7. NGFW para pequenas empresas. Desempenho e recomendações gerais

Chegou a hora de completar a série de artigos sobre a nova geração de Check Point SMB (série 1500). Esperamos que esta tenha sido uma experiência gratificante para você e que continue conosco no blog da TS Solution. O tópico do artigo final não é amplamente abordado, mas não menos importante é o ajuste de desempenho de SMB. Nele discutiremos as opções de configuração de hardware e software do NGFW, descreveremos os comandos disponíveis e métodos de interação.

Todos os artigos da série sobre NGFW para pequenas empresas:

1. Nova linha de gateway de segurança CheckPoint 1500

2. Desembalagem e configuração

3. Transmissão de dados sem fio: WiFi e LTE

4. VPN

5. Gerenciamento SMP na nuvem

6. Nuvem inteligente-1

Atualmente, não existem muitas fontes de informações sobre ajuste de desempenho para soluções SMB devido a restrições SO interno - Gaia 80.20 Embutido. Em nosso artigo utilizaremos um layout com gerenciamento centralizado (servidor de gerenciamento dedicado) - permite utilizar mais ferramentas ao trabalhar com NGFW.

Hardware

Antes de tocar na arquitetura da família Check Point SMB, você sempre pode pedir ao seu parceiro para usar o utilitário Ferramenta de dimensionamento de eletrodomésticos, para selecionar a solução ideal de acordo com as características especificadas (taxa de transferência, número esperado de usuários, etc.).

Notas importantes ao interagir com seu hardware NGFW

1. As soluções NGFW da família SMB não possuem capacidade de atualização de hardware dos componentes do sistema (CPU, RAM, HDD); dependendo do modelo, há suporte para cartões SD, o que permite expandir a capacidade do disco, mas não significativamente.

2. A operação de interfaces de rede requer controle. O Gaia 80.20 Embedded não possui muitas ferramentas de monitoramento, mas você sempre pode usar o comando conhecido na CLI via modo Expert 

   # eufconfig

   

   Preste atenção nas linhas sublinhadas, elas permitirão estimar o número de erros na interface. É altamente recomendável verificar esses parâmetros durante a implementação inicial do seu NGFW, bem como periodicamente durante a operação.

3. Para uma Gaia completa existe um comando:

   >mostrar diag.

   Com sua ajuda é possível obter informações sobre a temperatura do hardware. Infelizmente, esta opção não está disponível no 80.20 Embedded; indicaremos as armadilhas SNMP mais populares:

   Nome 

   descrição

   Interface desconectada

   Desativando a interface

   VLAN removida

   Removendo Vlans

   Alta utilização de memória

   Alta utilização de RAM

   Pouco espaço em disco

   Espaço insuficiente no disco rígido

   Alta utilização da CPU

   Alta utilização da CPU

   Alta taxa de interrupções da CPU

   Alta taxa de interrupção

   Alta taxa de conexão

   Alto fluxo de novas conexões

   Altas conexões simultâneas

   Alto nível de sessões competitivas

   Alto rendimento do firewall

   Firewall de alto rendimento

   Alta taxa de pacotes aceitos

   Alta taxa de recepção de pacotes

   Estado membro do cluster alterado

   Alterando o estado do cluster

   Erro de conexão com servidor de log

   Conexão perdida com Log-Server

4. A operação do seu gateway requer monitoramento de RAM. Para que o Gaia (sistema operacional semelhante ao Linux) funcione, isso é situação normalquando o consumo de RAM atinge 70-80% de uso.

   A arquitetura das soluções SMB não prevê o uso de memória SWAP, ao contrário dos modelos Check Point mais antigos. Porém, nos arquivos do sistema Linux foi notado , que indica a possibilidade teórica de alteração do parâmetro SWAP.

A parte do software

No momento da publicação do artigo relevante Versão Gaia - 80.20.10. Você precisa saber que existem limitações ao trabalhar na CLI: alguns comandos do Linux são suportados no modo Expert. Avaliar o desempenho do NGFW requer avaliar o desempenho dos daemons e serviços, mais detalhes sobre isso podem ser encontrados em статье meu colega. Veremos comandos possíveis para SMB.

Trabalhando com Gaia OS

1. Procure modelos SecureXL

   #fwaccelstat

   

2. Ver inicialização por núcleo

   # fw ctl estatística multik

   

3. Veja o número de sessões (conexões).

   # fw ctl pstat

   

4. *Ver status do cluster

   #cphaprob estatística

   

5. Comando TOP clássico do Linux

Exploração madeireira

Como você já sabe, existem três maneiras de trabalhar com logs NGFW (armazenamento, processamento): localmente, centralmente e na nuvem. As duas últimas opções implicam a presença de uma entidade - Management Server.

Possíveis esquemas de controle NGFW

Os arquivos de log mais valiosos

1. Mensagens do sistema (contém menos informações que Gaia completo)

   # tail -f /var/log/messages2

   

2. Mensagens de erro na operação de blades (um arquivo bastante útil na solução de problemas)

   # tail -f /var/log/log/sfwd.elg

   

3. Visualize mensagens do buffer no nível do kernel do sistema.

   #dmesg

   

Configuração da lâmina

Esta seção não conterá instruções completas para configurar seu ponto de verificação NGFW; ela contém apenas nossas recomendações, selecionadas por experiência.

Controle de aplicativos/filtragem de URL

• Recomenda-se evitar QUALQUER condição (Origem, Destino) nas regras.

• Ao especificar um recurso de URL personalizado, será mais eficaz usar expressões regulares como: (^|..)checkpoint.com

• Evite o uso excessivo de registro de regras e exibição de páginas de bloqueio (UserCheck).

• Certifique-se de que a tecnologia funciona corretamente "SeguroXL". A maior parte do tráfego deve passar caminho acelerado/médio. Além disso, não esqueça de filtrar as regras pelas mais utilizadas (campo acessos ).

Inspeção HTTPS

Não é nenhum segredo que 70-80% do tráfego do usuário vem de conexões HTTPS, o que significa que isso requer recursos do processador do seu gateway. Além disso, a Inspeção HTTPS participa do trabalho de IPS, Antivirus, Antibot.

A partir da versão 80.40 houve oportunidade para trabalhar com regras HTTPS sem o Legacy Dashboard, aqui estão algumas ordens de regras recomendadas:

• Bypass para um grupo de endereços e redes (Destino).

• Ignorar um grupo de URLs.

• Bypass para IP interno e redes com acesso privilegiado (Fonte).

• Inspecione as redes e usuários necessários

• Ignorar para todos os outros.

* É sempre melhor selecionar manualmente os serviços HTTPS ou HTTPS Proxy e deixar Qualquer. Registrar eventos de acordo com as regras do Inspect.

IPS

A lâmina IPS poderá falhar ao instalar a política em seu NGFW se muitas assinaturas forem usadas. De acordo com статье da Check Point, a arquitetura do dispositivo SMB não foi projetada para executar o perfil de configuração IPS completo recomendado.

Para resolver ou evitar o problema, siga estas etapas:

1. Clone o perfil otimizado chamado “SMB otimizado” (ou outro de sua escolha).

2. Edite o perfil, vá para a seção IPS → Pre R80.Settings e desative as Proteções do Servidor.

   

3. A seu critério, você pode desabilitar CVEs anteriores a 2010. Essas vulnerabilidades podem ser raramente encontradas em pequenos escritórios, mas afetam o desempenho. Para desabilitar alguns deles, vá em Perfil→IPS→Ativação Adicional→Proteções para desativar a lista

   

Em vez de uma conclusão

Como parte de uma série de artigos sobre a nova geração de NGFW da família SMB (1500), procuramos destacar as principais capacidades da solução e demonstramos a configuração de importantes componentes de segurança através de exemplos específicos. Teremos o maior prazer em responder qualquer dúvida sobre o produto nos comentários. Ficamos com você, obrigado pela atenção!

Grande seleção de materiais no Check Point da TS Solution. Para não perder novas publicações, acompanhe as atualizações em nossas redes sociais (Telegram, Facebook, VK, Blog da solução TS, Yandex.Den).

Fonte: habr.com