7. NGFW voor kleine bedrijven. Prestaties en algemene aanbevelingen
Het is tijd om de serie artikelen over de nieuwe generatie SMB Check Point (1500-serie) te voltooien. We hopen dat dit een lonende ervaring voor u was en dat u bij ons zult blijven op de TS Solution blog. Het onderwerp voor het laatste artikel wordt niet breed behandeld, maar is daarom niet minder belangrijk: het afstemmen van SMB-prestaties. Daarin bespreken we de configuratieopties voor de hardware en software van de NGFW, beschrijven we de beschikbare commando's en interactiemethoden.
Alle artikelen in de serie over NGFW voor kleine bedrijven:
Momenteel zijn er niet veel bronnen met informatie over het afstemmen van prestaties voor MKB-oplossingen vanwege beperkingen intern besturingssysteem - Gaia 80.20 ingebed. In ons artikel zullen we een lay-out gebruiken met gecentraliseerd beheer (dedicated Management Server) - hiermee kunt u meer tools gebruiken wanneer u met NGFW werkt.
De hardware onderdeel
Voordat u de Check Point SMB-familiearchitectuur aanraakt, kunt u altijd uw partner vragen het hulpprogramma te gebruiken Apparaatmaathulpmiddel, om de optimale oplossing te selecteren op basis van de gespecificeerde kenmerken (doorvoer, verwacht aantal gebruikers, enz.).
Belangrijke opmerkingen bij interactie met uw NGFW-hardware
NGFW-oplossingen van de SMB-familie hebben niet de mogelijkheid om systeemcomponenten (CPU, RAM, HDD) hardwarematig te upgraden; afhankelijk van het model is er ondersteuning voor SD-kaarten, hierdoor kunt u de schijfcapaciteit uitbreiden, maar niet significant.
De werking van netwerkinterfaces vereist controle. Gaia 80.20 Embedded beschikt niet over veel monitoringtools, maar je kunt altijd het bekende commando in de CLI gebruiken via Expert-modus
# ifconfig
Let op de onderstreepte lijnen, hiermee kunt u het aantal fouten op de interface schatten. Het wordt ten zeerste aanbevolen om deze parameters te controleren tijdens de eerste implementatie van uw NGFW, maar ook periodiek tijdens het gebruik.
Voor een volwaardige Gaia is er een bevel:
> toon diag
Met zijn hulp is het mogelijk om informatie te verkrijgen over de temperatuur van de hardware. Helaas is deze optie niet beschikbaar in 80.20 Embedded; we geven de meest populaire SNMP-traps aan:
Naam
beschrijving
Interface losgekoppeld
De interface uitschakelen
VLAN verwijderd
Vlan's verwijderen
Hoog geheugengebruik
Hoog RAM-gebruik
Weinig schijfruimte
Niet genoeg HDD-ruimte
Hoog CPU-gebruik
Hoog CPU-gebruik
Hoge CPU-onderbrekingssnelheid
Hoge onderbrekingssnelheid
Hoog verbindingspercentage
Hoge stroom nieuwe verbindingen
Hoge gelijktijdige verbindingen
Hoog niveau van competitieve sessies
Hoge Firewall-doorvoer
Firewall met hoge doorvoer
Hoge geaccepteerde pakketsnelheid
Hoge pakketontvangstsnelheid
Clusterlidstaat gewijzigd
De clusterstatus wijzigen
Verbinding met logserverfout
Verbinding met Log-Server verbroken
Voor de werking van uw gateway is RAM-monitoring vereist. Om Gaia (Linux-achtig besturingssysteem) te laten werken, is dit het geval normale situatiewanneer het RAM-verbruik 70-80% van het gebruik bereikt.
De architectuur van SMB-oplossingen voorziet niet in het gebruik van SWAP-geheugen, in tegenstelling tot oudere Check Point-modellen. In Linux-systeembestanden werd het echter opgemerkt , wat de theoretische mogelijkheid aangeeft om de SWAP-parameter te wijzigen.
Softwaregedeelte
Op het moment van publicatie van het artikel actueel Gaia-versie - 80.20.10. U moet weten dat er beperkingen zijn bij het werken in de CLI: sommige Linux-opdrachten worden ondersteund in de Expert-modus. Het beoordelen van de prestaties van NGFW vereist het beoordelen van de prestaties van daemons en services. Meer details hierover zijn te vinden in ΡΡΠ°ΡΡΠ΅ mijn collega. We zullen kijken naar mogelijke commando's voor SMB.
Werken met Gaia OS
Blader door SecureXL-sjablonen
#fwaccelstat
Bekijk opstarten per kern
# fw ctl multik-stat
Bekijk het aantal sessies (verbindingen).
#fwctlpstat
*Bekijk clusterstatus
#cphaprob stat
Klassiek Linux TOP-commando
Loggen
Zoals je al weet zijn er drie manieren om met NGFW logs te werken (opslag, verwerking): lokaal, centraal en in de cloud. De laatste twee opties impliceren de aanwezigheid van een entiteit: Management Server.
Mogelijke NGFW-controleschema's
De meest waardevolle logbestanden
Systeemberichten (bevat minder informatie dan volledige Gaia)
# staart -f /var/log/messages2
Foutmeldingen bij de werking van blades (best een handig bestand bij het oplossen van problemen)
# tail -f /var/log/log/sfwd.elg
Bekijk berichten uit de buffer op systeemkernelniveau.
#dmesg
Blade-configuratie
Deze sectie bevat geen volledige instructies voor het opzetten van uw NGFW Check Point; het bevat alleen onze aanbevelingen, geselecteerd op basis van ervaring.
Applicatiecontrole / URL-filtering
Het wordt aanbevolen om ELKE, ELKE (Bron, Bestemming) voorwaarde in de regels te vermijden.
Bij het opgeven van een aangepaste URL-bron is het effectiever om reguliere expressies te gebruiken, zoals: (^|..)checkpoint.com
Vermijd overmatig gebruik van regelregistratie en weergave van blokkerende pagina's (UserCheck).
Zorg ervoor dat de technologie correct werkt "SecureXL". Het meeste verkeer moet erdoor versnelde/middellange pad. Vergeet ook niet de regels te filteren op de meest gebruikte (field Hits ).
HTTPS-inspectie
Het is geen geheim dat 70-80% van het gebruikersverkeer afkomstig is van HTTPS-verbindingen, wat betekent dat hiervoor bronnen van uw gatewayprocessor nodig zijn. Daarnaast neemt HTTPS-Inspection deel aan het werk van IPS, Antivirus, Antibot.
Vanaf versie 80.40 was er kans om met HTTPS-regels te werken zonder Legacy Dashboard, volgt hier een aanbevolen regelvolgorde:
Bypass voor een groep adressen en netwerken (Bestemming).
Omzeilen voor een groep URL's.
Bypass voor interne IP en netwerken met bevoorrechte toegang (bron).
Inspecteer op vereiste netwerken en gebruikers
Bypass voor alle anderen.
* Het is altijd beter om handmatig HTTPS- of HTTPS-proxyservices te selecteren en Elke te laten staan. Registreer gebeurtenissen volgens de Inspect-regels.
IPS
De IPS-blade kan mogelijk geen beleid op uw NGFW installeren als er te veel handtekeningen worden gebruikt. Volgens ΡΡΠ°ΡΡΠ΅ van Check Point is de architectuur van het SMB-apparaat niet ontworpen om het volledige aanbevolen IPS-configuratieprofiel uit te voeren.
Volg deze stappen om het probleem op te lossen of te voorkomen:
Kloon het geoptimaliseerde profiel met de naam 'Geoptimaliseerde SMB' (of een ander profiel naar keuze).
Bewerk het profiel, ga naar de sectie IPS β Pre R80.Instellingen en schakel Serverbeveiliging uit.
U kunt naar eigen goeddunken CVE's ouder dan 2010 uitschakelen. Deze kwetsbaarheden worden mogelijk zelden aangetroffen in kleine kantoren, maar hebben wel invloed op de prestaties. Om sommige ervan uit te schakelen, gaat u naar Profiel β IPS β Extra activering β Beveiligingen om de lijst te deactiveren
In plaats Output
Als onderdeel van een reeks artikelen over de nieuwe generatie NGFW van de SMB-familie (1500) hebben we geprobeerd de belangrijkste mogelijkheden van de oplossing te benadrukken en de configuratie van belangrijke beveiligingscomponenten gedemonstreerd aan de hand van specifieke voorbeelden. Eventuele vragen over het product beantwoorden wij graag in de opmerkingen. Wij blijven bij u, bedankt voor uw aandacht!