7. NGFW voor kleine bedrijven. Prestaties en algemene aanbevelingen

Het is tijd om de serie artikelen over de nieuwe generatie SMB Check Point (1500-serie) te voltooien. We hopen dat dit een lonende ervaring voor u was en dat u bij ons zult blijven op de TS Solution blog. Het onderwerp voor het laatste artikel wordt niet breed behandeld, maar is daarom niet minder belangrijk: het afstemmen van SMB-prestaties. Daarin bespreken we de configuratieopties voor de hardware en software van de NGFW, beschrijven we de beschikbare commando's en interactiemethoden.

Alle artikelen in de serie over NGFW voor kleine bedrijven:

1. Nieuwe CheckPoint 1500 Security Gateway-lijn

2. Uitpakken en instellen

3. Draadloze datatransmissie: WiFi en LTE

4. VPN

5. Cloud SMP-beheer

6. Smart-1-wolk

Momenteel zijn er niet veel bronnen met informatie over het afstemmen van prestaties voor MKB-oplossingen vanwege beperkingen intern besturingssysteem - Gaia 80.20 ingebed. In ons artikel zullen we een lay-out gebruiken met gecentraliseerd beheer (dedicated Management Server) - hiermee kunt u meer tools gebruiken wanneer u met NGFW werkt.

De hardware onderdeel

Voordat u de Check Point SMB-familiearchitectuur aanraakt, kunt u altijd uw partner vragen het hulpprogramma te gebruiken Apparaatmaathulpmiddel, om de optimale oplossing te selecteren op basis van de gespecificeerde kenmerken (doorvoer, verwacht aantal gebruikers, enz.).

Belangrijke opmerkingen bij interactie met uw NGFW-hardware

1. NGFW-oplossingen van de SMB-familie hebben niet de mogelijkheid om systeemcomponenten (CPU, RAM, HDD) hardwarematig te upgraden; afhankelijk van het model is er ondersteuning voor SD-kaarten, hierdoor kunt u de schijfcapaciteit uitbreiden, maar niet significant.

2. De werking van netwerkinterfaces vereist controle. Gaia 80.20 Embedded beschikt niet over veel monitoringtools, maar je kunt altijd het bekende commando in de CLI gebruiken via Expert-modus 

   # ifconfig

   

   Let op de onderstreepte lijnen, hiermee kunt u het aantal fouten op de interface schatten. Het wordt ten zeerste aanbevolen om deze parameters te controleren tijdens de eerste implementatie van uw NGFW, maar ook periodiek tijdens het gebruik.

3. Voor een volwaardige Gaia is er een bevel:

   > toon diag

   Met zijn hulp is het mogelijk om informatie te verkrijgen over de temperatuur van de hardware. Helaas is deze optie niet beschikbaar in 80.20 Embedded; we geven de meest populaire SNMP-traps aan:

   Naam 

   beschrijving

   Interface losgekoppeld

   De interface uitschakelen

   VLAN verwijderd

   Vlan's verwijderen

   Hoog geheugengebruik

   Hoog RAM-gebruik

   Weinig schijfruimte

   Niet genoeg HDD-ruimte

   Hoog CPU-gebruik

   Hoog CPU-gebruik

   Hoge CPU-onderbrekingssnelheid

   Hoge onderbrekingssnelheid

   Hoog verbindingspercentage

   Hoge stroom nieuwe verbindingen

   Hoge gelijktijdige verbindingen

   Hoog niveau van competitieve sessies

   Hoge Firewall-doorvoer

   Firewall met hoge doorvoer

   Hoge geaccepteerde pakketsnelheid

   Hoge pakketontvangstsnelheid

   Clusterlidstaat gewijzigd

   De clusterstatus wijzigen

   Verbinding met logserverfout

   Verbinding met Log-Server verbroken

4. Voor de werking van uw gateway is RAM-monitoring vereist. Om Gaia (Linux-achtig besturingssysteem) te laten werken, is dit het geval normale situatiewanneer het RAM-verbruik 70-80% van het gebruik bereikt.

   De architectuur van SMB-oplossingen voorziet niet in het gebruik van SWAP-geheugen, in tegenstelling tot oudere Check Point-modellen. In Linux-systeembestanden werd het echter opgemerkt , wat de theoretische mogelijkheid aangeeft om de SWAP-parameter te wijzigen.

Softwaregedeelte

Op het moment van publicatie van het artikel actueel Gaia-versie - 80.20.10. U moet weten dat er beperkingen zijn bij het werken in de CLI: sommige Linux-opdrachten worden ondersteund in de Expert-modus. Het beoordelen van de prestaties van NGFW vereist het beoordelen van de prestaties van daemons en services. Meer details hierover zijn te vinden in статье mijn collega. We zullen kijken naar mogelijke commando's voor SMB.

Werken met Gaia OS

1. Blader door SecureXL-sjablonen

   #fwaccelstat

   

2. Bekijk opstarten per kern

   # fw ctl multik-stat

   

3. Bekijk het aantal sessies (verbindingen).

   #fwctlpstat

   

4. *Bekijk clusterstatus

   #cphaprob stat

   

5. Klassiek Linux TOP-commando

Loggen

Zoals je al weet zijn er drie manieren om met NGFW logs te werken (opslag, verwerking): lokaal, centraal en in de cloud. De laatste twee opties impliceren de aanwezigheid van een entiteit: Management Server.

Mogelijke NGFW-controleschema's

De meest waardevolle logbestanden

1. Systeemberichten (bevat minder informatie dan volledige Gaia)

   # staart -f /var/log/messages2

   

2. Foutmeldingen bij de werking van blades (best een handig bestand bij het oplossen van problemen)

   # tail -f /var/log/log/sfwd.elg

   

3. Bekijk berichten uit de buffer op systeemkernelniveau.

   #dmesg

   

Blade-configuratie

Deze sectie bevat geen volledige instructies voor het opzetten van uw NGFW Check Point; het bevat alleen onze aanbevelingen, geselecteerd op basis van ervaring.

Applicatiecontrole / URL-filtering

• Het wordt aanbevolen om ELKE, ELKE (Bron, Bestemming) voorwaarde in de regels te vermijden.

• Bij het opgeven van een aangepaste URL-bron is het effectiever om reguliere expressies te gebruiken, zoals: (^|..)checkpoint.com

• Vermijd overmatig gebruik van regelregistratie en weergave van blokkerende pagina's (UserCheck).

• Zorg ervoor dat de technologie correct werkt "SecureXL". Het meeste verkeer moet erdoor versnelde/middellange pad. Vergeet ook niet de regels te filteren op de meest gebruikte (field Hits ).

HTTPS-inspectie

Het is geen geheim dat 70-80% van het gebruikersverkeer afkomstig is van HTTPS-verbindingen, wat betekent dat hiervoor bronnen van uw gatewayprocessor nodig zijn. Daarnaast neemt HTTPS-Inspection deel aan het werk van IPS, Antivirus, Antibot.

Vanaf versie 80.40 was er kans om met HTTPS-regels te werken zonder Legacy Dashboard, volgt hier een aanbevolen regelvolgorde:

• Bypass voor een groep adressen en netwerken (Bestemming).

• Omzeilen voor een groep URL's.

• Bypass voor interne IP en netwerken met bevoorrechte toegang (bron).

• Inspecteer op vereiste netwerken en gebruikers

• Bypass voor alle anderen.

* Het is altijd beter om handmatig HTTPS- of HTTPS-proxyservices te selecteren en Elke te laten staan. Registreer gebeurtenissen volgens de Inspect-regels.

IPS

De IPS-blade kan mogelijk geen beleid op uw NGFW installeren als er te veel handtekeningen worden gebruikt. Volgens статье van Check Point is de architectuur van het SMB-apparaat niet ontworpen om het volledige aanbevolen IPS-configuratieprofiel uit te voeren.

Volg deze stappen om het probleem op te lossen of te voorkomen:

1. Kloon het geoptimaliseerde profiel met de naam 'Geoptimaliseerde SMB' (of een ander profiel naar keuze).

2. Bewerk het profiel, ga naar de sectie IPS → Pre R80.Instellingen en schakel Serverbeveiliging uit.

   

3. U kunt naar eigen goeddunken CVE's ouder dan 2010 uitschakelen. Deze kwetsbaarheden worden mogelijk zelden aangetroffen in kleine kantoren, maar hebben wel invloed op de prestaties. Om sommige ervan uit te schakelen, gaat u naar Profiel → IPS → Extra activering → Beveiligingen om de lijst te deactiveren

   

In plaats Output

Als onderdeel van een reeks artikelen over de nieuwe generatie NGFW van de SMB-familie (1500) hebben we geprobeerd de belangrijkste mogelijkheden van de oplossing te benadrukken en de configuratie van belangrijke beveiligingscomponenten gedemonstreerd aan de hand van specifieke voorbeelden. Eventuele vragen over het product beantwoorden wij graag in de opmerkingen. Wij blijven bij u, bedankt voor uw aandacht!

Grote keuze aan materialen op Check Point van TS Solution. Om geen nieuwe publicaties te missen, volgt u de updates op onze sociale netwerken (Telegram, Facebook, VK, TS Solution-blog, Yandex Zen).

Bron: www.habr.com