7. NGFW za mala podjetja. Delovanje in splošna priporočila

Prišel je čas za dokončanje serije člankov o novi generaciji SMB Check Point (serija 1500). Upamo, da je bila to za vas koristna izkušnja in da boste še naprej z nami na blogu TS Solution. Tema za zadnji članek ni široko zajeta, a nič manj pomembna - nastavitev zmogljivosti SMB. V njem bomo obravnavali konfiguracijske možnosti za strojno in programsko opremo NGFW, opisali razpoložljive ukaze in metode interakcije.

Vsi članki v seriji o NGFW za mala podjetja:

1. Nova linija varnostnih prehodov CheckPoint 1500

2. Razpakiranje in nastavitev

3. Brezžični prenos podatkov: WiFi in LTE

4. VPN

5. Upravljanje SMP v oblaku

6. Smart-1 Cloud

Trenutno ni veliko virov informacij o prilagajanju zmogljivosti za rešitve SMB zaradi omejitve notranji OS - Gaia 80.20 Embedded. V našem članku bomo uporabili postavitev s centraliziranim upravljanjem (namenski strežnik za upravljanje) - omogoča uporabo več orodij pri delu z NGFW.

Strojna oprema

Preden se dotaknete družinske arhitekture Check Point SMB, lahko vedno prosite svojega partnerja, da uporabi pripomoček Orodje za določanje velikosti aparata, izbrati optimalno rešitev glede na podane lastnosti (prepustnost, pričakovano število uporabnikov itd.).

Pomembne opombe pri interakciji s strojno opremo NGFW

1. Rešitve NGFW družine SMB nimajo možnosti strojne nadgradnje sistemskih komponent (CPU, RAM, HDD), odvisno od modela obstaja podpora za kartice SD, kar vam omogoča razširitev zmogljivosti diska, vendar ne bistveno.

2. Delovanje omrežnih vmesnikov zahteva nadzor. Gaia 80.20 Embedded nima veliko orodij za nadzor, vendar lahko vedno uporabite dobro znani ukaz v CLI prek načina Expert 

   # jazfconfig

   

   Bodite pozorni na podčrtane črte, ki vam bodo omogočile oceno števila napak na vmesniku. Zelo priporočljivo je, da te parametre preverite med začetno implementacijo vašega NGFW, pa tudi občasno med delovanjem.

3. Za polnopravno Gaio obstaja ukaz:

   > pokaži diag

   Z njegovo pomočjo je mogoče pridobiti podatke o temperaturi strojne opreme. Na žalost ta možnost ni na voljo v 80.20 Embedded; navedli bomo najbolj priljubljene pasti SNMP:

   Ime 

   Opis

   Vmesnik prekinjen

   Onemogočanje vmesnika

   VLAN odstranjen

   Odstranjevanje Vlanov

   Visoka izkoriščenost pomnilnika

   Visoka poraba RAM-a

   Nizka diskovna količina

   Ni dovolj prostora na trdem disku

   Visoka izkoriščenost procesorja

   Visoka izkoriščenost procesorja

   Visoka stopnja prekinitev procesorja

   Visoka stopnja prekinitev

   Visoka stopnja povezave

   Visok pretok novih povezav

   Visoke sočasne povezave

   Visoka raven tekmovalnosti

   Visoka prepustnost požarnega zidu

   Visoko zmogljiv požarni zid

   Visoka hitrost sprejetih paketov

   Visoka stopnja sprejema paketov

   Država članica grozda je spremenjena

   Spreminjanje stanja gruče

   Povezava z napako strežnika dnevnika

   Izgubljena povezava s strežnikom Log-Server

4. Delovanje vašega prehoda zahteva spremljanje RAM-a. Da bi Gaia (Linuxu podoben OS) delovala, je to normalno stanjeko poraba RAM-a doseže 70-80% uporabe.

   Arhitektura SMB rešitev ne predvideva uporabe SWAP pomnilnika, za razliko od starejših modelov Check Point. Vendar pa je bilo to opaziti v sistemskih datotekah Linuxa , ki nakazuje teoretično možnost spremembe parametra SWAP.

Programski del

V času objave članka dejansko Različica Gaia - 80.20.10. Vedeti morate, da obstajajo omejitve pri delu v CLI: nekateri ukazi Linuxa so podprti v načinu Expert. Ocenjevanje delovanja NGFW zahteva oceno delovanja demonov in storitev, več podrobnosti o tem lahko najdete v članek moj kolega. Ogledali si bomo možne ukaze za SMB.

Delo z Gaia OS

1. Brskajte po predlogah SecureXL

   #fwaccelstat

   

2. Oglejte si zagon po jedru

   # fw ctl multik stat

   

3. Oglejte si število sej (povezav).

   # fw ctl pstat

   

4. * Oglejte si stanje gruče

   #cphaprob stat

   

5. Klasični Linux TOP ukaz

Sečnja

Kot že veste, obstajajo trije načini dela z dnevniki NGFW (shranjevanje, obdelava): lokalno, centralno in v oblaku. Zadnji dve možnosti pomenita prisotnost entitete - strežnika za upravljanje.

Možne sheme nadzora NGFW

Najdragocenejše dnevniške datoteke

1. Sistemska sporočila (vsebuje manj informacij kot celotna Gaia)

   # tail -f /var/log/messages2

   

2. Sporočila o napakah pri delovanju rezil (zelo uporabna datoteka pri odpravljanju težav)

   # rep -f /var/log/log/sfwd.elg

   

3. Oglejte si sporočila iz medpomnilnika na ravni sistemskega jedra.

   #dmesg

   

Konfiguracija rezila

Ta razdelek ne bo vseboval popolnih navodil za nastavitev vaše kontrolne točke NGFW; vsebuje le naša priporočila, izbrana na podlagi izkušenj.

Nadzor aplikacij/filtriranje URL-jev

• Priporočljivo je, da se v pravilih izogibate KAKRŠNIM, KAKRŠNIM pogojem (Vir, Cilj).

• Pri podajanju vira URL-ja po meri bo učinkovitejša uporaba regularnih izrazov, kot so: (^|..)checkpoint.com

• Izogibajte se pretirani uporabi beleženja pravil in prikazu blokiranih strani (UserCheck).

• Prepričajte se, da tehnologija deluje pravilno "SecureXL". Skozi bi morala potekati večina prometa pospešena/srednja pot. Prav tako ne pozabite filtrirati pravil glede na najbolj uporabljena (polje Hits ).

HTTPS-Inšpekcija

Nobena skrivnost ni, da 70–80 % uporabniškega prometa prihaja iz povezav HTTPS, kar pomeni, da to zahteva vire vašega procesorja prehoda. Poleg tega HTTPS-Inspection sodeluje pri delu IPS, Antivirus, Antibot.

Začenši z različico 80.40 priložnost za delo s pravili HTTPS brez podedovane nadzorne plošče je tukaj nekaj priporočenega vrstnega reda pravil:

• Obhod za skupino naslovov in omrežij (Cilj).

• Obhod za skupino URL-jev.

• Bypass za notranji IP in omrežja s privilegiranim dostopom (Vir).

• Preverite zahtevana omrežja, uporabnike

• Obvod za vse ostale.

* Vedno je bolje ročno izbrati storitve HTTPS ali HTTPS Proxy in pustiti Katerikoli. Beležite dogodke v skladu s pravili Inspect.

IPS

Rezina IPS morda ne bo uspela namestiti pravilnika na vaš NGFW, če je uporabljenih preveč podpisov. Po navedbah članek iz Check Pointa, arhitektura naprave SMB ni zasnovana za izvajanje celotnega priporočenega konfiguracijskega profila IPS.

Če želite odpraviti ali preprečiti težavo, sledite tem korakom:

1. Klonirajte optimizirani profil, imenovan »Optimizirano SMB« (ali drugega po vaši izbiri).

2. Uredite profil, pojdite na razdelek IPS → Pre R80.Settings in izklopite zaščito strežnika.

   

3. Po lastni presoji lahko onemogočite CVE-je, starejše od 2010, te ranljivosti so morda redko najdene v majhnih pisarnah, vendar vplivajo na delovanje. Če želite nekatere od njih onemogočiti, pojdite na Profil→IPS→Dodatna aktivacija→Zaščite za deaktivacijo seznama

   

Namesto zaključka

V sklopu serije člankov o novi generaciji NGFW družine SMB (1500) smo poskušali osvetliti glavne zmožnosti rešitve in na konkretnih primerih prikazati konfiguracijo pomembnih varnostnih komponent. V komentarju vam bomo z veseljem odgovorili na vsa vprašanja o izdelku. Ostajamo z vami, hvala za vašo pozornost!

Velik izbor materialov na Check Point iz TS Solution. Da ne bi zamudili novih publikacij, sledite posodobitvam na naših družbenih omrežjih (Telegram, Facebook , VK, Spletni dnevnik rešitev TS, Yandex Zen).

Vir: www.habr.com