7. NGFW dla małych firm. Wydajność i ogólne zalecenia
Nadszedł czas na uzupełnienie serii artykułów o nowej generacji SMB Check Point (seria 1500). Mamy nadzieję, że było to dla Ciebie satysfakcjonujące doświadczenie i że nadal będziesz z nami na blogu TS Solution. Temat ostatniego artykułu nie jest szeroko poruszany, ale nie mniej ważny – tuning wydajności SMB. Omówimy w nim możliwości konfiguracji sprzętu i oprogramowania NGFW, opiszemy dostępne polecenia i sposoby interakcji.
Wszystkie artykuły z serii o NGFW dla małych firm:
Obecnie nie ma zbyt wielu źródeł informacji na temat dostrajania wydajności rozwiązań dla małych i średnich firm ze względu na ograniczenia wewnętrzny system operacyjny - Gaia 80.20 Wbudowany. W naszym artykule wykorzystamy układ z zarządzaniem scentralizowanym (dedykowany Management Server) - pozwala on na wykorzystanie większej liczby narzędzi podczas pracy z NGFW.
Sprzęt
Zanim dotkniesz architektury rodziny Check Point SMB, zawsze możesz poprosić swojego partnera o skorzystanie z tego narzędzia Narzędzie doboru rozmiaru urządzenia, aby wybrać optymalne rozwiązanie zgodnie z określonymi cechami (przepustowość, oczekiwana liczba użytkowników itp.).
Ważne uwagi dotyczące interakcji ze sprzętem NGFW
Rozwiązania NGFW z rodziny SMB nie posiadają możliwości rozbudowy sprzętowej podzespołów systemu (CPU, RAM, HDD); w zależności od modelu dostępna jest obsługa kart SD, pozwala to na zwiększenie pojemności dysku, ale nie w znaczący sposób.
Działanie interfejsów sieciowych wymaga kontroli. Gaia 80.20 Embedded nie ma wielu narzędzi monitorujących, ale zawsze możesz użyć dobrze znanego polecenia w CLI w trybie Expert
# Ifconfig
Zwróć uwagę na podkreślone linie, pozwolą one oszacować ilość błędów na interfejsie. Zdecydowanie zaleca się sprawdzanie tych parametrów podczas początkowej implementacji NGFW, a także okresowo podczas pracy.
Dla pełnoprawnej Gai istnieje polecenie:
>pokaż diagram
Za jego pomocą możliwe jest uzyskanie informacji o temperaturze sprzętu. Niestety ta opcja nie jest dostępna w 80.20 Embedded, wskażemy najpopularniejsze pułapki SNMP:
Nazwa
Opis
Interfejs odłączony
Wyłączenie interfejsu
Usunięto sieć VLAN
Usuwanie Vlanów
Wysokie wykorzystanie pamięci
Wysokie wykorzystanie pamięci RAM
Mało miejsca na dysku
Za mało miejsca na dysku twardym
Wysokie wykorzystanie procesora
Wysokie wykorzystanie procesora
Wysoka częstotliwość przerwań procesora
Wysoka częstotliwość przerwań
Wysoka szybkość połączenia
Wysoki przepływ nowych połączeń
Wysoka liczba jednoczesnych połączeń
Wysoki poziom sesji konkursowych
Wysoka przepustowość zapory sieciowej
Zapora sieciowa o dużej przepustowości
Wysoka akceptowana szybkość pakietów
Wysoka szybkość odbioru pakietów
Stan członkowski klastra został zmieniony
Zmiana stanu klastra
Połączenie z błędem serwera dziennika
Utracono połączenie z serwerem dziennika
Działanie Twojej bramy wymaga monitorowania pamięci RAM. Aby Gaia (system operacyjny podobny do Linuksa) działała, jest to normalna sytuacjagdy zużycie pamięci RAM osiągnie 70-80% wykorzystania.
Architektura rozwiązań SMB nie przewiduje wykorzystania pamięci SWAP, w przeciwieństwie do starszych modeli Check Point. Jednak w plikach systemu Linux zostało to zauważone , co wskazuje na teoretyczną możliwość zmiany parametru SWAP.
Część oprogramowania
W momencie publikacji artykułu aktualny Wersja Gai - 80.20.10. Musisz wiedzieć, że praca w CLI ma pewne ograniczenia: niektóre polecenia Linuksa są obsługiwane w trybie Ekspert. Ocena wydajności NGFW wymaga oceny wydajności demonów i usług, więcej szczegółów na ten temat można znaleźć w Artykuł mój kolega. Przyjrzymy się możliwym poleceniom dla SMB.
Praca z systemem operacyjnym Gaia
Przeglądaj szablony SecureXL
#fwaccelstat
Wyświetl rozruch według rdzenia
# fw ctl multik stat
Wyświetl liczbę sesji (połączeń).
# fw ctl pstat
* Zobacz stan klastra
Statystyka #cphaprob
Klasyczne polecenie TOP w systemie Linux
Logowanie
Jak już wiesz, istnieją trzy sposoby pracy z logami NGFW (przechowywanie, przetwarzanie): lokalnie, centralnie i w chmurze. Dwie ostatnie opcje implikują obecność jednostki - Management Server.
Możliwe schematy kontroli NGFW
Najcenniejsze pliki dziennika
Komunikaty systemowe (zawierają mniej informacji niż pełna Gaia)
# tail -f /var/log/messages2
Komunikaty o błędach w działaniu ostrzy (całkiem przydatny plik przy rozwiązywaniu problemów)
# tail -f /var/log/log/sfwd.elg
Przeglądaj komunikaty z bufora na poziomie jądra systemu.
#dmesg
Konfiguracja ostrza
Ta sekcja nie będzie zawierać pełnych instrukcji dotyczących konfigurowania punktu kontrolnego NGFW; zawiera jedynie nasze zalecenia wybrane na podstawie doświadczenia.
Kontrola aplikacji / filtrowanie adresów URL
Zaleca się unikać w regułach WSZELKICH, DOWOLNYCH warunków (źródło, miejsce docelowe).
Podczas określania niestandardowego zasobu adresu URL bardziej efektywne będzie użycie wyrażeń regularnych, takich jak: (^|..)checkpoint.com
Unikaj nadmiernego korzystania z rejestrowania reguł i wyświetlania stron blokujących (UserCheck).
Upewnij się, że technologia działa poprawnie „Bezpieczne XL”. Większość ruchu powinna przejść ścieżka przyspieszona/średnia. Nie zapomnij także przefiltrować reguł według najczęściej używanych (pole Odsłon ).
Inspekcja HTTPS
Nie jest tajemnicą, że 70-80% ruchu użytkowników pochodzi z połączeń HTTPS, co oznacza, że wymaga to zasobów procesora bramy. Ponadto HTTPS-Inspection uczestniczy w pracach IPS, Antivirus, Antibot.
Począwszy od wersji 80.40 było okazja aby pracować z regułami HTTPS bez starszego panelu sterowania, oto zalecana kolejność reguł:
Pomiń grupę adresów i sieci (miejsce docelowe).
Pomiń grupę adresów URL.
Pomijanie wewnętrznego adresu IP i sieci z uprzywilejowanym dostępem (Źródło).
Sprawdź wymagane sieci i użytkowników
Obejście dla wszystkich innych.
* Zawsze lepiej jest ręcznie wybrać usługi HTTPS lub HTTPS Proxy i pozostawić opcję Dowolne. Rejestruj zdarzenia zgodnie z zasadami Inspekcji.
IPS
Moduł IPS blade może nie zainstalować zasad na serwerze NGFW, jeśli zostanie użytych zbyt wiele sygnatur. Według Artykuł z firmy Check Point architektura urządzeń SMB nie jest zaprojektowana do obsługi pełnego zalecanego profilu konfiguracyjnego IPS.
Aby rozwiązać problem lub mu zapobiec, wykonaj następujące kroki:
Sklonuj zoptymalizowany profil o nazwie „Zoptymalizowany SMB” (lub inny wybrany przez Ciebie).
Edytuj profil, przejdź do sekcji IPS → Pre R80.Settings i wyłącz Zabezpieczenia serwera.
Według własnego uznania możesz wyłączyć CVE starsze niż 2010. Luki te mogą być rzadko spotykane w małych biurach, ale wpływają na wydajność. Aby wyłączyć niektóre z nich, przejdź do Profil → IPS → Dodatkowa aktywacja → Lista zabezpieczeń do dezaktywacji
Zamiast zawierania
W ramach serii artykułów na temat nowej generacji NGFW z rodziny SMB (1500) staraliśmy się podkreślić główne możliwości rozwiązania oraz zademonstrowaliśmy konfigurację ważnych komponentów bezpieczeństwa na konkretnych przykładach. Chętnie odpowiemy na wszelkie pytania dotyczące produktu w komentarzach. Jesteśmy z Wami, dziękujemy za uwagę!