7. 中小企業向けの NGFW。 パフォーマンスと一般的な推奨事項

新世代の SMB Check Point (1500 シリーズ) に関する一連の記事を完了する時期が来ました。 これが皆様にとって有意義な経験であったことを願っております。今後も TS Solution ブログをお読みいただければ幸いです。 最後の記事のトピックはあまり広く取り上げられていませんが、同様に重要な SMB パフォーマンス チューニングです。 その中で、NGFW のハードウェアとソフトウェアの構成オプションについて説明し、利用可能なコマンドと対話方法について説明します。

中小企業向けの NGFW に関するシリーズのすべての記事:

1. 新しい CheckPoint 1500 セキュリティ ゲートウェイ ライン

2. 開梱とセットアップ

3. ワイヤレスデータ送信: WiFi および LTE

4. VPN

5. クラウドSMP管理

6. スマート1クラウド

現在、SMB ソリューションのパフォーマンス チューニングに関する情報源はあまり多くありません。 制限 内部 OS - Gaia 80.20 Embedded。 この記事では、集中管理 (専用管理サーバー) を備えたレイアウトを使用します。これにより、NGFW を使用するときにより多くのツールを使用できるようになります。

ハードウェア

Check Point SMB ファミリ アーキテクチャに触れる前に、いつでもパートナーにユーティリティを使用するよう依頼できます。 アプライアンスサイジングツール、指定された特性 (スループット、予想されるユーザー数など) に応じて最適なソリューションを選択します。

NGFW ハードウェアを操作する際の重要な注意事項

1. SMB ファミリの NGFW ソリューションには、システム コンポーネント (CPU、RAM、HDD) をハードウェア アップグレードする機能がありません。モデルによっては、SD カードがサポートされているため、ディスク容量を拡張できますが、大幅には拡張できません。

2. ネットワーク インターフェイスの動作には制御が必要です。 Gaia 80.20 Embedded には多くの監視ツールはありませんが、エキスパート モードを介して CLI でよく知られたコマンドをいつでも使用できます。 

   ＃ 私fconfig

   

   下線付きの行に注目してください。これにより、インターフェイス上のエラーの数を見積もることができます。 NGFW の初期実装時および運用中に定期的にこれらのパラメータを確認することを強くお勧めします。

3. 本格的なガイアには次のコマンドがあります。

   >診断を表示

   これを利用すると、ハードウェアの温度に関する情報を取得できます。 残念ながら、このオプションは 80.20 Embedded では使用できません。最も一般的な SNMP トラップを示します。

   名前 

   説明

   インターフェースが切断されました

   インターフェースの無効化

   VLAN が削除されました

   VLAN の削除

   メモリ使用率が高い

   RAM 使用率が高い

   ディスク空き容量が少ない

   HDDの空き容量が足りない

   CPU 使用率が高い

   CPU 使用率が高い

   高いCPU割り込み率

   高い割り込み率

   高い接続率

   新しい接続の流入が多い

   高い同時接続数

   ハイレベルな競争力のあるセッション

   高いファイアウォール スループット

   高スループットのファイアウォール

   高い受け入れパケットレート

   高いパケット受信率

   クラスターメンバーの状態が変更されました

   クラスター状態の変更

   ログサーバーとの接続エラー

   ログサーバーとの接続が失われました

4. ゲートウェイの動作には RAM の監視が必要です。 Gaia (Linux 風の OS) が動作するには、これは次のとおりです。 通常の状況RAM の消費量が使用量の 70 ～ 80% に達したとき。

   SMB ソリューションのアーキテクチャでは、古い Check Point モデルとは異なり、SWAP メモリの使用が提供されていません。 ただし、Linux システムファイルでは次のことがわかりました。 これは、SWAP パラメーターを変更する理論的な可能性を示します。

ソフトウェア部

記事公開時 関連する ガイア バージョン - 80.20.10。 CLI で作業する場合は制限があることを知っておく必要があります。一部の Linux コマンドはエキスパート モードでサポートされています。 NGFW のパフォーマンスを評価するには、デーモンとサービスのパフォーマンスを評価する必要があります。これについての詳細は、以下を参照してください。 статье 私の同僚。 SMB で使用できるコマンドを見ていきます。

Gaia OS の使用

1. SecureXL テンプレートを参照する

   #fwaccelstat

   

2. コアごとにブートを表示する

   # fw ctl multik stat

   

3. セッション (接続) の数を表示します。

   # fw ctl pstat

   

4. *クラスターのステータスを表示する

   #cphaprob 統計

   

5. クラシック Linux TOP コマンド

ロギング

すでにご存知のとおり、NGFW ログを操作するには (ストレージ、処理)、ローカル、中央、クラウドの XNUMX つの方法があります。 最後の XNUMX つのオプションは、エンティティ (Management Server) の存在を暗示します。

考えられるNGFW制御スキーム

最も価値のあるログ ファイル

1. システム メッセージ (完全な Gaia よりも情報が少ない)

   # tail -f /var/log/messages2

   

2. ブレードの動作時のエラー メッセージ (問題のトラブルシューティングを行う場合に非常に役立つファイル)

   # tail -f /var/log/log/sfwd.elg

   

3. システム カーネル レベルでバッファからのメッセージを表示します。

   #dmesg

   

ブレード構成

このセクションには、NGFW チェック ポイントを設定するための完全な手順は含まれていません。経験に基づいて選択された推奨事項のみが含まれています。

アプリケーション制御 / URL フィルタリング

• ルールでは、ANY、ANY (ソース、宛先) 条件を避けることをお勧めします。

• カスタム URL リソースを指定する場合は、次のような正規表現を使用するとより効果的です。 (^|..)checkpoint.com

• ルールのログ記録やブロック ページ (UserCheck) の表示を過度に使用しないでください。

• テクノロジーが正しく機能することを確認する 「セキュアXL」。 ほとんどのトラフィックは通過するはずです 加速/中パス。 また、最もよく使用されるルール (フィールド) でルールをフィルターすることを忘れないでください。 ヒット ).

HTTPS 検査

ユーザー トラフィックの 70 ～ 80% が HTTPS 接続からのものであることは周知の事実であり、これはゲートウェイ プロセッサのリソースを必要とすることを意味します。 さらに、HTTPS-Inspection は IPS、ウイルス対策、アンチボットの作業に参加しています。

バージョン 80.40 からは、 機会 レガシー ダッシュボードを使用せずに HTTPS ルールを使用するには、推奨されるルールの順序をいくつか示します。

• アドレスとネットワークのグループ (宛先) をバイパスします。

• URL のグループをバイパスします。

• 特権アクセスによる内部 IP およびネットワークをバイパスします (ソース)。

• 必要なネットワーク、ユーザーを検査する

• 他の人はバイパスしてください。

* HTTPS または HTTPS プロキシ サービスを手動で選択し、[Any] のままにすることをお勧めします。 検査ルールに従ってイベントをログに記録します。

IPS

使用される署名が多すぎる場合、IPS ブレードは NGFW にポリシーをインストールできない可能性があります。 によると статье Check Point によると、SMB デバイス アーキテクチャは、推奨される完全な IPS 構成プロファイルを実行するように設計されていません。

問題を解決または防止するには、次の手順に従います。

1. 「最適化 SMB」という最適化されたプロファイル (または選択した別のプロファイル) を複製します。

2. プロファイルを編集し、「IPS」→「Pre R80.Settings」セクションに移動して、「サーバー保護」をオフにします。

   

3. ご自身の裁量で、2010 年より古い CVE を無効にすることができます。これらの脆弱性は小規模オフィスではまれに見つかる可能性がありますが、パフォーマンスに影響します。 それらの一部を無効にするには、[プロファイル]→[IPS]→[追加のアクティブ化]→[非アクティブ化する保護]リストに移動します。

   

代わりに、結論の

SMB ファミリの新世代 NGFW (1500) に関する一連の記事の一環として、ソリューションの主な機能を強調し、特定の例を使用して重要なセキュリティ コンポーネントの構成を実証しようとしました。 商品に関するご質問はコメントにてお受けいたします。 ご清聴ありがとうございました。

TS ソリューションの Check Point に関する豊富な資料。 新しい出版物を見逃さないように、ソーシャル ネットワークの更新情報をフォローしてください (Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com