🥇7. NGFW მცირე ბიზნესისთვის. შესრულება და ზოგადი რეკომენდაციები

დადგა დრო, დავასრულოთ სტატიების სერია ახალი თაობის SMB Check Point-ის შესახებ (1500 სერია). ვიმედოვნებთ, რომ ეს თქვენთვის საინტერესო გამოცდილება იყო და თქვენ გააგრძელებთ ჩვენთან ყოფნას TS Solution ბლოგზე. საბოლოო სტატიის თემა არ არის ფართოდ გაშუქებული, მაგრამ არანაკლებ მნიშვნელოვანია - SMB შესრულების tuning. მასში განვიხილავთ NGFW-ის აპარატურის და პროგრამული უზრუნველყოფის კონფიგურაციის ვარიანტებს, აღვწერთ ხელმისაწვდომ ბრძანებებს და ურთიერთქმედების მეთოდებს.

სერიის ყველა სტატია NGFW-ს შესახებ მცირე ბიზნესისთვის:

ამჟამად, არ არსებობს ინფორმაციის ბევრი წყარო SMB გადაწყვეტილებების შესრულების დარეგულირების შესახებ შეზღუდვები შიდა OS - Gaia 80.20 ჩაშენებული. ჩვენს სტატიაში გამოვიყენებთ განლაგებას ცენტრალიზებული მენეჯმენტით (გამოყოფილი მენეჯმენტის სერვერი) - ის საშუალებას გაძლევთ გამოიყენოთ მეტი ინსტრუმენტი NGFW-თან მუშაობისას.

აპარატურა

სანამ Check Point SMB ოჯახის არქიტექტურას შეეხებით, ყოველთვის შეგიძლიათ სთხოვოთ თქვენს პარტნიორს გამოიყენოს პროგრამა მოწყობილობის ზომის ხელსაწყო, ოპტიმალური გადაწყვეტის შერჩევა მითითებული მახასიათებლების მიხედვით (გამტარუნარიანობა, მომხმარებელთა მოსალოდნელი რაოდენობა და ა.შ.).

მნიშვნელოვანი შენიშვნები თქვენს NGFW აპარატურასთან ურთიერთობისას

SMB ოჯახის NGFW გადაწყვეტილებებს არ აქვთ სისტემის კომპონენტების ტექნიკის განახლების შესაძლებლობა (CPU, RAM, HDD); მოდელიდან გამომდინარე, არსებობს SD ბარათების მხარდაჭერა, ეს საშუალებას გაძლევთ გააფართოვოთ დისკის მოცულობა, მაგრამ არა მნიშვნელოვნად.
ქსელის ინტერფეისების მუშაობა მოითხოვს კონტროლს. Gaia 80.20 Embedded-ს არ აქვს ბევრი მონიტორინგის ხელსაწყოები, მაგრამ ყოველთვის შეგიძლიათ გამოიყენოთ ცნობილი ბრძანება CLI-ში Expert რეჟიმში.

# მეfconfig

ყურადღება მიაქციეთ ხაზგასმული ხაზებს, ისინი საშუალებას მოგცემთ შეაფასოთ შეცდომების რაოდენობა ინტერფეისზე. რეკომენდირებულია ამ პარამეტრების შემოწმება თქვენი NGFW-ის საწყისი განხორციელების დროს, ასევე პერიოდულად მუშაობის დროს.
სრულფასოვანი გაიასთვის არის ბრძანება:

> დიაგნოსტიკის ჩვენება

მისი დახმარებით შესაძლებელია ტექნიკის ტემპერატურის შესახებ ინფორმაციის მიღება. სამწუხაროდ, ეს ვარიანტი მიუწვდომელია 80.20 Embedded-ში; ჩვენ მივუთითებთ ყველაზე პოპულარულ SNMP ხაფანგებს:

სახელი

აღწერა

ინტერფეისი გათიშულია

ინტერფეისის გამორთვა

VLAN ამოღებულია

ვლანების ამოღება

მეხსიერების მაღალი გამოყენება

ოპერატიული მეხსიერების მაღალი ათვისება

Მცირე ადგილი დისკზე

არ არის საკმარისი ადგილი HDD-ზე

CPU მაღალი ათვისება

CPU მაღალი ათვისება

CPU შეფერხებების მაღალი სიხშირე

მაღალი შეფერხების მაჩვენებელი

კავშირის მაღალი მაჩვენებელი

ახალი კავშირების მაღალი ნაკადი

მაღალი კონკურენტული კავშირები

მაღალი დონის კონკურენტული სესიები

Firewall-ის მაღალი გამტარუნარიანობა

მაღალი გამტარუნარიანობის Firewall

მაღალი მიღებული პაკეტის განაკვეთი

პაკეტის მიღების მაღალი მაჩვენებელი

შეიცვალა კლასტერის წევრი ქვეყანა

კასეტური მდგომარეობის შეცვლა

ჟურნალის სერვერთან დაკავშირების შეცდომა

Log-Server-თან კავშირი დაკარგულია
თქვენი კარიბჭის მუშაობა მოითხოვს ოპერატიული მეხსიერების მონიტორინგს. იმისათვის, რომ Gaia (Linux-ის მსგავსი OS) იმუშაოს, ეს არის ნორმალური მდგომარეობაროდესაც ოპერატიული მეხსიერების მოხმარება აღწევს გამოყენების 70-80%-ს.

SMB გადაწყვეტილებების არქიტექტურა არ ითვალისწინებს SWAP მეხსიერების გამოყენებას, განსხვავებით ძველი Check Point მოდელებისგან. თუმცა, Linux სისტემის ფაილებში ეს შენიშნა , რაც მიუთითებს SWAP პარამეტრის შეცვლის თეორიულ შესაძლებლობაზე.

პროგრამული ნაწილი

სტატიის გამოქვეყნების დროს ფაქტობრივი Gaia ვერსია - 80.20.10. თქვენ უნდა იცოდეთ, რომ არსებობს შეზღუდვები CLI-ში მუშაობისას: Linux-ის ზოგიერთი ბრძანება მხარდაჭერილია Expert რეჟიმში. NGFW-ის მუშაობის შეფასება მოითხოვს დემონების და სერვისების მუშაობის შეფასებას, ამის შესახებ მეტი დეტალები შეგიძლიათ იხილოთ მუხლი ჩემი კოლეგა. ჩვენ განვიხილავთ შესაძლო ბრძანებებს SMB-ისთვის.

Gaia OS-თან მუშაობა

დაათვალიერეთ SecureXL შაბლონები

#fwaccelstat
ნახეთ ჩატვირთვა ბირთვის მიხედვით

# fw ctl multik სტატისტიკა
იხილეთ სესიების რაოდენობა (კავშირები).

# fw ctl pstat
* კლასტერის სტატუსის ნახვა

#cphaprob სტატისტიკა
კლასიკური Linux TOP ბრძანება

ხე-ტყე

როგორც უკვე იცით, NGFW ჟურნალებთან მუშაობის სამი გზა არსებობს (შენახვა, დამუშავება): ლოკალურად, ცენტრალურად და ღრუბელში. ბოლო ორი ვარიანტი გულისხმობს სუბიექტის არსებობას - მართვის სერვერი.

NGFW კონტროლის შესაძლო სქემები

ყველაზე ღირებული ჟურნალის ფაილები

სისტემის შეტყობინებები (შეიცავს ნაკლებ ინფორმაციას, ვიდრე სრული Gaia)

# კუდი -f /var/log/messages2
შეცდომის შეტყობინებები blades-ის მუშაობაში (საკმაოდ სასარგებლო ფაილია პრობლემების მოგვარებისას)

# კუდი -f /var/log/log/sfwd.elg
იხილეთ შეტყობინებები ბუფერიდან სისტემის ბირთვის დონეზე.

#dmesg

დანის კონფიგურაცია

ეს განყოფილება არ შეიცავს სრულ ინსტრუქციას თქვენი NGFW გამშვები წერტილის დასაყენებლად; ის შეიცავს მხოლოდ ჩვენს რეკომენდაციებს, რომლებიც არჩეულია გამოცდილებით.

აპლიკაციის კონტროლი / URL ფილტრაცია

რეკომენდირებულია თავიდან აიცილოთ ANY, ANY (წყარო, დანიშნულება) პირობები წესებში.
მორგებული URL რესურსის მითითებისას, უფრო ეფექტური იქნება რეგულარული გამონათქვამების გამოყენება, როგორიცაა: (^|..)checkpoint.com
მოერიდეთ წესების აღრიცხვის გადაჭარბებულ გამოყენებას და დაბლოკილი გვერდების ჩვენებას (UserCheck).
დარწმუნდით, რომ ტექნოლოგია მუშაობს სწორად "SecureXL". ტრაფიკის უმეტესობა უნდა გაიაროს აჩქარებული/საშუალო გზა. ასევე, არ დაგავიწყდეთ წესების გაფილტვრა ყველაზე ხშირად გამოყენებული წესების მიხედვით (ველი ნანახია ).

HTTPS-ინსპექტირება

საიდუმლო არ არის, რომ მომხმარებლის ტრაფიკის 70-80% მოდის HTTPS კავშირებიდან, რაც ნიშნავს, რომ ეს მოითხოვს რესურსებს თქვენი კარიბჭის პროცესორიდან. გარდა ამისა, HTTPS-Inspection მონაწილეობს IPS, Antivirus, Antibot-ის მუშაობაში.

80.40 ვერსიიდან დაწყებული იყო შესაძლებლობა იმუშაოთ HTTPS წესებთან Legacy Dashboard-ის გარეშე, აქ არის რამოდენიმე რეკომენდებული წესების თანმიმდევრობა:

მისამართებისა და ქსელების ჯგუფის შემოვლითი გზა (დანიშნულების ადგილი).
გვერდის ავლით URL-ების ჯგუფისთვის.
გვერდის ავლით შიდა IP-სთვის და პრივილეგირებული წვდომის მქონე ქსელებისთვის (წყარო).
შეამოწმეთ საჭირო ქსელები, მომხმარებლები
შემოვლითი გზა ყველა დანარჩენისთვის.

* ყოველთვის უკეთესია ხელით აირჩიოთ HTTPS ან HTTPS Proxy სერვისები და დატოვოთ Any. დაარეგისტრირეთ მოვლენები ინსპექტირების წესების მიხედვით.

IPS

IPS blade-მა შეიძლება ვერ დააინსტალიროს პოლიტიკა თქვენს NGFW-ზე, თუ ძალიან ბევრი ხელმოწერაა გამოყენებული. Მიხედვით მუხლი Check Point-დან SMB მოწყობილობის არქიტექტურა არ არის შექმნილი სრული რეკომენდირებული IPS კონფიგურაციის პროფილის გასაშვებად.

პრობლემის მოსაგვარებლად ან თავიდან ასაცილებლად, მიჰყევით ამ ნაბიჯებს:

კლონირეთ ოპტიმიზებული პროფილი სახელწოდებით „ოპტიმიზებული SMB“ (ან თქვენი არჩევანით).
დაარედაქტირეთ პროფილი, გადადით IPS → Pre R80.Settings განყოფილებაში და გამორთეთ სერვერის დაცვა.
თქვენი შეხედულებისამებრ, შეგიძლიათ გამორთოთ 2010 წელზე ძველი CVE, ეს დაუცველობა შეიძლება იშვიათად მოიძებნოს პატარა ოფისებში, მაგრამ გავლენას ახდენს შესრულებაზე. ზოგიერთი მათგანის გამოსართავად გადადით პროფილზე→IPS→დამატებითი აქტივაცია→დაცვები სიის გამორთვისთვის.

იმის ნაცვლად, რომ დასკვნა

როგორც სტატიების სერიის ნაწილი SMB ოჯახის ახალი თაობის NGFW (1500) შესახებ, ჩვენ შევეცადეთ გამოვყოთ გადაწყვეტის ძირითადი შესაძლებლობები და ვაჩვენეთ უსაფრთხოების მნიშვნელოვანი კომპონენტების კონფიგურაცია კონკრეტული მაგალითების გამოყენებით. ჩვენ მოხარული ვიქნებით უპასუხოთ ნებისმიერ შეკითხვას პროდუქტის შესახებ კომენტარებში. ჩვენ ვრჩებით თქვენთან, გმადლობთ ყურადღებისთვის!

მასალების დიდი არჩევანი Check Point-ზე TS Solution-ისგან. იმისათვის, რომ არ გამოტოვოთ ახალი პუბლიკაციები, მიჰყევით განახლებებს ჩვენს სოციალურ ქსელებში (დეპეშა, Facebook, VK, TS Solution ბლოგი, Yandex Zen).

წყარო: www.habr.com

7. NGFW მცირე ბიზნესისთვის. შესრულება და ზოგადი რეკომენდაციები

აპარატურა

პროგრამული ნაწილი

ხე-ტყე

დანის კონფიგურაცია

იმის ნაცვლად, რომ დასკვნა

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება