7. NGFW për bizneset e vogla. Performanca dhe rekomandimet e përgjithshme

Ka ardhur koha për të përfunduar serinë e artikujve rreth gjeneratës së re të SMB Check Point (seri 1500). Shpresojmë që kjo ishte një përvojë shpërblyese për ju dhe se do të vazhdoni të jeni me ne në blogun TS Solution. Tema për artikullin përfundimtar nuk është e mbuluar gjerësisht, por jo më pak e rëndësishme - akordimi i performancës SMB. Në të do të diskutojmë opsionet e konfigurimit për harduerin dhe softuerin e NGFW, do të përshkruajmë komandat dhe metodat e disponueshme të ndërveprimit.

Të gjithë artikujt në serinë rreth NGFW për bizneset e vogla:

1. Linja e re e portës së sigurisë CheckPoint 1500

2. Zhbllokimi dhe konfigurimi

3. Transmetimi i të dhënave me valë: WiFi dhe LTE

4. VPN

5. Menaxhimi i SMP në renë kompjuterike

6. Smart-1 Cloud

Aktualisht, nuk ka shumë burime informacioni në lidhje me akordimin e performancës për zgjidhjet SMB për shkak të kufizimet OS i brendshëm - Gaia 80.20 i integruar. Në artikullin tonë ne do të përdorim një plan urbanistik me menaxhim të centralizuar (Server i dedikuar i Menaxhimit) - ju lejon të përdorni më shumë mjete kur punoni me NGFW.

Pjesa hardware

Përpara se të prekni arkitekturën e familjes Check Point SMB, gjithmonë mund t'i kërkoni partnerit tuaj të përdorë programin Mjet për përmasat e pajisjes, për të zgjedhur zgjidhjen optimale sipas karakteristikave të specifikuara (përdorimi, numri i pritshëm i përdoruesve, etj.).

Shënime të rëndësishme kur ndërveproni me pajisjen tuaj NGFW

1. Zgjidhjet NGFW të familjes SMB nuk kanë aftësinë për të përmirësuar komponentët e sistemit (CPU, RAM, HDD); në varësi të modelit, ekziston mbështetje për kartat SD, kjo ju lejon të zgjeroni kapacitetin e diskut, por jo ndjeshëm.

2. Funksionimi i ndërfaqeve të rrjetit kërkon kontroll. Gaia 80.20 Embedded nuk ka shumë mjete monitorimi, por gjithmonë mund të përdorni komandën e mirënjohur në CLI nëpërmjet modalitetit të ekspertëve 

   #ifconfig

   

   Kushtojini vëmendje linjave të nënvizuara, ato do t'ju lejojnë të vlerësoni numrin e gabimeve në ndërfaqe. Rekomandohet shumë që të kontrolloni këto parametra gjatë zbatimit fillestar të NGFW tuaj, si dhe periodikisht gjatë funksionimit.

3. Për një Gaia të plotë ekziston një komandë:

   > trego diag

   Me ndihmën e tij është e mundur të merren informacione rreth temperaturës së pajisjes. Fatkeqësisht, ky opsion nuk është i disponueshëm në 80.20 Embedded; ne do të tregojmë kurthe më të njohura SNMP:

   Emër 

   Përshkrim

   Ndërfaqja u shkëput

   Çaktivizimi i ndërfaqes

   VLAN u hoq

   Heqja e Vlaneve

   Përdorimi i lartë i kujtesës

   Përdorimi i lartë i RAM-it

   Hapësirë ​​e ulët në disk

   Nuk ka hapësirë ​​të mjaftueshme në HDD

   Shfrytëzimi i lartë i CPU-së

   Shfrytëzimi i lartë i CPU-së

   Shkalla e lartë e ndërprerjeve të CPU

   Shkalla e lartë e ndërprerjeve

   Shkalla e lartë e lidhjes

   Fluksi i lartë i lidhjeve të reja

   Lidhje të larta të njëkohshme

   Niveli i lartë i seancave konkurruese

   Rrjedha e lartë e murit të zjarrit

   Firewall me kapacitet të lartë

   Shkalla e lartë e pranuar e paketave

   Shkalla e lartë e pranimit të paketave

   Shteti anëtar i grupit ndryshoi

   Ndryshimi i gjendjes së grupit

   Gabim i lidhjes me serverin e regjistrit

   Humbi lidhjen me Log-Server

4. Funksionimi i portës suaj kërkon monitorim të RAM-it. Që Gaia (OS i ngjashëm me Linux) të funksionojë, kjo është situatë normalekur konsumi i RAM-it arrin 70-80% të përdorimit.

   Arkitektura e zgjidhjeve SMB nuk parashikon përdorimin e memories SWAP, ndryshe nga modelet më të vjetra Check Point. Sidoqoftë, në skedarët e sistemit Linux u vu re , e cila tregon mundësinë teorike të ndryshimit të parametrit SWAP.

Pjesa e softuerit

Në momentin e botimit të artikullit të përditësuar Versioni Gaia - 80.20.10. Duhet të dini se ka kufizime kur punoni në CLI: disa komanda Linux mbështeten në modalitetin "Ekspert". Vlerësimi i performancës së NGFW kërkon vlerësimin e performancës së demonëve dhe shërbimeve, më shumë detaje rreth kësaj mund të gjenden në artikull kolegu im. Ne do të shikojmë komandat e mundshme për SMB.

Duke punuar me Gaia OS

1. Shfletoni shabllonet SecureXL

   #fwaccelstat

   

2. Shikoni nisjen sipas bërthamës

   # fw ctl multik stat

   

3. Shikoni numrin e seancave (lidhjeve).

   # fw ctl pstat

   

4. *Shikoni statusin e grupit

   #cphaprob stat

   

5. Komanda klasike Linux TOP

Prerjet

Siç e dini tashmë, ekzistojnë tre mënyra për të punuar me regjistrat NGFW (ruajtje, përpunim): në nivel lokal, qendror dhe në re. Dy opsionet e fundit nënkuptojnë praninë e një entiteti - Serveri i Menaxhimit.

Skemat e mundshme të kontrollit NGFW

Skedarët e regjistrit më të vlefshëm

1. Mesazhet e sistemit (përmban më pak informacion se Gaia e plotë)

   # tail -f /var/log/messages2

   

2. Mesazhe gabimi në funksionimin e blades (një skedar mjaft i dobishëm kur zgjidhni problemet)

   # tail -f /var/log/log/sfwd.elg

   

3. Shikoni mesazhet nga buffer në nivelin e kernelit të sistemit.

   #dmesg

   

Konfigurimi i tehut

Ky seksion nuk do të përmbajë udhëzime të plota për konfigurimin e pikës së kontrollit NGFW; ai përmban vetëm rekomandimet tona, të zgjedhura nga përvoja.

Kontrolli i aplikacionit / Filtrimi i URL-së

• Rekomandohet të shmangni NDONJË, ÇDO kushte (Burimi, Destinacioni) në rregulla.

• Kur specifikoni një burim të personalizuar URL, do të jetë më efektive të përdorni shprehje të rregullta si: (^|..)checkpoint.com

• Shmangni përdorimin e tepërt të regjistrimit të rregullave dhe shfaqjes së faqeve bllokuese (UserCheck).

• Sigurohuni që teknologjia të funksionojë siç duhet "SecureXL". Shumica e trafikut duhet të kalojnë shteg i përshpejtuar/mesatar. Gjithashtu, mos harroni të filtroni rregullat sipas më të përdorurve (fusha Hits ).

HTTPS-Inspektimi

Nuk është sekret që 70-80% e trafikut të përdoruesve vjen nga lidhjet HTTPS, që do të thotë se kjo kërkon burime nga procesori juaj i portës. Për më tepër, HTTPS-Inspection merr pjesë në punën e IPS, Antivirus, Antibot.

Duke filluar nga versioni 80.40 kishte mundësi për të punuar me rregullat HTTPS pa Panelin e vjetër, këtu është një renditje e rekomanduar e rregullave:

• Bypass për një grup adresash dhe rrjetesh (Destinacioni).

• Anashkaloni për një grup URL-sh.

• Bypass për IP të brendshëm dhe rrjete me akses të privilegjuar (Burimi).

• Inspektoni për rrjetet e kërkuara, përdoruesit

• Bypass për të gjithë të tjerët.

* Është gjithmonë më mirë të zgjidhni manualisht shërbimet HTTPS ose HTTPS Proxy dhe të lini Any. Regjistroni ngjarjet sipas rregullave të Inspektimit.

SPI

Blade IPS mund të dështojë të instalojë politikën në NGFW tuaj nëse përdoren shumë nënshkrime. Sipas artikull nga Check Point, arkitektura e pajisjes SMB nuk është projektuar për të ekzekutuar profilin e plotë të konfigurimit të rekomanduar IPS.

Për të zgjidhur ose parandaluar problemin, ndiqni këto hapa:

1. Klononi profilin e Optimizuar të quajtur "SMB e Optimizuar" (ose një tjetër sipas zgjedhjes suaj).

2. Ndryshoni profilin, shkoni te seksioni IPS → Pre R80.Settings dhe çaktivizoni Mbrojtjet e Serverit.

   

3. Sipas gjykimit tuaj, ju mund të çaktivizoni CVE më të vjetra se 2010, këto dobësi mund të gjenden rrallë në zyra të vogla, por ndikojnë në performancën. Për të çaktivizuar disa prej tyre, shkoni te Profili→IPS→Aktivizimi Shtesë→Mbrojtje për të çaktivizuar listën

   

Në vend të një përfundimi

Si pjesë e një serie artikujsh rreth gjeneratës së re të NGFW të familjes SMB (1500), ne u përpoqëm të nxjerrim në pah aftësitë kryesore të zgjidhjes dhe demonstruam konfigurimin e komponentëve të rëndësishëm të sigurisë duke përdorur shembuj specifikë. Ne do të jemi të lumtur t'i përgjigjemi çdo pyetjeje në lidhje me produktin në komente. Ne qëndrojmë me ju, faleminderit për vëmendjen tuaj!

Një përzgjedhje e madhe materialesh në Check Point nga TS Solution. Për të mos humbur publikimet e reja, ndiqni përditësimet në rrjetet tona sociale (Telegram, Facebook, VK, TS Zgjidhja Blog, Yandex Zen).

Burimi: www.habr.com