7. NGFW mo nga pakihi iti. Mahinga me nga taunakitanga whanui
Kua tae ki te wa ki te whakaoti i nga raupapa tuhinga mo te reanga hou o SMB Check Point (1500 raupapa). Ko te tumanako he wheako pai tenei mo koe, ka noho tonu koe ki a matou i runga i te blog TS Solution. Ko te kaupapa mo te tuhinga whakamutunga kaore i te whanuihia, engari kaore i te iti ake te mea nui - SMB performance tuning. I roto ka matapakihia e matou nga whiringa whirihoranga mo te taputapu me te rorohiko o te NGFW, te whakaahua i nga whakahau e waatea ana me nga tikanga o te taunekeneke.
Nga tuhinga katoa o te raupapa mo NGFW mo nga pakihi iti:
I tenei wa, kaore i te maha nga puna korero mo te whakatikatika i nga mahi mo nga otinga SMB na te mea herenga OS ā-roto - Gaia 80.20 Kua whakauruhia. I roto i ta maatau tuhinga ka whakamahia e matou he whakatakotoranga me te whakahaeretanga matua (Tumau Whakahaere Motuhake) - ka taea e koe te whakamahi i etahi atu taputapu ka mahi tahi me NGFW.
Pūmārō
I mua i te pa atu ki te hoahoanga whanau SMB Takitaki, ka taea e koe te tono i to hoa ki te whakamahi i te taputapu Utauta Rahi taputapu, ki te whiriwhiri i te otinga tino pai kia rite ki nga ahuatanga kua tohua (te whakaputanga, te maha o nga kaiwhakamahi e tumanakohia ana, me etahi atu).
Ko nga korero nui i te wa e taunekeneke ana me to taputapu NGFW
Ko nga otinga NGFW o te whanau SMB kaore i te kaha ki te whakahou i nga taputapu punaha (CPU, RAM, HDD); i runga i te tauira, he tautoko mo nga kaari SD, ka taea e koe te whakawhānui ake i te kaha o te kōpae, engari kaore i te tino nui.
Ko te mahi o nga atanga whatunga me whai mana whakahaere. Ko te Gaia 80.20 Karekau he maha nga taputapu aroturuki, engari ka taea e koe te whakamahi i te whakahau rongonui i te CLI ma te aratau Tohunga
# ifconfig
Kia whai whakaaro ki nga raina kua tohua, ka taea e koe te whakatau i te maha o nga hapa i runga i te atanga. E tino taunakitia ana kia tirohia enei tawhā i te wa o te whakatinanatanga tuatahi o to NGFW, me ia wa i te wa e mahi ana.
Mo te Gaia katoo he whakahau:
> whakaatu hoahoa
Ma tana awhina ka taea te whiwhi korero mo te pāmahana o te taputapu. Kia aroha mai, kaore tenei whiringa i te watea i roto i te 80.20 Embedded; ka tohuhia e matou nga mahanga SNMP tino rongonui:
Taitara
Whakaahuatanga
Kua momotu te atanga
Te whakakore i te atanga
Kua tangohia a VLAN
Te tango i a Vlans
Te whakamahi mahara teitei
Te whakamahi RAM teitei
Mokowā kōpae iti
He iti rawa te mokowā HDD
Te whakamahi CPU teitei
Te whakamahi CPU teitei
PTM teitei auau haukoti
Te auau haukoti teitei
Te reanga hononga teitei
Te rere nui o nga hononga hou
Te teitei o nga hononga hono
Te taumata teitei o nga huihuinga whakataetae
Putanga Paahiahi teitei
Pātūahi Putanga teitei
Te utu mokete e whakaaetia ana
He nui te tere o te whiwhinga mokete
Kua huri te ahua mema o te roopu
Te huri i te ahua tautau
Hononga ki te hapa tūmau rangitaki
Kua ngaro te hononga ki te Log-Server
Ko te mahi o to kuaha me te aroturuki RAM. Mo Gaia (Linux-rite OS) ki te mahi, koinei āhuatanga noaka tae te kohi RAM ki te 70-80% o te whakamahinga.
Ko te hoahoanga o nga otinga SMB kaore e taea te whakamahi i te mahara SWAP, kaore i rite ki nga tauira Tirotiro tawhito. Heoi, i roto i nga konae punaha Linux i kitea , e tohu ana i te tupono noa o te huri i te tawhā SWAP.
Wāhanga Pūmanawa
I te wa o te whakaputanga o te tuhinga nga mea hou Putanga Gaia - 80.20.10. Me mohio koe he herenga i te wa e mahi ana i te CLI: ka tautokohia etahi whakahau Linux ki te aratau Tohunga. Ko te aromatawai i te mahi a NGFW me aromatawai i nga mahi a nga daemons me nga ratonga, ka kitea etahi atu korero mo tenei Tuhinga toku hoa mahi. Ka tirohia e maatau nga tono mo SMB.
Mahi tahi me Gaia OS
Tirotiro tauira SecureXL
#fwaccelstat
Tirohia te boot ma te matua
# fw ctl multik tatauranga
Tirohia te maha o nga huihuinga (hononga).
# fw ctl pstat
*Tirohia te mana tautau
#cphaprob tatauranga
Tauhira Linux TOP whakahau
Te takiuru
Kei te mohio koe, e toru nga huarahi ki te mahi me nga rakau NGFW (te rokiroki, te tukatuka): i te rohe, i te pokapū me te kapua. Ko nga whiringa whakamutunga e rua e tohu ana i te aroaro o tetahi hinonga - Tūmau Whakahaere.
Nga kaupapa whakahaere NGFW pea
Ko nga kōnae rangitaki tino nui
Karere Pūnaha (he iti ake nga korero i te Gaia katoa)
# hiku -f /var/log/messages2
Nga karere hapa i roto i te mahi o nga matatahi (he tino pai te konae ina raru raruraru)
# hiku -f /var/log/log/sfwd.elg
Tirohia nga karere mai i te parapara i te taumata kernel punaha.
#dmesg
whirihoranga mata
Karekau tenei waahanga i roto i nga tohutohu katoa mo te whakatuu i to Wāhi Takitaki NGFW; kei roto noa i a matou taunakitanga, i tohua e te wheako.
Mana Taupānga / Tātari URL
E taunaki ana kia karohia TĒTAHI, TĒTAHI (Source, Destination) tikanga i roto i ngā ture.
Ina tohua he rauemi URL ritenga, ka pai ake te whakamahi i nga korero auau penei: (^|..)checkpoint.com
A ape i te whakamahi nui o te tuhi ture me te whakaatu i nga wharangi aukati (UserCheck).
Me mohio kei te mahi tika te hangarau "HaumaruXL". Me haere te nuinga o nga waka ara whakatere/waewae. Ano, kaua e wareware ki te tarai i nga ture ma nga mea e tino whakamahia ana (mara Hits ).
HTTPS-Tirotiro
Ehara i te mea ngaro ko te 70-80% o nga hokohoko a nga kaiwhakamahi ka ahu mai i nga hononga HTTPS, ko te tikanga me whai rauemi mai i to tukatuka kuaha. I tua atu, ka uru te HTTPS-Inspection ki nga mahi a IPS, Antivirus, Antibot.
I timata mai i te putanga 80.40 i reira faingamālie ki te mahi me nga ture HTTPS kaore he Papatohu Tuku iho, koinei etahi ota ture e taunaki ana:
Haerehia mo te roopu o nga wahitau me nga whatunga (Tauinga).
Tukuna mo te roopu URL.
Tukuna mo te IP o roto me nga whatunga whai mana uru (Putake).
Tirotiro mo nga whatunga e hiahiatia ana, nga kaiwhakamahi
Haere ma te katoa.
* He pai ake te kowhiri-a-ringa i nga ratonga HTTPS, HTTPS Takawaenga ranei ka waiho tetahi. Takitaki i nga kaupapa e ai ki nga ture Tirotiro.
IPS
Ka kore pea te mata IPS ki te whakauru kaupapa here ki to NGFW mena he maha nga waitohu e whakamahia ana. E ai ki Tuhinga mai i te Tirohanga Tirohanga, kaore te hoahoanga taputapu SMB i hangaia hei whakahaere i te katoa o nga tohu whirihoranga IPS e taunaki ana.
Hei whakatau, hei aukati ranei i te raru, whai i enei mahi:
Korohia te kōtaha Arotau e kiia nei ko "SMB kua arotau" (tetahi atu ranei e pai ana koe).
Whakatikaina te kōtaha, haere ki te IPS → Tuhinga o mua R80. Tautuhinga ka whakawetohia nga Tiaki Tūmau.
I runga i to whakaaro, ka taea e koe te whakakore i nga CVE kua pakeke ake i te 2010, ka kitea pea enei whakaraeraetanga i roto i nga tari iti, engari ka pa ki nga mahi. Hei whakakore i etahi o enei, haere ki te Profile → IPS → Addiction Activation → Protections to deactivate list
Engari o te mutunga
Hei waahanga o te raupapa tuhinga mo te reanga hou o NGFW o te whanau SMB (1500), i whakamatau matou ki te whakanui i nga kaha matua o te otinga me te whakaatu i te whirihoranga o nga waahanga haumaru nui ma te whakamahi i nga tauira motuhake. Ka koa matou ki te whakautu i nga patai mo te hua i roto i nga korero. Ka noho matou ki a koe, ka mihi ki a koe mo to aro!