È giunto il momento di completare la serie di articoli sulla nuova generazione di Check Point PMI (serie 1500). Ci auguriamo che questa sia stata per te un'esperienza gratificante e che continuerai a essere con noi sul blog di TS Solution. L'argomento dell'articolo finale non è ampiamente trattato, ma non per questo meno importante: l'ottimizzazione delle prestazioni delle PMI. In esso discuteremo le opzioni di configurazione per l'hardware e il software dell'NGFW, descriveremo i comandi disponibili e i metodi di interazione.
Tutti gli articoli della serie sull'NGFW per le piccole imprese:
Attualmente non ci sono molte fonti di informazioni sull'ottimizzazione delle prestazioni per le soluzioni PMI a causa di sistema operativo interno: Gaia 80.20 incorporato. Nel nostro articolo utilizzeremo un layout con gestione centralizzata (server di gestione dedicato): consente di utilizzare più strumenti quando si lavora con NGFW.
La parte hardware
Prima di toccare l'architettura della famiglia Check Point SMB, puoi sempre chiedere al tuo partner di utilizzare l'utilità Strumento di dimensionamento degli elettrodomestici, per selezionare la soluzione ottimale in base alle caratteristiche specificate (throughput, numero previsto di utenti, ecc.).
Note importanti quando si interagisce con l'hardware NGFW
-
Le soluzioni NGFW della famiglia SMB non hanno la possibilità di aggiornare hardware i componenti del sistema (CPU, RAM, HDD), a seconda del modello è presente il supporto per le schede SD, questo consente di espandere la capacità del disco, ma non in modo significativo.
-
Il funzionamento delle interfacce di rete richiede controllo. Gaia 80.20 Embedded non dispone di molti strumenti di monitoraggio, ma puoi sempre utilizzare il noto comando nella CLI tramite la modalità Esperto
# iofconfig
Presta attenzione alle righe sottolineate, ti permetteranno di stimare il numero di errori presenti sull'interfaccia. Si consiglia vivamente di controllare questi parametri durante l'implementazione iniziale del proprio NGFW, nonché periodicamente durante il funzionamento.
-
Per una Gaia a tutti gli effetti c'è un comando:
>mostra diag
Con il suo aiuto è possibile ottenere informazioni sulla temperatura dell'hardware. Purtroppo questa opzione non è disponibile in 80.20 Embedded; indicheremo le trap SNMP più diffuse:
Nome
descrizione
Interfaccia disconnessa
Disabilitare l'interfaccia
VLAN rimossa
Rimozione di Vlan
Utilizzo elevato della memoria
Utilizzo elevato della RAM
Poco spazio sul disco
Spazio su disco rigido insufficiente
Elevato utilizzo della CPU
Utilizzo elevato della CPU
Tasso elevato di interruzioni della CPU
Alto tasso di interruzione
Alta velocità di connessione
Elevato flusso di nuove connessioni
Connessioni simultanee elevate
Alto livello di sessioni competitive
Elevata velocità di trasmissione del firewall
Firewall ad alta produttività
Velocità dei pacchetti accettati elevata
Elevata velocità di ricezione dei pacchetti
Lo stato membro del cluster è cambiato
Modifica dello stato del cluster
Connessione con errore del server di registro
Connessione persa con il Log-Server
-
Il funzionamento del gateway richiede il monitoraggio della RAM. Perché Gaia (sistema operativo simile a Linux) funzioni, questo è quando il consumo di RAM raggiunge il 70-80% di utilizzo.
L'architettura delle soluzioni SMB non prevede l'utilizzo di memoria SWAP, a differenza dei vecchi modelli Check Point. Tuttavia, nei file di sistema Linux è stato notato , che indica la possibilità teorica di modificare il parametro SWAP.
Parte software
Al momento della pubblicazione dell'articolo Versione Gaia - 80.20.10. Devi sapere che ci sono limitazioni quando lavori nella CLI: alcuni comandi Linux sono supportati in modalità Esperto. La valutazione delle prestazioni di NGFW richiede la valutazione delle prestazioni di demoni e servizi, maggiori dettagli a riguardo possono essere trovati in il mio collega. Esamineremo i possibili comandi per SMB.
Funziona con il sistema operativo Gaia
-
Sfoglia i modelli SecureXL
#fwaccelstat
-
Visualizza l'avvio per core
#fw ctl multikstat
-
Visualizza il numero di sessioni (connessioni).
# fw ctl pstat
-
*Visualizza lo stato del cluster
#cphaprobstat
-
Classico comando TOP di Linux
Registrazione
Come già saprai, ci sono tre modi per lavorare con i log NGFW (archiviazione, elaborazione): localmente, centralmente e nel cloud. Le ultime due opzioni implicano la presenza di un'entità: Management Server.
Possibili schemi di controllo NGFW
I file di registro più preziosi
-
Messaggi di sistema (contiene meno informazioni rispetto a Gaia completo)
# tail -f /var/log/messages2
-
Messaggi di errore nel funzionamento dei blade (un file abbastanza utile per la risoluzione dei problemi)
# tail -f /var/log/log/sfwd.elg
-
Visualizza i messaggi dal buffer a livello del kernel di sistema.
#dmesg
Configurazione della lama
Questa sezione non conterrà le istruzioni complete per impostare il tuo Check Point NGFW; contiene solo i nostri consigli, selezionati in base all'esperienza.
Controllo applicazioni/filtro URL
-
Si consiglia di evitare QUALSIASI condizione (fonte, destinazione) nelle regole.
-
Quando si specifica una risorsa URL personalizzata, sarà più efficace utilizzare espressioni regolari come: (^|..)checkpoint.com
-
Evitare un uso eccessivo della registrazione delle regole e della visualizzazione di pagine di blocco (UserCheck).
-
Assicurati che la tecnologia funzioni correttamente "SicureXL". La maggior parte del traffico dovrebbe passare percorso accelerato/medio. Inoltre, non dimenticare di filtrare le regole in base a quelle più utilizzate (campo Visualizzazioni ).
Ispezione HTTPS
Non è un segreto che il 70-80% del traffico utente proviene da connessioni HTTPS, il che significa che ciò richiede risorse dal processore del gateway. Inoltre, HTTPS-Inspection partecipa al lavoro di IPS, Antivirus, Antibot.
A partire dalla versione 80.40 c'era per lavorare con le regole HTTPS senza Legacy Dashboard, ecco l'ordine delle regole consigliato:
-
Bypass per un gruppo di indirizzi e reti (Destinazione).
-
Bypass per un gruppo di URL.
-
Bypass per IP interni e reti con accesso privilegiato (Sorgente).
-
Ispezionare le reti e gli utenti richiesti
-
Bypass per tutti gli altri.
* È sempre meglio selezionare manualmente i servizi HTTPS o HTTPS Proxy e lasciare Qualsiasi. Registra gli eventi in base alle regole di Ispezione.
IPS
Il pannello IPS potrebbe non riuscire a installare la policy sul NGFW se vengono utilizzate troppe firme. Secondo da Check Point, l'architettura del dispositivo SMB non è progettata per eseguire il profilo di configurazione IPS completo consigliato.
Per risolvere o prevenire il problema, attenersi alla seguente procedura:
-
Clona il profilo ottimizzato denominato “SMB ottimizzato” (o un altro a tua scelta).
-
Modifica il profilo, vai alla sezione IPS → Pre R80.Settings e disattiva le Protezioni del Server.
-
A tua discrezione, puoi disabilitare i CVE precedenti al 2010; queste vulnerabilità potrebbero essere riscontrate raramente nei piccoli uffici, ma influiscono sulle prestazioni. Per disabilitarne alcune, vai su Profilo→IPS→Attivazione aggiuntiva→Protezioni da disattivare elenco
Invece di una conclusione
Nell'ambito di una serie di articoli sulla nuova generazione di NGFW della famiglia SMB (1500), abbiamo cercato di evidenziare le principali funzionalità della soluzione e di dimostrare la configurazione di importanti componenti di sicurezza utilizzando esempi concreti. Saremo felici di rispondere a qualsiasi domanda sul prodotto nei commenti. Restiamo con voi, grazie per la vostra attenzione!
. Per non perderti le nuove pubblicazioni segui gli aggiornamenti sui nostri social network (, , , , ).
Fonte: habr.com