7. NGFW fyrir lítil fyrirtæki. Frammistaða og almennar ráðleggingar

Það er kominn tími til að klára greinaröðina um nýja kynslóð SMB Check Point (1500 seríur). Við vonum að þetta hafi verið gefandi reynsla fyrir þig og að þú haldir áfram að vera með okkur á TS Solution blogginu. Ekki er farið mikið yfir efni lokagreinarinnar, en ekki síður mikilvægt - SMB árangursstilling. Í því munum við ræða stillingarvalkosti fyrir vélbúnað og hugbúnað NGFW, lýsa tiltækum skipunum og aðferðum við samskipti.

Allar greinar í seríunni um NGFW fyrir lítil fyrirtæki:

1. Ný CheckPoint 1500 öryggisgáttarlína

2. Unbox og uppsetning

3. Þráðlaus gagnasending: WiFi og LTE

4. VPN

5. Cloud SMP stjórnun

6. Smart-1 Cloud

Eins og er, eru ekki margar heimildir um frammistöðustillingar fyrir SMB lausnir vegna takmarkanir innra stýrikerfi - Gaia 80.20 Embedded. Í greininni okkar munum við nota skipulag með miðlægri stjórnun (hollur stjórnunarþjónn) - það gerir þér kleift að nota fleiri verkfæri þegar þú vinnur með NGFW.

Vélbúnaður

Áður en þú snertir Check Point SMB fjölskylduarkitektúrinn geturðu alltaf beðið maka þinn um að nota tólið Tæki fyrir stærðarstærð, til að velja bestu lausnina í samræmi við tilgreinda eiginleika (afköst, áætlaður fjöldi notenda osfrv.).

Mikilvægar athugasemdir þegar þú hefur samskipti við NGFW vélbúnaðinn þinn

1. NGFW lausnir SMB fjölskyldunnar hafa ekki getu til að uppfæra vélbúnaðarkerfisíhluti (CPU, vinnsluminni, HDD); það fer eftir gerðinni, það er stuðningur fyrir SD kort, þetta gerir þér kleift að auka disk getu, en ekki verulega.

2. Rekstur netviðmóta krefst stjórn. Gaia 80.20 Embedded hefur ekki mörg eftirlitstæki, en þú getur alltaf notað vel þekktu skipunina í CLI í gegnum Expert ham 

   #ifconfig

   

   Gefðu gaum að undirstrikuðu línunum, þær munu leyfa þér að áætla fjölda villna í viðmótinu. Það er mjög mælt með því að athuga þessar breytur við fyrstu innleiðingu NGFW þíns, sem og reglulega meðan á notkun stendur.

3. Fyrir fullgilda Gaia er skipun:

   > sýna diag

   Með hjálp þess er hægt að fá upplýsingar um hitastig vélbúnaðarins. Því miður er þessi valkostur ekki í boði í 80.20 Embedded; við munum gefa til kynna vinsælustu SNMP gildrurnar:

   Nafn 

   Lýsing

   Viðmót aftengt

   Slökkva á viðmótinu

   VLAN fjarlægt

   Fjarlægir Vlans

   Mikil minnisnýting

   Mikil vinnsluminni nýting

   Lítið pláss

   Ekki nóg pláss á HDD

   Mikil CPU nýting

   Mikil CPU nýting

   Hátt CPU truflar tíðni

   Hátt truflunartíðni

   Hátt tengihlutfall

   Mikið flæði nýrra tenginga

   Miklar samhliða tengingar

   Hátt stig keppnislota

   Mikil afköst eldveggs

   Mikil afköst eldveggur

   Hátt samþykkt pakkahlutfall

   Hátt pakkamóttökuhlutfall

   Aðildarríki klasa breytt

   Breyting á klasastöðu

   Tenging við villu í logþjóni

   Týndist tenging við Log-Server

4. Rekstur gáttarinnar þinnar krefst RAM eftirlits. Fyrir Gaia (Linux-líkt OS) til að virka, þetta er eðlilegt ástandþegar vinnsluminni neysla nær 70-80% af notkun.

   Arkitektúr SMB lausna gerir ekki ráð fyrir notkun á SWAP minni, ólíkt eldri Check Point módelum. Hins vegar var tekið eftir því í Linux kerfisskrám , sem gefur til kynna fræðilegan möguleika á að breyta SWAP færibreytunni.

Hugbúnaðarhluti

Við birtingu greinarinnar raunverulegur Gaia útgáfa - 80.20.10. Þú þarft að vita að það eru takmarkanir þegar þú vinnur í CLI: sumar Linux skipanir eru studdar í Expert ham. Mat á frammistöðu NGFW krefst mats á frammistöðu púka og þjónustu, nánari upplýsingar um þetta er að finna í grein samstarfsmaður minn. Við munum skoða mögulegar skipanir fyrir SMB.

Að vinna með Gaia OS

1. Skoðaðu SecureXL sniðmát

   #fwaccelstat

   

2. Skoðaðu stígvél eftir kjarna

   # fw ctl multik tölfræði

   

3. Skoðaðu fjölda lota (tengingar).

   # fw ctl pstat

   

4. * Skoða klasastöðu

   #cphaprob tölfræði

   

5. Klassísk Linux TOP skipun

Skógarhögg

Eins og þú veist nú þegar eru þrjár leiðir til að vinna með NGFW logs (geymsla, vinnsla): staðbundið, miðlægt og í skýinu. Síðustu tveir valkostirnir fela í sér tilvist aðila - Stjórnunarþjónn.

Möguleg NGFW eftirlitskerfi

Verðmætustu annálaskrárnar

1. Kerfisskilaboð (innihalda minni upplýsingar en full Gaia)

   # hali -f /var/log/messages2

   

2. Villuskilaboð í rekstri blaða (alveg gagnleg skrá þegar bilanaleit er vandamál)

   # hali -f /var/log/log/sfwd.elg

   

3. Skoðaðu skilaboð frá biðminni á kerfiskjarnastigi.

   #dmesg

   

Stilling blaðs

Þessi hluti mun ekki innihalda fullkomnar leiðbeiningar um uppsetningu NGFW Check Point; hann inniheldur aðeins ráðleggingar okkar, valdar af reynslu.

Forritsstýring / URL síun

• Mælt er með því að forðast EINHVER, EINHVER (Heimild, áfangastaður) skilyrði í reglum.

• Þegar sérsniðin vefslóð er tilgreind verður skilvirkara að nota reglubundnar tjáningar eins og: (^|..)checkpoint.com

• Forðastu óhóflega notkun á regluskráningu og birtingu á læsingarsíðum (UserCheck).

• Gakktu úr skugga um að tæknin virki rétt "SecureXL". Mest umferð ætti að fara í gegn hröðun/miðlungs leið. Einnig má ekki gleyma að sía reglurnar eftir þeim sem mest eru notaðar (reitur Hits ).

HTTPS-skoðun

Það er ekkert leyndarmál að 70-80% af notendaumferð kemur frá HTTPS tengingum, sem þýðir að þetta krefst fjármagns frá gáttargjörvanum þínum. Að auki tekur HTTPS-Inspection þátt í starfi IPS, Antivirus, Antibot.

Frá og með útgáfu 80.40 var tækifæri til að vinna með HTTPS reglur án eldri mælaborðs, hér er nokkur ráðlagður regluröð:

• Framhjá hópi heimilisfönga og neta (áfangastaður).

• Framhjá hópi vefslóða.

• Hliðarbraut fyrir innri IP og net með forréttindaaðgangi (Heimild).

• Skoðaðu fyrir nauðsynleg netkerfi, notendur

• Hjábraut fyrir alla aðra.

* Það er alltaf betra að velja HTTPS eða HTTPS umboðsþjónustu handvirkt og yfirgefa Any. Skráðu atburði samkvæmt Inspect-reglum.

IPS

IPS blaðið gæti ekki sett upp stefnu á NGFW þinn ef of margar undirskriftir eru notaðar. Samkvæmt grein frá Check Point, SMB tæki arkitektúr er ekki hannaður til að keyra fulla ráðlagða IPS stillingarsnið.

Til að leysa eða koma í veg fyrir vandamálið skaltu fylgja þessum skrefum:

1. Klóna bjartsýni sniðið sem kallast „Optimized SMB“ (eða annað að eigin vali).

2. Breyttu prófílnum, farðu í IPS → Pre R80.Settings hlutann og slökktu á Server Protection.

   

3. Að eigin vali geturðu slökkt á CVE eldri en 2010, þessir veikleikar geta sjaldan fundist á litlum skrifstofum, en hafa áhrif á frammistöðu. Til að slökkva á sumum þeirra, farðu í prófíl→IPS→Viðbótarvirkjun→Varnir til að slökkva á listanum

   

Í stað þess að niðurstöðu

Sem hluti af greinaröð um nýja kynslóð NGFW af SMB fjölskyldunni (1500), reyndum við að draga fram helstu eiginleika lausnarinnar og sýndum uppsetningu mikilvægra öryggisþátta með sérstökum dæmum. Við munum vera fús til að svara öllum spurningum um vöruna í athugasemdunum. Við verðum hjá þér, takk fyrir athyglina!

Mikið úrval af efnum á Check Point frá TS Solution. Til að missa ekki af nýjum útgáfum, fylgdu uppfærslunum á samfélagsnetunum okkar (Telegram, Facebook, VK, TS lausnarblogg, Yandex Zen).

Heimild: www.habr.com