ProHoster > Blog > Stjórnsýsla > 7. NGFW fyrir lítil fyrirtæki. Frammistaða og almennar ráðleggingar
7. NGFW fyrir lítil fyrirtæki. Frammistaða og almennar ráðleggingar
Það er kominn tími til að klára greinaröðina um nýja kynslóð SMB Check Point (1500 seríur). Við vonum að þetta hafi verið gefandi reynsla fyrir þig og að þú haldir áfram að vera með okkur á TS Solution blogginu. Ekki er farið mikið yfir efni lokagreinarinnar, en ekki síður mikilvægt - SMB árangursstilling. Í því munum við ræða stillingarvalkosti fyrir vélbúnað og hugbúnað NGFW, lýsa tiltækum skipunum og aðferðum við samskipti.
Allar greinar í seríunni um NGFW fyrir lítil fyrirtæki:
Eins og er, eru ekki margar heimildir um frammistöðustillingar fyrir SMB lausnir vegna takmarkanir innra stýrikerfi - Gaia 80.20 Embedded. Í greininni okkar munum við nota skipulag með miðlægri stjórnun (hollur stjórnunarþjónn) - það gerir þér kleift að nota fleiri verkfæri þegar þú vinnur með NGFW.
Vélbúnaður
Áður en þú snertir Check Point SMB fjölskylduarkitektúrinn geturðu alltaf beðið maka þinn um að nota tólið Tæki fyrir stærðarstærð, til að velja bestu lausnina í samræmi við tilgreinda eiginleika (afköst, áætlaður fjöldi notenda osfrv.).
Mikilvægar athugasemdir þegar þú hefur samskipti við NGFW vélbúnaðinn þinn
NGFW lausnir SMB fjölskyldunnar hafa ekki getu til að uppfæra vélbúnaðarkerfisíhluti (CPU, vinnsluminni, HDD); það fer eftir gerðinni, það er stuðningur fyrir SD kort, þetta gerir þér kleift að auka disk getu, en ekki verulega.
Rekstur netviðmóta krefst stjórn. Gaia 80.20 Embedded hefur ekki mörg eftirlitstæki, en þú getur alltaf notað vel þekktu skipunina í CLI í gegnum Expert ham
#ifconfig
Gefðu gaum að undirstrikuðu línunum, þær munu leyfa þér að áætla fjölda villna í viðmótinu. Það er mjög mælt með því að athuga þessar breytur við fyrstu innleiðingu NGFW þíns, sem og reglulega meðan á notkun stendur.
Fyrir fullgilda Gaia er skipun:
> sýna diag
Með hjálp þess er hægt að fá upplýsingar um hitastig vélbúnaðarins. Því miður er þessi valkostur ekki í boði í 80.20 Embedded; við munum gefa til kynna vinsælustu SNMP gildrurnar:
Nafn
Lýsing
Viðmót aftengt
Slökkva á viðmótinu
VLAN fjarlægt
Fjarlægir Vlans
Mikil minnisnýting
Mikil vinnsluminni nýting
Lítið pláss
Ekki nóg pláss á HDD
Mikil CPU nýting
Mikil CPU nýting
Hátt CPU truflar tíðni
Hátt truflunartíðni
Hátt tengihlutfall
Mikið flæði nýrra tenginga
Miklar samhliða tengingar
Hátt stig keppnislota
Mikil afköst eldveggs
Mikil afköst eldveggur
Hátt samþykkt pakkahlutfall
Hátt pakkamóttökuhlutfall
Aðildarríki klasa breytt
Breyting á klasastöðu
Tenging við villu í logþjóni
Týndist tenging við Log-Server
Rekstur gáttarinnar þinnar krefst RAM eftirlits. Fyrir Gaia (Linux-líkt OS) til að virka, þetta er eðlilegt ástandþegar vinnsluminni neysla nær 70-80% af notkun.
Arkitektúr SMB lausna gerir ekki ráð fyrir notkun á SWAP minni, ólíkt eldri Check Point módelum. Hins vegar var tekið eftir því í Linux kerfisskrám , sem gefur til kynna fræðilegan möguleika á að breyta SWAP færibreytunni.
Hugbúnaðarhluti
Við birtingu greinarinnar raunverulegur Gaia útgáfa - 80.20.10. Þú þarft að vita að það eru takmarkanir þegar þú vinnur í CLI: sumar Linux skipanir eru studdar í Expert ham. Mat á frammistöðu NGFW krefst mats á frammistöðu púka og þjónustu, nánari upplýsingar um þetta er að finna í grein samstarfsmaður minn. Við munum skoða mögulegar skipanir fyrir SMB.
Að vinna með Gaia OS
Skoðaðu SecureXL sniðmát
#fwaccelstat
Skoðaðu stígvél eftir kjarna
# fw ctl multik tölfræði
Skoðaðu fjölda lota (tengingar).
# fw ctl pstat
* Skoða klasastöðu
#cphaprob tölfræði
Klassísk Linux TOP skipun
Skógarhögg
Eins og þú veist nú þegar eru þrjár leiðir til að vinna með NGFW logs (geymsla, vinnsla): staðbundið, miðlægt og í skýinu. Síðustu tveir valkostirnir fela í sér tilvist aðila - Stjórnunarþjónn.
Möguleg NGFW eftirlitskerfi
Verðmætustu annálaskrárnar
Kerfisskilaboð (innihalda minni upplýsingar en full Gaia)
# hali -f /var/log/messages2
Villuskilaboð í rekstri blaða (alveg gagnleg skrá þegar bilanaleit er vandamál)
# hali -f /var/log/log/sfwd.elg
Skoðaðu skilaboð frá biðminni á kerfiskjarnastigi.
#dmesg
Stilling blaðs
Þessi hluti mun ekki innihalda fullkomnar leiðbeiningar um uppsetningu NGFW Check Point; hann inniheldur aðeins ráðleggingar okkar, valdar af reynslu.
Forritsstýring / URL síun
Mælt er með því að forðast EINHVER, EINHVER (Heimild, áfangastaður) skilyrði í reglum.
Þegar sérsniðin vefslóð er tilgreind verður skilvirkara að nota reglubundnar tjáningar eins og: (^|..)checkpoint.com
Forðastu óhóflega notkun á regluskráningu og birtingu á læsingarsíðum (UserCheck).
Gakktu úr skugga um að tæknin virki rétt "SecureXL". Mest umferð ætti að fara í gegn hröðun/miðlungs leið. Einnig má ekki gleyma að sía reglurnar eftir þeim sem mest eru notaðar (reitur Hits ).
HTTPS-skoðun
Það er ekkert leyndarmál að 70-80% af notendaumferð kemur frá HTTPS tengingum, sem þýðir að þetta krefst fjármagns frá gáttargjörvanum þínum. Að auki tekur HTTPS-Inspection þátt í starfi IPS, Antivirus, Antibot.
Frá og með útgáfu 80.40 var tækifæri til að vinna með HTTPS reglur án eldri mælaborðs, hér er nokkur ráðlagður regluröð:
Framhjá hópi heimilisfönga og neta (áfangastaður).
Framhjá hópi vefslóða.
Hliðarbraut fyrir innri IP og net með forréttindaaðgangi (Heimild).
Skoðaðu fyrir nauðsynleg netkerfi, notendur
Hjábraut fyrir alla aðra.
* Það er alltaf betra að velja HTTPS eða HTTPS umboðsþjónustu handvirkt og yfirgefa Any. Skráðu atburði samkvæmt Inspect-reglum.
IPS
IPS blaðið gæti ekki sett upp stefnu á NGFW þinn ef of margar undirskriftir eru notaðar. Samkvæmt grein frá Check Point, SMB tæki arkitektúr er ekki hannaður til að keyra fulla ráðlagða IPS stillingarsnið.
Til að leysa eða koma í veg fyrir vandamálið skaltu fylgja þessum skrefum:
Klóna bjartsýni sniðið sem kallast „Optimized SMB“ (eða annað að eigin vali).
Breyttu prófílnum, farðu í IPS → Pre R80.Settings hlutann og slökktu á Server Protection.
Að eigin vali geturðu slökkt á CVE eldri en 2010, þessir veikleikar geta sjaldan fundist á litlum skrifstofum, en hafa áhrif á frammistöðu. Til að slökkva á sumum þeirra, farðu í prófíl→IPS→Viðbótarvirkjun→Varnir til að slökkva á listanum
Í stað þess að niðurstöðu
Sem hluti af greinaröð um nýja kynslóð NGFW af SMB fjölskyldunni (1500), reyndum við að draga fram helstu eiginleika lausnarinnar og sýndum uppsetningu mikilvægra öryggisþátta með sérstökum dæmum. Við munum vera fús til að svara öllum spurningum um vöruna í athugasemdunum. Við verðum hjá þér, takk fyrir athyglina!