7. NGFW kanggo bisnis cilik. Kinerja lan rekomendasi umum

Wektu wis teka kanggo ngrampungake seri artikel babagan generasi anyar SMB Check Point (seri 1500). Muga-muga iki minangka pengalaman sing bermanfaat kanggo sampeyan lan sampeyan bakal terus karo kita ing blog TS Solution. Topik kanggo artikel pungkasan ora akeh dibahas, nanging ora kurang penting - tuning kinerja SMB. Ing kono kita bakal ngrembug opsi konfigurasi kanggo hardware lan piranti lunak NGFW, njlèntrèhaké printah sing kasedhiya lan cara interaksi.

Kabeh artikel ing seri babagan NGFW kanggo bisnis cilik:

1. CheckPoint anyar 1500 Keamanan Gateway Line

2. Unboxing lan Setup

3. Transmisi data nirkabel: WiFi lan LTE

4. VPN

5. Manajemen SMP Awan

6. Smart-1 Cloud

Saiki, ora ana akeh sumber informasi babagan tuning kinerja kanggo solusi SMB amarga watesan OS internal - Gaia 80.20 Embedded. Ing artikel kita, kita bakal nggunakake tata letak kanthi manajemen terpusat (Server Manajemen khusus) - ngidini sampeyan nggunakake alat liyane nalika nggarap NGFW.

Hardware

Sadurunge ndemek arsitektur kulawarga Check Point SMB, sampeyan bisa tansah takon partner kanggo nggunakake sarana Alat Ukuran Piranti, kanggo milih solusi sing optimal miturut karakteristik sing ditemtokake (throughput, jumlah pangguna sing dikarepake, lsp.).

Cathetan penting nalika sesambungan karo hardware NGFW sampeyan

1. Solusi NGFW saka kulawarga SMB ora duwe kemampuan kanggo nganyari komponen sistem hardware (CPU, RAM, HDD); gumantung saka model, ana dhukungan kanggo kertu SD, iki ngidini sampeyan nggedhekake kapasitas disk, nanging ora sacara signifikan.

2. Operasi antarmuka jaringan mbutuhake kontrol. Gaia 80.20 Embedded ora duwe akeh alat ngawasi, nanging sampeyan bisa tansah nggunakake printah kondhang ing CLI liwat mode Expert 

   #ifconfig

   

   Priksa manawa garis sing digarisake, bakal ngidini sampeyan ngira jumlah kesalahan ing antarmuka. Apike banget kanggo mriksa paramèter kasebut sajrone implementasine NGFW, uga kanthi periodik sajrone operasi.

3. Kanggo Gaia lengkap ana prentah:

   > nuduhake diag

   Kanthi bantuan, sampeyan bisa entuk informasi babagan suhu hardware. Sayange, opsi iki ora kasedhiya ing 80.20 Embedded; kita bakal nuduhake jebakan SNMP sing paling populer:

   Judhul 

   Description

   Antarmuka pedhot

   Mateni antarmuka

   VLAN dibusak

   Mbusak Vlans

   Panggunaan memori dhuwur

   Panggunaan RAM dhuwur

   papan disk kurang

   Ora cukup papan HDD

   Panggunaan CPU dhuwur

   Panggunaan CPU dhuwur

   Tingkat interrupts CPU dhuwur

   Tingkat interupsi sing dhuwur

   Tingkat sambungan dhuwur

   Aliran dhuwur saka sambungan anyar

   Sambungan bebarengan dhuwur

   Sesi kompetitif tingkat dhuwur

   throughput Firewall dhuwur

   Firewall throughput dhuwur

   Tarif paket sing ditampa dhuwur

   Tingkat resepsi paket dhuwur

   Negara anggota kluster diganti

   Ngganti negara cluster

   Sambungan karo kesalahan server log

   Ilang sambungan karo Log-Server

4. Operasi gateway sampeyan mbutuhake pemantauan RAM. Kanggo Gaia (Linux-kaya OS) bisa digunakake, iki kahanan normalnalika konsumsi RAM tekan 70-80% panggunaan.

   Arsitektur solusi SMB ora nyedhiyakake panggunaan memori SWAP, ora kaya model Check Point sing lawas. Nanging, ing file sistem Linux diweruhi , sing nuduhake kamungkinan teoritis kanggo ngganti parameter SWAP.

bagean piranti lunak

Ing wektu publikasi artikel up-to-date Versi Gaia - 80.20.10. Sampeyan kudu ngerti yen ana watesan nalika nggarap CLI: sawetara printah Linux didhukung ing mode Pakar. Netepake kinerja NGFW mbutuhake pambiji kinerja daemon lan layanan, rincian liyane babagan iki bisa ditemokake ing artikel kancaku. Kita bakal katon ing printah bisa kanggo SMB.

Nggarap Gaia OS

1. Telusuri Cithakan SecureXL

   #fwaccelstat

   

2. Ndeleng boot dening inti

   # fw ctl multik stat

   

3. Deleng jumlah sesi (sambungan).

   # fw ctl pstat

   

4. * Ndeleng status klompok

   #cphaprob stat

   

5. Perintah TOP Linux klasik

logging

Kaya sing wis dingerteni, ana telung cara kanggo nggarap log NGFW (panyimpenan, pangolahan): lokal, tengah lan awan. Rong pilihan pungkasan nuduhake anané entitas - Server Manajemen.

Kemungkinan skema kontrol NGFW

File log sing paling larang regane

1. Pesen sistem (ngemot informasi kurang saka Gaia lengkap)

   # buntut -f /var/log/messages2

   

2. Pesen kesalahan ing operasi blades (file sing cukup migunani nalika ngatasi masalah)

   # buntut -f /var/log/log/sfwd.elg

   

3. Deleng pesen saka buffer ing tingkat kernel sistem.

   #dmesg

   

Konfigurasi blade

Bagean iki ora ngemot instruksi lengkap kanggo nyetel NGFW Check Point; mung ngemot rekomendasi kita, sing dipilih miturut pengalaman.

Kontrol Aplikasi / Filtering URL

• Disaranake supaya ANY, ANY (Sumber, Tujuan) kahanan ing aturan.

• Nalika nemtokake sumber URL khusus, bakal luwih efektif nggunakake ekspresi reguler kaya: (^|..)checkpoint.com

• Aja nggunakake logging aturan lan tampilan kaca sing ngalangi (UserCheck).

• Priksa manawa teknologi kasebut bisa digunakake kanthi bener "SecureXL". Umume lalu lintas kudu dilewati digawe cepet / path medium. Uga, aja lali nyaring aturan miturut aturan sing paling akeh digunakake (field Hits ).

HTTPS-Inspeksi

Ora ana rahasia manawa 70-80% lalu lintas pangguna asale saka sambungan HTTPS, tegese iki mbutuhake sumber daya saka prosesor gateway sampeyan. Kajaba iku, HTTPS-Inspection melu ing karya IPS, Antivirus, Antibot.

Wiwit saka versi 80.40 ana kesempatan kanggo nggarap aturan HTTPS tanpa Dashboard Warisan, iki sawetara urutan aturan sing disaranake:

• Bypass kanggo klompok alamat lan jaringan (Tujuan).

• Bypass kanggo klompok URL.

• Bypass kanggo IP internal lan jaringan kanthi akses istimewa (Sumber).

• Priksa jaringan sing dibutuhake, pangguna

• Bypass kanggo wong liya.

* Luwih becik milih layanan HTTPS utawa HTTPS Proxy kanthi manual lan ninggalake Sembarang. Log acara miturut aturan Priksa.

IPS

Lading IPS bisa uga gagal nginstal kabijakan ing NGFW yen akeh banget tanda tangan sing digunakake. miturut artikel saka Priksa Point, arsitektur piranti SMB ora dirancang kanggo mbukak profil konfigurasi IPS dianjurake lengkap.

Kanggo ngatasi utawa nyegah masalah, tindakake langkah iki:

1. Kloning profil Optimized disebut "Optimized SMB" (utawa siji liyane saka pilihan).

2. Sunting profil, pindhah menyang IPS → Pre R80.Settings bagean lan mateni Proteksi Server.

   

3. Ing kawicaksanan sampeyan, sampeyan bisa mateni CVE sing luwih lawas tinimbang 2010, kerentanan kasebut bisa uga arang ditemokake ing kantor cilik, nanging mengaruhi kinerja. Kanggo mateni sawetara, pindhah menyang Profil → IPS → Aktivasi Tambahan → Proteksi kanggo mateni dhaptar

   

Tinimbang kesimpulan

Minangka bagéan saka seri artikel bab generasi anyar NGFW saka kulawarga SMB (1500), kita nyoba kanggo nyorot kapabilitas utama saka solusi lan nduduhake konfigurasi komponen keamanan penting nggunakake conto tartamtu. Kita bakal seneng njawab pitakonan babagan produk ing komentar. We tetep karo sampeyan, matur nuwun kanggo manungsa waé!

Pilihan akeh bahan ing Check Point saka TS Solution. Supaya ora kantun publikasi anyar, tindakake nganyari ing jaringan sosial kita (Telegram, Facebook, VK, Blog Solusi TS, Yandex Zen).

Source: www.habr.com