ProHoster > Օրագիր > Վարչակազմը > 7. NGFW փոքր բիզնեսի համար: Կատարողականություն և ընդհանուր առաջարկություններ
7. NGFW փոքր բիզնեսի համար: Կատարողականություն և ընդհանուր առաջարկություններ
Եկել է ժամանակը լրացնել SMB Check Point-ի նոր սերնդի մասին հոդվածների շարքը (1500 սերիա): Հուսով ենք, որ սա ձեզ համար օգտակար փորձ էր, և դուք կշարունակեք լինել մեզ հետ TS Solution բլոգում: Վերջնական հոդվածի թեման լայնորեն լուսաբանված չէ, բայց ոչ պակաս կարևոր՝ SMB-ի կատարողականի թյունինգ: Դրանում մենք կքննարկենք NGFW-ի ապարատային և ծրագրային ապահովման կազմաձևման տարբերակները, նկարագրենք առկա հրամաններն ու փոխազդեցության մեթոդները:
Փոքր բիզնեսի համար NGFW-ի մասին շարքի բոլոր հոդվածները.
Ներկայումս SMB լուծումների կատարողականի թյունինգի մասին տեղեկատվության շատ աղբյուրներ չկան սահմանափակումներ ներքին ՕՀ - Gaia 80.20 Ներկառուցված: Մեր հոդվածում մենք կօգտագործենք դասավորություն կենտրոնացված կառավարմամբ (նվիրված կառավարման սերվեր) - այն թույլ է տալիս ավելի շատ գործիքներ օգտագործել NGFW-ի հետ աշխատելիս:
Ապարատային
Նախքան Check Point SMB ընտանիքի ճարտարապետությանը դիպչելը, դուք միշտ կարող եք ձեր գործընկերոջը խնդրել օգտագործել կոմունալ ծրագիրը Սարքի չափման գործիք, ըստ սահմանված բնութագրերի (թողունակություն, օգտագործողների ակնկալվող քանակ և այլն) ընտրել օպտիմալ լուծում։
Կարևոր նշումներ ձեր NGFW սարքավորման հետ շփվելիս
SMB ընտանիքի NGFW լուծումները հնարավորություն չունեն արդիականացնել համակարգի բաղադրիչները (CPU, RAM, HDD); կախված մոդելից, կա SD քարտերի աջակցություն, սա թույլ է տալիս ընդլայնել սկավառակի հզորությունը, բայց ոչ էապես:
Ցանցային ինտերֆեյսների շահագործումը պահանջում է վերահսկողություն: Gaia 80.20 Embedded-ը չունի մոնիտորինգի շատ գործիքներ, բայց դուք միշտ կարող եք օգտագործել հայտնի հրամանը CLI-ում Expert ռեժիմի միջոցով:
# ifconfig
Ուշադրություն դարձրեք ընդգծված տողերին, դրանք թույլ կտան գնահատել ինտերֆեյսի սխալների քանակը։ Խստորեն խորհուրդ է տրվում ստուգել այս պարամետրերը ձեր NGFW-ի սկզբնական իրականացման ընթացքում, ինչպես նաև պարբերաբար շահագործման ընթացքում:
Լիարժեք Գայայի համար կա հրաման.
> ցույց տալ դիագը
Նրա օգնությամբ հնարավոր է տեղեկատվություն ստանալ սարքաշարի ջերմաստիճանի մասին։ Ցավոք, այս տարբերակը հասանելի չէ 80.20 Embedded-ում, մենք կնշենք SNMP-ի ամենատարածված թակարդները.
Անվանում
Նկարագրություն
Ինտերֆեյսն անջատված է
Ինտերֆեյսի անջատում
VLAN-ը հեռացվեց
Վլանների հեռացում
Հիշողության բարձր օգտագործում
RAM-ի բարձր օգտագործում
Սկավառակի ցածր տարածություն
HDD-ի բավարար տարածք չկա
Պրոցեսորի բարձր օգտագործում
CPU-ի բարձր օգտագործում
CPU-ի ընդհատումների բարձր արագություն
Ընդհատման բարձր արագություն
Միացման բարձր մակարդակ
Նոր կապերի բարձր հոսք
Բարձր միաժամանակյա կապեր
Մրցակցային նիստերի բարձր մակարդակ
Firewall-ի բարձր թողունակություն
Բարձր թողունակությամբ Firewall
Բարձր ընդունված փաթեթի տոկոսադրույքը
Փաթեթների ընդունման բարձր մակարդակ
Կլաստերի անդամ երկիրը փոխվել է
Կլաստերային վիճակի փոփոխություն
Մատյան սերվերի հետ կապի սխալ
Կորցրել է կապը Log-Server-ի հետ
Ձեր դարպասի շահագործումը պահանջում է RAM-ի մոնիտորինգ: Որպեսզի Gaia-ն (Linux-ի նման ՕՀ) աշխատի, սա է նորմալ վիճակերբ RAM-ի սպառումը հասնում է օգտագործման 70-80%-ի:
SMB լուծումների ճարտարապետությունը չի նախատեսում SWAP հիշողության օգտագործումը, ի տարբերություն ավելի հին Check Point մոդելների: Սակայն Linux համակարգի ֆայլերում դա նկատվել է , որը ցույց է տալիս SWAP պարամետրը փոխելու տեսական հնարավորությունը։
Ծրագրային մաս
Հոդվածի հրապարակման պահին ընթացիկ Gaia տարբերակ - 80.20.10. Դուք պետք է իմանաք, որ CLI-ում աշխատելիս կան սահմանափակումներ. Linux-ի որոշ հրամաններ աջակցվում են Expert ռեժիմում: NGFW-ի կատարողականի գնահատումը պահանջում է գնահատել դևերի և ծառայությունների կատարումը, այս մասին ավելի շատ մանրամասներ կարելի է գտնել այստեղ Հոդված Իմ գործընկեր. Մենք կդիտարկենք SMB-ի հնարավոր հրամանները:
Աշխատում է Gaia OS-ի հետ
Զննեք SecureXL ձևանմուշները
#fwaccelstat
Դիտեք բեռնախցիկը առանցքային
# fw ctl multik stat
Դիտեք նիստերի քանակը (միացումներ):
# fw ctl pstat
* Դիտեք կլաստերի կարգավիճակը
#cphaprob վիճակագրություն
Դասական Linux TOP հրաման
անտառահատումներ
Ինչպես արդեն գիտեք, NGFW տեղեկամատյանների հետ աշխատելու երեք եղանակ կա (պահեստավորում, մշակում)՝ տեղական, կենտրոնական և ամպի մեջ: Վերջին երկու տարբերակները ենթադրում են սուբյեկտի առկայություն՝ Management Server:
NGFW կառավարման հնարավոր սխեմաներ
Ամենաթանկարժեք մատյան ֆայլերը
Համակարգային հաղորդագրություններ (պարունակում է ավելի քիչ տեղեկատվություն, քան ամբողջական Gaia-ն)
# tail -f /var/log/messages2
Սխալների հաղորդագրություններ շեղբերների շահագործման մեջ (բավականին օգտակար ֆայլ խնդիրների լուծման ժամանակ)
# tail -f /var/log/log/sfwd.elg
Դիտեք հաղորդագրությունները բուֆերից համակարգի միջուկի մակարդակով:
#dmesg
Սայրի կոնֆիգուրացիա
Այս բաժինը չի պարունակի ձեր NGFW Check Point-ը կարգավորելու ամբողջական հրահանգներ, այն պարունակում է միայն մեր առաջարկությունները՝ ընտրված փորձով:
Հավելվածի վերահսկում / URL-ի զտում
Կանոններում խորհուրդ է տրվում խուսափել ՑԱՆԿԱՑԱԾ, ՑԱՆԿԱՑԱԾ (Աղբյուր, նպատակակետ) պայմաններից:
Հատուկ URL ռեսուրս նշելիս ավելի արդյունավետ կլինի օգտագործել սովորական արտահայտություններ, ինչպիսիք են. (^|..)checkpoint.com
Խուսափեք կանոնների գրանցման և արգելափակող էջերի ցուցադրման ավելորդ օգտագործումից (UserCheck):
Համոզվեք, որ տեխնոլոգիան ճիշտ է աշխատում «SecureXL». Երթևեկության մեծ մասը պետք է անցնի արագացված/միջին ուղի. Նաև մի մոռացեք զտել կանոններն ըստ առավել օգտագործվողների (դաշտ հիթեր ).
HTTPS- Ստուգում
Գաղտնիք չէ, որ օգտատերերի տրաֆիկի 70-80%-ը գալիս է HTTPS կապերից, ինչը նշանակում է, որ դրա համար անհրաժեշտ են ռեսուրսներ ձեր gateway պրոցեսորից: Բացի այդ, HTTPS-Inspection-ը մասնակցում է IPS, Antivirus, Antibot-ի աշխատանքին։
80.40 տարբերակից սկսած կար առիթ HTTPS կանոնների հետ աշխատելու համար առանց Legacy Dashboard-ի, ահա որոշ առաջարկվող կանոնների կարգ.
Շրջանցում հասցեների և ցանցերի խմբի համար (Destination):
Շրջանցում URL-ների խմբի համար:
Ներքին IP-ի և արտոնյալ մուտքով ցանցերի շրջանցում (Աղբյուր):
Ստուգեք պահանջվող ցանցերի, օգտագործողների համար
Շրջանցում մնացած բոլորի համար:
* Միշտ ավելի լավ է ձեռքով ընտրել HTTPS կամ HTTPS վստահված անձի ծառայությունները և թողնել Any-ը: Գրանցեք իրադարձությունները՝ համաձայն Ստուգման կանոնների:
IPS
IPS blade-ը կարող է չտեղադրել քաղաքականությունը ձեր NGFW-ի վրա, եթե չափազանց շատ ստորագրություններ օգտագործվեն: Համաձայն Հոդված Check Point-ից SMB սարքի ճարտարապետությունը նախատեսված չէ գործարկելու առաջարկվող IPS կազմաձևման ամբողջական պրոֆիլը:
Խնդիրը լուծելու կամ կանխելու համար հետևեք հետևյալ քայլերին.
Կլոնավորեք օպտիմիզացված պրոֆիլը, որը կոչվում է «Օպտիմիզացված SMB» (կամ ձեր ընտրությամբ մեկ այլ):
Խմբագրեք պրոֆիլը, անցեք IPS → Pre R80.Settings բաժին և անջատեք Server Protections-ը։
Ձեր հայեցողությամբ կարող եք անջատել 2010 թվականից հին CVE-ները, այս խոցելիությունները կարող են հազվադեպ հանդիպել փոքր գրասենյակներում, բայց ազդում են աշխատանքի վրա: Դրանցից մի քանիսը անջատելու համար անցեք Պրոֆիլ→IPS→Լրացուցիչ ակտիվացում→Պաշտպանություններ՝ ցանկն անջատելու համար:
Փոխարենը մի եզրակացության
Որպես SMB ընտանիքի նոր սերնդի NGFW (1500) մասին հոդվածների շարքի մաս, մենք փորձեցինք ընդգծել լուծման հիմնական հնարավորությունները և ցուցադրեցինք անվտանգության կարևոր բաղադրիչների կազմաձևումը հատուկ օրինակներով: Մենք ուրախ կլինենք պատասխանել մեկնաբանություններում ապրանքի վերաբերյալ ցանկացած հարցի: Մենք մնում ենք ձեզ հետ, շնորհակալություն ուշադրության համար: