Tonga ny fotoana hamitana ny andian-dahatsoratra momba ny taranaka vaovao SMB Check Point (andiany 1500). Manantena izahay fa traikefa nahafinaritra ho anao ity ary mbola hiaraka aminay ao amin'ny bilaogy TS Solution ianao. Ny lohahevitry ny lahatsoratra farany dia tsy voaresaka be, fa tsy latsa-danja - ny SMB fampisehoana Tuning. Ao anatin'izany no hifanakalozan-kevitra momba ny safidy fanamafisana ho an'ny hardware sy ny rindrambaiko NGFW, mamaritra ny baiko misy sy ny fomba fifandraisana.
Lahatsoratra rehetra ao amin'ny andiany momba ny NGFW ho an'ny orinasa madinika:
Amin'izao fotoana izao, tsy dia misy loharanom-baovao maro momba ny fampifanarahana ny fahombiazan'ny vahaolana SMB noho ny OS anatiny - Gaia 80.20 Embedded. Ao amin'ny lahatsoratray dia hampiasa drafitra misy fitantanana foibe (server dedicated Management) - ahafahanao mampiasa fitaovana bebe kokoa rehefa miara-miasa amin'ny NGFW.
Ny fitaovana anjara
Alohan'ny hikasika ny maritrano fianakaviana Check Point SMB dia azonao atao ny mangataka ny mpiara-miasa aminao hampiasa ilay fitaovana Fitaovana fandrefesana fitaovana, hisafidianana ny vahaolana tsara indrindra araka ny toetra voatondro (throughput, isan'ny mpampiasa andrasana, sns.).
Fanamarihana manan-danja rehefa mifandray amin'ny fitaovana NGFW anao
Ny vahaolana NGFW an'ny fianakavian'ny SMB dia tsy manana fahafahana manavao ny singa rafitra (CPU, RAM, HDD, miankina amin'ny modely, misy ny fanohanana ny karatra SD, izany dia ahafahanao manitatra ny fahafahan'ny kapila, saingy tsy dia lehibe loatra).
Mitaky fanaraha-maso ny fampandehanana ny fifandraisana amin'ny tambajotra. Gaia 80.20 Embedded dia tsy manana fitaovana fanaraha-maso maro, fa azonao ampiasaina foana ny baiko malaza amin'ny CLI amin'ny alàlan'ny fomba Expert.
# ifconfig
Tandremo ny tsipika misy tsipiho, dia ahafahanao manombana ny isan'ny lesoka eo amin'ny interface. Tena soso-kevitra ny hanamarina ireo mari-pamantarana ireo mandritra ny fampiharana voalohany ny NGFW-nao, ary koa mandritra ny fandidiana.
Ho an'ny Gaia feno dia misy baiko:
> asehoy ny diag
Miaraka amin'ny fanampiany dia azo atao ny mahazo fampahalalana momba ny mari-pana amin'ny fitaovana. Indrisy fa tsy hita ao amin'ny 80.20 Embedded ity safidy ity;
anarana
famaritana
Tapaka ny fifandraisana
Fanesorana ny interface
VLAN nesorina
Esory ny Vlans
Fampiasana fahatsiarovana ambony
Fampiasana RAM avo lenta
Espace kapila kely
Tsy ampy toerana HDD
Fampiasana CPU avo lenta
Fampiasana CPU avo lenta
Ny tahan'ny fahatapahana CPU avo lenta
Ny tahan'ny fahatapahana ambony
Taham-pifandraisana avo
Fikoriana ambony amin'ny fifandraisana vaovao
Fifandraisana miray feo avo
Fivoriana fifaninanana avo lenta
Avo Firewall throughput
Firewall avo lenta
Ambony ny tahan'ny fonosana ekena
Avo ny tahan'ny fandraisana fonosana
Niova ny fanjakana mpikambana ao amin'ny kluster
Fanovana ny fanjakana cluster
Fifandraisana amin'ny hadisoan'ny server log
Very ny fifandraisana amin'ny Log-Server
Mila fanaraha-maso ny RAM ny vavahadin-tseraseranao mba hiasa tsara. Mila (Linux mitovy amin'ny OC) izany dia rehefa mahatratra 70-80% ny fampiasana RAM.
Ny maritrano amin'ny vahaolana SMB dia tsy manome ny fampiasana fahatsiarovana SWAP, tsy toy ny modely Check Point taloha. Na izany aza, ao amin'ny rakitra rafitra Linux voamarika , izay manondro ny mety ho fanovana ny masontsivana SWAP.
Software ampahany
Tamin'ny fotoana namoahana ny lahatsoratra Gaia version - 80.20.10. Tokony ho fantatrao fa misy fetrany rehefa miasa ao amin'ny CLI: ny baiko Linux sasany dia tohanana amin'ny fomba Expert. Ny fanombanana ny fahombiazan'ny NGFW dia mitaky fanombanana ny fahombiazan'ny daemon sy ny serivisy, ny antsipiriany bebe kokoa momba izany dia azo jerena ao amin'ny mpiara-miasa amiko. Hojerentsika ny baiko mety ho an'ny SMB.
Miara-miasa amin'ny Gaia OS
Tsidiho ny modely SecureXL
#fwaccelstat
Jereo ny boot by core
# fw ctl multik stat
Jereo ny isan'ny fivoriana (fifandraisana).
# fw ctl pstat
* Jereo ny satan'ny cluster
#cphaprob stat
kilasika Linux-Ekipa ambony indrindra
logging
Araka ny efa fantatrao dia misy fomba telo miasa miaraka amin'ny log NGFW (fitehirizana, fanodinana): eo an-toerana, afovoany ary ao anaty rahona. Ny safidy roa farany dia midika ny fisian'ny orinasa iray - Management Server.
Tetika fanaraha-maso NGFW mety
Ny rakitra log sarobidy indrindra
Hafatra rafitra (misy fampahalalana kely kokoa noho ny Gaia feno)
# tail -f /var/log/messages2
Hafatra diso amin'ny fampandehanana lelany (rakitra tena ilaina rehefa mamaha olana)
# tail -f /var/log/log/sfwd.elg
Jereo ny hafatra avy amin'ny buffer amin'ny ambaratonga kernel rafitra.
#dmesg
Fandrindrana ny blade
Ity fizarana ity dia tsy ahitana torolalana feno momba ny fametrahana ny NGFW Check Point, fa ny soso-kevitray ihany no voafantina.
Fanaraha-maso ny fampiharana / Sivana URL
Amporisihina ny hialana amin'ny fepetra ANY, ANY (Source, Destination) amin'ny fitsipika.
Rehefa mamaritra loharanon'ny URL manokana dia hahomby kokoa ny fampiasana fomba fiteny mahazatra toy ny: (^|..)checkpoint.com
Halaviro ny fampiasana tafahoatra ny firaketana an-tsoratra sy ny fampisehoana pejy fanakanana (UserCheck).
Ataovy azo antoka fa miasa tsara ny teknolojia "SecureXL". Tokony handalo ny ankamaroan'ny fifamoivoizana lalana haingana / antonony. Aza adino koa ny manivana ny fitsipika amin'ny alàlan'ny fampiasa indrindra (field Hits ).
HTTPS-Inspection
Tsy tsiambaratelo fa ny 70-80% amin'ny fifamoivoizana mpampiasa dia avy amin'ny fifandraisana HTTPS, izay midika fa mila loharanon-karena avy amin'ny processeur vavahadin-tseraseranao izany. Ankoatr'izay, ny HTTPS-Inspection dia mandray anjara amin'ny asan'ny IPS, Antivirus, Antibot.
Nanomboka tamin'ny version 80.40 dia nisy raha hiasa miaraka amin'ny fitsipika HTTPS tsy misy Dashboard Lova, ireto misy baiko fitsipika atolotra:
Bypass ho an'ny vondrona adiresy sy tambajotra (Toerana).
Bypass ho an'ny vondrona URL.
Bypass ho an'ny IP anatiny sy tambajotra manana fidirana manokana (Source).
Jereo ny tambajotra ilaina, mpampiasa
Bypass ho an'ny olon-drehetra.
* Tsara kokoa hatrany ny misafidy tolotra HTTPS na HTTPS Proxy amin'ny tanana ary avelao Any. Raketo ny hetsika araka ny fitsipika Inspect.
IPS
Ny lelan'ny IPS dia mety tsy hametraka politika amin'ny NGFW-nao raha be loatra ny sonia ampiasaina. Araka ny avy amin'ny Check Point, ny maritrano fitaovana SMB dia tsy natao hampandehanana ny mombamomba ny fanamafisana IPS manontolo.
Mba hamahana na hisorohana ny olana dia araho ireto dingana ireto:
Clone ny mombamomba Optimized antsoina hoe "Optimized SMB" (na iray hafa amin'ny safidinao).
Amboary ny mombamomba azy, mandehana any amin'ny IPS → Pre R80.Settings fizarana ary vonoy ny Server Protections.
Araka ny fanapahan-kevitrao, azonao atao ny manafoana ny CVE efa antitra noho ny taona 2010, mety tsy fahita firy any amin'ny birao madinika ireo vulnerability ireo, fa misy fiantraikany amin'ny fahombiazany. Mba hanesorana ny sasany amin'izy ireo dia mandehana ao amin'ny Profile→IPS→Additional Activation→Protections to deactivate list
Raha tokony ny famaranana
Ao anatin'ny andian-dahatsoratra momba ny taranaka vaovao NGFW an'ny fianakaviana SMB (1500), dia nanandrana nanasongadina ny fahaiza-manaon'ny vahaolana izahay ary naneho ny fanamafisana ireo singa fiarovana manan-danja amin'ny fampiasana ohatra manokana. Ho faly izahay hamaly ny fanontaniana rehetra momba ny vokatra ao amin'ny fanehoan-kevitra. Mijanona miaraka aminao izahay, misaotra anao amin'ny fiheveranao!
. Mba tsy hanadino ny famoahana vaovao, araho ny fanavaozana ao amin'ny tambajotra sosialy (, , , , ).
Source: www.habr.com
