7. NGFW pikeun usaha leutik. Kinerja sareng saran umum
Waktosna parantos sumping pikeun ngarengsekeun séri artikel ngeunaan generasi anyar SMB Check Point (seri 1500). Kami ngarepkeun ieu mangrupikeun pangalaman anu pikaresepeun pikeun anjeun sareng anjeun bakal teras-terasan sareng kami dina blog TS Solution. Topik pikeun artikel ahir teu lega katutupan, tapi teu kurang pentingna - tuning kinerja SMB. Dina éta kami bakal ngabahas pilihan konfigurasi pikeun hardware sareng parangkat lunak NGFW, ngajelaskeun paréntah anu sayogi sareng metode interaksi.
Sadaya tulisan dina séri ngeunaan NGFW pikeun usaha leutik:
Ayeuna, teu aya seueur sumber inpormasi ngeunaan tuning kinerja pikeun solusi SMB kusabab larangan OS internal - Gaia 80.20 Embedded. Dina tulisan kami kami bakal ngagunakeun perenah sareng manajemén terpusat (Server Manajemén dedicated) - éta ngamungkinkeun anjeun ngagunakeun langkung seueur alat nalika damel sareng NGFW.
Hardware
Sateuacan ngarampa arsitéktur kulawarga Check Point SMB, anjeun tiasa teras-terasan naroskeun pasangan anjeun pikeun nganggo utilitas Alat Ukuran Alat, pikeun milih solusi anu optimal dumasar kana ciri anu ditangtukeun (throughput, jumlah pangguna anu diperkirakeun, jsb.).
Catetan penting nalika berinteraksi sareng hardware NGFW anjeun
Solusi NGFW kulawarga SMB henteu gaduh kamampuan pikeun ningkatkeun hardware komponén sistem (CPU, RAM, HDD); gumantung kana modél, aya dukungan pikeun kartu SD, ieu ngamungkinkeun anjeun pikeun dilegakeun kapasitas disk, tapi henteu sacara signifikan.
Operasi interfaces jaringan merlukeun kontrol. Gaia 80.20 Embedded teu gaduh seueur alat ngawaskeun, tapi anjeun salawasna tiasa nganggo paréntah anu terkenal dina CLI via modeu Ahli.
# abdifconfig
Nengetan garis digariskeun, aranjeunna bakal ngidinan Anjeun pikeun estimasi jumlah kasalahan dina panganteur. Hal ieu kacida dianjurkeun pikeun pariksa parameter ieu salila palaksanaan awal NGFW Anjeun, kitu ogé périodik salila operasi.
Pikeun Gaia full-fledged aya paréntah:
> nembongkeun diag
Kalayan pitulungna, anjeun tiasa nampi inpormasi ngeunaan suhu hardware. Hanjakalna, pilihan ieu henteu sayogi dina 80.20 Embedded; kami bakal nunjukkeun bubu SNMP anu pang populerna:
nami
gambaran
Interface dipegatkeun
Nganonaktipkeun panganteur
VLAN dihapus
Ngahapus Vlans
utilization memori tinggi
utilization RAM tinggi
spasi disk low
Teu cukup spasi HDD
utilization CPU tinggi
utilization CPU tinggi
Laju interrupts CPU tinggi
Laju interupsi anu luhur
Laju sambungan tinggi
Aliran luhur sambungan anyar
Sambungan sakaligus tinggi
Tingkat luhur sesi kalapa
throughput firewall tinggi
throughput tinggi firewall
Laju pakét anu katampa luhur
Laju panarimaan pakét tinggi
Nagara anggota klaster robah
Ngarobah kaayaan klaster
Sambungan sareng kasalahan server log
Leungit sambungan kalawan Log-Server
Operasi gateway Anjeun merlukeun monitoring RAM. Pikeun Gaia (Linux-kawas OS) dianggo, ieu téh kaayaan normallamun konsumsi RAM ngahontal 70-80% pamakéan.
Arsitéktur solusi SMB teu nyadiakeun keur pamakéan memori SWAP, Teu kawas model Cék Point heubeul. Nanging, dina file sistem Linux éta perhatikeun , nu nunjukkeun kamungkinan teoritis ngarobah parameter SWAP.
Bagian software
Dina waktu publikasi artikel paling énggal Vérsi Gaia - 80.20.10. Anjeun kedah terang yén aya watesan nalika damel di CLI: sababaraha paréntah Linux dirojong dina modeu Ahli. Assessing kinerja NGFW merlukeun assessing kinerja daemons sarta jasa, leuwih rinci ngeunaan ieu bisa kapanggih dina artikel batur sapagawean kuring. Urang bakal ningali kamungkinan paréntah pikeun SMB.
Gawe sareng Gaia OS
Kotektak SecureXL template
#fwaccelstat
Témbongkeun boot ku inti
# fw ctl multik stat
Tempo jumlah sesi (sambungan).
# fw ctl pstat
* Tingali status klaster
#cphaprob stat
Paréntah TOP Linux klasik
logging
Sakumaha anjeun parantos terang, aya tilu cara pikeun damel sareng log NGFW (panyimpenan, pamrosésan): lokal, sentral sareng dina méga. Dua pilihan anu terakhir nunjukkeun ayana éntitas - Manajemén Server.
Mungkin skéma kontrol NGFW
File log anu paling berharga
Pesen sistem (ngandung inpormasi kirang ti Gaia lengkep)
# buntut -f /var/log/messages2
Pesen kasalahan dina operasi wilah (file anu cukup mangpaat nalika ngungkulan masalah)
# buntut -f /var/log/log/sfwd.elg
Ningali pesen tina panyangga dina tingkat kernel sistem.
#dmesg
Konfigurasi sabeulah
Bagian ieu moal ngandung parentah lengkep pikeun nyetel NGFW Check Point anjeun; éta ngan ngandung saran kami, dipilih ku pangalaman.
Kontrol Aplikasi / Nyaring URL
Disarankeun pikeun ngahindarkeun ANY, ANY (Sumber, Tujuan) kaayaan dina aturan.
Lamun nangtukeun sumberdaya URL custom, éta bakal leuwih éféktif ngagunakeun ungkapan biasa kawas: (^|..)checkpoint.com
Hindarkeun pamakéan kaleuleuwihan aturan logging jeung tampilan kaca blocking (UserCheck).
Pastikeun téknologi jalanna leres "SecureXL". Paling lalulintas kudu ngaliwatan gancangan / jalur sedeng. Ogé, ulah hilap pikeun nyaring aturan ku anu paling sering dianggo (field hits ).
HTTPS-Inspection
Henteu janten rahasia yén 70-80% tina lalu lintas pangguna asalna tina sambungan HTTPS, anu hartosna ieu peryogi sumber daya tina prosesor gateway anjeun. Sajaba ti éta, HTTPS-Inspection ilubiung dina karya IPS, Antipirus, Antibot.
Dimimitian ti versi 80.40 aya kasempetan pikeun damel sareng aturan HTTPS tanpa Dasbor Warisan, ieu sababaraha urutan aturan anu disarankeun:
Bypass pikeun grup alamat sareng jaringan (Tujuan).
Bypass pikeun grup URL.
Bypass pikeun IP internal sareng jaringan kalayan aksés anu istimewa (Sumber).
Mariksa pikeun jaringan diperlukeun, pamaké
Bypass keur dulur sejenna.
* Sok langkung sae pikeun milih HTTPS atanapi HTTPS Proxy sacara manual sareng ngantunkeun Sakur. Log acara nurutkeun aturan Inspect.
IPS
Sabeulah IPS tiasa gagal masang kawijakan dina NGFW anjeun upami seueur teuing tanda tangan anu dianggo. Numutkeun kana artikel ti Cék Point, arsitéktur alat SMB teu dirancang pikeun ngajalankeun pinuh dianjurkeun profil konfigurasi IPS.
Pikeun ngabéréskeun atanapi nyegah masalah, tuturkeun léngkah ieu:
Klon propil Dioptimalkeun anu disebut "SMB Dioptimalkeun" (atanapi salah sahiji pilihan anjeun).
Edit profil, buka IPS → Pra R80.Setélan bagian jeung mareuman Protections Server.
Dina kawijaksanaan Anjeun, Anjeun bisa nganonaktipkeun CVEs heubeul ti 2010, vulnerabilities ieu bisa jadi jarang kapanggih dina kantor leutik, tapi mangaruhan kinerja. Pikeun nganonaktipkeun sababaraha di antarana, buka Profil → IPS → Aktivasina Tambahan → Protéksi pikeun nganonaktipkeun daptar
Gantina kacindekan
Salaku bagian tina runtuyan artikel ngeunaan generasi anyar NGFW kulawarga SMB (1500), urang diusahakeun nyorot kamampuhan utama solusi na nunjukkeun konfigurasi komponén kaamanan penting ngagunakeun conto husus. Kami bakal resep ngajawab patarosan ngeunaan produk dina koméntar. Kami tetep sareng anjeun, hatur nuhun pikeun perhatian anjeun!