7. NGFW untuk usaha kecil. Kinerja dan rekomendasi umum
Waktunya telah tiba untuk menyelesaikan rangkaian artikel tentang SMB Check Point generasi baru (seri 1500). Kami berharap ini menjadi pengalaman berharga bagi Anda dan Anda akan terus bersama kami di blog TS Solution. Topik artikel terakhir tidak dibahas secara luas, namun yang tidak kalah pentingnya adalah penyempurnaan kinerja UKM. Di dalamnya kita akan membahas opsi konfigurasi untuk perangkat keras dan perangkat lunak NGFW, menjelaskan perintah yang tersedia dan metode interaksi.
Semua artikel dalam seri tentang NGFW untuk usaha kecil:
Saat ini, tidak banyak sumber informasi mengenai penyesuaian kinerja untuk solusi UKM karena pembatasan OS internal - Gaia 80.20 Tertanam. Dalam artikel kami, kami akan menggunakan tata letak dengan manajemen terpusat (Server Manajemen khusus) - ini memungkinkan Anda menggunakan lebih banyak alat saat bekerja dengan NGFW.
Perangkat keras
Sebelum menyentuh arsitektur keluarga Check Point SMB, Anda selalu dapat meminta mitra Anda untuk menggunakan utilitas tersebut Alat Pengukur Ukuran Peralatan, untuk memilih solusi optimal sesuai dengan karakteristik yang ditentukan (throughput, jumlah pengguna yang diharapkan, dll.).
Catatan penting saat berinteraksi dengan perangkat keras NGFW Anda
Solusi NGFW dari keluarga SMB tidak memiliki kemampuan untuk meningkatkan komponen sistem perangkat keras (CPU, RAM, HDD); tergantung pada modelnya, ada dukungan untuk kartu SD, ini memungkinkan Anda untuk memperluas kapasitas disk, tetapi tidak secara signifikan.
Pengoperasian antarmuka jaringan memerlukan kontrol. Gaia 80.20 Embedded tidak memiliki banyak alat pemantauan, tetapi Anda selalu dapat menggunakan perintah terkenal di CLI melalui mode Pakar
# Sayafconfig
Perhatikan garis yang digarisbawahi, ini akan memungkinkan Anda memperkirakan jumlah kesalahan pada antarmuka. Sangat disarankan untuk memeriksa parameter ini selama implementasi awal NGFW Anda, serta secara berkala selama pengoperasian.
Untuk Gaia yang lengkap ada perintah:
> tampilkan diagram
Dengan bantuannya dimungkinkan untuk memperoleh informasi tentang suhu perangkat keras. Sayangnya, opsi ini tidak tersedia di 80.20 Embedded; kami akan menunjukkan jebakan SNMP paling populer:
Nama
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅
Antarmuka terputus
Menonaktifkan antarmuka
VLAN dihapus
Menghapus Vlan
Pemanfaatan memori tinggi
Pemanfaatan RAM yang tinggi
Kekurangan kapasitas disk
Ruang HDD tidak cukup
Pemanfaatan CPU yang tinggi
Pemanfaatan CPU yang tinggi
Tingkat interupsi CPU yang tinggi
Tingkat interupsi yang tinggi
Tingkat koneksi tinggi
Aliran koneksi baru yang tinggi
Koneksi bersamaan yang tinggi
Sesi kompetitif tingkat tinggi
Throughput Firewall yang tinggi
Firewall throughput tinggi
Kecepatan paket yang diterima tinggi
Tingkat penerimaan paket yang tinggi
Status anggota cluster berubah
Mengubah status cluster
Koneksi dengan kesalahan server log
Kehilangan koneksi dengan Log-Server
Pengoperasian gateway Anda memerlukan pemantauan RAM. Agar Gaia (OS mirip Linux) berfungsi, ini dia situasi normalketika konsumsi RAM mencapai 70-80% dari penggunaan.
Arsitektur solusi SMB tidak menyediakan penggunaan memori SWAP, tidak seperti model Check Point lama. Namun, dalam file sistem Linux hal itu diperhatikan , yang menunjukkan kemungkinan teoretis untuk mengubah parameter SWAP.
Bagian perangkat lunak
Pada saat artikel diterbitkan terkini Versi Gaia - 80.20.10. Perlu Anda ketahui bahwa ada batasan saat bekerja di CLI: beberapa perintah Linux didukung dalam mode Pakar. Menilai kinerja NGFW memerlukan penilaian kinerja daemon dan layanan, rincian lebih lanjut tentang hal ini dapat ditemukan di Artikel kolega saya. Kami akan melihat kemungkinan perintah untuk SMB.
Bekerja dengan Gaia OS
Telusuri templat SecureXL
#fwaccelstat
Lihat boot berdasarkan inti
# fw ctl multik stat
Lihat jumlah sesi (koneksi).
# fw ctl pstat
*Lihat status klaster
#statistik cphaprob
Perintah TOP Linux klasik
Penebangan
Seperti yang sudah Anda ketahui, ada tiga cara untuk bekerja dengan log NGFW (penyimpanan, pemrosesan): secara lokal, terpusat, dan di cloud. Dua opsi terakhir menyiratkan adanya entitas - Server Manajemen.
Kemungkinan skema pengendalian NGFW
File log paling berharga
Pesan sistem (berisi lebih sedikit informasi dibandingkan Gaia lengkap)
# tail -f /var/log/messages2
Pesan kesalahan dalam pengoperasian bilah (file yang cukup berguna saat memecahkan masalah)
# tail -f /var/log/log/sfwd.elg
Lihat pesan dari buffer di tingkat kernel sistem.
#dmesg
Konfigurasi bilah
Bagian ini tidak berisi instruksi lengkap untuk menyiapkan NGFW Check Point Anda; ini hanya berisi rekomendasi kami, yang dipilih berdasarkan pengalaman.
Kontrol Aplikasi / Pemfilteran URL
Disarankan untuk menghindari kondisi APAPUN, APAPUN (Sumber, Tujuan) dalam aturan.
Saat menentukan sumber daya URL khusus, akan lebih efektif jika menggunakan ekspresi reguler seperti: (^|..)checkpoint.com
Hindari penggunaan pencatatan aturan yang berlebihan dan tampilan halaman pemblokiran (UserCheck).
Pastikan teknologinya berfungsi dengan benar "AmanXL". Sebagian besar lalu lintas harus lewat jalur dipercepat/sedang. Juga, jangan lupa untuk memfilter aturan berdasarkan aturan yang paling sering digunakan (field Hits ).
HTTPS-Inspeksi
Bukan rahasia lagi bahwa 70-80% lalu lintas pengguna berasal dari koneksi HTTPS, yang berarti hal ini memerlukan sumber daya dari prosesor gateway Anda. Selain itu, HTTPS-Inspection berpartisipasi dalam pekerjaan IPS, Antivirus, Antibot.
Mulai dari versi 80.40 ada kesempatan untuk bekerja dengan aturan HTTPS tanpa Dasbor Lama, berikut beberapa urutan aturan yang direkomendasikan:
Bypass untuk sekelompok alamat dan jaringan (Tujuan).
Lewati untuk sekelompok URL.
Lewati IP internal dan jaringan dengan akses istimewa (Sumber).
Periksa jaringan yang diperlukan, pengguna
Lewati untuk orang lain.
* Sebaiknya pilih layanan HTTPS atau Proxy HTTPS secara manual dan biarkan Apa Pun. Catat peristiwa sesuai dengan aturan Inspeksi.
IPS
Blade IPS mungkin gagal menginstal kebijakan pada NGFW Anda jika terlalu banyak tanda tangan yang digunakan. Berdasarkan Artikel dari Check Point, arsitektur perangkat SMB tidak dirancang untuk menjalankan profil konfigurasi IPS lengkap yang direkomendasikan.
Untuk mengatasi atau mencegah masalah, ikuti langkah-langkah berikut:
Kloning profil yang Dioptimalkan yang disebut βUKM yang Dioptimalkanβ (atau profil lain pilihan Anda).
Edit profil, buka bagian IPS β Pra R80.Pengaturan dan matikan Perlindungan Server.
Sesuai kebijaksanaan Anda, Anda dapat menonaktifkan CVE yang lebih lama dari tahun 2010, kerentanan ini mungkin jarang ditemukan di kantor kecil, tetapi memengaruhi kinerja. Untuk menonaktifkan beberapa di antaranya, buka ProfilβIPSβAktivasi TambahanβPerlindungan untuk menonaktifkan daftar
Alih-alih sebuah kesimpulan
Sebagai bagian dari serangkaian artikel tentang NGFW generasi baru dari keluarga SMB (1500), kami mencoba menyoroti kemampuan utama solusi dan mendemonstrasikan konfigurasi komponen keamanan penting menggunakan contoh spesifik. Kami akan dengan senang hati menjawab pertanyaan apa pun tentang produk di komentar. Kami tetap bersama Anda, terima kasih atas perhatian Anda!