ProHoster > Blog > administratë > 7. NGFW për bizneset e vogla. Performanca dhe rekomandimet e përgjithshme
7. NGFW për bizneset e vogla. Performanca dhe rekomandimet e përgjithshme
Ka ardhur koha për të përfunduar serinë e artikujve rreth gjeneratës së re të SMB Check Point (seri 1500). Shpresojmë që kjo ishte një përvojë shpërblyese për ju dhe se do të vazhdoni të jeni me ne në blogun TS Solution. Tema për artikullin përfundimtar nuk është e mbuluar gjerësisht, por jo më pak e rëndësishme - akordimi i performancës SMB. Në të do të diskutojmë opsionet e konfigurimit për harduerin dhe softuerin e NGFW, do të përshkruajmë komandat dhe metodat e disponueshme të ndërveprimit.
Të gjithë artikujt në serinë rreth NGFW për bizneset e vogla:
Aktualisht, nuk ka shumë burime informacioni në lidhje me akordimin e performancës për zgjidhjet SMB për shkak të kufizimet OS i brendshëm - Gaia 80.20 i integruar. Në artikullin tonë ne do të përdorim një plan urbanistik me menaxhim të centralizuar (Server i dedikuar i Menaxhimit) - ju lejon të përdorni më shumë mjete kur punoni me NGFW.
Pjesa hardware
Përpara se të prekni arkitekturën e familjes Check Point SMB, gjithmonë mund t'i kërkoni partnerit tuaj të përdorë programin Mjet për përmasat e pajisjes, për të zgjedhur zgjidhjen optimale sipas karakteristikave të specifikuara (përdorimi, numri i pritshëm i përdoruesve, etj.).
Shënime të rëndësishme kur ndërveproni me pajisjen tuaj NGFW
Zgjidhjet NGFW të familjes SMB nuk kanë aftësinë për të përmirësuar komponentët e sistemit (CPU, RAM, HDD); në varësi të modelit, ekziston mbështetje për kartat SD, kjo ju lejon të zgjeroni kapacitetin e diskut, por jo ndjeshëm.
Funksionimi i ndërfaqeve të rrjetit kërkon kontroll. Gaia 80.20 Embedded nuk ka shumë mjete monitorimi, por gjithmonë mund të përdorni komandën e mirënjohur në CLI nëpërmjet modalitetit të ekspertëve
#ifconfig
Kushtojini vëmendje linjave të nënvizuara, ato do t'ju lejojnë të vlerësoni numrin e gabimeve në ndërfaqe. Rekomandohet shumë që të kontrolloni këto parametra gjatë zbatimit fillestar të NGFW tuaj, si dhe periodikisht gjatë funksionimit.
Për një Gaia të plotë ekziston një komandë:
> trego diag
Me ndihmën e tij është e mundur të merren informacione rreth temperaturës së pajisjes. Fatkeqësisht, ky opsion nuk është i disponueshëm në 80.20 Embedded; ne do të tregojmë kurthe më të njohura SNMP:
Emër
Përshkrim
Ndërfaqja u shkëput
Çaktivizimi i ndërfaqes
VLAN u hoq
Heqja e Vlaneve
Përdorimi i lartë i kujtesës
Përdorimi i lartë i RAM-it
Hapësirë e ulët në disk
Nuk ka hapësirë të mjaftueshme në HDD
Shfrytëzimi i lartë i CPU-së
Shfrytëzimi i lartë i CPU-së
Shkalla e lartë e ndërprerjeve të CPU
Shkalla e lartë e ndërprerjeve
Shkalla e lartë e lidhjes
Fluksi i lartë i lidhjeve të reja
Lidhje të larta të njëkohshme
Niveli i lartë i seancave konkurruese
Rrjedha e lartë e murit të zjarrit
Firewall me kapacitet të lartë
Shkalla e lartë e pranuar e paketave
Shkalla e lartë e pranimit të paketave
Shteti anëtar i grupit ndryshoi
Ndryshimi i gjendjes së grupit
Gabim i lidhjes me serverin e regjistrit
Humbi lidhjen me Log-Server
Funksionimi i portës suaj kërkon monitorim të RAM-it. Që Gaia (OS i ngjashëm me Linux) të funksionojë, kjo është situatë normalekur konsumi i RAM-it arrin 70-80% të përdorimit.
Arkitektura e zgjidhjeve SMB nuk parashikon përdorimin e memories SWAP, ndryshe nga modelet më të vjetra Check Point. Sidoqoftë, në skedarët e sistemit Linux u vu re , e cila tregon mundësinë teorike të ndryshimit të parametrit SWAP.
Pjesa e softuerit
Në momentin e botimit të artikullit të përditësuar Versioni Gaia - 80.20.10. Duhet të dini se ka kufizime kur punoni në CLI: disa komanda Linux mbështeten në modalitetin "Ekspert". Vlerësimi i performancës së NGFW kërkon vlerësimin e performancës së demonëve dhe shërbimeve, më shumë detaje rreth kësaj mund të gjenden në artikull kolegu im. Ne do të shikojmë komandat e mundshme për SMB.
Duke punuar me Gaia OS
Shfletoni shabllonet SecureXL
#fwaccelstat
Shikoni nisjen sipas bërthamës
# fw ctl multik stat
Shikoni numrin e seancave (lidhjeve).
# fw ctl pstat
*Shikoni statusin e grupit
#cphaprob stat
Komanda klasike Linux TOP
Prerjet
Siç e dini tashmë, ekzistojnë tre mënyra për të punuar me regjistrat NGFW (ruajtje, përpunim): në nivel lokal, qendror dhe në re. Dy opsionet e fundit nënkuptojnë praninë e një entiteti - Serveri i Menaxhimit.
Skemat e mundshme të kontrollit NGFW
Skedarët e regjistrit më të vlefshëm
Mesazhet e sistemit (përmban më pak informacion se Gaia e plotë)
# tail -f /var/log/messages2
Mesazhe gabimi në funksionimin e blades (një skedar mjaft i dobishëm kur zgjidhni problemet)
# tail -f /var/log/log/sfwd.elg
Shikoni mesazhet nga buffer në nivelin e kernelit të sistemit.
#dmesg
Konfigurimi i tehut
Ky seksion nuk do të përmbajë udhëzime të plota për konfigurimin e pikës së kontrollit NGFW; ai përmban vetëm rekomandimet tona, të zgjedhura nga përvoja.
Kontrolli i aplikacionit / Filtrimi i URL-së
Rekomandohet të shmangni NDONJË, ÇDO kushte (Burimi, Destinacioni) në rregulla.
Kur specifikoni një burim të personalizuar URL, do të jetë më efektive të përdorni shprehje të rregullta si: (^|..)checkpoint.com
Shmangni përdorimin e tepërt të regjistrimit të rregullave dhe shfaqjes së faqeve bllokuese (UserCheck).
Sigurohuni që teknologjia të funksionojë siç duhet "SecureXL". Shumica e trafikut duhet të kalojnë shteg i përshpejtuar/mesatar. Gjithashtu, mos harroni të filtroni rregullat sipas më të përdorurve (fusha Hits ).
HTTPS-Inspektimi
Nuk është sekret që 70-80% e trafikut të përdoruesve vjen nga lidhjet HTTPS, që do të thotë se kjo kërkon burime nga procesori juaj i portës. Për më tepër, HTTPS-Inspection merr pjesë në punën e IPS, Antivirus, Antibot.
Duke filluar nga versioni 80.40 kishte mundësi për të punuar me rregullat HTTPS pa Panelin e vjetër, këtu është një renditje e rekomanduar e rregullave:
Bypass për një grup adresash dhe rrjetesh (Destinacioni).
Anashkaloni për një grup URL-sh.
Bypass për IP të brendshëm dhe rrjete me akses të privilegjuar (Burimi).
Inspektoni për rrjetet e kërkuara, përdoruesit
Bypass për të gjithë të tjerët.
* Është gjithmonë më mirë të zgjidhni manualisht shërbimet HTTPS ose HTTPS Proxy dhe të lini Any. Regjistroni ngjarjet sipas rregullave të Inspektimit.
SPI
Blade IPS mund të dështojë të instalojë politikën në NGFW tuaj nëse përdoren shumë nënshkrime. Sipas artikull nga Check Point, arkitektura e pajisjes SMB nuk është projektuar për të ekzekutuar profilin e plotë të konfigurimit të rekomanduar IPS.
Për të zgjidhur ose parandaluar problemin, ndiqni këto hapa:
Klononi profilin e Optimizuar të quajtur "SMB e Optimizuar" (ose një tjetër sipas zgjedhjes suaj).
Ndryshoni profilin, shkoni te seksioni IPS → Pre R80.Settings dhe çaktivizoni Mbrojtjet e Serverit.
Sipas gjykimit tuaj, ju mund të çaktivizoni CVE më të vjetra se 2010, këto dobësi mund të gjenden rrallë në zyra të vogla, por ndikojnë në performancën. Për të çaktivizuar disa prej tyre, shkoni te Profili→IPS→Aktivizimi Shtesë→Mbrojtje për të çaktivizuar listën
Në vend të një përfundimi
Si pjesë e një serie artikujsh rreth gjeneratës së re të NGFW të familjes SMB (1500), ne u përpoqëm të nxjerrim në pah aftësitë kryesore të zgjidhjes dhe demonstruam konfigurimin e komponentëve të rëndësishëm të sigurisë duke përdorur shembuj specifikë. Ne do të jemi të lumtur t'i përgjigjemi çdo pyetjeje në lidhje me produktin në komente. Ne qëndrojmë me ju, faleminderit për vëmendjen tuaj!