7. အသေးစားလုပ်ငန်းများအတွက် NGFW။ စွမ်းဆောင်ရည်နှင့် အထွေထွေ အကြံပြုချက်များ

SMB Check Point (1500 စီးရီး) ၏ မျိုးဆက်သစ် ဆောင်းပါးတွဲများကို ပြီးမြောက်ရန် အချိန်ရောက်လာပါပြီ။ ၎င်းသည် သင့်အတွက် အကျိုးရှိသော အတွေ့အကြုံတစ်ခုဖြစ်ပြီး TS Solution ဘလော့ဂ်တွင် သင်သည် ကျွန်ုပ်တို့နှင့်အတူ ဆက်လက်ရှိနေဦးမည်ဟု ကျွန်ုပ်တို့ မျှော်လင့်ပါသည်။ နောက်ဆုံးဆောင်းပါးအတွက် ခေါင်းစဉ်ကို ကျယ်ကျယ်ပြန့်ပြန့် မဖော်ပြသော်လည်း အရေးကြီးသည် - SMB စွမ်းဆောင်ရည် ချိန်ညှိခြင်း။ ၎င်းတွင် ကျွန်ုပ်တို့သည် NGFW ၏ hardware နှင့် software အတွက် configuration options များကို ဆွေးနွေးမည်ဖြစ်ပြီး ရရှိနိုင်သော command များနှင့် အပြန်အလှန်ဆက်ဆံမှုနည်းလမ်းများကို ဖော်ပြပါ။

အသေးစားစီးပွားရေးလုပ်ငန်းများအတွက် NGFW အကြောင်း စီးရီးရှိ ဆောင်းပါးများအားလုံး-

1. CheckPoint 1500 လုံခြုံရေးဂိတ်ဝေးလိုင်းအသစ်

2. Unboxing နှင့် Setup

3. ကြိုးမဲ့ဒေတာထုတ်လွှင့်ခြင်း- WiFi နှင့် LTE

4. VPN ကို

5. Cloud SMP စီမံခန့်ခွဲမှု

6. Smart-1 တိမ်တိုက်

လောလောဆယ်တွင် SMB ဖြေရှင်းချက်များအတွက် စွမ်းဆောင်ရည် ချိန်ညှိခြင်းဆိုင်ရာ အချက်အလက် အရင်းအမြစ်များစွာ မရှိပါ။ ကန့်သတ်ချက်များ အတွင်းပိုင်း OS - Gaia 80.20 ထည့်သွင်းထားသည်။ ကျွန်ုပ်တို့၏ဆောင်းပါးတွင် ကျွန်ုပ်တို့သည် ဗဟိုချုပ်ကိုင်မှုစီမံခန့်ခွဲခြင်း (သီးသန့်စီမံခန့်ခွဲမှုဆာဗာ) ပါရှိသည့် layout ကိုအသုံးပြုပါမည် - ၎င်းသည် NGFW နှင့်အလုပ်လုပ်သောအခါတွင်သင်ပိုမိုအသုံးပြုရန်ခွင့်ပြုသည်။

ဟာ့ဒ်ဝဲအစိတ်အပိုင်းတစ်ခု

Check Point SMB မိသားစုဗိသုကာကို မထိမီ၊ သင်သည် အသုံးဝင်မှုကို အသုံးပြုရန် သင့်ပါတနာကို အမြဲတမ်း တောင်းဆိုနိုင်ပါသည်။ စက်ပစ္စည်းအရွယ်အစား ကိရိယာသတ်မှတ်ထားသော ဝိသေသလက္ခဏာများ (ဖြတ်သန်းမှု၊ မျှော်မှန်းထားသည့် အသုံးပြုသူအရေအတွက် စသည်) အရ အကောင်းဆုံးဖြေရှင်းချက်ကို ရွေးချယ်ရန်။

သင်၏ NGFW ဟာ့ဒ်ဝဲနှင့် အပြန်အလှန်ဆက်ဆံသည့်အခါ အရေးကြီးသောမှတ်စုများ

1. SMB မိသားစု၏ NGFW ဖြေရှင်းချက်များသည် ဟာ့ဒ်ဝဲစနစ်အစိတ်အပိုင်းများ (CPU၊ RAM၊ HDD) ကို အဆင့်မြှင့်နိုင်စွမ်းမရှိပါ)၊ မော်ဒယ်ပေါ်မူတည်၍ SD ကတ်များအတွက် ပံ့ပိုးမှုရှိနေသည်၊ ၎င်းသည် သင့်အား disk ပမာဏကို ချဲ့ထွင်နိုင်သော်လည်း သိသိသာသာ မဟုတ်ပါ။

2. ကွန်ရက်ချိတ်ဆက်မှုများ၏လုပ်ဆောင်မှုကို ထိန်းချုပ်ရန် လိုအပ်သည်။ Gaia 80.20 Embedded တွင် စောင့်ကြည့်ရေးကိရိယာများစွာ မပါရှိသော်လည်း၊ Expert မုဒ်မှတစ်ဆင့် CLI တွင် လူသိများသော အမိန့်ကို သင်အမြဲသုံးနိုင်သည်။ 

   # ငါfconfig

   

   မျဉ်းသားထားသောမျဉ်းများကို အာရုံစိုက်ပါ၊ ၎င်းတို့သည် အင်တာဖေ့စ်ပေါ်ရှိ အမှားအယွင်းအရေအတွက်ကို ခန့်မှန်းနိုင်စေမည်ဖြစ်သည်။ သင်၏ NGFW ၏ ကနဦးအကောင်အထည်ဖော်မှုကာလအတွင်းနှင့် လည်ပတ်နေချိန်အတွင်း ဤကန့်သတ်ချက်များကို စစ်ဆေးရန် အထူးအကြံပြုလိုပါသည်။

3. ပြီးပြည့်စုံသော Gaia အတွက် အမိန့်တစ်ခုရှိသည်။

   > ဒိုင်ယာကိုပြပါ။

   ၎င်း၏အကူအညီဖြင့် ၎င်းသည် ဟာ့ဒ်ဝဲ၏ အပူချိန်နှင့်ပတ်သက်သည့် အချက်အလက်ကို ရယူနိုင်သည်။ ကံမကောင်းစွာဖြင့်၊ ဤရွေးချယ်မှုကို 80.20 Embedded တွင်မရရှိနိုင်ပါ၊ လူကြိုက်အများဆုံး SNMP ထောင်ချောက်များကို ကျွန်ုပ်တို့ညွှန်ပြပါမည်။

   နာမတျောကို 

   ဖေါ်ပြချက်

   အင်တာဖေ့စ် ချိတ်ဆက်မှု ပြတ်တောက်သွားသည်။

   အင်တာဖေ့စ်ကို ပိတ်ခြင်း။

   VLAN ကို ဖယ်ရှားခဲ့သည်။

   Vlan များကိုဖယ်ရှားခြင်း။

   မြင့်မားသောမှတ်ဉာဏ်အသုံးချမှု

   မြင့်မားသော RAM အသုံးချမှု

   ဒစ်ခ်နေရာလွတ် နည်းသည်။

   HDD နေရာမလုံလောက်ပါ။

   မြင့်မားသော CPU အသုံးချမှု

   မြင့်မားသော CPU အသုံးချမှု

   မြင့်မားသော CPU ကြားဖြတ်နှုန်း

   မြင့်မားသောအနှောက်အယှက်နှုန်း

   မြင့်မားသောချိတ်ဆက်မှုနှုန်း

   ချိတ်ဆက်မှုအသစ်များ စီးဆင်းမှုမြင့်မားသည်။

   မြင့်မားသောတစ်ပြိုင်တည်းချိတ်ဆက်မှုများ

   ပြိုင်ဆိုင်မှုအဆင့်မြင့်သော အစည်းအဝေးများ

   မြင့်မားသော Firewall ဖြတ်သန်းမှု

   Firewall သည် high throughput

   မြင့်မားသော packet နှုန်းကိုလက်ခံသည်။

   ထုပ်ပိုးလက်ခံမှုနှုန်းမြင့်မားသည်။

   အစုအဖွဲ့အဖွဲ့ဝင်နိုင်ငံအဖြစ် ပြောင်းလဲခဲ့သည်။

   အစုအဖွဲ့အခြေအနေကို ပြောင်းလဲခြင်း။

   လော့ဂ်ဆာဗာနှင့် ချိတ်ဆက်မှု အမှားအယွင်း

   Log-Server နှင့် ချိတ်ဆက်မှု ပြတ်တောက်သွားသည်။

4. သင့်ဝင်ပေါက်၏ လုပ်ဆောင်မှုသည် RAM စောင့်ကြည့်မှု လိုအပ်သည်။ Gaia (Linux-like OS) အလုပ်လုပ်ရန်အတွက်၊ ဤသည်မှာ ပုံမှန်အခြေအနေRAM သုံးစွဲမှု၏ 70-80% သို့ရောက်ရှိသောအခါ။

   SMB ဖြေရှင်းချက်များ၏ တည်ဆောက်ပုံသည် ယခင် Check Point မော်ဒယ်များနှင့်မတူဘဲ SWAP မမ်မိုရီကို အသုံးပြုရန်အတွက် ပံ့ပိုးပေးခြင်းမရှိပေ။ သို့သော် Linux စနစ်ဖိုင်များတွင်၎င်းကိုသတိပြုမိခဲ့သည်။ SWAP parameter ကိုပြောင်းလဲခြင်း၏သီအိုရီဆိုင်ရာဖြစ်နိုင်ခြေကိုညွှန်ပြသော၊

Software အပိုင်း

ဆောင်းပါးထုတ်ဝေသည့်အချိန်တွင် နောက်ဆုံးပေါ် Gaia ဗားရှင်း - 80.20.10။ CLI တွင်အလုပ်လုပ်သောအခါကန့်သတ်ချက်များရှိကြောင်းသင်သိရန်လိုအပ်သည်- အချို့သော Linux command များကို Expert မုဒ်တွင်ပံ့ပိုးထားသည်။ NGFW ၏ စွမ်းဆောင်ရည်ကို အကဲဖြတ်ခြင်းသည် daemons နှင့် ဝန်ဆောင်မှုများ၏ စွမ်းဆောင်ရည်ကို အကဲဖြတ်ရန် လိုအပ်သည်၊ ၎င်းနှင့်ပတ်သက်သည့် အသေးစိတ်အချက်အလက်များကို ဤနေရာတွင် ရှာတွေ့နိုင်ပါသည်။ ဆောင်းပါး ငါ့လုပ်ဖော်ကိုင်ဖက်။ SMB အတွက် ဖြစ်နိုင်သော command များကို ကြည့်ပါမည်။

Gaia OS နှင့်အလုပ်လုပ်သည်။

1. SecureXL နမူနာပုံစံများကို ကြည့်ရှုပါ။

   #fwaccelstat

   

2. core အလိုက် boot ကိုကြည့်ပါ။

   # fw ctl multik stat

   

3. စက်ရှင်များ (ချိတ်ဆက်မှု) အရေအတွက်ကို ကြည့်ပါ။

   # fw ctl pstat

   

4. * အစုအဝေးအခြေအနေကိုကြည့်ပါ။

   #cphaprob ကိန်းဂဏာန်း

   

5. Classic Linux TOP command

သစ်ခုတ်ခြင်း။

သင်သိပြီးသားအတိုင်း၊ NGFW မှတ်တမ်းများ (သိုလှောင်မှု၊ လုပ်ဆောင်ခြင်း) နှင့် လုပ်ဆောင်ရန် နည်းလမ်းသုံးမျိုးရှိသည်- ပြည်တွင်း၊ ဗဟိုနှင့် တိမ်တိုက်တွင်။ နောက်ဆုံးရွေးချယ်စရာနှစ်ခုသည် စီမံခန့်ခွဲမှုဆာဗာတစ်ခု၏တည်ရှိမှုကို ဆိုလိုသည်။

NGFW ထိန်းချုပ်မှု အစီအစဉ်များ ဖြစ်နိုင်သည်။

တန်ဖိုးအရှိဆုံး မှတ်တမ်းဖိုင်များ

1. စနစ်မက်ဆေ့ချ်များ (Gaia အပြည့်အစုံထက် အချက်အလက်နည်းသည်)

   # အမြီး -f /var/log/messages2

   

2. ဘလိတ်များ လည်ပတ်မှုတွင် အမှားအယွင်း မက်ဆေ့ချ်များ (ပြဿနာများကို ဖြေရှင်းရာတွင် အလွန်အသုံးဝင်သော ဖိုင်တစ်ခု)

   # အမြီး -f /var/log/log/sfwd.elg

   

3. စနစ် kernel အဆင့်ရှိ ကြားခံမှ မက်ဆေ့ချ်များကို ကြည့်ရှုပါ။

   #dmesg

   

Blade ဖွဲ့စည်းမှု

ဤကဏ္ဍတွင် သင်၏ NGFW Check Point ကို သတ်မှတ်ခြင်းအတွက် အပြည့်အစုံ ညွှန်ကြားချက်များ မပါဝင်ပါ၊ ၎င်းတွင် အတွေ့အကြုံမှ ရွေးချယ်ထားသော ကျွန်ုပ်တို့၏ အကြံပြုချက်များသာ ပါဝင်ပါသည်။

အပလီကေးရှင်းထိန်းချုပ်မှု / URL စစ်ထုတ်ခြင်း။

• စည်းမျဥ်းစည်းကမ်းများတွင် မည်သည့်၊ မည်သည့် (အရင်းအမြစ်၊ ခရီးဆုံး) ကိုမဆို ရှောင်ရှားရန် အကြံပြုထားသည်။

• စိတ်ကြိုက် URL ရင်းမြစ်ကို သတ်မှတ်သောအခါ၊ ကဲ့သို့သော ပုံမှန်အသုံးအနှုန်းများကို အသုံးပြုရန် ပိုမိုထိရောက်မှုရှိလိမ့်မည်- (^|..)checkpoint.com

• စည်းမျဉ်းမှတ်တမ်းရယူခြင်းနှင့် ပိတ်ဆို့ခြင်းစာမျက်နှာများပြသခြင်း (UserCheck) ကို အလွန်အကျွံအသုံးပြုခြင်းမှ ရှောင်ကြဉ်ပါ။

• နည်းပညာ မှန်ကန်ကြောင်း သေချာပါစေ။ "SecureXL". ယာဉ်အသွားအလာအများစု ဖြတ်သန်းသင့်သည်။ အရှိန်မြှင့်/အလတ်စား လမ်းကြောင်း. ထို့အပြင်၊ အသုံးအများဆုံးများ (အကွက်) အလိုက် စည်းမျဉ်းများကို စစ်ထုတ်ရန် မမေ့ပါနှင့် hits ).

HTTPS-စစ်ဆေးခြင်း။

အသုံးပြုသူအသွားအလာ၏ 70-80% သည် HTTPS ချိတ်ဆက်မှုများမှလာသည်ဟု ဆိုလိုသည်မှာ ၎င်းသည် သင့်ဂိတ်ဝေးပရိုဆက်ဆာမှ အရင်းအမြစ်များ လိုအပ်သည်ဟု ဆိုလိုသည်မှာ လျှို့ဝှက်ချက်မဟုတ်ပါ။ ထို့အပြင် HTTPS-Inspection သည် IPS၊ Antivirus၊ Antibot ၏အလုပ်တွင်ပါ၀င်သည်။

ဗားရှင်း 80.40 မှ စတင်ခဲ့တာလည်း ဖြစ်ပါတယ်။ အခွင့်အရေး Legacy Dashboard မပါဘဲ HTTPS စည်းမျဉ်းများနှင့် အလုပ်လုပ်ရန်၊ ဤသည်မှာ အကြံပြုထားသော စည်းမျဉ်းအချို့ဖြစ်သည်-

• လိပ်စာများနှင့် ကွန်ရက်များ အုပ်စု (Destination) အတွက် ရှောင်ကွင်း။

• URL အုပ်စုတစ်စုအတွက် ရှောင်ကွင်း။

• အခွင့်ထူးခံဝင်ရောက်ခွင့် (အရင်းအမြစ်) ပါရှိသော အတွင်း IP နှင့် ကွန်ရက်များအတွက် ရှောင်ကွင်းပါ။

• လိုအပ်သောကွန်ရက်များ၊ သုံးစွဲသူများအတွက် စစ်ဆေးပါ။

• အခြားလူတိုင်းအတွက် ရှောင်ကွင်းပါ။

* HTTPS သို့မဟုတ် HTTPS Proxy ဝန်ဆောင်မှုများကို ကိုယ်တိုင်ရွေးချယ်ပြီး မည်သည့်အရာကိုမဆို ထားခဲ့ခြင်းက အမြဲတမ်း ပိုကောင်းပါသည်။ စစ်ဆေးရေးစည်းမျဉ်းများနှင့်အညီ ဖြစ်ရပ်များကို မှတ်တမ်းတင်ပါ။

က IPS

လက်မှတ်များစွာကိုအသုံးပြုပါက IPS blade သည် သင်၏ NGFW ပေါ်လစီကို ထည့်သွင်းရန်ပျက်ကွက်နိုင်သည်။ အရ ဆောင်းပါး Check Point မှ၊ SMB စက်ပစ္စည်းဗိသုကာသည် အကြံပြုထားသော IPS ဖွဲ့စည်းမှုဆိုင်ရာ ပရိုဖိုင်အပြည့်အစုံကို လုပ်ဆောင်ရန် ဒီဇိုင်းထုတ်ထားခြင်းမရှိပါ။

ပြဿနာကို ဖြေရှင်းရန် သို့မဟုတ် တားဆီးရန်၊ ဤအဆင့်များကို လိုက်နာပါ-

1. “Optimized SMB” ဟုခေါ်သော ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ထားသော ပရိုဖိုင်ကိုပွားခြင်း (သို့မဟုတ် သင့်ရွေးချယ်မှုထဲမှ အခြားတစ်ခု)။

2. ပရိုဖိုင်ကို တည်းဖြတ်ပါ၊ IPS → Pre R80.Settings ကဏ္ဍသို့သွားပြီး ဆာဗာကာကွယ်မှုများကို ပိတ်ပါ။

   

3. သင့်ဆုံးဖြတ်ချက်အတိုင်း၊ သင်သည် 2010 ထက်ဟောင်းသော CVE များကို ပိတ်နိုင်သည်၊ ဤအားနည်းချက်များကို ရုံးငယ်များတွင် တွေ့ရခဲသော်လည်း စွမ်းဆောင်ရည်ကို ထိခိုက်စေပါသည်။ ၎င်းတို့ထဲမှ အချို့ကို ပိတ်ရန်၊ စာရင်းကို ပိတ်ရန် ပရိုဖိုင် → IPS → ထပ်လောင်း အသက်သွင်းခြင်း → အကာအကွယ်များ သို့ သွားပါ။

   

အဲဒီအစားတစ်ဦးနိဂုံးပိုင်း၏

SMB မိသားစု (1500) ၏ မျိုးဆက်သစ် NGFW အကြောင်း ဆောင်းပါးတွဲများ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ ကျွန်ုပ်တို့သည် ဖြေရှင်းချက်၏ အဓိက စွမ်းဆောင်ရည်များကို မီးမောင်းထိုးပြရန် ကြိုးစားခဲ့ကြပြီး တိကျသော ဥပမာများကို အသုံးပြု၍ အရေးကြီးသော လုံခြုံရေးအစိတ်အပိုင်းများ၏ ပုံစံဖွဲ့စည်းပုံကို သရုပ်ပြခဲ့ကြသည်။ ထုတ်ကုန်နှင့်ပတ်သက်သည့်မေးခွန်းများကို comment တွင်ဖြေကြားရန် ကျွန်ုပ်တို့ ကျေနပ်ပါသည်။ ကျွန်ုပ်တို့သည် သင်နှင့်အတူရှိနေပါသည်၊ သင်၏အာရုံစိုက်မှုအတွက် ကျေးဇူးတင်ပါသည်။

TS Solution မှ Check Point ရှိ ပစ္စည်းများ ရွေးချယ်မှု အများအပြား. ထုတ်ဝေမှုအသစ်များကို လက်လွတ်မခံစေရန် ကျွန်ုပ်တို့၏ လူမှုကွန်ရက်များတွင် အပ်ဒိတ်များကို လိုက်နာပါ (ကွေးနနျးစာ, Facebook က, VK, TS Solution Blog, Yandex Zen).

source: www.habr.com