7. NGFW untuk perniagaan kecil. Prestasi dan cadangan am
Masanya telah tiba untuk melengkapkan siri artikel mengenai generasi baru SMB Check Point (siri 1500). Kami berharap ini adalah pengalaman yang bermanfaat untuk anda dan anda akan terus bersama kami di blog TS Solution. Topik untuk artikel akhir tidak diliputi secara meluas, tetapi tidak kurang pentingnya - penalaan prestasi SMB. Di dalamnya kita akan membincangkan pilihan konfigurasi untuk perkakasan dan perisian NGFW, menerangkan arahan dan kaedah interaksi yang tersedia.
Semua artikel dalam siri tentang NGFW untuk perniagaan kecil:
Pada masa ini, tidak terdapat banyak sumber maklumat tentang penalaan prestasi untuk penyelesaian SMB disebabkan oleh sekatan OS dalaman - Gaia 80.20 Terbenam. Dalam artikel kami, kami akan menggunakan susun atur dengan pengurusan berpusat (Dedicated Management Server) - ia membolehkan anda menggunakan lebih banyak alat apabila bekerja dengan NGFW.
Perkakasan
Sebelum menyentuh seni bina keluarga SMB Check Point, anda sentiasa boleh meminta pasangan anda untuk menggunakan utiliti itu Alat Pengukuran Perkakas, untuk memilih penyelesaian yang optimum mengikut ciri-ciri yang ditentukan (throughput, jangkaan bilangan pengguna, dsb.).
Nota penting apabila berinteraksi dengan perkakasan NGFW anda
Penyelesaian NGFW keluarga SMB tidak mempunyai keupayaan untuk meningkatkan komponen sistem perkakasan (CPU, RAM, HDD); bergantung pada model, terdapat sokongan untuk kad SD, ini membolehkan anda mengembangkan kapasiti cakera, tetapi tidak dengan ketara.
Operasi antara muka rangkaian memerlukan kawalan. Gaia 80.20 Embedded tidak mempunyai banyak alat pemantauan, tetapi anda sentiasa boleh menggunakan arahan yang terkenal dalam CLI melalui mod Pakar
#ifconfig
Beri perhatian kepada garis yang digariskan, mereka akan membolehkan anda menganggarkan bilangan ralat pada antara muka. Adalah sangat disyorkan untuk menyemak parameter ini semasa pelaksanaan awal NGFW anda, dan juga secara berkala semasa operasi.
Untuk Gaia yang lengkap terdapat perintah:
>tunjukkan gambar rajah
Dengan bantuannya adalah mungkin untuk mendapatkan maklumat tentang suhu perkakasan. Malangnya, pilihan ini tidak tersedia dalam 80.20 Embedded; kami akan menunjukkan perangkap SNMP yang paling popular:
nama
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅
Antara muka diputuskan
Melumpuhkan antara muka
VLAN dialih keluar
Mengalih keluar Vlans
Penggunaan memori yang tinggi
Penggunaan RAM yang tinggi
Ruang cakera rendah
Ruang HDD tidak mencukupi
Penggunaan CPU yang tinggi
Penggunaan CPU yang tinggi
Kadar gangguan CPU yang tinggi
Kadar gangguan yang tinggi
Kadar sambungan yang tinggi
Aliran tinggi sambungan baharu
Sambungan serentak yang tinggi
Sesi kompetitif tahap tinggi
Daya tahan Firewall yang tinggi
Firewall daya pemprosesan tinggi
Kadar paket yang diterima tinggi
Kadar penerimaan paket yang tinggi
Negara ahli kluster berubah
Menukar keadaan kluster
Sambungan dengan ralat pelayan log
Sambungan terputus dengan Log-Server
Operasi get laluan anda memerlukan pemantauan RAM. Untuk Gaia (OS seperti Linux) berfungsi, ini adalah keadaan biasaapabila penggunaan RAM mencapai 70-80% penggunaan.
Seni bina penyelesaian SMB tidak menyediakan penggunaan memori SWAP, tidak seperti model Check Point yang lebih lama. Walau bagaimanapun, dalam fail sistem Linux ia diperhatikan , yang menunjukkan kemungkinan teori untuk menukar parameter SWAP.
Bahagian perisian
Pada masa penerbitan artikel sebenarnya Versi Gaia - 80.20.10. Anda perlu tahu bahawa terdapat had semasa bekerja dalam CLI: beberapa arahan Linux disokong dalam mod Pakar. Menilai prestasi NGFW memerlukan penilaian prestasi daemon dan perkhidmatan, butiran lanjut tentang ini boleh didapati dalam artikel rakan sekerja saya. Kami akan melihat arahan yang mungkin untuk SMB.
Bekerja dengan Gaia OS
Semak imbas templat SecureXL
#fwaccelstat
Lihat but mengikut teras
# fw ctl multik stat
Lihat bilangan sesi (sambungan).
# fw ctl pstat
*Lihat status kluster
#cphaprob stat
Perintah TOP Linux klasik
Pembalakan
Seperti yang anda sedia maklum, terdapat tiga cara untuk bekerja dengan log NGFW (storan, pemprosesan): secara tempatan, berpusat dan dalam awan. Dua pilihan terakhir membayangkan kehadiran entiti - Pelayan Pengurusan.
Skim kawalan NGFW yang mungkin
Fail log yang paling berharga
Mesej sistem (mengandungi kurang maklumat daripada Gaia penuh)
# ekor -f /var/log/messages2
Mesej ralat dalam pengendalian bilah (fail yang agak berguna apabila menyelesaikan masalah)
# ekor -f /var/log/log/sfwd.elg
Lihat mesej daripada penimbal pada peringkat kernel sistem.
#dmesg
Konfigurasi bilah
Bahagian ini tidak akan mengandungi arahan lengkap untuk menyediakan Titik Semak NGFW anda; ia hanya mengandungi pengesyoran kami, dipilih mengikut pengalaman.
Kawalan Aplikasi / Penapisan URL
Adalah disyorkan untuk mengelakkan SEBARANG, SEBARANG (Sumber, Destinasi) syarat dalam peraturan.
Apabila menentukan sumber URL tersuai, adalah lebih berkesan untuk menggunakan ungkapan biasa seperti: (^|..)checkpoint.com
Elakkan penggunaan pembalakan peraturan yang berlebihan dan paparan halaman yang menyekat (UserCheck).
Pastikan teknologi berfungsi dengan betul "SecureXL". Kebanyakan trafik harus melalui laluan dipercepat/sederhana. Juga, jangan lupa untuk menapis peraturan mengikut peraturan yang paling banyak digunakan (field Hit ).
HTTPS-Pemeriksaan
Bukan rahsia lagi bahawa 70-80% trafik pengguna datang daripada sambungan HTTPS, yang bermaksud ini memerlukan sumber daripada pemproses get laluan anda. Di samping itu, HTTPS-Inspection mengambil bahagian dalam kerja IPS, Antivirus, Antibot.
Bermula dari versi 80.40 ada peluang untuk bekerja dengan peraturan HTTPS tanpa Papan Pemuka Warisan, berikut ialah beberapa susunan peraturan yang disyorkan:
Pintasan untuk sekumpulan alamat dan rangkaian (Destinasi).
Pintasan untuk sekumpulan URL.
Pintasan untuk IP dalaman dan rangkaian dengan akses istimewa (Sumber).
Periksa rangkaian yang diperlukan, pengguna
Pintasan untuk orang lain.
* Adalah lebih baik untuk memilih perkhidmatan HTTPS atau HTTPS Proxy secara manual dan meninggalkan Mana-mana. Log peristiwa mengikut peraturan Periksa.
IPS
Bilah IPS mungkin gagal memasang dasar pada NGFW anda jika terlalu banyak tandatangan digunakan. mengikut artikel dari Check Point, seni bina peranti SMB tidak direka bentuk untuk menjalankan profil konfigurasi IPS yang disyorkan penuh.
Untuk menyelesaikan atau mencegah masalah, ikuti langkah berikut:
Klon profil Dioptimumkan yang dipanggil "SMB Dioptimumkan" (atau satu lagi pilihan anda).
Edit profil, pergi ke bahagian IPS β Pra R80.Settings dan matikan Perlindungan Pelayan.
Mengikut budi bicara anda, anda boleh melumpuhkan CVE yang lebih lama daripada 2010, kelemahan ini mungkin jarang ditemui di pejabat kecil, tetapi menjejaskan prestasi. Untuk melumpuhkan sebahagian daripadanya, pergi ke Profil β IPS β Pengaktifan Tambahan β Perlindungan untuk menyahaktifkan senarai
Daripada kesimpulan
Sebagai sebahagian daripada siri artikel tentang generasi baharu NGFW keluarga SMB (1500), kami cuba menyerlahkan keupayaan utama penyelesaian dan menunjukkan konfigurasi komponen keselamatan penting menggunakan contoh khusus. Kami dengan senang hati akan menjawab sebarang soalan mengenai produk dalam ulasan. Kami tetap bersama anda, terima kasih atas perhatian anda!