7. NGFW untuk usaha kecil. Kinerja dan rekomendasi umum

Waktunya telah tiba untuk menyelesaikan rangkaian artikel tentang SMB Check Point generasi baru (seri 1500). Kami berharap ini menjadi pengalaman berharga bagi Anda dan Anda akan terus bersama kami di blog TS Solution. Topik artikel terakhir tidak dibahas secara luas, namun yang tidak kalah pentingnya adalah penyempurnaan kinerja UKM. Di dalamnya kita akan membahas opsi konfigurasi untuk perangkat keras dan perangkat lunak NGFW, menjelaskan perintah yang tersedia dan metode interaksi.

Semua artikel dalam seri tentang NGFW untuk usaha kecil:

1. Jalur Gerbang Keamanan CheckPoint 1500 Baru

2. Membuka Kotak dan Pengaturan

3. Transmisi data nirkabel: WiFi dan LTE

4. VPN

5. Manajemen Cloud SMP

6. Awan Cerdas-1

Saat ini, tidak banyak sumber informasi mengenai penyesuaian kinerja untuk solusi UKM karena pembatasan OS internal - Gaia 80.20 Tertanam. Dalam artikel kami, kami akan menggunakan tata letak dengan manajemen terpusat (Server Manajemen khusus) - ini memungkinkan Anda menggunakan lebih banyak alat saat bekerja dengan NGFW.

Perangkat keras

Sebelum menyentuh arsitektur keluarga Check Point SMB, Anda selalu dapat meminta mitra Anda untuk menggunakan utilitas tersebut Alat Pengukur Ukuran Peralatan, untuk memilih solusi optimal sesuai dengan karakteristik yang ditentukan (throughput, jumlah pengguna yang diharapkan, dll.).

Catatan penting saat berinteraksi dengan perangkat keras NGFW Anda

1. Solusi NGFW dari keluarga SMB tidak memiliki kemampuan untuk meningkatkan komponen sistem perangkat keras (CPU, RAM, HDD); tergantung pada modelnya, ada dukungan untuk kartu SD, ini memungkinkan Anda untuk memperluas kapasitas disk, tetapi tidak secara signifikan.

2. Pengoperasian antarmuka jaringan memerlukan kontrol. Gaia 80.20 Embedded tidak memiliki banyak alat pemantauan, tetapi Anda selalu dapat menggunakan perintah terkenal di CLI melalui mode Pakar 

   # Sayafconfig

   

   Perhatikan garis yang digarisbawahi, ini akan memungkinkan Anda memperkirakan jumlah kesalahan pada antarmuka. Sangat disarankan untuk memeriksa parameter ini selama implementasi awal NGFW Anda, serta secara berkala selama pengoperasian.

3. Untuk Gaia yang lengkap ada perintah:

   > tampilkan diagram

   Dengan bantuannya dimungkinkan untuk memperoleh informasi tentang suhu perangkat keras. Sayangnya, opsi ini tidak tersedia di 80.20 Embedded; kami akan menunjukkan jebakan SNMP paling populer:

   Nama 

   Описание

   Antarmuka terputus

   Menonaktifkan antarmuka

   VLAN dihapus

   Menghapus Vlan

   Pemanfaatan memori tinggi

   Pemanfaatan RAM yang tinggi

   Kekurangan kapasitas disk

   Ruang HDD tidak cukup

   Pemanfaatan CPU yang tinggi

   Pemanfaatan CPU yang tinggi

   Tingkat interupsi CPU yang tinggi

   Tingkat interupsi yang tinggi

   Tingkat koneksi tinggi

   Aliran koneksi baru yang tinggi

   Koneksi bersamaan yang tinggi

   Sesi kompetitif tingkat tinggi

   Throughput Firewall yang tinggi

   Firewall throughput tinggi

   Kecepatan paket yang diterima tinggi

   Tingkat penerimaan paket yang tinggi

   Status anggota cluster berubah

   Mengubah status cluster

   Koneksi dengan kesalahan server log

   Kehilangan koneksi dengan Log-Server

4. Pengoperasian gateway Anda memerlukan pemantauan RAM. Agar Gaia (OS mirip Linux) berfungsi, ini dia situasi normalketika konsumsi RAM mencapai 70-80% dari penggunaan.

   Arsitektur solusi SMB tidak menyediakan penggunaan memori SWAP, tidak seperti model Check Point lama. Namun, dalam file sistem Linux hal itu diperhatikan , yang menunjukkan kemungkinan teoretis untuk mengubah parameter SWAP.

Bagian perangkat lunak

Pada saat artikel diterbitkan terkini Versi Gaia - 80.20.10. Perlu Anda ketahui bahwa ada batasan saat bekerja di CLI: beberapa perintah Linux didukung dalam mode Pakar. Menilai kinerja NGFW memerlukan penilaian kinerja daemon dan layanan, rincian lebih lanjut tentang hal ini dapat ditemukan di Artikel kolega saya. Kami akan melihat kemungkinan perintah untuk SMB.

Bekerja dengan Gaia OS

1. Telusuri templat SecureXL

   #fwaccelstat

   

2. Lihat boot berdasarkan inti

   # fw ctl multik stat

   

3. Lihat jumlah sesi (koneksi).

   # fw ctl pstat

   

4. *Lihat status klaster

   #statistik cphaprob

   

5. Perintah TOP Linux klasik

Penebangan

Seperti yang sudah Anda ketahui, ada tiga cara untuk bekerja dengan log NGFW (penyimpanan, pemrosesan): secara lokal, terpusat, dan di cloud. Dua opsi terakhir menyiratkan adanya entitas - Server Manajemen.

Kemungkinan skema pengendalian NGFW

File log paling berharga

1. Pesan sistem (berisi lebih sedikit informasi dibandingkan Gaia lengkap)

   # tail -f /var/log/messages2

   

2. Pesan kesalahan dalam pengoperasian bilah (file yang cukup berguna saat memecahkan masalah)

   # tail -f /var/log/log/sfwd.elg

   

3. Lihat pesan dari buffer di tingkat kernel sistem.

   #dmesg

   

Konfigurasi bilah

Bagian ini tidak berisi instruksi lengkap untuk menyiapkan NGFW Check Point Anda; ini hanya berisi rekomendasi kami, yang dipilih berdasarkan pengalaman.

Kontrol Aplikasi / Pemfilteran URL

• Disarankan untuk menghindari kondisi APAPUN, APAPUN (Sumber, Tujuan) dalam aturan.

• Saat menentukan sumber daya URL khusus, akan lebih efektif jika menggunakan ekspresi reguler seperti: (^|..)checkpoint.com

• Hindari penggunaan pencatatan aturan yang berlebihan dan tampilan halaman pemblokiran (UserCheck).

• Pastikan teknologinya berfungsi dengan benar "AmanXL". Sebagian besar lalu lintas harus lewat jalur dipercepat/sedang. Juga, jangan lupa untuk memfilter aturan berdasarkan aturan yang paling sering digunakan (field Hits ).

HTTPS-Inspeksi

Bukan rahasia lagi bahwa 70-80% lalu lintas pengguna berasal dari koneksi HTTPS, yang berarti hal ini memerlukan sumber daya dari prosesor gateway Anda. Selain itu, HTTPS-Inspection berpartisipasi dalam pekerjaan IPS, Antivirus, Antibot.

Mulai dari versi 80.40 ada kesempatan untuk bekerja dengan aturan HTTPS tanpa Dasbor Lama, berikut beberapa urutan aturan yang direkomendasikan:

• Bypass untuk sekelompok alamat dan jaringan (Tujuan).

• Lewati untuk sekelompok URL.

• Lewati IP internal dan jaringan dengan akses istimewa (Sumber).

• Periksa jaringan yang diperlukan, pengguna

• Lewati untuk orang lain.

* Sebaiknya pilih layanan HTTPS atau Proxy HTTPS secara manual dan biarkan Apa Pun. Catat peristiwa sesuai dengan aturan Inspeksi.

IPS

Blade IPS mungkin gagal menginstal kebijakan pada NGFW Anda jika terlalu banyak tanda tangan yang digunakan. Berdasarkan Artikel dari Check Point, arsitektur perangkat SMB tidak dirancang untuk menjalankan profil konfigurasi IPS lengkap yang direkomendasikan.

Untuk mengatasi atau mencegah masalah, ikuti langkah-langkah berikut:

1. Kloning profil yang Dioptimalkan yang disebut “UKM yang Dioptimalkan” (atau profil lain pilihan Anda).

2. Edit profil, buka bagian IPS → Pra R80.Pengaturan dan matikan Perlindungan Server.

   

3. Sesuai kebijaksanaan Anda, Anda dapat menonaktifkan CVE yang lebih lama dari tahun 2010, kerentanan ini mungkin jarang ditemukan di kantor kecil, tetapi memengaruhi kinerja. Untuk menonaktifkan beberapa di antaranya, buka Profil→IPS→Aktivasi Tambahan→Perlindungan untuk menonaktifkan daftar

   

Alih-alih sebuah kesimpulan

Sebagai bagian dari serangkaian artikel tentang NGFW generasi baru dari keluarga SMB (1500), kami mencoba menyoroti kemampuan utama solusi dan mendemonstrasikan konfigurasi komponen keamanan penting menggunakan contoh spesifik. Kami akan dengan senang hati menjawab pertanyaan apa pun tentang produk di komentar. Kami tetap bersama Anda, terima kasih atas perhatian Anda!

Banyak pilihan material di Check Point dari TS Solution. Agar tidak ketinggalan publikasi baru, ikuti pembaruan di jejaring sosial kami (Telegram, Facebook, VK, Blog Solusi TS, Yandex Zen).

Sumber: www.habr.com