7. NGFW for små bedrifter. Ytelse og generelle anbefalinger
Tiden er inne for å fullføre artikkelserien om den nye generasjonen SMB Check Point (1500-serien). Vi håper at dette var en givende opplevelse for deg og at du vil fortsette å være med oss på TS Solution-bloggen. Emnet for den endelige artikkelen er ikke mye dekket, men ikke mindre viktig - SMB-ytelsesjustering. I den vil vi diskutere konfigurasjonsalternativene for maskinvaren og programvaren til NGFW, beskrive de tilgjengelige kommandoene og metodene for interaksjon.
Alle artiklene i serien om NGFW for små bedrifter:
Foreløpig er det ikke mange kilder til informasjon om ytelsesinnstilling for SMB-løsninger pga begrensninger internt OS - Gaia 80.20 Embedded. I vår artikkel vil vi bruke et oppsett med sentralisert administrasjon (dedikert Management Server) - det lar deg bruke flere verktøy når du arbeider med NGFW.
maskinvare
Før du berører Check Point SMB-familiearkitekturen, kan du alltid be partneren din om å bruke verktøyet Verktøy for dimensjonering av apparater, for å velge den optimale løsningen i henhold til de spesifiserte egenskapene (gjennomstrømning, forventet antall brukere, etc.).
Viktige merknader når du samhandler med NGFW-maskinvaren
NGFW-løsninger fra SMB-familien har ikke muligheten til å oppgradere systemkomponenter (CPU, RAM, HDD); avhengig av modell er det støtte for SD-kort, dette lar deg utvide diskkapasiteten, men ikke vesentlig.
Driften av nettverksgrensesnitt krever kontroll. Gaia 80.20 Embedded har ikke mange overvåkingsverktøy, men du kan alltid bruke den velkjente kommandoen i CLI via Expert-modus
# Jegfconfig
Vær oppmerksom på de understrekede linjene, de vil tillate deg å estimere antall feil på grensesnittet. Det anbefales sterkt å sjekke disse parameterne under den første implementeringen av din NGFW, så vel som med jevne mellomrom under drift.
For en fullverdig Gaia er det en kommando:
>vis diag
Med dens hjelp er det mulig å få informasjon om temperaturen på maskinvaren. Dessverre er dette alternativet ikke tilgjengelig i 80.20 Embedded; vi vil indikere de mest populære SNMP-fellene:
Navn
beskrivelse
Grensesnitt frakoblet
Deaktiverer grensesnittet
VLAN fjernet
Fjerner Vlans
Høy minneutnyttelse
Høy RAM-utnyttelse
Lite diskplass
Ikke nok HDD-plass
Høy CPU-utnyttelse
Høy CPU-utnyttelse
Høy CPU-avbruddsfrekvens
Høy avbruddsfrekvens
Høy tilkoblingshastighet
Høy flyt av nye forbindelser
Høye samtidige tilkoblinger
Høyt nivå av konkurranseøkter
Høy brannmurgjennomstrømning
Brannmur med høy gjennomstrømning
Høy akseptert pakkehastighet
Høy pakkemottakshastighet
Klyngemedlemsstat endret
Endring av klyngetilstand
Tilkobling med loggserverfeil
Mistet forbindelse med Log-Server
Drift av gatewayen krever RAM-overvåking. For at Gaia (Linux-lignende OS) skal fungere, er dette normal situasjonnår RAM-forbruket når 70-80 % av bruken.
Arkitekturen til SMB-løsninger gir ikke mulighet for bruk av SWAP-minne, i motsetning til eldre Check Point-modeller. Imidlertid ble det lagt merke til i Linux-systemfiler , som indikerer den teoretiske muligheten for å endre SWAP-parameteren.
Programvaredel
På tidspunktet for publisering av artikkelen faktiske Gaia-versjon - 80.20.10. Du må vite at det er begrensninger når du arbeider i CLI: noen Linux-kommandoer støttes i ekspertmodus. Vurdering av ytelsen til NGFW krever vurdering av ytelsen til demoner og tjenester, mer detaljer om dette kan finnes i artikkel min kollega. Vi skal se på mulige kommandoer for SMB.
Jobber med Gaia OS
Bla gjennom SecureXL-maler
#fwaccelstat
Se støvel etter kjerne
# fw ctl multik-stat
Se antall økter (tilkoblinger).
# fw ctl pstat
*Se klyngestatus
#cphaprob stat
Klassisk Linux TOP-kommando
Hogst
Som du allerede vet, er det tre måter å jobbe med NGFW-logger på (lagring, prosessering): lokalt, sentralt og i skyen. De to siste alternativene innebærer tilstedeværelsen av en enhet - Management Server.
Mulige NGFW-kontrollordninger
De mest verdifulle loggfilene
Systemmeldinger (inneholder mindre informasjon enn full Gaia)
# tail -f /var/log/messages2
Feilmeldinger ved bruk av blader (ganske nyttig fil ved feilsøking av problemer)
# tail -f /var/log/log/sfwd.elg
Se meldinger fra bufferen på systemkjernenivå.
#dmesg
Bladkonfigurasjon
Denne delen vil ikke inneholde fullstendige instruksjoner for å sette opp NGFW Check Point; den inneholder kun våre anbefalinger, valgt av erfaring.
Programkontroll / URL-filtrering
Det anbefales å unngå ENHVER (Kilde, Destinasjon) forhold i reglene.
Når du spesifiserer en egendefinert URL-ressurs, vil det være mer effektivt å bruke regulære uttrykk som: (^|..)checkpoint.com
Unngå overdreven bruk av regellogging og visning av blokkeringssider (UserCheck).
Sørg for at teknologien fungerer riktig "SecureXL". Mest trafikk skal gå gjennom akselerert/middels bane. Ikke glem å filtrere reglene etter de mest brukte (felt Hits ).
HTTPS-inspeksjon
Det er ingen hemmelighet at 70-80 % av brukertrafikken kommer fra HTTPS-tilkoblinger, noe som betyr at dette krever ressurser fra gateway-prosessoren din. I tillegg deltar HTTPS-Inspection i arbeidet til IPS, Antivirus, Antibot.
Fra og med versjon 80.40 var det mulighet for å jobbe med HTTPS-regler uten Legacy Dashboard, her er noen anbefalte regelrekkefølge:
Omgå for en gruppe adresser og nettverk (destinasjon).
Omgå for en gruppe URL-er.
Bypass for intern IP og nettverk med privilegert tilgang (Kilde).
Inspiser for nødvendige nettverk, brukere
Bypass for alle andre.
* Det er alltid bedre å manuelt velge HTTPS eller HTTPS Proxy-tjenester og forlate Any. Logg hendelser i henhold til Inspiser regler.
IPS
IPS-bladet kan mislykkes i å installere policy på NGFW hvis det brukes for mange signaturer. I følge artikkel fra Check Point er ikke SMB-enhetsarkitekturen designet for å kjøre den fullstendige anbefalte IPS-konfigurasjonsprofilen.
Følg disse trinnene for å løse eller forhindre problemet:
Klon den optimaliserte profilen kalt "Optimalisert SMB" (eller en annen etter eget valg).
Rediger profilen, gå til IPS → Pre R80.Settings-seksjonen og slå av Server Protections.
Etter eget skjønn kan du deaktivere CVE-er som er eldre enn 2010, disse sårbarhetene kan sjelden finnes på små kontorer, men påvirker ytelsen. For å deaktivere noen av dem, gå til Profil→IPS→Tilleggsaktivering→Beskyttelser for å deaktivere listen
I stedet for en konklusjon
Som en del av en serie artikler om den nye generasjonen av NGFW fra SMB-familien (1500), prøvde vi å fremheve hovedfunksjonene til løsningen og demonstrerte konfigurasjonen av viktige sikkerhetskomponenter ved hjelp av spesifikke eksempler. Vi svarer gjerne på spørsmål om produktet i kommentarfeltet. Vi blir hos deg, takk for oppmerksomheten!