Nako e fihlile ea ho phethela letoto la lingoloa tse mabapi le moloko o mocha oa SMB Check Point (letoto la 1500). Re tšepa hore ena e bile phihlelo e molemo ho uena le hore u tla tsoela pele ho ba le rona ho blog ea TS Solution. Sehlooho sa sengoloa sa ho qetela ha se akaretsoe haholo, empa ha se bohlokoa hakaalo - tokiso ea ts'ebetso ea SMB. Ho eona re tla tšohla likhetho tsa tlhophiso bakeng sa hardware le software ea NGFW, hlalosa litaelo tse teng le mekhoa ea ho sebelisana.
Lingoliloeng tsohle letotong la NGFW bakeng sa likhoebo tse nyane:
Hajoale, ha ho na mehloli e mengata ea tlhahisoleseling mabapi le tokiso ea ts'ebetso bakeng sa tharollo ea SMB ka lebaka la OS ea ka hare - Gaia 80.20 E kenyelelitsoe. Sehloohong sa rona re tla sebelisa sebopeho se nang le tsamaiso e bohareng (Seva ea Tsamaiso e inehetseng) - e u lumella ho sebelisa lisebelisoa tse ngata ha u sebetsa le NGFW.
Lisebelisoa
Pele o ama meralo ea lelapa ea Check Point SMB, o ka kopa molekane oa hau hore a sebelise ts'ebeliso Sesebelisoa sa Tekanyo ea Sesebelisoa, ho khetha tharollo e nepahetseng ho latela litšoaneleho tse boletsoeng (phello, palo e lebelletsoeng ea basebelisi, joalo-joalo).
Lintlha tsa bohlokoa ha u sebelisana le lisebelisoa tsa hau tsa NGFW
-
Litharollo tsa NGFW tsa lelapa la SMB ha li na bokhoni ba ho ntlafatsa likarolo tsa sistimi (CPU, RAM, HDD); ho latela mohlala, ho na le tšehetso bakeng sa likarete tsa SD, sena se u lumella ho holisa bokhoni ba disk, empa eseng haholo.
-
Ts'ebetso ea likhokahano tsa marang-rang e hloka taolo. Gaia 80.20 Embedded ha e na lisebelisoa tse ngata tsa ho beha leihlo, empa u ka lula u sebelisa taelo e tsebahalang ho CLI ka mokhoa oa Setsebi.
#kefconfig
Ela hloko mela e thathamisitsoeng, e tla u lumella ho hakanya palo ea liphoso ho sebopeho. Ho khothaletsoa haholo ho lekola liparamente tsena nakong ea ts'ebetsong ea pele ea NGFW ea hau, hammoho le nako le nako nakong ea ts'ebetso.
-
Bakeng sa Gaia e felletseng ho na le taelo:
> bontsha diag
Ka thuso ea eona hoa khoneha ho fumana tlhahisoleseding e mabapi le mocheso oa hardware. Ka bomalimabe, khetho ena ha e fumanehe ho 80.20 Embedded; re tla bonts'a maraba a tsebahalang haholo a SNMP:
Sehlooho
tlhaloso
Sehokelo se khaotsoe
Ho tima sebopeho
VLAN e tlositsoe
Ho tlosa Vlans
Tšebeliso e phahameng ea memori
Tšebeliso e phahameng ea RAM
Sebaka se tlase sa disk
Ha ho sebaka se lekaneng sa HDD
Tšebeliso e phahameng ea CPU
Tšebeliso e phahameng ea CPU
CPU e phahameng e sitisa sekhahla
Sekhahla se phahameng sa likhatiso
Sekhahla se phahameng sa khokahanyo
Phallo e phahameng ea likhokahano tse ncha
Likamano tse phahameng tsa nako e le 'ngoe
Boemo bo phahameng ba likopano tsa tlhōlisano
High Firewall throughput
Firewall e phahameng ka ho fetisisa
Sekhahla se phahameng se amohelehang sa pakete
Sekhahla se phahameng sa ho amohela lipakete
Naha ea setho sa sehlopha se fetohile
Ho fetola boemo ba sehlopha
Khokahano e nang le phoso ea seva ea log
E lahlehetsoe ke khokahano le Log-Server
-
Ts'ebetso ea heke ea hau e hloka tlhahlobo ea RAM. Hore Gaia (Linux-like OS) e sebetse, sena ke ha tšebeliso ea RAM e fihla ho 70-80% ea tšebeliso.
Meetso ea tharollo ea SMB ha e fane ka ts'ebeliso ea memori ea SWAP, ho fapana le mefuta ea khale ea Check Point. Leha ho le joalo, lifaeleng tsa tsamaiso ea Linux e ile ea hlokomeloa , e bontšang monyetla oa khopolo ea ho fetola parameter ea SWAP.
Karolo ea software
Nakong ea ho hatisoa ha sehlooho Phetolelo ea Gaia - 80.20.10. U hloka ho tseba hore ho na le meeli ha u sebetsa ho CLI: litaelo tse ling tsa Linux li tšehetsoa ka mokhoa oa Setsebi. Ho lekola ts'ebetso ea NGFW ho hloka ho lekola ts'ebetso ea li-daemone le lits'ebeletso, lintlha tse ling mabapi le sena li ka fumanoa ho mosebetsi-'moho le 'na. Re tla sheba litaelo tse ka khonehang tsa SMB.
Ho sebetsa le Gaia OS
-
Batla litempele tsa SecureXL
#fwaccelstat
-
Sheba boot ka core
# fw ctl lipalo tse ngata
-
Sheba palo ea mananeo (mahokelo).
# fw ctl pstat
-
*Sheba boemo ba sehlopha
#cphaprob lipalo
-
Taelo ea khale ea Linux TOP
Ho rema lifate
Joalokaha u se u ntse u tseba, ho na le litsela tse tharo tsa ho sebetsa le li-logs tsa NGFW (ho boloka, ho sebetsa): sebakeng sa heno, bohareng le marung. Likhetho tse peli tsa ho qetela li bolela ho ba teng ha setheo - Seva ea Tsamaiso.
Merero ea taolo ea NGFW e ka khonehang
Lifaele tsa bohlokoa ka ho fetisisa tsa log
-
Melaetsa ea sistimi (e na le lintlha tse nyane ho feta Gaia e felletseng)
# mohatla -f /var/log/messages2
-
Melaetsa ea liphoso ts'ebetsong ea li-blades (faele e sebetsang hantle ha ho rarolla mathata)
# mohatla -f /var/log/log/sfwd.elg
-
Sheba melaetsa e tsoang ho buffer boemong ba kernel ea tsamaiso.
#dmesg
Tlhophiso ea lehare
Karolo ena e ke ke ea ba le litaelo tse felletseng tsa ho theha NGFW Check Point; e na le likhothaletso tsa rona feela, tse khethiloeng ke boiphihlelo.
Taolo ea Ts'ebeliso / Tlhophiso ea URL
-
E kgothaletswa ho qoba FEELA, FEELA (Mohloli, Sebaka) ka melao.
-
Ha o hlakisa sesebelisoa sa URL se tloaelehileng, ho tla ba molemo haholo ho sebelisa mantsoe a tloaelehileng joalo ka: (^|..)checkpoint.com
-
Qoba tšebeliso e feteletseng ea ho rengoa ha melao le ho bonts'a maqephe a thibelang (UserCheck).
-
Etsa bonnete ba hore theknoloji e sebetsa hantle "SecureXL". Boholo ba sephethephethe bo lokela ho feta lebelo/ tsela e mahareng. Hape, u se ke oa lebala ho sefa melao ka tse sebelisoang haholo (tšimo Hits ).
Tlhahlobo ea HTTPS
Ha se lekunutu hore 70-80% ea sephethephethe sa basebelisi e tsoa ho likhokahano tsa HTTPS, ho bolelang hore sena se hloka lisebelisoa ho tsoa ho processor ea heke ea hau. Ho phaella moo, HTTPS-Inspection e kenya letsoho mosebetsing oa IPS, Antivirus, Antibot.
Ho tloha ho mofuta oa 80.40 ho ne ho e-na le ho sebetsa ka melao ea HTTPS ntle le Legacy Dashboard, mona ke taelo e khothalletsoang ea molao:
-
Bypass bakeng sa sehlopha sa liaterese le marang-rang (Sebakeng).
-
Bypass bakeng sa sehlopha sa li-URL.
-
Bypass bakeng sa IP ea kahare le marang-rang a nang le phihlello e khethehileng (Mohloli).
-
Hlahloba marang-rang a hlokahalang, basebelisi
-
Bypass bakeng sa ba bang kaofela.
* Kamehla ho molemo ho khetha ka bowena lits'ebeletso tsa Proxy tsa HTTPS kapa HTTPS ebe u tlohela Eng kapa efe. Loka diketsahalo ho ya ka melao ya Hlahloba.
IPS
Lehare la IPS le ka 'na la hlōleha ho kenya pholisi ho NGFW ea hau haeba ho sebelisoa li-signature tse ngata haholo. Ho latela ho tloha Check Point, moralo oa sesebelisoa sa SMB ha oa etsetsoa ho tsamaisa profaele ea tlhophiso ea IPS ka botlalo.
Ho rarolla kapa ho thibela bothata, latela mehato ena:
-
Kopanya profaele e ntlafalitsoeng e bitsoang "Optimized SMB" (kapa e 'ngoe ea khetho ea hau).
-
Fetola boemo, e-ea ho IPS → Pre R80.Settings karolo ebe o tima Litšireletso tsa Seva.
-
Ka boikhethelo ba hau, o ka tima li-CVE tsa khale ho feta 2010, bofokoli bona bo ka fumaneha ka seoelo liofising tse nyane, empa bo ama ts'ebetso. Ho tima tse ling tsa tsona, e ea ho Profile→IPS→Ketso e Ekelitsoeng→Litšireletso ho koala lenane.
Ho e-na phetheha
E le karolo ea letoto la lihlooho tse mabapi le moloko o mocha oa NGFW oa lelapa la SMB (1500), re ile ra leka ho totobatsa bokhoni bo ka sehloohong ba tharollo le ho bontša ho hlophisoa ha likarolo tsa bohlokoa tsa ts'ireletso ho sebelisa mehlala e tobileng. Re tla thabela ho araba lipotso leha e le life mabapi le sehlahisoa ho maikutlo. Re lula le uena, re leboha tlhokomelo ea hau!
. E le hore u se ke oa fetoa ke lingoliloeng tse ncha, latela lintlafatso tsa marang-rang a rona (, , , , ).
Source: www.habr.com