7. NGFW para pequenas empresas. Desempenho e recomendações gerais
Chegou a hora de completar a série de artigos sobre a nova geração de Check Point SMB (série 1500). Esperamos que esta tenha sido uma experiência gratificante para você e que continue conosco no blog da TS Solution. O tópico do artigo final não é amplamente abordado, mas não menos importante é o ajuste de desempenho de SMB. Nele discutiremos as opções de configuração de hardware e software do NGFW, descreveremos os comandos disponíveis e métodos de interação.
Todos os artigos da série sobre NGFW para pequenas empresas:
Atualmente, não existem muitas fontes de informações sobre ajuste de desempenho para soluções SMB devido a restrições SO interno - Gaia 80.20 Embutido. Em nosso artigo utilizaremos um layout com gerenciamento centralizado (servidor de gerenciamento dedicado) - permite utilizar mais ferramentas ao trabalhar com NGFW.
Hardware
Antes de tocar na arquitetura da família Check Point SMB, você sempre pode pedir ao seu parceiro para usar o utilitário Ferramenta de dimensionamento de eletrodomésticos, para selecionar a solução ideal de acordo com as características especificadas (taxa de transferência, número esperado de usuários, etc.).
Notas importantes ao interagir com seu hardware NGFW
As soluções NGFW da família SMB não possuem capacidade de atualização de hardware dos componentes do sistema (CPU, RAM, HDD); dependendo do modelo, há suporte para cartões SD, o que permite expandir a capacidade do disco, mas não significativamente.
A operação de interfaces de rede requer controle. O Gaia 80.20 Embedded não possui muitas ferramentas de monitoramento, mas você sempre pode usar o comando conhecido na CLI via modo Expert
# eufconfig
Preste atenção nas linhas sublinhadas, elas permitirão estimar o número de erros na interface. É altamente recomendável verificar esses parâmetros durante a implementação inicial do seu NGFW, bem como periodicamente durante a operação.
Para uma Gaia completa existe um comando:
>mostrar diag.
Com sua ajuda é possível obter informações sobre a temperatura do hardware. Infelizmente, esta opção não está disponível no 80.20 Embedded; indicaremos as armadilhas SNMP mais populares:
Nome
descrição
Interface desconectada
Desativando a interface
VLAN removida
Removendo Vlans
Alta utilização de memória
Alta utilização de RAM
Pouco espaço em disco
Espaço insuficiente no disco rígido
Alta utilização da CPU
Alta utilização da CPU
Alta taxa de interrupções da CPU
Alta taxa de interrupção
Alta taxa de conexão
Alto fluxo de novas conexões
Altas conexões simultâneas
Alto nível de sessões competitivas
Alto rendimento do firewall
Firewall de alto rendimento
Alta taxa de pacotes aceitos
Alta taxa de recepção de pacotes
Estado membro do cluster alterado
Alterando o estado do cluster
Erro de conexão com servidor de log
Conexão perdida com Log-Server
A operação do seu gateway requer monitoramento de RAM. Para que o Gaia (sistema operacional semelhante ao Linux) funcione, isso é situação normalquando o consumo de RAM atinge 70-80% de uso.
A arquitetura das soluções SMB não prevê o uso de memória SWAP, ao contrário dos modelos Check Point mais antigos. Porém, nos arquivos do sistema Linux foi notado , que indica a possibilidade teórica de alteração do parâmetro SWAP.
A parte do software
No momento da publicação do artigo relevante Versão Gaia - 80.20.10. Você precisa saber que existem limitações ao trabalhar na CLI: alguns comandos do Linux são suportados no modo Expert. Avaliar o desempenho do NGFW requer avaliar o desempenho dos daemons e serviços, mais detalhes sobre isso podem ser encontrados em статье meu colega. Veremos comandos possíveis para SMB.
Trabalhando com Gaia OS
Procure modelos SecureXL
#fwaccelstat
Ver inicialização por núcleo
# fw ctl estatística multik
Veja o número de sessões (conexões).
# fw ctl pstat
*Ver status do cluster
#cphaprob estatística
Comando TOP clássico do Linux
Exploração madeireira
Como você já sabe, existem três maneiras de trabalhar com logs NGFW (armazenamento, processamento): localmente, centralmente e na nuvem. As duas últimas opções implicam a presença de uma entidade - Management Server.
Possíveis esquemas de controle NGFW
Os arquivos de log mais valiosos
Mensagens do sistema (contém menos informações que Gaia completo)
# tail -f /var/log/messages2
Mensagens de erro na operação de blades (um arquivo bastante útil na solução de problemas)
# tail -f /var/log/log/sfwd.elg
Visualize mensagens do buffer no nível do kernel do sistema.
#dmesg
Configuração da lâmina
Esta seção não conterá instruções completas para configurar seu ponto de verificação NGFW; ela contém apenas nossas recomendações, selecionadas por experiência.
Controle de aplicativos/filtragem de URL
Recomenda-se evitar QUALQUER condição (Origem, Destino) nas regras.
Ao especificar um recurso de URL personalizado, será mais eficaz usar expressões regulares como: (^|..)checkpoint.com
Evite o uso excessivo de registro de regras e exibição de páginas de bloqueio (UserCheck).
Certifique-se de que a tecnologia funciona corretamente "SeguroXL". A maior parte do tráfego deve passar caminho acelerado/médio. Além disso, não esqueça de filtrar as regras pelas mais utilizadas (campo acessos ).
Inspeção HTTPS
Não é nenhum segredo que 70-80% do tráfego do usuário vem de conexões HTTPS, o que significa que isso requer recursos do processador do seu gateway. Além disso, a Inspeção HTTPS participa do trabalho de IPS, Antivirus, Antibot.
A partir da versão 80.40 houve oportunidade para trabalhar com regras HTTPS sem o Legacy Dashboard, aqui estão algumas ordens de regras recomendadas:
Bypass para um grupo de endereços e redes (Destino).
Ignorar um grupo de URLs.
Bypass para IP interno e redes com acesso privilegiado (Fonte).
Inspecione as redes e usuários necessários
Ignorar para todos os outros.
* É sempre melhor selecionar manualmente os serviços HTTPS ou HTTPS Proxy e deixar Qualquer. Registrar eventos de acordo com as regras do Inspect.
IPS
A lâmina IPS poderá falhar ao instalar a política em seu NGFW se muitas assinaturas forem usadas. De acordo com статье da Check Point, a arquitetura do dispositivo SMB não foi projetada para executar o perfil de configuração IPS completo recomendado.
Para resolver ou evitar o problema, siga estas etapas:
Clone o perfil otimizado chamado “SMB otimizado” (ou outro de sua escolha).
Edite o perfil, vá para a seção IPS → Pre R80.Settings e desative as Proteções do Servidor.
A seu critério, você pode desabilitar CVEs anteriores a 2010. Essas vulnerabilidades podem ser raramente encontradas em pequenos escritórios, mas afetam o desempenho. Para desabilitar alguns deles, vá em Perfil→IPS→Ativação Adicional→Proteções para desativar a lista
Em vez de uma conclusão
Como parte de uma série de artigos sobre a nova geração de NGFW da família SMB (1500), procuramos destacar as principais capacidades da solução e demonstramos a configuração de importantes componentes de segurança através de exemplos específicos. Teremos o maior prazer em responder qualquer dúvida sobre o produto nos comentários. Ficamos com você, obrigado pela atenção!