7. NGFW for små bedrifter. Ytelse og generelle anbefalinger

Tiden er inne for å fullføre artikkelserien om den nye generasjonen SMB Check Point (1500-serien). Vi håper at dette var en givende opplevelse for deg og at du vil fortsette å være med oss ​​på TS Solution-bloggen. Emnet for den endelige artikkelen er ikke mye dekket, men ikke mindre viktig - SMB-ytelsesjustering. I den vil vi diskutere konfigurasjonsalternativene for maskinvaren og programvaren til NGFW, beskrive de tilgjengelige kommandoene og metodene for interaksjon.

Alle artiklene i serien om NGFW for små bedrifter:

1. Ny CheckPoint 1500 Security Gateway Line

2. Unboxing og oppsett

3. Trådløs dataoverføring: WiFi og LTE

4. VPN

5. Cloud SMP Management

6. Smart-1 Cloud

Foreløpig er det ikke mange kilder til informasjon om ytelsesinnstilling for SMB-løsninger pga begrensninger internt OS - Gaia 80.20 Embedded. I vår artikkel vil vi bruke et oppsett med sentralisert administrasjon (dedikert Management Server) - det lar deg bruke flere verktøy når du arbeider med NGFW.

maskinvare

Før du berører Check Point SMB-familiearkitekturen, kan du alltid be partneren din om å bruke verktøyet Verktøy for dimensjonering av apparater, for å velge den optimale løsningen i henhold til de spesifiserte egenskapene (gjennomstrømning, forventet antall brukere, etc.).

Viktige merknader når du samhandler med NGFW-maskinvaren

1. NGFW-løsninger fra SMB-familien har ikke muligheten til å oppgradere systemkomponenter (CPU, RAM, HDD); avhengig av modell er det støtte for SD-kort, dette lar deg utvide diskkapasiteten, men ikke vesentlig.

2. Driften av nettverksgrensesnitt krever kontroll. Gaia 80.20 Embedded har ikke mange overvåkingsverktøy, men du kan alltid bruke den velkjente kommandoen i CLI via Expert-modus 

   # Jegfconfig

   

   Vær oppmerksom på de understrekede linjene, de vil tillate deg å estimere antall feil på grensesnittet. Det anbefales sterkt å sjekke disse parameterne under den første implementeringen av din NGFW, så vel som med jevne mellomrom under drift.

3. For en fullverdig Gaia er det en kommando:

   >vis diag

   Med dens hjelp er det mulig å få informasjon om temperaturen på maskinvaren. Dessverre er dette alternativet ikke tilgjengelig i 80.20 Embedded; vi vil indikere de mest populære SNMP-fellene:

   Navn 

   beskrivelse

   Grensesnitt frakoblet

   Deaktiverer grensesnittet

   VLAN fjernet

   Fjerner Vlans

   Høy minneutnyttelse

   Høy RAM-utnyttelse

   Lite diskplass

   Ikke nok HDD-plass

   Høy CPU-utnyttelse

   Høy CPU-utnyttelse

   Høy CPU-avbruddsfrekvens

   Høy avbruddsfrekvens

   Høy tilkoblingshastighet

   Høy flyt av nye forbindelser

   Høye samtidige tilkoblinger

   Høyt nivå av konkurranseøkter

   Høy brannmurgjennomstrømning

   Brannmur med høy gjennomstrømning

   Høy akseptert pakkehastighet

   Høy pakkemottakshastighet

   Klyngemedlemsstat endret

   Endring av klyngetilstand

   Tilkobling med loggserverfeil

   Mistet forbindelse med Log-Server

4. Drift av gatewayen krever RAM-overvåking. For at Gaia (Linux-lignende OS) skal fungere, er dette normal situasjonnår RAM-forbruket når 70-80 % av bruken.

   Arkitekturen til SMB-løsninger gir ikke mulighet for bruk av SWAP-minne, i motsetning til eldre Check Point-modeller. Imidlertid ble det lagt merke til i Linux-systemfiler , som indikerer den teoretiske muligheten for å endre SWAP-parameteren.

Programvaredel

På tidspunktet for publisering av artikkelen faktiske Gaia-versjon - 80.20.10. Du må vite at det er begrensninger når du arbeider i CLI: noen Linux-kommandoer støttes i ekspertmodus. Vurdering av ytelsen til NGFW krever vurdering av ytelsen til demoner og tjenester, mer detaljer om dette kan finnes i artikkel min kollega. Vi skal se på mulige kommandoer for SMB.

Jobber med Gaia OS

1. Bla gjennom SecureXL-maler

   #fwaccelstat

   

2. Se støvel etter kjerne

   # fw ctl multik-stat

   

3. Se antall økter (tilkoblinger).

   # fw ctl pstat

   

4. *Se klyngestatus

   #cphaprob stat

   

5. Klassisk Linux TOP-kommando

Hogst

Som du allerede vet, er det tre måter å jobbe med NGFW-logger på (lagring, prosessering): lokalt, sentralt og i skyen. De to siste alternativene innebærer tilstedeværelsen av en enhet - Management Server.

Mulige NGFW-kontrollordninger

De mest verdifulle loggfilene

1. Systemmeldinger (inneholder mindre informasjon enn full Gaia)

   # tail -f /var/log/messages2

   

2. Feilmeldinger ved bruk av blader (ganske nyttig fil ved feilsøking av problemer)

   # tail -f /var/log/log/sfwd.elg

   

3. Se meldinger fra bufferen på systemkjernenivå.

   #dmesg

   

Bladkonfigurasjon

Denne delen vil ikke inneholde fullstendige instruksjoner for å sette opp NGFW Check Point; den inneholder kun våre anbefalinger, valgt av erfaring.

Programkontroll / URL-filtrering

• Det anbefales å unngå ENHVER (Kilde, Destinasjon) forhold i reglene.

• Når du spesifiserer en egendefinert URL-ressurs, vil det være mer effektivt å bruke regulære uttrykk som: (^|..)checkpoint.com

• Unngå overdreven bruk av regellogging og visning av blokkeringssider (UserCheck).

• Sørg for at teknologien fungerer riktig "SecureXL". Mest trafikk skal gå gjennom akselerert/middels bane. Ikke glem å filtrere reglene etter de mest brukte (felt Hits ).

HTTPS-inspeksjon

Det er ingen hemmelighet at 70-80 % av brukertrafikken kommer fra HTTPS-tilkoblinger, noe som betyr at dette krever ressurser fra gateway-prosessoren din. I tillegg deltar HTTPS-Inspection i arbeidet til IPS, Antivirus, Antibot.

Fra og med versjon 80.40 var det mulighet for å jobbe med HTTPS-regler uten Legacy Dashboard, her er noen anbefalte regelrekkefølge:

• Omgå for en gruppe adresser og nettverk (destinasjon).

• Omgå for en gruppe URL-er.

• Bypass for intern IP og nettverk med privilegert tilgang (Kilde).

• Inspiser for nødvendige nettverk, brukere

• Bypass for alle andre.

* Det er alltid bedre å manuelt velge HTTPS eller HTTPS Proxy-tjenester og forlate Any. Logg hendelser i henhold til Inspiser regler.

IPS

IPS-bladet kan mislykkes i å installere policy på NGFW hvis det brukes for mange signaturer. I følge artikkel fra Check Point er ikke SMB-enhetsarkitekturen designet for å kjøre den fullstendige anbefalte IPS-konfigurasjonsprofilen.

Følg disse trinnene for å løse eller forhindre problemet:

1. Klon den optimaliserte profilen kalt "Optimalisert SMB" (eller en annen etter eget valg).

2. Rediger profilen, gå til IPS → Pre R80.Settings-seksjonen og slå av Server Protections.

   

3. Etter eget skjønn kan du deaktivere CVE-er som er eldre enn 2010, disse sårbarhetene kan sjelden finnes på små kontorer, men påvirker ytelsen. For å deaktivere noen av dem, gå til Profil→IPS→Tilleggsaktivering→Beskyttelser for å deaktivere listen

   

I stedet for en konklusjon

Som en del av en serie artikler om den nye generasjonen av NGFW fra SMB-familien (1500), prøvde vi å fremheve hovedfunksjonene til løsningen og demonstrerte konfigurasjonen av viktige sikkerhetskomponenter ved hjelp av spesifikke eksempler. Vi svarer gjerne på spørsmål om produktet i kommentarfeltet. Vi blir hos deg, takk for oppmerksomheten!

Stort utvalg av materialer på Check Point fra TS Solution. For ikke å gå glipp av nye publikasjoner, følg oppdateringene på våre sosiale nettverk (Telegram,  Facebook , VK, TS Løsningsblogg, Yandex Zen).

Kilde: www.habr.com