7. NGFW kisvállalkozások számára. Teljesítmény és általános ajánlások
Eljött az idő, hogy befejezzük az SMB Check Point új generációjáról szóló cikksorozatot (1500-as sorozat). Reméljük, hogy ez hasznos élmény volt számodra, és továbbra is velünk leszel a TS Solution blogon. Az utolsó cikk témája nem terjedt el széles körben, de nem kevésbé fontos – az SMB teljesítményhangolása. Ebben megvitatjuk az NGFW hardverének és szoftverének konfigurációs lehetőségeit, ismertetjük az elérhető parancsokat és interakciós módszereket.
Az NGFW kisvállalkozásoknak szóló sorozat összes cikke:
Jelenleg nem sok információforrás áll rendelkezésre az SMB-megoldások teljesítményhangolásáról korlátozások belső operációs rendszer – Gaia 80.20 Embedded. Cikkünkben egy központi felügyelettel rendelkező elrendezést fogunk használni (dedikált Management Server) - ez lehetővé teszi több eszköz használatát az NGFW-vel való munka során.
A hardver rész
Mielőtt megérintené a Check Point SMB család architektúráját, bármikor megkérheti partnerét a segédprogram használatára Készülék méretező eszköz, a megadott jellemzők (áteresztőképesség, várható felhasználók száma stb.) szerinti optimális megoldás kiválasztásához.
Fontos megjegyzések az NGFW hardverrel való interakció során
Az SMB család NGFW megoldásai nem képesek a rendszerelemek (CPU, RAM, HDD) hardveres frissítésére, típustól függően SD kártyák támogatása van, ez lehetővé teszi a lemezkapacitás bővítését, de nem jelentősen.
A hálózati interfészek működése ellenőrzést igényel. A Gaia 80.20 Embedded nem rendelkezik sok megfigyelő eszközzel, de mindig használhatja a jól ismert parancsot a CLI-ben Expert módban
#ifconfig
Ügyeljen az aláhúzott vonalakra, ezek segítségével megbecsülheti a felületen előforduló hibák számát. Erősen ajánlott ezeket a paramétereket ellenőrizni az NGFW kezdeti megvalósítása során, valamint időszakonként az üzemeltetés során.
Egy teljes értékű Gaia számára van egy parancs:
>diag megjelenítése
Segítségével információt lehet szerezni a hardver hőmérsékletéről. Sajnos ez a lehetőség nem érhető el a 80.20 Embedded verzióban; a legnépszerűbb SNMP csapdákat fogjuk jelezni:
Név
Leírás
Az interfész megszakadt
Az interfész letiltása
VLAN eltávolítva
Vlanok eltávolítása
Magas memória kihasználtság
Magas RAM kihasználtság
Kevés lemezterület
Nincs elég hely a merevlemezen
Magas CPU kihasználtság
Magas CPU kihasználtság
Magas CPU megszakítási arány
Magas megszakítási arány
Magas csatlakozási sebesség
Az új kapcsolatok nagy áramlása
Magas egyidejű kapcsolatok
Magas szintű versenyes foglalkozások
Magas tűzfal átviteli sebesség
Nagy áteresztőképességű tűzfal
Magas elfogadott csomagsebesség
Magas csomagfogadási arány
A klaszter tagállama megváltozott
A klaszter állapotának megváltoztatása
Hiba a kapcsolat naplószerverrel
Megszakadt a kapcsolat a Log-Serverrel
Az átjáró működéséhez RAM-felügyelet szükséges. A Gaia (Linux-szerű operációs rendszer) működéséhez ez az normális helyzetamikor a RAM-fogyasztás eléri a használat 70-80%-át.
Az SMB-megoldások architektúrája nem biztosítja a SWAP memória használatát, ellentétben a régebbi Check Point modellekkel. A Linux rendszerfájlokban azonban észrevették , amely a SWAP paraméter megváltoztatásának elméleti lehetőségét jelzi.
Szoftver rész
A cikk megjelenésekor naprakész Gaia verzió - 80.20.10. Tudnia kell, hogy a CLI-vel végzett munka során korlátozások vannak: egyes Linux-parancsok Expert módban támogatottak. Az NGFW teljesítményének értékeléséhez szükség van a démonok és szolgáltatások teljesítményének felmérésére, erről bővebben itt olvashat. cikk a kollégám. Megvizsgáljuk az SMB lehetséges parancsait.
Gaia operációs rendszerrel való munka
Böngésszen a SecureXL sablonok között
#fwaccelstat
Boot megtekintése mag szerint
# fw ctl multik stat
A munkamenetek (kapcsolatok) számának megtekintése.
# fw ctl pstat
*A fürt állapotának megtekintése
#cphaprob stat
Klasszikus Linux TOP parancs
Fakitermelés
Mint már tudja, háromféleképpen dolgozhat az NGFW-naplókkal (tárolás, feldolgozás): lokálisan, központilag és felhőben. Az utolsó két lehetőség egy entitás – Management Server – jelenlétét jelenti.
Lehetséges NGFW szabályozási sémák
A legértékesebb naplófájlok
Rendszerüzenetek (kevesebb információt tartalmaz, mint a teljes Gaia)
# tail -f /var/log/messages2
Hibaüzenetek a pengék működésében (elég hasznos fájl a problémák hibaelhárításához)
# tail -f /var/log/log/sfwd.elg
Üzenetek megtekintése a pufferből a rendszermag szintjén.
#dmesg
Penge konfiguráció
Ez a rész nem tartalmazza az NGFW Check Point beállítására vonatkozó teljes útmutatást, csak a tapasztalat alapján kiválasztott ajánlásainkat tartalmazza.
Alkalmazásvezérlés / URL-szűrés
A szabályokban BÁRMILYEN, BÁRMELY (Source, Destination) feltételt javasolt kerülni.
Egyéni URL-erőforrás megadásakor hatékonyabb a reguláris kifejezések használata, például: (^|..)checkpoint.com
Kerülje a szabálynaplózás túlzott használatát és a blokkoló oldalak megjelenítését (UserCheck).
Győződjön meg arról, hogy a technológia megfelelően működik "SecureXL". A forgalom nagy részének át kell mennie gyorsított/közepes út. Ne felejtse el szűrni a szabályokat a leggyakrabban használt szabályok szerint (mező Találat ).
HTTPS-ellenőrzés
Nem titok, hogy a felhasználói forgalom 70-80%-a HTTPS-kapcsolatokból származik, ami azt jelenti, hogy ehhez erőforrásokra van szükség az átjáró processzorától. Ezen kívül a HTTPS-Inspection részt vesz az IPS, Antivirus, Antibot munkájában.
A 80.40-es verziótól kezdve volt alkalom Ha szeretne HTTPS-szabályokkal dolgozni a Legacy Dashboard nélkül, íme néhány ajánlott szabálysorrend:
Címek és hálózatok csoportjának megkerülése (Cél).
URL-ek csoportjának megkerülése.
Belső IP és hálózatok kiiktatása privilegizált hozzáféréssel (forrás).
Vizsgálja meg a szükséges hálózatokat, felhasználókat
Kitérő mindenki másnak.
* Mindig jobb manuálisan kiválasztani a HTTPS vagy HTTPS Proxy szolgáltatásokat, és elhagyni a Bármelyiket. Az események naplózása az Inspect szabályok szerint.
IPS
Előfordulhat, hogy az IPS blade nem telepíti a házirendet az NGFW-re, ha túl sok aláírást használ. Alapján cikk A Check Pointból az SMB-eszköz architektúráját nem úgy tervezték, hogy a teljes ajánlott IPS-konfigurációs profilt futtassa.
A probléma megoldásához vagy megelőzéséhez kövesse az alábbi lépéseket:
Klónozza az „Optimalizált SMB” nevű optimalizált profilt (vagy egy másikat, amelyet választott).
Szerkessze a profilt, lépjen az IPS → Pre R80.Settings részre, és kapcsolja ki a Kiszolgálóvédelmet.
Saját belátása szerint letilthatja a 2010-nél régebbi CVE-ket, ezek a biztonsági rések ritkán találhatók kis irodákban, de hatással vannak a teljesítményre. Néhányuknak letiltásához lépjen a Profil→IPS→További aktiválás→Védelmek deaktiválásához.
Ahelyett, hogy egy következtetés
Az SMB család új generációs NGFW-jéről (1500) szóló cikksorozat részeként igyekeztünk rávilágítani a megoldás főbb képességeire, és konkrét példákon keresztül bemutattuk a fontos biztonsági komponensek konfigurációját. A termékkel kapcsolatos kérdésekre kommentben szívesen válaszolunk. Veletek maradunk, köszönjük a figyelmet!