7. NGFW pikeun usaha leutik. Kinerja sareng saran umum

Waktosna parantos sumping pikeun ngarengsekeun séri artikel ngeunaan generasi anyar SMB Check Point (seri 1500). Kami ngarepkeun ieu mangrupikeun pangalaman anu pikaresepeun pikeun anjeun sareng anjeun bakal teras-terasan sareng kami dina blog TS Solution. Topik pikeun artikel ahir teu lega katutupan, tapi teu kurang pentingna - tuning kinerja SMB. Dina éta kami bakal ngabahas pilihan konfigurasi pikeun hardware sareng parangkat lunak NGFW, ngajelaskeun paréntah anu sayogi sareng metode interaksi.

Sadaya tulisan dina séri ngeunaan NGFW pikeun usaha leutik:

1. CheckPoint anyar 1500 Kaamanan Gateway Line

2. Unboxing sareng Setup

3. Pangiriman data nirkabel: WiFi sareng LTE

4. VPN

5. Manajemén SMP awan

6. Smart-1 Awan

Ayeuna, teu aya seueur sumber inpormasi ngeunaan tuning kinerja pikeun solusi SMB kusabab larangan OS internal - Gaia 80.20 Embedded. Dina tulisan kami kami bakal ngagunakeun perenah sareng manajemén terpusat (Server Manajemén dedicated) - éta ngamungkinkeun anjeun ngagunakeun langkung seueur alat nalika damel sareng NGFW.

Hardware

Sateuacan ngarampa arsitéktur kulawarga Check Point SMB, anjeun tiasa teras-terasan naroskeun pasangan anjeun pikeun nganggo utilitas Alat Ukuran Alat, pikeun milih solusi anu optimal dumasar kana ciri anu ditangtukeun (throughput, jumlah pangguna anu diperkirakeun, jsb.).

Catetan penting nalika berinteraksi sareng hardware NGFW anjeun

1. Solusi NGFW kulawarga SMB henteu gaduh kamampuan pikeun ningkatkeun hardware komponén sistem (CPU, RAM, HDD); gumantung kana modél, aya dukungan pikeun kartu SD, ieu ngamungkinkeun anjeun pikeun dilegakeun kapasitas disk, tapi henteu sacara signifikan.

2. Operasi interfaces jaringan merlukeun kontrol. Gaia 80.20 Embedded teu gaduh seueur alat ngawaskeun, tapi anjeun salawasna tiasa nganggo paréntah anu terkenal dina CLI via modeu Ahli. 

   # abdifconfig

   

   Nengetan garis digariskeun, aranjeunna bakal ngidinan Anjeun pikeun estimasi jumlah kasalahan dina panganteur. Hal ieu kacida dianjurkeun pikeun pariksa parameter ieu salila palaksanaan awal NGFW Anjeun, kitu ogé périodik salila operasi.

3. Pikeun Gaia full-fledged aya paréntah:

   > nembongkeun diag

   Kalayan pitulungna, anjeun tiasa nampi inpormasi ngeunaan suhu hardware. Hanjakalna, pilihan ieu henteu sayogi dina 80.20 Embedded; kami bakal nunjukkeun bubu SNMP anu pang populerna:

   nami 

   gambaran

   Interface dipegatkeun

   Nganonaktipkeun panganteur

   VLAN dihapus

   Ngahapus Vlans

   utilization memori tinggi

   utilization RAM tinggi

   spasi disk low

   Teu cukup spasi HDD

   utilization CPU tinggi

   utilization CPU tinggi

   Laju interrupts CPU tinggi

   Laju interupsi anu luhur

   Laju sambungan tinggi

   Aliran luhur sambungan anyar

   Sambungan sakaligus tinggi

   Tingkat luhur sesi kalapa

   throughput firewall tinggi

   throughput tinggi firewall

   Laju pakét anu katampa luhur

   Laju panarimaan pakét tinggi

   Nagara anggota klaster robah

   Ngarobah kaayaan klaster

   Sambungan sareng kasalahan server log

   Leungit sambungan kalawan Log-Server

4. Operasi gateway Anjeun merlukeun monitoring RAM. Pikeun Gaia (Linux-kawas OS) dianggo, ieu téh kaayaan normallamun konsumsi RAM ngahontal 70-80% pamakéan.

   Arsitéktur solusi SMB teu nyadiakeun keur pamakéan memori SWAP, Teu kawas model Cék Point heubeul. Nanging, dina file sistem Linux éta perhatikeun , nu nunjukkeun kamungkinan teoritis ngarobah parameter SWAP.

Bagian software

Dina waktu publikasi artikel paling énggal Vérsi Gaia - 80.20.10. Anjeun kedah terang yén aya watesan nalika damel di CLI: sababaraha paréntah Linux dirojong dina modeu Ahli. Assessing kinerja NGFW merlukeun assessing kinerja daemons sarta jasa, leuwih rinci ngeunaan ieu bisa kapanggih dina artikel batur sapagawean kuring. Urang bakal ningali kamungkinan paréntah pikeun SMB.

Gawe sareng Gaia OS

1. Kotektak SecureXL template

   #fwaccelstat

   

2. Témbongkeun boot ku inti

   # fw ctl multik stat

   

3. Tempo jumlah sesi (sambungan).

   # fw ctl pstat

   

4. * Tingali status klaster

   #cphaprob stat

   

5. Paréntah TOP Linux klasik

logging

Sakumaha anjeun parantos terang, aya tilu cara pikeun damel sareng log NGFW (panyimpenan, pamrosésan): lokal, sentral sareng dina méga. Dua pilihan anu terakhir nunjukkeun ayana éntitas - Manajemén Server.

Mungkin skéma kontrol NGFW

File log anu paling berharga

1. Pesen sistem (ngandung inpormasi kirang ti Gaia lengkep)

   # buntut -f /var/log/messages2

   

2. Pesen kasalahan dina operasi wilah (file anu cukup mangpaat nalika ngungkulan masalah)

   # buntut -f /var/log/log/sfwd.elg

   

3. Ningali pesen tina panyangga dina tingkat kernel sistem.

   #dmesg

   

Konfigurasi sabeulah

Bagian ieu moal ngandung parentah lengkep pikeun nyetel NGFW Check Point anjeun; éta ngan ngandung saran kami, dipilih ku pangalaman.

Kontrol Aplikasi / Nyaring URL

• Disarankeun pikeun ngahindarkeun ANY, ANY (Sumber, Tujuan) kaayaan dina aturan.

• Lamun nangtukeun sumberdaya URL custom, éta bakal leuwih éféktif ngagunakeun ungkapan biasa kawas: (^|..)checkpoint.com

• Hindarkeun pamakéan kaleuleuwihan aturan logging jeung tampilan kaca blocking (UserCheck).

• Pastikeun téknologi jalanna leres "SecureXL". Paling lalulintas kudu ngaliwatan gancangan / jalur sedeng. Ogé, ulah hilap pikeun nyaring aturan ku anu paling sering dianggo (field hits ).

HTTPS-Inspection

Henteu janten rahasia yén 70-80% tina lalu lintas pangguna asalna tina sambungan HTTPS, anu hartosna ieu peryogi sumber daya tina prosesor gateway anjeun. Sajaba ti éta, HTTPS-Inspection ilubiung dina karya IPS, Antipirus, Antibot.

Dimimitian ti versi 80.40 aya kasempetan pikeun damel sareng aturan HTTPS tanpa Dasbor Warisan, ieu sababaraha urutan aturan anu disarankeun:

• Bypass pikeun grup alamat sareng jaringan (Tujuan).

• Bypass pikeun grup URL.

• Bypass pikeun IP internal sareng jaringan kalayan aksés anu istimewa (Sumber).

• Mariksa pikeun jaringan diperlukeun, pamaké

• Bypass keur dulur sejenna.

* Sok langkung sae pikeun milih HTTPS atanapi HTTPS Proxy sacara manual sareng ngantunkeun Sakur. Log acara nurutkeun aturan Inspect.

IPS

Sabeulah IPS tiasa gagal masang kawijakan dina NGFW anjeun upami seueur teuing tanda tangan anu dianggo. Numutkeun kana artikel ti Cék Point, arsitéktur alat SMB teu dirancang pikeun ngajalankeun pinuh dianjurkeun profil konfigurasi IPS.

Pikeun ngabéréskeun atanapi nyegah masalah, tuturkeun léngkah ieu:

1. Klon propil Dioptimalkeun anu disebut "SMB Dioptimalkeun" (atanapi salah sahiji pilihan anjeun).

2. Edit profil, buka IPS → Pra R80.Setélan bagian jeung mareuman Protections Server.

   

3. Dina kawijaksanaan Anjeun, Anjeun bisa nganonaktipkeun CVEs heubeul ti 2010, vulnerabilities ieu bisa jadi jarang kapanggih dina kantor leutik, tapi mangaruhan kinerja. Pikeun nganonaktipkeun sababaraha di antarana, buka Profil → IPS → Aktivasina Tambahan → Protéksi pikeun nganonaktipkeun daptar

   

Gantina kacindekan

Salaku bagian tina runtuyan artikel ngeunaan generasi anyar NGFW kulawarga SMB (1500), urang diusahakeun nyorot kamampuhan utama solusi na nunjukkeun konfigurasi komponén kaamanan penting ngagunakeun conto husus. Kami bakal resep ngajawab patarosan ngeunaan produk dina koméntar. Kami tetep sareng anjeun, hatur nuhun pikeun perhatian anjeun!

Pilihan badag bahan on Check Point ti TS Solution. Supados teu kantun publikasi énggal, turutan apdet dina jaringan sosial kami (telegram, Facebook, VK, TS Solusi Blog, Yandex.Zen).

sumber: www.habr.com