Saiki, ora ana akeh sumber informasi babagan tuning kinerja kanggo solusi SMB amarga watesan OS internal - Gaia 80.20 Embedded. Ing artikel kita, kita bakal nggunakake tata letak kanthi manajemen terpusat (Server Manajemen khusus) - ngidini sampeyan nggunakake alat liyane nalika nggarap NGFW.
Hardware
Sadurunge ndemek arsitektur kulawarga Check Point SMB, sampeyan bisa tansah takon partner kanggo nggunakake sarana Alat Ukuran Piranti, kanggo milih solusi sing optimal miturut karakteristik sing ditemtokake (throughput, jumlah pangguna sing dikarepake, lsp.).
Cathetan penting nalika sesambungan karo hardware NGFW sampeyan
Solusi NGFW saka kulawarga SMB ora duwe kemampuan kanggo nganyari komponen sistem hardware (CPU, RAM, HDD); gumantung saka model, ana dhukungan kanggo kertu SD, iki ngidini sampeyan nggedhekake kapasitas disk, nanging ora sacara signifikan.
Operasi antarmuka jaringan mbutuhake kontrol. Gaia 80.20 Embedded ora duwe akeh alat ngawasi, nanging sampeyan bisa tansah nggunakake printah kondhang ing CLI liwat mode Expert
#ifconfig
Priksa manawa garis sing digarisake, bakal ngidini sampeyan ngira jumlah kesalahan ing antarmuka. Apike banget kanggo mriksa paramèter kasebut sajrone implementasine NGFW, uga kanthi periodik sajrone operasi.
Kanggo Gaia lengkap ana prentah:
> nuduhake diag
Kanthi bantuan, sampeyan bisa entuk informasi babagan suhu hardware. Sayange, opsi iki ora kasedhiya ing 80.20 Embedded; kita bakal nuduhake jebakan SNMP sing paling populer:
Judhul
Description
Antarmuka pedhot
Mateni antarmuka
VLAN dibusak
Mbusak Vlans
Panggunaan memori dhuwur
Panggunaan RAM dhuwur
papan disk kurang
Ora cukup papan HDD
Panggunaan CPU dhuwur
Panggunaan CPU dhuwur
Tingkat interrupts CPU dhuwur
Tingkat interupsi sing dhuwur
Tingkat sambungan dhuwur
Aliran dhuwur saka sambungan anyar
Sambungan bebarengan dhuwur
Sesi kompetitif tingkat dhuwur
throughput Firewall dhuwur
Firewall throughput dhuwur
Tarif paket sing ditampa dhuwur
Tingkat resepsi paket dhuwur
Negara anggota kluster diganti
Ngganti negara cluster
Sambungan karo kesalahan server log
Ilang sambungan karo Log-Server
Operasi gateway sampeyan mbutuhake pemantauan RAM. Kanggo Gaia (Linux-kaya OS) bisa digunakake, iki kahanan normalnalika konsumsi RAM tekan 70-80% panggunaan.
Arsitektur solusi SMB ora nyedhiyakake panggunaan memori SWAP, ora kaya model Check Point sing lawas. Nanging, ing file sistem Linux diweruhi , sing nuduhake kamungkinan teoritis kanggo ngganti parameter SWAP.
bagean piranti lunak
Ing wektu publikasi artikel up-to-date Versi Gaia - 80.20.10. Sampeyan kudu ngerti yen ana watesan nalika nggarap CLI: sawetara printah Linux didhukung ing mode Pakar. Netepake kinerja NGFW mbutuhake pambiji kinerja daemon lan layanan, rincian liyane babagan iki bisa ditemokake ing artikel kancaku. Kita bakal katon ing printah bisa kanggo SMB.
Pesen sistem (ngemot informasi kurang saka Gaia lengkap)
# buntut -f /var/log/messages2
Pesen kesalahan ing operasi blades (file sing cukup migunani nalika ngatasi masalah)
# buntut -f /var/log/log/sfwd.elg
Deleng pesen saka buffer ing tingkat kernel sistem.
#dmesg
Konfigurasi blade
Bagean iki ora ngemot instruksi lengkap kanggo nyetel NGFW Check Point; mung ngemot rekomendasi kita, sing dipilih miturut pengalaman.
Kontrol Aplikasi / Filtering URL
Disaranake supaya ANY, ANY (Sumber, Tujuan) kahanan ing aturan.
Nalika nemtokake sumber URL khusus, bakal luwih efektif nggunakake ekspresi reguler kaya: (^|..)checkpoint.com
Aja nggunakake logging aturan lan tampilan kaca sing ngalangi (UserCheck).
Priksa manawa teknologi kasebut bisa digunakake kanthi bener "SecureXL". Umume lalu lintas kudu dilewati digawe cepet / path medium. Uga, aja lali nyaring aturan miturut aturan sing paling akeh digunakake (field Hits ).
HTTPS-Inspeksi
Ora ana rahasia manawa 70-80% lalu lintas pangguna asale saka sambungan HTTPS, tegese iki mbutuhake sumber daya saka prosesor gateway sampeyan. Kajaba iku, HTTPS-Inspection melu ing karya IPS, Antivirus, Antibot.
Wiwit saka versi 80.40 ana kesempatan kanggo nggarap aturan HTTPS tanpa Dashboard Warisan, iki sawetara urutan aturan sing disaranake:
Bypass kanggo klompok alamat lan jaringan (Tujuan).
Bypass kanggo klompok URL.
Bypass kanggo IP internal lan jaringan kanthi akses istimewa (Sumber).
Priksa jaringan sing dibutuhake, pangguna
Bypass kanggo wong liya.
* Luwih becik milih layanan HTTPS utawa HTTPS Proxy kanthi manual lan ninggalake Sembarang. Log acara miturut aturan Priksa.
IPS
Lading IPS bisa uga gagal nginstal kabijakan ing NGFW yen akeh banget tanda tangan sing digunakake. miturut artikel saka Priksa Point, arsitektur piranti SMB ora dirancang kanggo mbukak profil konfigurasi IPS dianjurake lengkap.
Kanggo ngatasi utawa nyegah masalah, tindakake langkah iki:
Kloning profil Optimized disebut "Optimized SMB" (utawa siji liyane saka pilihan).
Sunting profil, pindhah menyang IPS β Pre R80.Settings bagean lan mateni Proteksi Server.
Ing kawicaksanan sampeyan, sampeyan bisa mateni CVE sing luwih lawas tinimbang 2010, kerentanan kasebut bisa uga arang ditemokake ing kantor cilik, nanging mengaruhi kinerja. Kanggo mateni sawetara, pindhah menyang Profil β IPS β Aktivasi Tambahan β Proteksi kanggo mateni dhaptar