7. Жижиг бизнесүүдэд зориулсан NGFW. Гүйцэтгэл ба ерөнхий зөвлөмжүүд

Шинэ үеийн SMB Check Point (1500 цуврал) тухай цуврал нийтлэлийг дуусгах цаг болжээ. Энэ нь танд ашигтай туршлага болсон бөгөөд та TS Solution блог дээр бидэнтэй хамт байх болно гэдэгт найдаж байна. Төгсгөлийн нийтлэлийн сэдэв нь өргөн хүрээтэй байдаггүй, гэхдээ тийм ч чухал биш - SMB гүйцэтгэлийн тааруулалт. Үүн дээр бид NGFW-ийн техник хангамж, програм хангамжийн тохиргооны сонголтуудын талаар ярилцаж, боломжтой командууд болон харилцан үйлчлэлийн аргуудыг тайлбарлах болно.

Жижиг бизнесүүдэд зориулсан NGFW-ийн талаархи цуврал нийтлэлүүд:

1. Шинэ CheckPoint 1500 аюулгүй байдлын гарцын шугам

2. Хайрцагнаас задлах, тохируулах

3. Утасгүй өгөгдөл дамжуулах: WiFi болон LTE

4. VPN

5. Cloud SMP менежмент

6. Smart-1 Cloud

Одоогоор SMB шийдлүүдийн гүйцэтгэлийн тааруулалтын талаарх мэдээллийн эх сурвалж тийм ч их биш байна хязгаарлалт дотоод үйлдлийн систем - Gaia 80.20 Embedded. Манай нийтлэлд бид төвлөрсөн удирдлагатай зохион байгуулалтыг ашиглах болно (тусгай удирдлагын сервер) - энэ нь NGFW-тэй ажиллахдаа илүү олон хэрэгслийг ашиглах боломжийг танд олгоно.

Техник хангамж

Check Point SMB гэр бүлийн архитектурт хүрэхээсээ өмнө та хамтрагчаасаа уг хэрэгслийг ашиглахыг хүссэн үедээ хүсч болно Төхөөрөмжийн хэмжээг тодорхойлох хэрэгсэл, заасан шинж чанаруудын дагуу оновчтой шийдлийг сонгох (дамжуулах чадвар, хэрэглэгчдийн хүлээгдэж буй тоо гэх мэт).

Таны NGFW техник хангамжтай харилцах үед чухал тэмдэглэл

1. SMB гэр бүлийн NGFW шийдлүүд нь системийн бүрэлдэхүүн хэсгүүдийг (CPU, RAM, HDD) техник хангамжийг шинэчлэх чадваргүй; загвараас хамааран SD картуудыг дэмждэг бөгөөд энэ нь дискний багтаамжийг нэмэгдүүлэх боломжийг олгодог боловч мэдэгдэхүйц биш юм.

2. Сүлжээний интерфейсийн ажиллагаа нь хяналт шаарддаг. Gaia 80.20 Embedded-д олон хяналтын хэрэгсэл байдаггүй, гэхдээ та CLI дахь сайн мэддэг командыг Expert горимоор дамжуулан үргэлж ашиглаж болно. 

   # биfconfig

   

   Доорх зураасанд анхаарлаа хандуулаарай, тэдгээр нь интерфейс дээрх алдааны тоог тооцоолох боломжийг танд олгоно. Эдгээр параметрүүдийг NGFW-ийг анх хэрэгжүүлэх явцад, түүнчлэн ашиглалтын явцад үе үе шалгаж байхыг зөвлөж байна.

3. Бүрэн эрхт Гайагийн хувьд дараах тушаал байдаг.

   > диаграмыг харуулах

   Түүний тусламжтайгаар тоног төхөөрөмжийн температурын талаархи мэдээллийг авах боломжтой. Харамсалтай нь энэ сонголт 80.20 Embedded-д байхгүй; бид хамгийн алдартай SNMP урхинуудыг зааж өгөх болно:

   Гарчиг 

   Тайлбар

   Интерфейс салгагдсан

   Интерфэйсийг идэвхгүй болгож байна

   VLAN устгасан

   Vlans устгаж байна

   Санах ойн өндөр ашиглалт

   Өндөр RAM ашиглалт

   Дискний зай бага

   HDD-ийн зай хангалтгүй

   CPU-ийн өндөр ашиглалт

   CPU-ийн өндөр ашиглалт

   CPU-ийн өндөр тасалдал

   Өндөр тасалдал

   Холболтын өндөр хурд

   Шинэ холболтын өндөр урсгал

   Өндөр зэрэглэлийн холболтууд

   Өндөр түвшний өрсөлдөөнтэй хуралдаанууд

   Галт хананы өндөр дамжуулалт

   Өндөр дамжуулах чадвартай Галт хана

   Хүлээн зөвшөөрөгдсөн багцын өндөр хурд

   Пакет хүлээн авах өндөр түвшин

   Кластерийн гишүүн улс өөрчлөгдсөн

   Кластерийн төлөвийг өөрчлөх

   Лог сервертэй холболтын алдаа

   Лог-сервертэй холболт тасарсан

4. Таны гарцыг ажиллуулахын тулд RAM-г хянах шаардлагатай. Gaia (Linux шиг үйлдлийн систем) ажиллахын тулд энэ нь юм хэвийн нөхцөл байдалRAM-ийн хэрэглээ ашиглалтын 70-80% хүрэх үед.

   SMB шийдлүүдийн архитектур нь хуучин Check Point загваруудаас ялгаатай нь SWAP санах ойг ашиглах боломжийг олгодоггүй. Гэсэн хэдий ч Линукс системийн файлуудад үүнийг анзаарсан , энэ нь SWAP параметрийг өөрчлөх онолын боломжийг харуулж байна.

Програм хангамжийн хэсэг

Нийтлэлийг нийтлэх үед Одоогийн Gaia хувилбар - 80.20.10. CLI дээр ажиллахад хязгаарлалт байдгийг мэдэх хэрэгтэй: Линуксийн зарим командыг Expert горимд дэмждэг. NGFW-ийн гүйцэтгэлийг үнэлэхийн тулд демонууд болон үйлчилгээний гүйцэтгэлийг үнэлэх шаардлагатай бөгөөд энэ талаар дэлгэрэнгүй мэдээллийг эндээс авах боломжтой. нийтлэл миний хамтран зүтгэгч. Бид SMB-д зориулсан боломжит командуудыг авч үзэх болно.

Gaia үйлдлийн системтэй ажиллах

1. SecureXL загваруудыг үзэх

   #fwaccelstat

   

2. Ачаалагчийг үндсэн байдлаар харах

   # fw ctl multik стат

   

3. Сеансуудын тоог харах (холболт).

   # fw ctl pstat

   

4. *Кластерийн статусыг харах

   #cphaprob стат

   

5. Сонгодог Linux TOP команд

Мод бэлтгэх

Таны мэдэж байгаагаар NGFW бүртгэлтэй ажиллах гурван арга (хадгалах, боловсруулах) байдаг: дотоод, төвлөрсөн болон үүлэн. Сүүлийн хоёр сонголт нь менежментийн сервер байгаа гэсэн үг юм.

NGFW хяналтын боломжит схемүүд

Хамгийн үнэ цэнэтэй бүртгэлийн файлууд

1. Системийн мессежүүд (бүрэн Gaia-аас бага мэдээлэл агуулсан)

   # сүүл -f /var/log/messages2

   

2. Хутга ажиллуулахад гарсан алдааны мэдэгдлүүд (асуудлыг олж засварлахад маш хэрэгтэй файл)

   # сүүл -f /var/log/log/sfwd.elg

   

3. Системийн цөмийн түвшинд буферээс мессежүүдийг харах.

   #dmesg

   

Хутганы тохиргоо

Энэ хэсэгт таны NGFW шалгах цэгийг тохируулах бүрэн зааврыг агуулаагүй бөгөөд зөвхөн туршлагаар сонгосон бидний зөвлөмжийг агуулна.

Програмын хяналт / URL шүүлтүүр

• Дүрэмд ямар ч, ямар ч (эх сурвалж, очих газар) нөхцөл байдлаас зайлсхийхийг зөвлөж байна.

• Захиалгат URL нөөцийг зааж өгөхдөө дараах ердийн илэрхийлэлүүдийг ашиглах нь илүү үр дүнтэй байх болно: (^|..)checkpoint.com

• Дүрэм бүртгэх, блоклох хуудсыг харуулах (UserCheck)-ийг хэт их ашиглахаас зайлсхий.

• Технологи зөв ажиллаж байгаа эсэхийг шалгаарай "SecureXL". Ихэнх замын хөдөлгөөн дамжин өнгөрөх ёстой хурдасгасан/дунд зам. Мөн дүрмийг хамгийн их хэрэглэгддэг дүрмүүдээр шүүхээ бүү мартаарай (талбар Үзсэн ).

HTTPS-шалгалт

Хэрэглэгчийн траффикийн 70-80% нь HTTPS холболтоос ирдэг нь нууц биш бөгөөд энэ нь таны гарц процессороос нөөц шаарддаг гэсэн үг юм. Нэмж дурдахад HTTPS-Inspection нь IPS, Antivirus, Antibot-ийн ажилд оролцдог.

80.40 хувилбараас эхлэн гарсан боломж Хуучин хяналтын самбаргүйгээр HTTPS дүрмүүдтэй ажиллахын тулд энд санал болгож буй дүрмийн дараалал байна:

• Бүлэг хаяг, сүлжээг тойрч гарах (Очих газар).

• URL-уудын бүлгийг тойрч гарах.

• Дотоод IP болон давуу эрх бүхий сүлжээг тойрч гарах (Эх сурвалж).

• Шаардлагатай сүлжээг шалгана уу, хэрэглэгчид

• Бусад бүх хүмүүст тойрч гарах.

* HTTPS эсвэл HTTPS прокси үйлчилгээг гараар сонгоод Any-г орхисон нь дээр. Inspect дүрмийн дагуу үйл явдлуудыг бүртгэнэ.

IPS

Хэт олон гарын үсэг ашигласан тохиолдолд IPS blade нь таны NGFW-д бодлогыг суулгаж чадахгүй байж магадгүй. дагуу нийтлэл Check Point-ээс харахад SMB төхөөрөмжийн бүтэц нь санал болгож буй IPS тохиргооны профайлыг бүрэн ажиллуулахаар төлөвлөөгүй байна.

Асуудлыг шийдвэрлэх эсвэл урьдчилан сэргийлэхийн тулд дараах алхмуудыг дагана уу:

1. "Оновчлогдсон SMB" нэртэй оновчтой профайлыг (эсвэл таны сонгосон өөр нэгийг) хуулбарлана уу.

2. Профайлаа засаад, IPS → Pre R80.Settings хэсэгт очоод Серверийн хамгаалалтыг унтраа.

   

3. Та өөрийн үзэмжээр 2010 оноос өмнөх CVE-г идэвхгүй болгож болно, эдгээр эмзэг байдал нь жижиг оффисуудад ховор тохиолддог боловч гүйцэтгэлд нөлөөлдөг. Тэдгээрийн заримыг идэвхгүй болгохын тулд Профайл → IPS → Нэмэлт идэвхжүүлэлт → Хамгаалалтууд руу орж жагсаалтыг идэвхгүй болгоно.

   

Оронд дүгнэлтийг

SMB гэр бүлийн (1500) шинэ үеийн NGFW-ийн тухай цуврал нийтлэлийн нэг хэсэг болгон бид шийдлийн үндсэн боломжуудыг онцолж, аюулгүй байдлын чухал бүрэлдэхүүн хэсгүүдийн тохиргоог тодорхой жишээн дээр харуулав. Бүтээгдэхүүний талаархи асуултанд бид сэтгэгдэл дээр хариулахад баяртай байх болно. Бид тантай хамт байх болно, анхаарал тавьсанд баярлалаа!

TS Solution-ийн Check Point дээрх материалын өргөн сонголт. Шинэ нийтлэлүүдийг алдахгүйн тулд манай нийгмийн сүлжээн дэх шинэчлэлтүүдийг дагаж мөрдөөрэй (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог, Yandex Zen).

Эх сурвалж: www.habr.com