rések ritkán találhatók kis irodákban, de hatással vannak a teljesítményre. Néhányuknak letiltásához lépjen a Profil→IPS→További aktiválás→Védelmek deaktiválásához.

   

Ahelyett, hogy egy következtetés

Az SMB család új generációs NGFW-jéről (1500) szóló cikksorozat részeként igyekeztünk rávilágítani a megoldás főbb képességeire, és konkrét példákon keresztül bemutattuk a fontos biztonsági komponensek konfigurációját. A termékkel kapcsolatos kérdésekre kommentben szívesen válaszolunk. Veletek maradunk, köszönjük a figyelmet!

Anyagok nagy választéka a Check Pointon a TS Solution-tól. Hogy ne maradjon le az új kiadványokról, kövesse a frissítéseket közösségi oldalainkon (Telegram, Facebook, VK, TS Solution Blog, Yandex Zen).

Forrás: will.com