7. NGFW għal negozji żgħar. Prestazzjoni u rakkomandazzjonijiet ġenerali
Wasal iż-żmien li titlesta s-serje ta 'artikoli dwar il-ġenerazzjoni l-ġdida ta' SMB Check Point (serje 1500). Nittamaw li din kienet esperjenza ta’ sodisfazzjon għalik u li tibqa’ tkun magħna fuq il-blog ta’ TS Solution. Is-suġġett għall-artiklu finali mhuwiex kopert b'mod wiesa ', iżda mhux inqas importanti - irfinar tal-prestazzjoni SMB. Fiha ser niddiskutu l-għażliet ta 'konfigurazzjoni għall-ħardwer u s-softwer tal-NGFW, niddeskrivu l-kmandi disponibbli u l-metodi ta' interazzjoni.
L-artikoli kollha fis-serje dwar NGFW għan-negozji ż-żgħar:
Bħalissa, m'hemmx ħafna sorsi ta 'informazzjoni dwar l-irfinar tal-prestazzjoni għal soluzzjonijiet SMB minħabba restrizzjonijiet OS intern - Gaia 80.20 Embedded. Fl-artiklu tagħna se nużaw tqassim b'ġestjoni ċentralizzata (Server ta 'Ġestjoni dedikat) - jippermettilek tuża aktar għodod meta taħdem ma' NGFW.
Ħardwer
Qabel ma tmiss l-arkitettura tal-familja Check Point SMB, tista 'dejjem titlob lill-partner tiegħek biex juża l-utilità Għodda tad-Daqs tal-Appliance, biex tagħżel l-aħjar soluzzjoni skont il-karatteristiċi speċifikati (throughput, numru mistenni ta 'utenti, eċċ.).
Noti importanti meta jinteraġixxu mal-ħardwer NGFW tiegħek
Is-soluzzjonijiet NGFW tal-familja SMB m'għandhomx il-kapaċità li jaġġornaw il-komponenti tas-sistema tal-ħardwer (CPU, RAM, HDD); skont il-mudell, hemm appoġġ għal karti SD, dan jippermettilek tespandi l-kapaċità tad-disk, iżda mhux b'mod sinifikanti.
It-tħaddim tal-interfaces tan-netwerk jeħtieġ kontroll. Gaia 80.20 Embedded m'għandux ħafna għodod ta' monitoraġġ, iżda dejjem tista' tuża l-kmand magħruf fis-CLI permezz tal-modalità Espert
# ifconfig
Oqgħod attent għal-linji ssottolinjati, dawn jippermettulek tistma n-numru ta 'żbalji fuq l-interface. Huwa rakkomandat ħafna li tivverifika dawn il-parametri waqt l-implimentazzjoni inizjali tal-NGFW tiegħek, kif ukoll perjodikament waqt it-tħaddim.
Għal Gaia sħiħa hemm kmand:
> uri dijag
Bl-għajnuna tagħha huwa possibbli li tinkiseb informazzjoni dwar it-temperatura tal-ħardwer. Sfortunatament, din l-għażla mhix disponibbli f'80.20 Embedded; aħna se nindikaw l-aktar nases SNMP popolari:
Isem
Deskrizzjoni
Interface skonnettjat
Jiskonnettja l-interface
VLAN imneħħija
Neħħi Vlans
Użu għoli tal-memorja
Użu għoli ta 'RAM
Spazju baxx fuq disk
Mhux biżżejjed spazju għall-HDD
Użu għoli tas-CPU
Użu għoli tas-CPU
Rata għolja ta' interruzzjonijiet tas-CPU
Rata ta' interruzzjoni għolja
Rata ta 'konnessjoni għolja
Fluss għoli ta 'konnessjonijiet ġodda
Konnessjonijiet konkorrenti għolja
Livell għoli ta' sessjonijiet kompetittivi
Throughput għoli tal-Firewall
Firewall ta' throughput għoli
Rata għolja ta 'pakkett aċċettata
Rata għolja ta 'akkoljenza ta' pakketti
L-istat membru tal-cluster inbidel
Nibdlu l-istat tal-cluster
Konnessjoni ma' żball server log
Konnessjoni mitlufa ma Log-Server
It-tħaddim tal-portal tiegħek jeħtieġ monitoraġġ RAM. Biex Gaia (OS bħal Linux) taħdem, dan huwa sitwazzjoni normalimeta l-konsum RAM jilħaq 70-80% tal-użu.
L-arkitettura tas-soluzzjonijiet SMB ma tipprovdix għall-użu tal-memorja SWAP, b'differenza mill-mudelli eqdem Check Point. Madankollu, fil-fajls tas-sistema Linux kien innutat , li jindika l-possibbiltà teoretika li jinbidel il-parametru SWAP.
Parti tas-softwer
Fil-ħin tal-pubblikazzjoni tal-artiklu aġġornat Verżjoni Gaia - 80.20.10. Trid tkun taf li hemm limitazzjonijiet meta taħdem fis-CLI: xi kmandi tal-Linux huma appoġġjati fil-modalità Espert. Il-valutazzjoni tal-prestazzjoni tal-NGFW teħtieġ valutazzjoni tal-prestazzjoni tad-daemons u s-servizzi, aktar dettalji dwar dan jistgħu jinstabu f' artikolu kollega tiegħi. Se nħarsu lejn kmandi possibbli għal SMB.
Ħidma ma 'Gaia OS
Fittex mudelli SecureXL
#fwaccelstat
Ara boot mill-qalba
# fw ctl multik stat
Ara n-numru ta' sessjonijiet (konnessjonijiet).
# fw ctl pstat
*Ara l-istatus tal-cluster
#cphaprob stat
Klassiku Linux TOP kmand
Logging
Kif diġà taf, hemm tliet modi kif taħdem ma 'logs NGFW (ħażna, ipproċessar): lokalment, ċentralment u fil-cloud. L-aħħar żewġ għażliet jimplikaw il-preżenza ta 'entità - Management Server.
Skemi possibbli ta' kontroll NGFW
Il-log files l-aktar siewja
Messaġġi tas-sistema (fih inqas informazzjoni minn Gaia sħiħa)
# denb -f /var/log/messages2
Messaġġi ta 'żball fit-tħaddim tax-xfafar (fajl pjuttost utli meta jiġu solvuti problemi)
# denb -f /var/log/log/sfwd.elg
Ara messaġġi mill-buffer fil-livell tal-kernel tas-sistema.
#dmesg
Konfigurazzjoni tax-xafra
Din it-taqsima mhux se jkun fiha struzzjonijiet sħaħ biex twaqqaf il-Punt ta' Kontroll tal-NGFW tiegħek; fiha biss ir-rakkomandazzjonijiet tagħna, magħżula mill-esperjenza.
Kontroll tal-Applikazzjoni / Iffiltrar tal-URL
Huwa rakkomandat li tevita KWALUNKWE, KULL (Sors, Destinazzjoni) kundizzjoni fir-regoli.
Meta tispeċifika riżors URL personalizzat, ikun aktar effettiv li tuża espressjonijiet regolari bħal: (^|..)checkpoint.com
Evita l-użu eċċessiv tal-illoggjar tar-regoli u l-wiri tal-paġni tal-imblukkar (UserCheck).
Kun żgur li t-teknoloġija taħdem sew "SecureXL". Il-biċċa l-kbira tat-traffiku għandu jgħaddi mogħdija aċċellerata/medja. Ukoll, tinsiex tiffiltra r-regoli mill-aktar użati (field Viżti ).
HTTPS-Spezzjoni
Mhuwiex sigriet li 70-80% tat-traffiku tal-utent ġej minn konnessjonijiet HTTPS, li jfisser li dan jeħtieġ riżorsi mill-proċessur tal-gateway tiegħek. Barra minn hekk, HTTPS-Inspection tipparteċipa fix-xogħol ta 'IPS, Antivirus, Antibot.
Jibda mill-verżjoni 80.40 kien hemm opportunità biex taħdem mar-regoli HTTPS mingħajr Legacy Dashboard, hawn xi ordni ta' regola rakkomandata:
Bypass għal grupp ta' indirizzi u netwerks (Destinazzjoni).
Bypass għal grupp ta' URLs.
Bypass għal IP intern u netwerks b'aċċess privileġġjat (Sors).
Spezzjona għal netwerks meħtieġa, utenti
Bypass għal kulħadd.
* Dejjem huwa aħjar li tagħżel manwalment is-servizzi HTTPS jew HTTPS Proxy u tħalli Kwalunkwe. Log avvenimenti skont ir-regoli Spezzjona.
IPS
Ix-xafra tal-IPS tista' tonqos milli tinstalla l-politika fuq l-NGFW tiegħek jekk jintużaw wisq firem. Skond artikolu minn Check Point, l-arkitettura tal-apparat SMB mhix iddisinjata biex tmexxi l-profil tal-konfigurazzjoni IPS rakkomandat sħiħ.
Biex issolvi jew tevita l-problema, segwi dawn il-passi:
Ikklona l-profil Ottimizzat imsejjaħ "Optimized SMB" (jew wieħed ieħor tal-għażla tiegħek).
Editja l-profil, mur fis-sezzjoni IPS → Pre R80.Settings u itfi Server Protections.
Fid-diskrezzjoni tiegħek, tista' tiddiżattiva CVEs eqdem mill-2010, dawn il-vulnerabbiltajiet jistgħu rarament jinstabu f'uffiċċji żgħar, iżda jaffettwaw il-prestazzjoni. Biex tiddiżattiva xi wħud minnhom, mur Profil → IPS → Attivazzjoni Addizzjonali → Protezzjonijiet biex tiddiżattiva l-lista
Minflok ma tikkonkludi
Bħala parti minn serje ta 'artikoli dwar il-ġenerazzjoni l-ġdida ta' NGFW tal-familja SMB (1500), ippruvajna nenfasizzaw il-kapaċitajiet ewlenin tas-soluzzjoni u wrejna l-konfigurazzjoni ta 'komponenti ta' sigurtà importanti bl-użu ta 'eżempji speċifiċi. Aħna se nkunu kuntenti li nwieġbu kwalunkwe mistoqsija dwar il-prodott fil-kummenti. Nibqgħu miegħek, grazzi tal-attenzjoni tiegħek!