7. NGFW pro parvis negotiis. Euismod and general recommendations

Tempus advenit ut articulorum seriem perficiendam circa novam generationem SMB Check Point (1500 series). Speramus hanc experientiam praemii tibi fuisse et te nobiscum in TS blog persolutione futurum. Thema finalis articuli late non opertum est, sed non minoris momenti - SMB perficientur tuning. In eo tractabimus optiones configurationes pro ferramentis et programmatibus NGFW, mandata ac modos commercii describentes.

Articuli omnes in serie de NGFW pro parvis negotiis:

1. Novum CheckPoint MD Securitatis porta linea

2. Unboxing et setup

3. Wireless notitia tradenda: WiFi et LTE

4. VPN

5. Nubes SMP Management

6. Smart 1 Cloud

In praesenti, non sunt multi informationes fontium de opera facienda pro solutionibus SMB debitae constrictas internus OS - Gaia 80.20 Embedded. In nostro articulo utemur layout cum administratione centralised (Servo Management dicata) - sinit te pluribus instrumentis uti cum operando cum NGFW.

In parte hardware

Antequam de Architectura familiae perscriptio SMB Puncta contingant, semper socium tuum requiris ut utilitate utatur Appliance Sizing tool, meliorem solutionem eligere secundum notas determinatas (throughput, expectatum numerum utentium, etc.).

Momenti notas cum mutuo interacting cum NGFW hardware

1. NGFW solutiones familiae SMB non habent facultatem ad ferramenta systematis upgrade (CPU, RAM, HDD), secundum exemplar, subsidia pro schedulis SD, hoc tibi permittit ut capacitatem orbis amplifices, sed non signanter.

2. Operatio interfaces retis requirit imperium. Gaia 80.20 Embedded multa instrumenta magna non habet, sed semper notissimo imperio uti potes in mode perito CLI. 

   # egofconfig

   

   Adtendite lineas fucosas, et numerum errorum in instrumento aestimare permittent. Valde commendatur hos parametros cohibere in exsequenda initiali tui NGFW, necnon in operatione periodice.

3. Plenae enim Gaiae praeceptum est;

   > Ostende diag

   Cum eius auxilio potest habere informationem de tortor vitae odio. Infeliciter, haec optio in 80.20 Embedded non valet, sed maxime populares SNMP laqueos indicabimus:

   nomine 

   Description

   Interface disiungitur

   Inactivare interface

   VLAN remotus

   Removere Vlans

   Princeps memoriae utendo

   Princeps RAM USUS

   Humilis orbis tractus

   Non satis HDD spatium

   Princeps CPU utendo

   Princeps CPU utendo

   Princeps CPU obloquitur rate

   Princeps rate adjicias

   Princeps nexum rate

   Princeps fluxus hospites novis

   Princeps coniunctiones concurrentes

   Altus gradus competitive sessiones

   Princeps Firewall throughput

   Princeps throughput Firewall

   Princeps accepit packet rate

   Princeps packet receptionem rate

   Botrus membrum civitatis mutaverunt

   Botrus mutantur civitatis

   Connection cum iniuriarum server errore

   Perdidit nexum cum Log Servo

4. Operatio portae tuae vigilantia RAM requirit. Nam Gaia (Linux-sicut OS) ad laborem, hoc est normalis situcum RAM consummatio ad 70-80% usus.

   Architectura SMB solutionum usui SWAP memoriae non praebet, dissimiles exempla maiora perscriptio. Tamen in lima ratio Linux animadversa est quae indicat facultatem theoricam mutandi RES parametri.

Et partem software

In tempore publicationis articuli ipsa Gaia versio - 80.20.10. Scire debes limitationes esse cum operando in CLI: quaedam mandata Linux in Modo Periti fulciuntur. Perpendendis observantia NGFW perpendendis daemonum et officiorum observantia requirit, plura de hoc reperiri in singularia possunt. articulus collega meus. Praecepta possibilia aspiciemus pro SMB.

OS opus cum Gaia

1. Browse SecureXL templates

   #fwaccelstat

   

2. Visum tabernus a core

   # Fw ctl multik stat

   

3. Vide numerum sessionum (connexiones).

   # Fw ctl pstat

   

4. * View botrum portassent statum

   #cphaprob stat

   

5. Classic Linux TOP mandatum

Logging

Ut iam nostis, tres modi sunt ad operandum cum lignis NGFW (repono, processus): localiter, centro et in nube. Duae ultimae optiones praesentiam entis implicant - Servo Management.

Potest NGFW consilia potestate

Pretiosissimi iniuriarum files

1. Systema nuntia (minus informationes continet quam plenae Gaiae)

   # cauda -f /var/log/messages2

   

2. Error nuntii in operatione foliorum ( lima satis utilis cum quaestionibus sollicitudinibus )

   cauda # -f /var/log/log/sfwd.elg

   

3. Vise nuntios ex quiddam in gradu nuclei systematis.

   #dmesg

   

Configuratione ferrum

Haec sectio non continebit integras instructiones ad constituendum tuum NGFW perscriptio punctum, solum commendationes nostras, usu electas.

Applicationem Imperium / URL eliquare

• Commendatur conditiones in regulas vitare quaslibet (Source, Destination).

• Cum consuetudini URL subventionis specificans, efficacius erit ut expressionibus regularibus uti: (^|..)checkpoint.com

• Nimium usum regulae logging fuge et ostentationem paginarum interclusionum (UserCheck).

• Vide technicae artis bene "SecureXL". Maxime negotiationis debet ire per accelerato / medium iter. Etiam regulas a usitatis (agro) eliquare noli oblivisci Album ).

HTTPS-inspectionis

Non occultum est quod 70-80% commercii usoris ex HTTPS nexus venit, id quod opes ex processu tuo portae requirit. Praeterea HTTPS Inspectio opus IPS, Antivirus, Antibot participat.

Ex versione 80.40 erat potestatem laborare cum HTTPS regulas sine Legato Dashboard, hic aliqua regula ordinis commendatur:

• Bypass in coetus inscriptionum et reticulorum (Destination).

• Bypass pro circulo URLs.

• Bypass pro IP internis et reticulis cum accessu privilegiato (Source).

• Inspice requiritur retiacula, users

• Bypass omnibus aliis.

* Melius semper est HTTPS vel HTTPS proxy manually eligere et officia relinquere. Log certe secundum praecepta Inspice.

IPS

Ferrum IPS deficere potest consilium in NGFW instituere si nimis multae subscriptiones adhibentur. Secundum articulus e Loco Moderare, architectura fabrica SMB fabrica non designata est ad plenam IPS configurationem profile commendandam.

Ad solvendum vel impediendum, hos gradus sequere:

1. Clone in Optimized profile vocatur "Optimized SMB" (vel alius electionis tuae).

2. Edere profanum, vade ad IPS → Pre R80.Settings sectionem et averte Servo Praesidia.

   

3. Discretioni tuae, CVEs maiores quam 2010 debilitare potes, hae vulnerabilitates raro in parvis officiis reperiri possunt, sed effectus afficiunt. Ut disable aliqui eorum, adire → IPS → Additional Activation → Praesidia ad album deactivate ad Profile →

   

Sed in finem

Cum pars seriei articulorum de nova generatione NGFW familiae SMB (1500), illustrare conati sumus praecipuas solutionis facultates et demonstravimus conformationem rerum magnarum securitatis adhibitis exemplis specificis. Laeti erimus respondere quaestionibus de facto in comment. Apud te manemus, gratias agimus propter animum tuum!

Magnae materiae selectae de TS Solutio in puncto Check. Ut novis publicationibus non deesset, updates retia nostris socialibus sequere (Telegram, Facebook, VK, TS Solutio Blog, rhoncus Yandex).

Source: www.habr.com