7. د کوچنیو کاروبارونو لپاره NGFW. فعالیت او عمومي سپارښتنې

د SMB چیک پوائنټ (1500 لړۍ) نوي نسل په اړه د مقالو لړۍ بشپړولو وخت راغلی. موږ امید لرو چې دا ستاسو لپاره ګټور تجربه وه او تاسو به د TS حل بلاګ کې زموږ سره پاتې شئ. د وروستۍ مقالې موضوع په پراخه کچه پوښل شوې نه ده، مګر لږ مهم نه دی - د SMB فعالیت ټینګ. پدې کې به موږ د NGFW هارډویر او سافټویر لپاره د ترتیب کولو اختیارونو په اړه بحث وکړو، د شته کمانډونو او متقابل عمل میتودونه تشریح کړو.

د کوچني سوداګرۍ لپاره د NGFW په اړه په لړۍ کې ټولې مقالې:

1. د نوې پوستې 1500 امنیتي ګیټ ویز لاین

2. ان باکسینګ او تنظیم کول

3. د بې سیمه ډیټا لیږد: وائی فای او LTE

4. VPN

5. د کلاوډ SMP مدیریت

6. سمارټ-1 کلاوډ

اوس مهال، د SMB حلونو لپاره د فعالیت ټینګ کولو په اړه د معلوماتو ډیری سرچینې شتون نلري محدودیتونه داخلي OS - Gaia 80.20 ایمبیډ شوی. زموږ په مقاله کې به موږ د مرکزي مدیریت (وقف مدیریت سرور) سره یو ترتیب وکاروو - دا تاسو ته اجازه درکوي د NGFW سره کار کولو پرمهال نور وسیلې وکاروئ.

هارډویر

مخکې له دې چې د چیک پوائنټ SMB کورنۍ جوړښت ته لاس ورکړئ، تاسو کولی شئ تل له خپل ملګري څخه وغواړئ چې د افادیت څخه کار واخلي د وسایلو اندازه کولو وسیلهد ټاکلو ځانګړتیاوو سره سم د غوره حل غوره کولو لپاره (له لارې، د کاروونکو متوقع شمیر، او نور).

مهم یادښتونه کله چې ستاسو د NGFW هارډویر سره تعامل کوئ

1. د SMB کورنۍ NGFW حلونه د هارډویر اپ گریڈ سیسټم برخو (CPU، RAM، HDD) وړتیا نلري؛ د ماډل پورې اړه لري، د SD کارتونو لپاره ملاتړ شتون لري، دا تاسو ته اجازه درکوي د ډیسک ظرفیت پراخ کړئ، مګر د پام وړ نه.

2. د شبکې انٹرفیس عملیات کنټرول ته اړتیا لري. ګیا 80.20 ایمبیډډ د څارنې ډیری وسیلې نلري ، مګر تاسو کولی شئ تل د ماهر حالت له لارې په CLI کې پیژندل شوي کمانډ وکاروئ 

   #زهfconfig

   

   لاندې لیکو ته پام وکړئ، دوی به تاسو ته اجازه درکړي چې په انټرنیټ کې د غلطیو شمیر اټکل کړئ. دا ډیره سپارښتنه کیږي چې دا پیرامیټونه ستاسو د NGFW د ابتدايي تطبیق په جریان کې، او همدارنګه د عملیاتو په جریان کې په دوره توګه وګورئ.

3. د بشپړ ګیا لپاره یو امر شتون لري:

   > ډایګ ښکاره کړئ

   د دې په مرسته دا امکان لري چې د هارډویر د تودوخې په اړه معلومات ترلاسه کړي. له بده مرغه، دا اختیار په 80.20 ایمبیډډ کې شتون نلري؛ موږ به د SNMP خورا مشهور جالونه په ګوته کړو:

   سرلیک 

   شرح

   انٹرفیس قطع شوی

   د انٹرفیس غیر فعال کول

   VLAN لرې شوی

   د Vlans لرې کول

   د لوړې حافظې کارول

   د لوړ RAM کارول

   کم ډیسک ځای

   کافي HDD ځای نشته

   د لوړ CPU کارول

   د لوړ CPU کارول

   د لوړ CPU مداخلې نرخ

   د لوړ مداخلې نرخ

   د پیوستون لوړه کچه

   د نوي اړیکو لوړ جریان

   لوړ همغږي اړیکې

   د رقابتي غونډو لوړه کچه

   د لوړ فایروال له لارې پټول

   لوړ تروپوټ فایر وال

   د لوړ منل شوي پاکټ نرخ

   د لوړ پاکټ استقبال نرخ

   د کلستر غړی هیواد بدل شو

   د کلستر حالت بدلول

   د لاګ سرور غلطی سره پیوستون

   د Log-Server سره اړیکه له لاسه ورکړه

4. ستاسو د دروازې عملیات د رام څارنې ته اړتیا لري. د ګیا (لینکس په څیر OS) د کار کولو لپاره، دا دی نورمال حالتکله چې د RAM مصرف 70-80٪ ته ورسیږي.

   د SMB حلونو جوړښت د SWAP حافظې کارولو لپاره چمتو نه کوي، د زاړه چیک پوائنټ ماډلونو برعکس. په هرصورت، د لینکس سیسټم فایلونو کې دا لیدل شوی ، کوم چې د SWAP پیرامیټر بدلولو نظري امکان په ګوته کوي.

د سافټویر برخه

د مقالې د خپرولو په وخت کې تر دې نیټې د ګیا نسخه - 80.20.10. تاسو اړتیا لرئ پوه شئ چې په CLI کې کار کولو پر مهال محدودیتونه شتون لري: ځینې لینکس کمانډونه د ماهر حالت کې ملاتړ کیږي. د NGFW د فعالیت ارزونه د ډیمونونو او خدماتو فعالیت ارزولو ته اړتیا لري، پدې اړه نور جزییات په دې کې موندل کیدی شي. مقالې زما همکار موږ به د SMB لپاره ممکنه حکمونه وګورو.

د Gaia OS سره کار کول

1. د SecureXL ټیمپلیټونه وپلټئ

   #fwaccelstat

   

2. د کور لخوا بوټ وګورئ

   # fw ctl multik stat

   

3. د غونډو شمیر (اړیکو) وګورئ.

   # fw ctl pstat

   

4. * د کلستر حالت وګورئ

   #cphaprob stat

   

5. د کلاسیک لینکس TOP کمانډ

ننوتل

لکه څنګه چې تاسو دمخه پوهیږئ، د NGFW لاګونو سره د کار کولو لپاره درې لارې شتون لري (ذخیره کول، پروسس کول): په محلي، مرکزي او بادل کې. وروستي دوه اختیارونه د یوې ادارې شتون - مدیریت سرور څرګندوي.

د NGFW کنټرول ممکنه سکیمونه

ترټولو قیمتي لاګ فایلونه

1. د سیسټم پیغامونه (د بشپړ ګیا څخه لږ معلومات لري)

   # tail -f /var/log/messages2

   

2. د بلیډونو په عملیاتو کې د خطا پیغامونه (د ستونزو حل کولو پرمهال خورا ګټور فایل)

   # tail -f /var/log/log/sfwd.elg

   

3. د سیسټم د کرنل په کچه د بفر څخه پیغامونه وګورئ.

   #dmesg

   

د تیغ ترتیب

دا برخه به ستاسو د NGFW چیک پوائنټ تنظیم کولو لپاره بشپړ لارښوونې ونلري؛ دا یوازې زموږ وړاندیزونه لري چې د تجربې له مخې غوره شوي.

د غوښتنلیک کنټرول / URL فلټر کول

• دا سپارښتنه کیږي چې په قواعدو کې د هر ډول، هر (سرچینې، منزل) شرایطو څخه مخنیوی وشي.

• کله چې د دودیز URL سرچینې مشخص کړئ، نو دا به د منظم بیانونو کارولو لپاره خورا اغیزمن وي لکه: (^|..) checkpoint.com

• د قاعدې لاګنګ او د بلاک کولو پا pagesو (UserCheck) ښودلو څخه د ډیر کارولو څخه ډډه وکړئ.

• ډاډ ترلاسه کړئ چې ټیکنالوژي په سمه توګه کار کوي "SecureXL". ډیری ترافیک باید تیر شي ګړندۍ/منځنۍ لار. همچنان ، مه هیروئ چې قواعد د ډیری کارول شوي لخوا فلټر کړئ (فیلډ بازديدها ).

HTTPS- تفتیش

دا هیڅ راز پټ نه دی چې د کاروونکي ټرافيک 70-80٪ د HTTPS اړیکو څخه راځي، پدې معنی چې دا ستاسو د ګیټ وے پروسیسر څخه سرچینو ته اړتیا لري. برسېره پردې، د HTTPS- تفتیش د IPS، Antivirus، Antibot په کار کې برخه اخلي.

د 80.40 نسخه څخه پیل کول شتون درلود فرصت د میراث ډشبورډ پرته د HTTPS قواعدو سره کار کولو لپاره، دلته ځینې سپارښتنې قواعد دي:

• د ادرسونو او شبکو د یوې ډلې لپاره بای پاس (منزل).

• د URLs د یوې ډلې لپاره بای پاس.

• د داخلي IP او شبکو لپاره بای پاس د امتیاز لرونکي لاسرسي سره (سرچینه).

• د اړتیا وړ شبکو، کاروونکو لپاره معاینه کول

• د هرچا لپاره بای پاس.

* دا تل غوره ده چې په لاسي ډول HTTPS یا HTTPS پراکسي خدمات غوره کړئ او کوم پریږدئ. د تفتیش قواعدو سره سم پیښې ثبت کړئ.

د IPS

د IPS بلیډ ممکن ستاسو په NGFW کې پالیسي نصبولو کې پاتې راشي که چیرې ډیری لاسلیکونه وکارول شي. په وینا د مقالې د چیک پوائنټ څخه، د SMB وسیله جوړښت د بشپړ وړاندیز شوي IPS ترتیب کولو پروفایل چلولو لپاره ډیزاین شوی نه دی.

د ستونزې د حل یا مخنیوي لپاره، دا ګامونه تعقیب کړئ:

1. مطلوب پروفایل کلون کړئ چې د "اصلاح شوي SMB" په نوم یادیږي (یا ستاسو د خوښې بل یو).

2. پروفایل سم کړئ، د IPS → Pre R80. Settings برخې ته لاړ شئ او د سرور محافظتونه بند کړئ.

   

3. ستاسو په اختیار کې، تاسو کولی شئ د 2010 څخه زاړه CVEs غیر فعال کړئ، دا زیانمننې ممکن په وړو دفترونو کې په ندرت سره وموندل شي، مګر په فعالیت اغیزه کوي. د دوی د ځینو غیر فعالولو لپاره، پروفایل ته لاړ شئ → IPS → اضافي فعالیت → محافظتونه د لیست غیر فعالولو لپاره

   

پر ځای د يو پایلې

د SMB کورنۍ (1500) د NGFW نوي نسل په اړه د مقالو د لړۍ یوې برخې په توګه، موږ هڅه وکړه چې د حل اصلي وړتیاوې روښانه کړو او د ځانګړو مثالونو په کارولو سره د مهمو امنیتي برخو ترتیب وښودو. موږ به خوښ یو چې په نظرونو کې د محصول په اړه هرې پوښتنې ته ځواب ووایو. موږ ستاسو سره پاتې یو، ستاسو د پاملرنې څخه مننه!

د TS محلول څخه په چیک پوائنټ کې د موادو لوی انتخاب. د دې لپاره چې نوي خپرونې له لاسه ورنکړي، زموږ په ټولنیزو شبکو کې تازه معلومات تعقیب کړئ (Telegram, فیسبوک, VK, د TS حل بلاګ, Yandex.Zen).

سرچینه: www.habr.com