ProHoster > Blog > Uprava > 7. NGFW za mala podjetja. Delovanje in splošna priporočila
7. NGFW za mala podjetja. Delovanje in splošna priporočila
Prišel je čas za dokončanje serije člankov o novi generaciji SMB Check Point (serija 1500). Upamo, da je bila to za vas koristna izkušnja in da boste še naprej z nami na blogu TS Solution. Tema za zadnji članek ni široko zajeta, a nič manj pomembna - nastavitev zmogljivosti SMB. V njem bomo obravnavali konfiguracijske možnosti za strojno in programsko opremo NGFW, opisali razpoložljive ukaze in metode interakcije.
Trenutno ni veliko virov informacij o prilagajanju zmogljivosti za rešitve SMB zaradi omejitve notranji OS - Gaia 80.20 Embedded. V našem članku bomo uporabili postavitev s centraliziranim upravljanjem (namenski strežnik za upravljanje) - omogoča uporabo več orodij pri delu z NGFW.
Strojna oprema
Preden se dotaknete družinske arhitekture Check Point SMB, lahko vedno prosite svojega partnerja, da uporabi pripomoček Orodje za določanje velikosti aparata, izbrati optimalno rešitev glede na podane lastnosti (prepustnost, pričakovano število uporabnikov itd.).
Pomembne opombe pri interakciji s strojno opremo NGFW
Rešitve NGFW družine SMB nimajo možnosti strojne nadgradnje sistemskih komponent (CPU, RAM, HDD), odvisno od modela obstaja podpora za kartice SD, kar vam omogoča razširitev zmogljivosti diska, vendar ne bistveno.
Delovanje omrežnih vmesnikov zahteva nadzor. Gaia 80.20 Embedded nima veliko orodij za nadzor, vendar lahko vedno uporabite dobro znani ukaz v CLI prek načina Expert
# jazfconfig
Bodite pozorni na podčrtane črte, ki vam bodo omogočile oceno števila napak na vmesniku. Zelo priporočljivo je, da te parametre preverite med začetno implementacijo vašega NGFW, pa tudi občasno med delovanjem.
Za polnopravno Gaio obstaja ukaz:
> pokaži diag
Z njegovo pomočjo je mogoče pridobiti podatke o temperaturi strojne opreme. Na žalost ta možnost ni na voljo v 80.20 Embedded; navedli bomo najbolj priljubljene pasti SNMP:
Ime
Opis
Vmesnik prekinjen
Onemogočanje vmesnika
VLAN odstranjen
Odstranjevanje Vlanov
Visoka izkoriščenost pomnilnika
Visoka poraba RAM-a
Nizka diskovna količina
Ni dovolj prostora na trdem disku
Visoka izkoriščenost procesorja
Visoka izkoriščenost procesorja
Visoka stopnja prekinitev procesorja
Visoka stopnja prekinitev
Visoka stopnja povezave
Visok pretok novih povezav
Visoke sočasne povezave
Visoka raven tekmovalnosti
Visoka prepustnost požarnega zidu
Visoko zmogljiv požarni zid
Visoka hitrost sprejetih paketov
Visoka stopnja sprejema paketov
Država članica grozda je spremenjena
Spreminjanje stanja gruče
Povezava z napako strežnika dnevnika
Izgubljena povezava s strežnikom Log-Server
Delovanje vašega prehoda zahteva spremljanje RAM-a. Da bi Gaia (Linuxu podoben OS) delovala, je to normalno stanjeko poraba RAM-a doseže 70-80% uporabe.
Arhitektura SMB rešitev ne predvideva uporabe SWAP pomnilnika, za razliko od starejših modelov Check Point. Vendar pa je bilo to opaziti v sistemskih datotekah Linuxa , ki nakazuje teoretično možnost spremembe parametra SWAP.
Programski del
V času objave članka dejansko Različica Gaia - 80.20.10. Vedeti morate, da obstajajo omejitve pri delu v CLI: nekateri ukazi Linuxa so podprti v načinu Expert. Ocenjevanje delovanja NGFW zahteva oceno delovanja demonov in storitev, več podrobnosti o tem lahko najdete v članek moj kolega. Ogledali si bomo možne ukaze za SMB.
Delo z Gaia OS
Brskajte po predlogah SecureXL
#fwaccelstat
Oglejte si zagon po jedru
# fw ctl multik stat
Oglejte si število sej (povezav).
# fw ctl pstat
* Oglejte si stanje gruče
#cphaprob stat
Klasični Linux TOP ukaz
Sečnja
Kot že veste, obstajajo trije načini dela z dnevniki NGFW (shranjevanje, obdelava): lokalno, centralno in v oblaku. Zadnji dve možnosti pomenita prisotnost entitete - strežnika za upravljanje.
Možne sheme nadzora NGFW
Najdragocenejše dnevniške datoteke
Sistemska sporočila (vsebuje manj informacij kot celotna Gaia)
# tail -f /var/log/messages2
Sporočila o napakah pri delovanju rezil (zelo uporabna datoteka pri odpravljanju težav)
# rep -f /var/log/log/sfwd.elg
Oglejte si sporočila iz medpomnilnika na ravni sistemskega jedra.
#dmesg
Konfiguracija rezila
Ta razdelek ne bo vseboval popolnih navodil za nastavitev vaše kontrolne točke NGFW; vsebuje le naša priporočila, izbrana na podlagi izkušenj.
Nadzor aplikacij/filtriranje URL-jev
Priporočljivo je, da se v pravilih izogibate KAKRŠNIM, KAKRŠNIM pogojem (Vir, Cilj).
Pri podajanju vira URL-ja po meri bo učinkovitejša uporaba regularnih izrazov, kot so: (^|..)checkpoint.com
Izogibajte se pretirani uporabi beleženja pravil in prikazu blokiranih strani (UserCheck).
Prepričajte se, da tehnologija deluje pravilno "SecureXL". Skozi bi morala potekati večina prometa pospešena/srednja pot. Prav tako ne pozabite filtrirati pravil glede na najbolj uporabljena (polje Hits ).
HTTPS-Inšpekcija
Nobena skrivnost ni, da 70–80 % uporabniškega prometa prihaja iz povezav HTTPS, kar pomeni, da to zahteva vire vašega procesorja prehoda. Poleg tega HTTPS-Inspection sodeluje pri delu IPS, Antivirus, Antibot.
Začenši z različico 80.40 priložnost za delo s pravili HTTPS brez podedovane nadzorne plošče je tukaj nekaj priporočenega vrstnega reda pravil:
Obhod za skupino naslovov in omrežij (Cilj).
Obhod za skupino URL-jev.
Bypass za notranji IP in omrežja s privilegiranim dostopom (Vir).
Preverite zahtevana omrežja, uporabnike
Obvod za vse ostale.
* Vedno je bolje ročno izbrati storitve HTTPS ali HTTPS Proxy in pustiti Katerikoli. Beležite dogodke v skladu s pravili Inspect.
IPS
Rezina IPS morda ne bo uspela namestiti pravilnika na vaš NGFW, če je uporabljenih preveč podpisov. Po navedbah članek iz Check Pointa, arhitektura naprave SMB ni zasnovana za izvajanje celotnega priporočenega konfiguracijskega profila IPS.
Če želite odpraviti ali preprečiti težavo, sledite tem korakom:
Klonirajte optimizirani profil, imenovan »Optimizirano SMB« (ali drugega po vaši izbiri).
Uredite profil, pojdite na razdelek IPS → Pre R80.Settings in izklopite zaščito strežnika.
Po lastni presoji lahko onemogočite CVE-je, starejše od 2010, te ranljivosti so morda redko najdene v majhnih pisarnah, vendar vplivajo na delovanje. Če želite nekatere od njih onemogočiti, pojdite na Profil→IPS→Dodatna aktivacija→Zaščite za deaktivacijo seznama
Namesto zaključka
V sklopu serije člankov o novi generaciji NGFW družine SMB (1500) smo poskušali osvetliti glavne zmožnosti rešitve in na konkretnih primerih prikazati konfiguracijo pomembnih varnostnih komponent. V komentarju vam bomo z veseljem odgovorili na vsa vprašanja o izdelku. Ostajamo z vami, hvala za vašo pozornost!