7. NGFW dla małych firm. Wydajność i ogólne zalecenia

Nadszedł czas na uzupełnienie serii artykułów o nowej generacji SMB Check Point (seria 1500). Mamy nadzieję, że było to dla Ciebie satysfakcjonujące doświadczenie i że nadal będziesz z nami na blogu TS Solution. Temat ostatniego artykułu nie jest szeroko poruszany, ale nie mniej ważny – tuning wydajności SMB. Omówimy w nim możliwości konfiguracji sprzętu i oprogramowania NGFW, opiszemy dostępne polecenia i sposoby interakcji.

Wszystkie artykuły z serii o NGFW dla małych firm:

1. Nowa linia bram bezpieczeństwa CheckPoint 1500

2. Rozpakowanie i konfiguracja

3. Bezprzewodowa transmisja danych: WiFi i LTE

4. VPN

5. Zarządzanie SMP w chmurze

6. Chmura Smart-1

Obecnie nie ma zbyt wielu źródeł informacji na temat dostrajania wydajności rozwiązań dla małych i średnich firm ze względu na ograniczenia wewnętrzny system operacyjny - Gaia 80.20 Wbudowany. W naszym artykule wykorzystamy układ z zarządzaniem scentralizowanym (dedykowany Management Server) - pozwala on na wykorzystanie większej liczby narzędzi podczas pracy z NGFW.

Sprzęt

Zanim dotkniesz architektury rodziny Check Point SMB, zawsze możesz poprosić swojego partnera o skorzystanie z tego narzędzia Narzędzie doboru rozmiaru urządzenia, aby wybrać optymalne rozwiązanie zgodnie z określonymi cechami (przepustowość, oczekiwana liczba użytkowników itp.).

Ważne uwagi dotyczące interakcji ze sprzętem NGFW

1. Rozwiązania NGFW z rodziny SMB nie posiadają możliwości rozbudowy sprzętowej podzespołów systemu (CPU, RAM, HDD); w zależności od modelu dostępna jest obsługa kart SD, pozwala to na zwiększenie pojemności dysku, ale nie w znaczący sposób.

2. Działanie interfejsów sieciowych wymaga kontroli. Gaia 80.20 Embedded nie ma wielu narzędzi monitorujących, ale zawsze możesz użyć dobrze znanego polecenia w CLI w trybie Expert 

   # Ifconfig

   

   Zwróć uwagę na podkreślone linie, pozwolą one oszacować ilość błędów na interfejsie. Zdecydowanie zaleca się sprawdzanie tych parametrów podczas początkowej implementacji NGFW, a także okresowo podczas pracy.

3. Dla pełnoprawnej Gai istnieje polecenie:

   >pokaż diagram

   Za jego pomocą możliwe jest uzyskanie informacji o temperaturze sprzętu. Niestety ta opcja nie jest dostępna w 80.20 Embedded, wskażemy najpopularniejsze pułapki SNMP:

   Nazwa 

   Opis

   Interfejs odłączony

   Wyłączenie interfejsu

   Usunięto sieć VLAN

   Usuwanie Vlanów

   Wysokie wykorzystanie pamięci

   Wysokie wykorzystanie pamięci RAM

   Mało miejsca na dysku

   Za mało miejsca na dysku twardym

   Wysokie wykorzystanie procesora

   Wysokie wykorzystanie procesora

   Wysoka częstotliwość przerwań procesora

   Wysoka częstotliwość przerwań

   Wysoka szybkość połączenia

   Wysoki przepływ nowych połączeń

   Wysoka liczba jednoczesnych połączeń

   Wysoki poziom sesji konkursowych

   Wysoka przepustowość zapory sieciowej

   Zapora sieciowa o dużej przepustowości

   Wysoka akceptowana szybkość pakietów

   Wysoka szybkość odbioru pakietów

   Stan członkowski klastra został zmieniony

   Zmiana stanu klastra

   Połączenie z błędem serwera dziennika

   Utracono połączenie z serwerem dziennika

4. Działanie Twojej bramy wymaga monitorowania pamięci RAM. Aby Gaia (system operacyjny podobny do Linuksa) działała, jest to normalna sytuacjagdy zużycie pamięci RAM osiągnie 70-80% wykorzystania.

   Architektura rozwiązań SMB nie przewiduje wykorzystania pamięci SWAP, w przeciwieństwie do starszych modeli Check Point. Jednak w plikach systemu Linux zostało to zauważone , co wskazuje na teoretyczną możliwość zmiany parametru SWAP.

Część oprogramowania

W momencie publikacji artykułu aktualny Wersja Gai - 80.20.10. Musisz wiedzieć, że praca w CLI ma pewne ograniczenia: niektóre polecenia Linuksa są obsługiwane w trybie Ekspert. Ocena wydajności NGFW wymaga oceny wydajności demonów i usług, więcej szczegółów na ten temat można znaleźć w Artykuł mój kolega. Przyjrzymy się możliwym poleceniom dla SMB.

Praca z systemem operacyjnym Gaia

1. Przeglądaj szablony SecureXL

   #fwaccelstat

   

2. Wyświetl rozruch według rdzenia

   # fw ctl multik stat

   

3. Wyświetl liczbę sesji (połączeń).

   # fw ctl pstat

   

4. * Zobacz stan klastra

   Statystyka #cphaprob

   

5. Klasyczne polecenie TOP w systemie Linux

Logowanie

Jak już wiesz, istnieją trzy sposoby pracy z logami NGFW (przechowywanie, przetwarzanie): lokalnie, centralnie i w chmurze. Dwie ostatnie opcje implikują obecność jednostki - Management Server.

Możliwe schematy kontroli NGFW

Najcenniejsze pliki dziennika

1. Komunikaty systemowe (zawierają mniej informacji niż pełna Gaia)

   # tail -f /var/log/messages2

   

2. Komunikaty o błędach w działaniu ostrzy (całkiem przydatny plik przy rozwiązywaniu problemów)

   # tail -f /var/log/log/sfwd.elg

   

3. Przeglądaj komunikaty z bufora na poziomie jądra systemu.

   #dmesg

   

Konfiguracja ostrza

Ta sekcja nie będzie zawierać pełnych instrukcji dotyczących konfigurowania punktu kontrolnego NGFW; zawiera jedynie nasze zalecenia wybrane na podstawie doświadczenia.

Kontrola aplikacji / filtrowanie adresów URL

• Zaleca się unikać w regułach WSZELKICH, DOWOLNYCH warunków (źródło, miejsce docelowe).

• Podczas określania niestandardowego zasobu adresu URL bardziej efektywne będzie użycie wyrażeń regularnych, takich jak: (^|..)checkpoint.com

• Unikaj nadmiernego korzystania z rejestrowania reguł i wyświetlania stron blokujących (UserCheck).

• Upewnij się, że technologia działa poprawnie „Bezpieczne XL”. Większość ruchu powinna przejść ścieżka przyspieszona/średnia. Nie zapomnij także przefiltrować reguł według najczęściej używanych (pole Odsłon ).

Inspekcja HTTPS

Nie jest tajemnicą, że 70-80% ruchu użytkowników pochodzi z połączeń HTTPS, co oznacza, że ​​wymaga to zasobów procesora bramy. Ponadto HTTPS-Inspection uczestniczy w pracach IPS, Antivirus, Antibot.

Począwszy od wersji 80.40 było okazja aby pracować z regułami HTTPS bez starszego panelu sterowania, oto zalecana kolejność reguł:

• Pomiń grupę adresów i sieci (miejsce docelowe).

• Pomiń grupę adresów URL.

• Pomijanie wewnętrznego adresu IP i sieci z uprzywilejowanym dostępem (Źródło).

• Sprawdź wymagane sieci i użytkowników

• Obejście dla wszystkich innych.

* Zawsze lepiej jest ręcznie wybrać usługi HTTPS lub HTTPS Proxy i pozostawić opcję Dowolne. Rejestruj zdarzenia zgodnie z zasadami Inspekcji.

IPS

Moduł IPS blade może nie zainstalować zasad na serwerze NGFW, jeśli zostanie użytych zbyt wiele sygnatur. Według Artykuł z firmy Check Point architektura urządzeń SMB nie jest zaprojektowana do obsługi pełnego zalecanego profilu konfiguracyjnego IPS.

Aby rozwiązać problem lub mu zapobiec, wykonaj następujące kroki:

1. Sklonuj zoptymalizowany profil o nazwie „Zoptymalizowany SMB” (lub inny wybrany przez Ciebie).

2. Edytuj profil, przejdź do sekcji IPS → Pre R80.Settings i wyłącz Zabezpieczenia serwera.

   

3. Według własnego uznania możesz wyłączyć CVE starsze niż 2010. Luki te mogą być rzadko spotykane w małych biurach, ale wpływają na wydajność. Aby wyłączyć niektóre z nich, przejdź do Profil → IPS → Dodatkowa aktywacja → Lista zabezpieczeń do dezaktywacji

   

Zamiast zawierania

W ramach serii artykułów na temat nowej generacji NGFW z rodziny SMB (1500) staraliśmy się podkreślić główne możliwości rozwiązania oraz zademonstrowaliśmy konfigurację ważnych komponentów bezpieczeństwa na konkretnych przykładach. Chętnie odpowiemy na wszelkie pytania dotyczące produktu w komentarzach. Jesteśmy z Wami, dziękujemy za uwagę!

Duży wybór materiałów na Check Point od TS Solution. Aby nie przegapić nowych publikacji, śledź aktualizacje na naszych portalach społecznościowych (Telegram, Facebook, VK, Blog rozwiązań TS, Yandex Zen).

Źródło: www.habr.com