7. Шағын бизнеске арналған NGFW. Өнімділік және жалпы ұсыныстар

SMB Check Point жаңа буыны (1500 сериясы) туралы мақалалар топтамасын аяқтау уақыты келді. Бұл сіз үшін пайдалы тәжірибе болды және сіз TS Solution блогында бізбен бірге боласыз деп үміттенеміз. Соңғы мақаланың тақырыбы кеңінен қамтылмаған, бірақ маңызды емес - SMB өнімділігін баптау. Онда біз NGFW аппараттық және бағдарламалық қамтамасыз ету үшін конфигурация опцияларын талқылаймыз, қол жетімді командалар мен өзара әрекеттесу әдістерін сипаттаймыз.

Шағын бизнеске арналған NGFW туралы сериядағы барлық мақалалар:

1. Жаңа CheckPoint 1500 қауіпсіздік шлюзі желісі

2. Қораптан шығару және орнату

3. Сымсыз деректерді беру: WiFi және LTE

4. VPN

5. Бұлтты SMP басқару

6. Smart-1 бұлт

Қазіргі уақытта SMB шешімдерінің өнімділігін реттеу туралы ақпарат көздері көп емес шектеулер ішкі ОЖ - Gaia 80.20 енгізілген. Біздің мақалада біз орталықтандырылған басқарумен (арнайы басқару сервері) орналасуды қолданамыз - бұл NGFW-мен жұмыс істеу кезінде көбірек құралдарды пайдалануға мүмкіндік береді.

Жабдық

Check Point SMB отбасылық архитектурасына түртпес бұрын, серіктесіңізден қызметтік бағдарламаны пайдалануды сұрай аласыз Құрылғы өлшемін анықтау құралы, көрсетілген сипаттамаларға сәйкес оңтайлы шешімді таңдау (өткізу қабілеті, пайдаланушылардың күтілетін саны және т.б.).

NGFW жабдығымен әрекеттесу кезіндегі маңызды ескертпелер

1. SMB отбасының NGFW шешімдерінде жүйе құрамдастарын (CPU, RAM, HDD) аппараттық құралдарды жаңарту мүмкіндігі жоқ; модельге байланысты SD карталарын қолдау бар, бұл дискінің сыйымдылығын кеңейтуге мүмкіндік береді, бірақ айтарлықтай емес.

2. Желілік интерфейстердің жұмысы бақылауды қажет етеді. Gaia 80.20 Embedded бағдарламасында көптеген бақылау құралдары жоқ, бірақ сіз әрқашан CLI жүйесіндегі белгілі пәрменді Expert режимі арқылы пайдалана аласыз. 

   # ifconfig

   

   Асты сызылған сызықтарға назар аударыңыз, олар интерфейстегі қателер санын бағалауға мүмкіндік береді. Бұл параметрлерді NGFW бастапқы іске асыру кезінде, сондай-ақ жұмыс кезінде мерзімді түрде тексеру ұсынылады.

3. Толыққанды Гаиа үшін бұйрық бар:

   >диаграмманы көрсету

   Оның көмегімен жабдықтың температурасы туралы ақпаратты алуға болады. Өкінішке орай, бұл опция 80.20 Embedded нұсқасында қол жетімді емес; біз ең танымал SNMP тұзақтарын көрсетеміз:

   Aт 

   сипаттамасы

   Интерфейс ажыратылған

   Интерфейсті өшіру

   VLAN жойылды

   Вландарды жою

   Жоғары жадты пайдалану

   ЖЖҚ жоғары пайдалану

   Дискідегі бос орын аз

   HDD кеңістігі жеткіліксіз

   Жоғары CPU пайдалану

   Жоғары CPU пайдалану

   Жоғары CPU үзіліс жылдамдығы

   Жоғары үзіліс жылдамдығы

   Жоғары қосылу жылдамдығы

   Жаңа қосылымдардың жоғары ағыны

   Жоғары қатарлас қосылымдар

   Сайыстардың жоғары деңгейі

   Брандмауэрдің жоғары өткізу қабілеті

   Жоғары өткізу қабілеттілігі брандмауэр

   Қабылданған пакеттердің жоғары жылдамдығы

   Пакетті қабылдаудың жоғары жылдамдығы

   Кластерге мүше мемлекет өзгерді

   Кластер күйін өзгерту

   Журнал серверінің қатесі бар қосылым

   Журнал серверімен байланыс жоғалды

4. Шлюзіңіздің жұмысы жедел жадты бақылауды қажет етеді. Gaia (Linux тәрізді ОЖ) жұмыс істеуі үшін бұл қалыпты жағдайЖЖҚ тұтынуы пайдаланудың 70-80% жеткенде.

   SMB шешімдерінің архитектурасы бұрынғы Check Point үлгілерінен айырмашылығы, SWAP жадын пайдалануды қамтамасыз етпейді. Дегенмен, Linux жүйелік файлдарында бұл байқалды , бұл SWAP параметрін өзгертудің теориялық мүмкіндігін көрсетеді.

Бағдарламалық бөлік

Мақала жарияланған кезде нақты Gaia нұсқасы - 80.20.10. CLI жүйесінде жұмыс істеу кезінде шектеулер бар екенін білуіңіз керек: кейбір Linux командаларына Expert режимінде қолдау көрсетіледі. NGFW өнімділігін бағалау демондар мен қызметтердің өнімділігін бағалауды талап етеді, бұл туралы толығырақ ақпаратты мына жерден табуға болады. мақала менің әріптесім. Біз SMB үшін ықтимал командаларды қарастырамыз.

Gaia ОЖ-мен жұмыс істеу

1. SecureXL үлгілерін шолыңыз

   #fwaccelstat

   

2. Жүктеуді өзегі бойынша көру

   # fw ctl мультик статистикасы

   

3. Сеанстардың (байланыстар) санын қараңыз.

   # fw ctl pstat

   

4. *Кластер күйін көру

   #cphaprob статистикасы

   

5. Классикалық Linux TOP командасы

Тіркеу

Өздеріңіз білетіндей, NGFW журналдарымен жұмыс істеудің үш әдісі бар (сақтау, өңдеу): жергілікті, орталық және бұлтта. Соңғы екі опция нысанның болуын білдіреді - Басқару сервері.

NGFW басқарудың мүмкін схемалары

Ең құнды журнал файлдары

1. Жүйелік хабарлар (толық Gaia-дан аз ақпарат бар)

   # tail -f /var/log/messages2

   

2. Пышақтардың жұмысындағы қате туралы хабарлар (ақауларды жою кезінде өте пайдалы файл)

   # tail -f /var/log/log/sfwd.elg

   

3. Жүйе ядросы деңгейінде буферден хабарларды қараңыз.

   #dmesg

   

Пышақ конфигурациясы

Бұл бөлімде NGFW бақылау нүктесін орнатуға арналған толық нұсқаулар болмайды, тек тәжірибе бойынша таңдалған ұсыныстарымыз бар.

Қолданбаны басқару / URL сүзгілеу

• Ережелерде КЕЗ КЕЛГЕН, КЕЗ КЕЛГЕН (көз, тағайындау) шарттарынан аулақ болу ұсынылады.

• Пайдаланушы URL ресурсын көрсеткенде, келесідей тұрақты өрнектерді пайдалану тиімдірек болады: (^|..)checkpoint.com

• Ереже журналын шамадан тыс пайдаланудан және блоктау беттерін көрсетуден аулақ болыңыз (UserCheck).

• Технологияның дұрыс жұмыс істейтініне көз жеткізіңіз "SecureXL". Көптеген трафик өтуі керек жеделдетілген/орташа жол. Сондай-ақ, ережелерді жиі қолданылатындар бойынша сүзуді ұмытпаңыз (өріс Hits ).

HTTPS-тексеру

Пайдаланушы трафигінің 70-80% HTTPS қосылымдарынан келетіні ешкімге құпия емес, бұл сіздің шлюз процессорыңыздан ресурстарды қажет етеді. Сонымен қатар, HTTPS-Инспекция IPS, Antivirus, Antibot жұмысына қатысады.

80.40 нұсқасынан бастап пайда болды мүмкіндік Бұрынғы бақылау тақтасынсыз HTTPS ережелерімен жұмыс істеу үшін мұнда бірнеше ұсынылған ереже тәртібі берілген:

• Мекенжайлар мен желілер тобын айналып өту (Тағайындау).

• URL мекенжайлары тобын айналып өту.

• Артықшылықты рұқсаты бар ішкі IP және желілерді айналып өту (Көз).

• Қажетті желілерді, пайдаланушыларды тексеріңіз

• Басқалар үшін айналып өту.

* HTTPS немесе HTTPS прокси қызметтерін қолмен таңдап, кез келгенін қалдырған дұрыс. Тексеру ережелеріне сәйкес оқиғаларды тіркеу.

IPS

Тым көп қолтаңба пайдаланылса, IPS жолағы NGFW жүйесіне саясатты орната алмауы мүмкін. Сәйкес мақала Check Point арқылы SMB құрылғысының архитектурасы толық ұсынылған IPS конфигурация профилін іске қосуға арналмаған.

Мәселені шешу немесе болдырмау үшін мына қадамдарды орындаңыз:

1. «Оңтайландырылған SMB» деп аталатын оңтайландырылған профильді клондаңыз (немесе таңдауыңыз бойынша басқа).

2. Профильді өңдеңіз, IPS → Pre R80.Settings бөліміне өтіңіз және Сервер қорғанысын өшіріңіз.

   

3. Өз қалауыңыз бойынша 2010 жылдан асқан CVE-лерді өшіруге болады, бұл осалдықтар шағын кеңселерде сирек кездеседі, бірақ өнімділікке әсер етеді. Олардың кейбірін өшіру үшін Профиль→IPS→Қосымша белсендіру→Тізімді өшіру үшін қорғаулар тармағына өтіңіз.

   

Орнына жасасу

SMB отбасының NGFW жаңа буыны (1500) туралы мақалалар сериясының бөлігі ретінде біз шешімнің негізгі мүмкіндіктерін көрсетуге тырыстық және нақты мысалдар арқылы маңызды қауіпсіздік компоненттерінің конфигурациясын көрсеттік. Түсініктемелерде өнім туралы кез келген сұрақтарға жауап беруге қуаныштымыз. Біз сіздермен біргеміз, назарларыңызға рахмет!

TS Solution-тен Check Point бойынша материалдардың үлкен таңдауы. Жаңа жарияланымдарды жіберіп алмау үшін біздің әлеуметтік желілердегі жаңартуларды қадағалаңыз (Telegram, Facebook, VK, TS Solution блогы, Яндекс Зен).

Ақпарат көзі: www.habr.com