7. NGFW untuk perniagaan kecil. Prestasi dan cadangan am

Masanya telah tiba untuk melengkapkan siri artikel mengenai generasi baru SMB Check Point (siri 1500). Kami berharap ini adalah pengalaman yang bermanfaat untuk anda dan anda akan terus bersama kami di blog TS Solution. Topik untuk artikel akhir tidak diliputi secara meluas, tetapi tidak kurang pentingnya - penalaan prestasi SMB. Di dalamnya kita akan membincangkan pilihan konfigurasi untuk perkakasan dan perisian NGFW, menerangkan arahan dan kaedah interaksi yang tersedia.

Semua artikel dalam siri tentang NGFW untuk perniagaan kecil:

1. Talian Gerbang Keselamatan CheckPoint 1500 Baharu

2. Nyahbox dan Persediaan

3. Penghantaran data tanpa wayar: WiFi dan LTE

4. VPN

5. Pengurusan SMP Awan

6. Awan Pintar-1

Pada masa ini, tidak terdapat banyak sumber maklumat tentang penalaan prestasi untuk penyelesaian SMB disebabkan oleh sekatan OS dalaman - Gaia 80.20 Terbenam. Dalam artikel kami, kami akan menggunakan susun atur dengan pengurusan berpusat (Dedicated Management Server) - ia membolehkan anda menggunakan lebih banyak alat apabila bekerja dengan NGFW.

Perkakasan

Sebelum menyentuh seni bina keluarga SMB Check Point, anda sentiasa boleh meminta pasangan anda untuk menggunakan utiliti itu Alat Pengukuran Perkakas, untuk memilih penyelesaian yang optimum mengikut ciri-ciri yang ditentukan (throughput, jangkaan bilangan pengguna, dsb.).

Nota penting apabila berinteraksi dengan perkakasan NGFW anda

1. Penyelesaian NGFW keluarga SMB tidak mempunyai keupayaan untuk meningkatkan komponen sistem perkakasan (CPU, RAM, HDD); bergantung pada model, terdapat sokongan untuk kad SD, ini membolehkan anda mengembangkan kapasiti cakera, tetapi tidak dengan ketara.

2. Operasi antara muka rangkaian memerlukan kawalan. Gaia 80.20 Embedded tidak mempunyai banyak alat pemantauan, tetapi anda sentiasa boleh menggunakan arahan yang terkenal dalam CLI melalui mod Pakar 

   #ifconfig

   

   Beri perhatian kepada garis yang digariskan, mereka akan membolehkan anda menganggarkan bilangan ralat pada antara muka. Adalah sangat disyorkan untuk menyemak parameter ini semasa pelaksanaan awal NGFW anda, dan juga secara berkala semasa operasi.

3. Untuk Gaia yang lengkap terdapat perintah:

   >tunjukkan gambar rajah

   Dengan bantuannya adalah mungkin untuk mendapatkan maklumat tentang suhu perkakasan. Malangnya, pilihan ini tidak tersedia dalam 80.20 Embedded; kami akan menunjukkan perangkap SNMP yang paling popular:

   nama 

   Описание

   Antara muka diputuskan

   Melumpuhkan antara muka

   VLAN dialih keluar

   Mengalih keluar Vlans

   Penggunaan memori yang tinggi

   Penggunaan RAM yang tinggi

   Ruang cakera rendah

   Ruang HDD tidak mencukupi

   Penggunaan CPU yang tinggi

   Penggunaan CPU yang tinggi

   Kadar gangguan CPU yang tinggi

   Kadar gangguan yang tinggi

   Kadar sambungan yang tinggi

   Aliran tinggi sambungan baharu

   Sambungan serentak yang tinggi

   Sesi kompetitif tahap tinggi

   Daya tahan Firewall yang tinggi

   Firewall daya pemprosesan tinggi

   Kadar paket yang diterima tinggi

   Kadar penerimaan paket yang tinggi

   Negara ahli kluster berubah

   Menukar keadaan kluster

   Sambungan dengan ralat pelayan log

   Sambungan terputus dengan Log-Server

4. Operasi get laluan anda memerlukan pemantauan RAM. Untuk Gaia (OS seperti Linux) berfungsi, ini adalah keadaan biasaapabila penggunaan RAM mencapai 70-80% penggunaan.

   Seni bina penyelesaian SMB tidak menyediakan penggunaan memori SWAP, tidak seperti model Check Point yang lebih lama. Walau bagaimanapun, dalam fail sistem Linux ia diperhatikan , yang menunjukkan kemungkinan teori untuk menukar parameter SWAP.

Bahagian perisian

Pada masa penerbitan artikel sebenarnya Versi Gaia - 80.20.10. Anda perlu tahu bahawa terdapat had semasa bekerja dalam CLI: beberapa arahan Linux disokong dalam mod Pakar. Menilai prestasi NGFW memerlukan penilaian prestasi daemon dan perkhidmatan, butiran lanjut tentang ini boleh didapati dalam artikel rakan sekerja saya. Kami akan melihat arahan yang mungkin untuk SMB.

Bekerja dengan Gaia OS

1. Semak imbas templat SecureXL

   #fwaccelstat

   

2. Lihat but mengikut teras

   # fw ctl multik stat

   

3. Lihat bilangan sesi (sambungan).

   # fw ctl pstat

   

4. *Lihat status kluster

   #cphaprob stat

   

5. Perintah TOP Linux klasik

Pembalakan

Seperti yang anda sedia maklum, terdapat tiga cara untuk bekerja dengan log NGFW (storan, pemprosesan): secara tempatan, berpusat dan dalam awan. Dua pilihan terakhir membayangkan kehadiran entiti - Pelayan Pengurusan.

Skim kawalan NGFW yang mungkin

Fail log yang paling berharga

1. Mesej sistem (mengandungi kurang maklumat daripada Gaia penuh)

   # ekor -f /var/log/messages2

   

2. Mesej ralat dalam pengendalian bilah (fail yang agak berguna apabila menyelesaikan masalah)

   # ekor -f /var/log/log/sfwd.elg

   

3. Lihat mesej daripada penimbal pada peringkat kernel sistem.

   #dmesg

   

Konfigurasi bilah

Bahagian ini tidak akan mengandungi arahan lengkap untuk menyediakan Titik Semak NGFW anda; ia hanya mengandungi pengesyoran kami, dipilih mengikut pengalaman.

Kawalan Aplikasi / Penapisan URL

• Adalah disyorkan untuk mengelakkan SEBARANG, SEBARANG (Sumber, Destinasi) syarat dalam peraturan.

• Apabila menentukan sumber URL tersuai, adalah lebih berkesan untuk menggunakan ungkapan biasa seperti: (^|..)checkpoint.com

• Elakkan penggunaan pembalakan peraturan yang berlebihan dan paparan halaman yang menyekat (UserCheck).

• Pastikan teknologi berfungsi dengan betul "SecureXL". Kebanyakan trafik harus melalui laluan dipercepat/sederhana. Juga, jangan lupa untuk menapis peraturan mengikut peraturan yang paling banyak digunakan (field Hit ).

HTTPS-Pemeriksaan

Bukan rahsia lagi bahawa 70-80% trafik pengguna datang daripada sambungan HTTPS, yang bermaksud ini memerlukan sumber daripada pemproses get laluan anda. Di samping itu, HTTPS-Inspection mengambil bahagian dalam kerja IPS, Antivirus, Antibot.

Bermula dari versi 80.40 ada peluang untuk bekerja dengan peraturan HTTPS tanpa Papan Pemuka Warisan, berikut ialah beberapa susunan peraturan yang disyorkan:

• Pintasan untuk sekumpulan alamat dan rangkaian (Destinasi).

• Pintasan untuk sekumpulan URL.

• Pintasan untuk IP dalaman dan rangkaian dengan akses istimewa (Sumber).

• Periksa rangkaian yang diperlukan, pengguna

• Pintasan untuk orang lain.

* Adalah lebih baik untuk memilih perkhidmatan HTTPS atau HTTPS Proxy secara manual dan meninggalkan Mana-mana. Log peristiwa mengikut peraturan Periksa.

IPS

Bilah IPS mungkin gagal memasang dasar pada NGFW anda jika terlalu banyak tandatangan digunakan. mengikut artikel dari Check Point, seni bina peranti SMB tidak direka bentuk untuk menjalankan profil konfigurasi IPS yang disyorkan penuh.

Untuk menyelesaikan atau mencegah masalah, ikuti langkah berikut:

1. Klon profil Dioptimumkan yang dipanggil "SMB Dioptimumkan" (atau satu lagi pilihan anda).

2. Edit profil, pergi ke bahagian IPS → Pra R80.Settings dan matikan Perlindungan Pelayan.

   

3. Mengikut budi bicara anda, anda boleh melumpuhkan CVE yang lebih lama daripada 2010, kelemahan ini mungkin jarang ditemui di pejabat kecil, tetapi menjejaskan prestasi. Untuk melumpuhkan sebahagian daripadanya, pergi ke Profil → IPS → Pengaktifan Tambahan → Perlindungan untuk menyahaktifkan senarai

   

Daripada kesimpulan

Sebagai sebahagian daripada siri artikel tentang generasi baharu NGFW keluarga SMB (1500), kami cuba menyerlahkan keupayaan utama penyelesaian dan menunjukkan konfigurasi komponen keselamatan penting menggunakan contoh khusus. Kami dengan senang hati akan menjawab sebarang soalan mengenai produk dalam ulasan. Kami tetap bersama anda, terima kasih atas perhatian anda!

Banyak pilihan bahan di Check Point dari TS Solution. Untuk tidak terlepas penerbitan baharu, ikuti kemas kini pada rangkaian sosial kami (Telegram, Facebook, VK, Blog Penyelesaian TS, Yandex Zen).

Sumber: www.habr.com