7. NGFW փոքր բիզնեսի համար: Կատարողականություն և ընդհանուր առաջարկություններ

Եկել է ժամանակը լրացնել SMB Check Point-ի նոր սերնդի մասին հոդվածների շարքը (1500 սերիա): Հուսով ենք, որ սա ձեզ համար օգտակար փորձ էր, և դուք կշարունակեք լինել մեզ հետ TS Solution բլոգում: Վերջնական հոդվածի թեման լայնորեն լուսաբանված չէ, բայց ոչ պակաս կարևոր՝ SMB-ի կատարողականի թյունինգ: Դրանում մենք կքննարկենք NGFW-ի ապարատային և ծրագրային ապահովման կազմաձևման տարբերակները, նկարագրենք առկա հրամաններն ու փոխազդեցության մեթոդները:

Փոքր բիզնեսի համար NGFW-ի մասին շարքի բոլոր հոդվածները.

1. Նոր CheckPoint 1500 Security Gateway Line

2. Unboxing եւ Setup

3. Անլար տվյալների փոխանցում՝ WiFi և LTE

4. VPN

5. Cloud SMP կառավարում

6. Smart-1 Cloud

Ներկայումս SMB լուծումների կատարողականի թյունինգի մասին տեղեկատվության շատ աղբյուրներ չկան սահմանափակումներ ներքին ՕՀ - Gaia 80.20 Ներկառուցված: Մեր հոդվածում մենք կօգտագործենք դասավորություն կենտրոնացված կառավարմամբ (նվիրված կառավարման սերվեր) - այն թույլ է տալիս ավելի շատ գործիքներ օգտագործել NGFW-ի հետ աշխատելիս:

Ապարատային

Նախքան Check Point SMB ընտանիքի ճարտարապետությանը դիպչելը, դուք միշտ կարող եք ձեր գործընկերոջը խնդրել օգտագործել կոմունալ ծրագիրը Սարքի չափման գործիք, ըստ սահմանված բնութագրերի (թողունակություն, օգտագործողների ակնկալվող քանակ և այլն) ընտրել օպտիմալ լուծում։

Կարևոր նշումներ ձեր NGFW սարքավորման հետ շփվելիս

1. SMB ընտանիքի NGFW լուծումները հնարավորություն չունեն արդիականացնել համակարգի բաղադրիչները (CPU, RAM, HDD); կախված մոդելից, կա SD քարտերի աջակցություն, սա թույլ է տալիս ընդլայնել սկավառակի հզորությունը, բայց ոչ էապես:

2. Ցանցային ինտերֆեյսների շահագործումը պահանջում է վերահսկողություն: Gaia 80.20 Embedded-ը չունի մոնիտորինգի շատ գործիքներ, բայց դուք միշտ կարող եք օգտագործել հայտնի հրամանը CLI-ում Expert ռեժիմի միջոցով: 

   # ifconfig

   

   Ուշադրություն դարձրեք ընդգծված տողերին, դրանք թույլ կտան գնահատել ինտերֆեյսի սխալների քանակը։ Խստորեն խորհուրդ է տրվում ստուգել այս պարամետրերը ձեր NGFW-ի սկզբնական իրականացման ընթացքում, ինչպես նաև պարբերաբար շահագործման ընթացքում:

3. Լիարժեք Գայայի համար կա հրաման.

   > ցույց տալ դիագը

   Նրա օգնությամբ հնարավոր է տեղեկատվություն ստանալ սարքաշարի ջերմաստիճանի մասին։ Ցավոք, այս տարբերակը հասանելի չէ 80.20 Embedded-ում, մենք կնշենք SNMP-ի ամենատարածված թակարդները.

   Անվանում 

   Նկարագրություն

   Ինտերֆեյսն անջատված է

   Ինտերֆեյսի անջատում

   VLAN-ը հեռացվեց

   Վլանների հեռացում

   Հիշողության բարձր օգտագործում

   RAM-ի բարձր օգտագործում

   Սկավառակի ցածր տարածություն

   HDD-ի բավարար տարածք չկա

   Պրոցեսորի բարձր օգտագործում

   CPU-ի բարձր օգտագործում

   CPU-ի ընդհատումների բարձր արագություն

   Ընդհատման բարձր արագություն

   Միացման բարձր մակարդակ

   Նոր կապերի բարձր հոսք

   Բարձր միաժամանակյա կապեր

   Մրցակցային նիստերի բարձր մակարդակ

   Firewall-ի բարձր թողունակություն

   Բարձր թողունակությամբ Firewall

   Բարձր ընդունված փաթեթի տոկոսադրույքը

   Փաթեթների ընդունման բարձր մակարդակ

   Կլաստերի անդամ երկիրը փոխվել է

   Կլաստերային վիճակի փոփոխություն

   Մատյան սերվերի հետ կապի սխալ

   Կորցրել է կապը Log-Server-ի հետ

4. Ձեր դարպասի շահագործումը պահանջում է RAM-ի մոնիտորինգ: Որպեսզի Gaia-ն (Linux-ի նման ՕՀ) աշխատի, սա է նորմալ վիճակերբ RAM-ի սպառումը հասնում է օգտագործման 70-80%-ի:

   SMB լուծումների ճարտարապետությունը չի նախատեսում SWAP հիշողության օգտագործումը, ի տարբերություն ավելի հին Check Point մոդելների: Սակայն Linux համակարգի ֆայլերում դա նկատվել է , որը ցույց է տալիս SWAP պարամետրը փոխելու տեսական հնարավորությունը։

Ծրագրային մաս

Հոդվածի հրապարակման պահին ընթացիկ Gaia տարբերակ - 80.20.10. Դուք պետք է իմանաք, որ CLI-ում աշխատելիս կան սահմանափակումներ. Linux-ի որոշ հրամաններ աջակցվում են Expert ռեժիմում: NGFW-ի կատարողականի գնահատումը պահանջում է գնահատել դևերի և ծառայությունների կատարումը, այս մասին ավելի շատ մանրամասներ կարելի է գտնել այստեղ Հոդված Իմ գործընկեր. Մենք կդիտարկենք SMB-ի հնարավոր հրամանները:

Աշխատում է Gaia OS-ի հետ

1. Զննեք SecureXL ձևանմուշները

   #fwaccelstat

   

2. Դիտեք բեռնախցիկը առանցքային

   # fw ctl multik stat

   

3. Դիտեք նիստերի քանակը (միացումներ):

   # fw ctl pstat

   

4. * Դիտեք կլաստերի կարգավիճակը

   #cphaprob վիճակագրություն

   

5. Դասական Linux TOP հրաման

անտառահատումներ

Ինչպես արդեն գիտեք, NGFW տեղեկամատյանների հետ աշխատելու երեք եղանակ կա (պահեստավորում, մշակում)՝ տեղական, կենտրոնական և ամպի մեջ: Վերջին երկու տարբերակները ենթադրում են սուբյեկտի առկայություն՝ Management Server:

NGFW կառավարման հնարավոր սխեմաներ

Ամենաթանկարժեք մատյան ֆայլերը

1. Համակարգային հաղորդագրություններ (պարունակում է ավելի քիչ տեղեկատվություն, քան ամբողջական Gaia-ն)

   # tail -f /var/log/messages2

   

2. Սխալների հաղորդագրություններ շեղբերների շահագործման մեջ (բավականին օգտակար ֆայլ խնդիրների լուծման ժամանակ)

   # tail -f /var/log/log/sfwd.elg

   

3. Դիտեք հաղորդագրությունները բուֆերից համակարգի միջուկի մակարդակով:

   #dmesg

   

Սայրի կոնֆիգուրացիա

Այս բաժինը չի պարունակի ձեր NGFW Check Point-ը կարգավորելու ամբողջական հրահանգներ, այն պարունակում է միայն մեր առաջարկությունները՝ ընտրված փորձով:

Հավելվածի վերահսկում / URL-ի զտում

• Կանոններում խորհուրդ է տրվում խուսափել ՑԱՆԿԱՑԱԾ, ՑԱՆԿԱՑԱԾ (Աղբյուր, նպատակակետ) պայմաններից:

• Հատուկ URL ռեսուրս նշելիս ավելի արդյունավետ կլինի օգտագործել սովորական արտահայտություններ, ինչպիսիք են. (^|..)checkpoint.com

• Խուսափեք կանոնների գրանցման և արգելափակող էջերի ցուցադրման ավելորդ օգտագործումից (UserCheck):

• Համոզվեք, որ տեխնոլոգիան ճիշտ է աշխատում «SecureXL». Երթևեկության մեծ մասը պետք է անցնի արագացված/միջին ուղի. Նաև մի մոռացեք զտել կանոններն ըստ առավել օգտագործվողների (դաշտ հիթեր ).

HTTPS- Ստուգում

Գաղտնիք չէ, որ օգտատերերի տրաֆիկի 70-80%-ը գալիս է HTTPS կապերից, ինչը նշանակում է, որ դրա համար անհրաժեշտ են ռեսուրսներ ձեր gateway պրոցեսորից: Բացի այդ, HTTPS-Inspection-ը մասնակցում է IPS, Antivirus, Antibot-ի աշխատանքին։

80.40 տարբերակից սկսած կար առիթ HTTPS կանոնների հետ աշխատելու համար առանց Legacy Dashboard-ի, ահա որոշ առաջարկվող կանոնների կարգ.

• Շրջանցում հասցեների և ցանցերի խմբի համար (Destination):

• Շրջանցում URL-ների խմբի համար:

• Ներքին IP-ի և արտոնյալ մուտքով ցանցերի շրջանցում (Աղբյուր):

• Ստուգեք պահանջվող ցանցերի, օգտագործողների համար

• Շրջանցում մնացած բոլորի համար:

* Միշտ ավելի լավ է ձեռքով ընտրել HTTPS կամ HTTPS վստահված անձի ծառայությունները և թողնել Any-ը: Գրանցեք իրադարձությունները՝ համաձայն Ստուգման կանոնների:

IPS

IPS blade-ը կարող է չտեղադրել քաղաքականությունը ձեր NGFW-ի վրա, եթե չափազանց շատ ստորագրություններ օգտագործվեն: Համաձայն Հոդված Check Point-ից SMB սարքի ճարտարապետությունը նախատեսված չէ գործարկելու առաջարկվող IPS կազմաձևման ամբողջական պրոֆիլը:

Խնդիրը լուծելու կամ կանխելու համար հետևեք հետևյալ քայլերին.

1. Կլոնավորեք օպտիմիզացված պրոֆիլը, որը կոչվում է «Օպտիմիզացված SMB» (կամ ձեր ընտրությամբ մեկ այլ):

2. Խմբագրեք պրոֆիլը, անցեք IPS → Pre R80.Settings բաժին և անջատեք Server Protections-ը։

   

3. Ձեր հայեցողությամբ կարող եք անջատել 2010 թվականից հին CVE-ները, այս խոցելիությունները կարող են հազվադեպ հանդիպել փոքր գրասենյակներում, բայց ազդում են աշխատանքի վրա: Դրանցից մի քանիսը անջատելու համար անցեք Պրոֆիլ→IPS→Լրացուցիչ ակտիվացում→Պաշտպանություններ՝ ցանկն անջատելու համար:

   

Փոխարենը մի եզրակացության

Որպես SMB ընտանիքի նոր սերնդի NGFW (1500) մասին հոդվածների շարքի մաս, մենք փորձեցինք ընդգծել լուծման հիմնական հնարավորությունները և ցուցադրեցինք անվտանգության կարևոր բաղադրիչների կազմաձևումը հատուկ օրինակներով: Մենք ուրախ կլինենք պատասխանել մեկնաբանություններում ապրանքի վերաբերյալ ցանկացած հարցի: Մենք մնում ենք ձեզ հետ, շնորհակալություն ուշադրության համար:

Նյութերի մեծ ընտրություն Check Point-ի վրա TS Solution-ից. Նոր հրապարակումները բաց չթողնելու համար հետևեք մեր սոցիալական ցանցերի թարմացումներին (Telegram, facebook, VK, TS Solution բլոգ, Յանդեքս Զեն).

Source: www.habr.com