7. ننڍي ڪاروبار لاء NGFW. ڪارڪردگي ۽ عام سفارشون

وقت اچي ويو آهي ته مضمونن جو سلسلو مڪمل ڪيو وڃي SMB چيڪ پوائنٽ جي نئين نسل بابت (1500 سيريز). اسان اميد ٿا ڪريون ته اهو توهان لاءِ هڪ انعام وارو تجربو هو ۽ توهان TS حل بلاگ تي اسان سان گڏ رهندا. آخري مضمون لاء موضوع وڏي پيماني تي ڍڪيل نه آهي، پر گهٽ اهم نه آهي - SMB ڪارڪردگي ٽيوننگ. ان ۾ اسان NGFW جي هارڊويئر ۽ سافٽ ويئر جي ترتيب جي اختيارن تي بحث ڪنداسين، دستياب حڪمن ۽ رابطي جي طريقن کي بيان ڪنداسين.

ننڍي ڪاروبار لاءِ NGFW بابت سيريز ۾ سڀ مضمون:

1. نئون چيڪ پوائنٽ 1500 سيڪيورٽي گيٽ وي لائن

2. انباڪسنگ ۽ سيٽ اپ

3. وائرليس ڊيٽا ٽرانسميشن: وائي فائي ۽ LTE

4. VPN

5. Cloud SMP انتظام

6. اسمارٽ-1 ڪلائوڊ

في الحال، SMB حلن جي ڪارڪردگي جي باري ۾ معلومات جا ڪيترائي ذريعا نه آهن پابنديون اندروني او ايس - گيا 80.20 ايمبيڊڊ. اسان جي آرٽيڪل ۾ اسان هڪ ترتيب استعمال ڪنداسين مرڪزي انتظام سان (سرشار مئنيجمينٽ سرور) - اهو توهان کي وڌيڪ اوزار استعمال ڪرڻ جي اجازت ڏئي ٿو جڏهن NGFW سان ڪم ڪندي.

ھارڊويئر

چيڪ پوائنٽ SMB خانداني فن تعمير کي ڇڪڻ کان اڳ، توھان ھميشه پنھنجي پارٽنر کي استعمال ڪرڻ لاءِ پڇي سگھو ٿا اوزار جي ماپ ڪرڻ جو اوزار, مخصوص خاصيتن جي مطابق بهترين حل چونڊڻ لاء (ذريعو، صارفين جو متوقع تعداد، وغيره).

اهم نوٽس جڏهن توهان جي NGFW هارڊويئر سان لهه وچڙ ۾

1. SMB خاندان جي NGFW حلن ۾ هارڊويئر اپ گريڊ سسٽم اجزاء (سي پي يو، ريم، HDD) جي صلاحيت نه آهي؛ ماڊل تي منحصر ڪري، اتي SD ڪارڊ لاء سپورٽ آهي، اهو توهان کي ڊسڪ جي صلاحيت کي وڌائڻ جي اجازت ڏئي ٿو، پر خاص طور تي نه.

2. نيٽ ورڪ انٽرفيس جي آپريشن کي ڪنٽرول جي ضرورت آهي. Gaia 80.20 Embedded وٽ ڪيترائي مانيٽرنگ ٽولز نه آھن، پر توھان ھميشه استعمال ڪري سگھوٿا CLI ۾ سڃاتل ڪمانڊ ذريعي ماهر موڊ 

   # آءfconfig

   

   هيٺ ڏنل لائنن تي ڌيان ڏيو، اهي توهان کي انٽرفيس تي غلطين جي تعداد جو اندازو لڳائڻ جي اجازت ڏين ٿا. اهو انتهائي صلاح ڏني وئي آهي ته توهان جي NGFW جي شروعاتي عمل جي دوران انهن پيٽرولن کي چيڪ ڪريو، ۽ گڏوگڏ وقتي طور تي آپريشن دوران.

3. مڪمل گيا لاءِ ھڪڙو حڪم آھي:

   > ڊيگ ڏيکاريو

   ان جي مدد سان هارڊويئر جي گرمي پد جي باري ۾ معلومات حاصل ڪرڻ ممڪن آهي. بدقسمتي سان، هي اختيار 80.20 ايمبيڊڊ ۾ موجود ناهي؛ اسان سڀ کان وڌيڪ مشهور SNMP جال ظاهر ڪنداسين:

   ٽائيٽل 

   بيان

   انٽرفيس ختم ٿي ويو

   انٽرفيس کي غير فعال ڪرڻ

   VLAN هٽايو ويو

   Vlans کي هٽائڻ

   اعلي ميموري استعمال

   اعلي ريم استعمال

   گھٽ ڊسڪ اسپيس

   ڪافي HDD جڳهه ناهي

   اعلي CPU استعمال

   اعلي CPU استعمال

   هاء سي پي يو مداخلت جي شرح

   اعلي مداخلت جي شرح

   اعلي ڪنيڪشن جي شرح

   نئين ڪنيڪشن جي تيز وهڪري

   اعلي هموار ڪنيڪشن

   مقابلي واري سيشن جي اعلي سطح

   هاء فائر وال throughput

   هاء throughput Firewall

   اعلي قبول ٿيل پيٽ جي شرح

   اعلي پئڪيج استقبال جي شرح

   ڪلستر ميمبر رياست تبديل ٿي وئي

   ڪلستر جي حالت کي تبديل ڪندي

   لاگ سرور جي غلطي سان ڪنيڪشن

   لاگ سرور سان لاڳاپو وڃائي ڇڏيو

4. توهان جي گيٽ وي جي آپريشن کي رام مانيٽرنگ جي ضرورت آهي. گيا لاءِ (لينڪس جهڙو او ايس) ڪم ڪرڻ لاءِ، هي آهي عام صورتحالجڏهن رام جو استعمال 70-80٪ استعمال تائين پهچي ٿو.

   SMB حل جو فن تعمير SWAP ياداشت جي استعمال لاءِ مهيا نٿو ڪري، پراڻن چيڪ پوائنٽ ماڊلز جي برعڪس. بهرحال، لينڪس سسٽم فائلن ۾ اهو محسوس ڪيو ويو ، جيڪو SWAP پيٽرولر کي تبديل ڪرڻ جي نظرياتي امڪان کي ظاهر ڪري ٿو.

سافٽ ويئر حصو

مضمون جي اشاعت جي وقت تي تازه ترين گيا ورزن - 80.20.10. توهان کي ڄاڻڻ جي ضرورت آهي ته ڪي حدون آهن جڏهن CLI ۾ ڪم ڪري رهيا آهن: ڪجهه لينڪس ڪمانڊ ماهر موڊ ۾ سپورٽ آهن. NGFW جي ڪارڪردگيءَ جو جائزو وٺڻ لاءِ ڊيمن ۽ خدمتن جي ڪارڪردگيءَ جو جائزو وٺڻ جي ضرورت آھي، ان بابت وڌيڪ تفصيل ھن ۾ ملي سگھن ٿا. مضمون منهنجو ساٿي. اسان SMB لاء ممڪن حڪمن تي نظر ڪنداسين.

Gaia OS سان ڪم ڪرڻ

1. براؤز ڪريو SecureXL ٽيمپليٽ

   #fwaccelstat

   

2. ڪور طرفان بوٽ ڏسو

   # fw ctl multik stat

   

3. سيشن جو تعداد ڏسو (ڪنيڪشن).

   # fw ctl pstat

   

4. * ڪلستر جي حالت ڏسو

   #cphaprob اسٽيٽ

   

5. کلاسک لينڪس TOP حڪم

لاگنگ

جئين توهان اڳ ۾ ئي ڄاڻو ٿا، NGFW لاگز (اسٽوريج، پروسيسنگ) سان ڪم ڪرڻ جا ٽي طريقا آهن: مقامي طور تي، مرڪزي ۽ بادل ۾. آخري ٻن اختيارن جو مطلب آھي ھڪڙي اداري جي موجودگي - مئنيجمينٽ سرور.

ممڪن NGFW ڪنٽرول اسڪيمون

سڀ کان وڌيڪ قيمتي لاگ فائلون

1. سسٽم پيغام (مڪمل گيا کان گهٽ معلومات تي مشتمل آهي)

   # دم -f /var/log/messages2

   

2. بلڊز جي آپريشن ۾ نقص پيغام (ڪافي هڪ مفيد فائل جڏهن مسئلا حل ڪرڻ)

   # دم -f /var/log/log/sfwd.elg

   

3. سسٽم ڪرنل سطح تي بفر مان پيغام ڏسو.

   #dmesg

   

بليڊ جي تشڪيل

ھن سيڪشن ۾ توھان جي NGFW چيڪ پوائنٽ قائم ڪرڻ لاءِ مڪمل ھدايتون شامل نه ھونديون؛ ان ۾ صرف اسان جون سفارشون شامل آھن، جيڪي تجربي موجب چونڊيل آھن.

ايپليڪيشن ڪنٽرول / URL فلٽرنگ

• ضابطن ۾ ڪنهن به، ڪنهن به (ذريعو، منزل) شرطن کان بچڻ جي سفارش ڪئي وئي آهي.

• جڏهن هڪ ڪسٽم URL وسيلن جي وضاحت ڪندي، اهو باقاعده اظهار کي استعمال ڪرڻ لاء وڌيڪ اثرائتو ٿيندو جهڙوڪ: (^|...)checkpoint.com

• ضابطي جي لاگنگ ۽ بلاڪنگ صفحن جي ڊسپلي جي گھڻي استعمال کان پاسو ڪريو (UserCheck).

• پڪ ڪريو ته ٽيڪنالاجي صحيح ڪم ڪري ٿي "SecureXL". گھڻي ٽرئفڪ ذريعي وڃڻ گھرجي تيز رفتار / وچولي رستو. گڏوگڏ، ضابطن کي فلٽر ڪرڻ نه وساريو سڀ کان وڌيڪ استعمال ٿيل (فيلڊ هٽس ).

HTTPS-معائنو

اهو ڪو راز ناهي ته 70-80٪ صارف ٽرئفڪ HTTPS ڪنيڪشن مان اچي ٿو، جنهن جو مطلب آهي ته اهو توهان جي گيٽ وي پروسيسر کان وسيلن جي ضرورت آهي. ان کان علاوه، HTTPS-انسپيڪشن IPS، Antivirus، Antibot جي ڪم ۾ حصو وٺندو آهي.

نسخو 80.40 کان شروع ٿئي ٿو موقعو ليگيسي ڊيش بورڊ کان سواءِ HTTPS ضابطن سان ڪم ڪرڻ لاءِ، هتي ڪجهه تجويز ڪيل قاعدن جو حڪم آهي:

• ايڊريس ۽ نيٽ ورڪ جي هڪ گروپ لاءِ بائي پاس (منزل).

• URLs جي ھڪڙي گروپ لاءِ بائي پاس.

• اندروني IP ۽ نيٽ ورڪن لاءِ بائي پاس خصوصي رسائي سان (ذريعو).

• گهربل نيٽ ورڪن لاءِ معائنو ڪريو، صارفين

• هر ڪنهن لاءِ بائي پاس.

* اهو هميشه بهتر آهي ته دستي طور تي HTTPS يا HTTPS پراکسي خدمتن کي چونڊيو ۽ ڪنهن کي ڇڏي ڏيو. انسپيڪٽ قاعدن جي مطابق واقعن کي لاگ ان ڪريو.

IPS

IPS بليڊ ناڪام ٿي سگھي ٿو توھان جي NGFW تي پاليسي انسٽال ڪرڻ ۾ جيڪڏھن تمام گھڻا دستخط استعمال ڪيا وڃن. جي مطابق مضمون چيڪ پوائنٽ کان، ايس ايم بي ڊيوائس آرڪيٽيڪچر مڪمل تجويز ڪيل IPS ترتيب واري پروفائل کي هلائڻ لاءِ ٺهيل نه آهي.

مسئلو حل ڪرڻ يا روڪڻ لاءِ، انهن قدمن تي عمل ڪريو:

1. Optimized پروفائل کي ڪلون ڪريو "Optimized SMB" (يا توھان جي پسند جو ٻيو ھڪڙو).

2. پروفائل کي تبديل ڪريو، IPS → Pre R80. سيٽنگون سيڪشن ڏانھن وڃو ۽ سرور جي حفاظت کي بند ڪريو.

   

3. توھان جي صوابديد تي، توھان 2010 کان پراڻن CVEs کي غير فعال ڪري سگھو ٿا، اھي ڪمزوريون ننڍين آفيسن ۾ تمام گھٽ ملي سگھن ٿيون، پر ڪارڪردگي کي متاثر ڪن ٿيون. انھن مان ڪجھ کي غير فعال ڪرڻ لاءِ، ڏانھن وڃو پروفائل→IPS→اضافي ايڪٽيويشن → Protections to deactivate list

   

سوچيم ته هڪ ٿڪل جي

SMB خاندان جي NGFW جي نئين نسل (1500) بابت آرٽيڪل جي هڪ سلسلي جي حصي جي طور تي، اسان حل جي بنيادي صلاحيتن کي اجاگر ڪرڻ جي ڪوشش ڪئي ۽ خاص مثالن کي استعمال ڪندي اهم حفاظتي اجزاء جي ترتيب کي ظاهر ڪيو. اسان تبصرن ۾ پيداوار جي باري ۾ ڪنهن به سوال جو جواب ڏيڻ لاء خوش ٿي ويندي. اسان توهان سان گڏ رهون ٿا، توهان جي توجه جي مهرباني!

TS حل مان چيڪ پوائنٽ تي مواد جو وڏو انتخاب. نئين اشاعتن کي نه وڃائڻ لاء، اسان جي سماجي نيٽ ورڪن تي تازه ڪاريون جي پيروي ڪريو (تار, ڪريو, VK, TS حل بلاگ, Yandex Zen).

جو ذريعو: www.habr.com