7. NGFW för småföretag. Prestanda och allmänna rekommendationer
Det är dags att slutföra artikelserien om den nya generationen SMB Check Point (1500-serien). Vi hoppas att detta var en givande upplevelse för dig och att du kommer att fortsätta att vara med oss på TS Solution-bloggen. Ämnet för den sista artikeln täcks inte brett, men inte mindre viktigt - SMB-prestandajustering. I det kommer vi att diskutera konfigurationsalternativen för hårdvaran och mjukvaran för NGFW, beskriva tillgängliga kommandon och metoder för interaktion.
För närvarande finns det inte många informationskällor om prestandajustering för SMB-lösningar pga restriktioner internt OS - Gaia 80.20 Embedded. I vår artikel kommer vi att använda en layout med centraliserad hantering (dedikerad Management Server) - den låter dig använda fler verktyg när du arbetar med NGFW.
Hårdvaran delen
Innan du rör vid Check Point SMB-familjens arkitektur kan du alltid be din partner att använda verktyget Maskinstorleksverktyg, för att välja den optimala lösningen enligt de specificerade egenskaperna (genomströmning, förväntat antal användare, etc.).
Viktiga anmärkningar när du interagerar med din NGFW-hårdvara
NGFW-lösningar i SMB-familjen har inte förmågan att uppgradera systemkomponenter (CPU, RAM, HDD); beroende på modell finns det stöd för SD-kort, detta gör att du kan utöka diskkapaciteten, men inte avsevärt.
Driften av nätverksgränssnitt kräver kontroll. Gaia 80.20 Embedded har inte många övervakningsverktyg, men du kan alltid använda det välkända kommandot i CLI via expertläge
# ifconfig
Var uppmärksam på de understrukna linjerna, de låter dig uppskatta antalet fel i gränssnittet. Det rekommenderas starkt att kontrollera dessa parametrar under den första implementeringen av din NGFW, såväl som regelbundet under drift.
För en fullfjädrad Gaia finns ett kommando:
>visa diag
Med dess hjälp är det möjligt att få information om hårdvarans temperatur. Tyvärr är det här alternativet inte tillgängligt i 80.20 Embedded; vi kommer att ange de mest populära SNMP-fällorna:
namn
beskrivning
Gränssnittet frånkopplat
Inaktiverar gränssnittet
VLAN togs bort
Ta bort Vlans
Högt minnesutnyttjande
Högt RAM-utnyttjande
Lågt diskutrymme
Inte tillräckligt med hårddiskutrymme
Hög CPU-användning
Hög CPU-användning
Hög CPU-avbrottshastighet
Hög avbrottsfrekvens
Hög anslutningshastighet
Högt flöde av nya förbindelser
Höga samtidiga anslutningar
Hög nivå av tävlingspass
Hög genomströmning av brandväggen
Brandvägg med hög genomströmning
Hög accepterad pakethastighet
Hög paketmottagningshastighet
Klustrets medlemsland ändrats
Ändra klustertillståndet
Anslutning med loggserverfel
Förlorade anslutningen till Log-Server
Driften av din gateway kräver RAM-övervakning. För att Gaia (Linux-liknande OS) ska fungera är det här normal situationnär RAM-förbrukningen når 70-80% av användningen.
Arkitekturen för SMB-lösningar tillåter inte användning av SWAP-minne, till skillnad från äldre Check Point-modeller. Men i Linux-systemfiler märktes det , vilket indikerar den teoretiska möjligheten att ändra SWAP-parametern.
Programvara del
Vid tidpunkten för publicering av artikeln aktuellt Gaia-version - 80.20.10. Du måste veta att det finns begränsningar när du arbetar i CLI: vissa Linux-kommandon stöds i expertläge. Att bedöma prestandan för NGFW kräver att man bedömer prestandan för demoner och tjänster, mer information om detta finns i artikeln min kollega. Vi kommer att titta på möjliga kommandon för SMB.
Arbetar med Gaia OS
Bläddra i SecureXL-mallar
#fwaccelstat
Se känga för kärna
# fw ctl multik-stat
Se antalet sessioner (anslutningar).
# fw ctl pstat
*Visa klusterstatus
#cphaprob stat
Klassiskt Linux TOP-kommando
Skogsavverkning
Som du redan vet finns det tre sätt att arbeta med NGFW-loggar (lagring, bearbetning): lokalt, centralt och i molnet. De två sista alternativen innebär närvaron av en enhet - Management Server.
Möjliga NGFW-kontrollscheman
De mest värdefulla loggfilerna
Systemmeddelanden (innehåller mindre information än hela Gaia)
# tail -f /var/log/meddelanden2
Felmeddelanden i driften av blad (en ganska användbar fil vid felsökning av problem)
# tail -f /var/log/log/sfwd.elg
Visa meddelanden från bufferten på systemkärnnivå.
#dmesg
Bladkonfiguration
Det här avsnittet kommer inte att innehålla fullständiga instruktioner för att ställa in din NGFW Check Point, det innehåller bara våra rekommendationer, valda av erfarenhet.
Programkontroll / URL-filtrering
Det rekommenderas att undvika ALLA (Källa, Destination) villkor i reglerna.
När du anger en anpassad URL-resurs är det mer effektivt att använda reguljära uttryck som: (^|..)checkpoint.com
Undvik överdriven användning av regelloggning och visning av blockeringssidor (UserCheck).
Se till att tekniken fungerar korrekt "SecureXL". Den mesta trafiken ska gå igenom accelererad/medelväg. Glöm inte heller att filtrera reglerna efter de mest använda (fältet träffar ).
HTTPS-inspektion
Det är ingen hemlighet att 70-80% av användartrafiken kommer från HTTPS-anslutningar, vilket innebär att detta kräver resurser från din gatewayprocessor. Dessutom deltar HTTPS-Inspection i arbetet med IPS, Antivirus, Antibot.
Från och med version 80.40 fanns det möjlighet för att arbeta med HTTPS-regler utan äldre instrumentpanel, här är en rekommenderad regelordning:
Bypass för en grupp av adresser och nätverk (Destination).
Förbigå för en grupp webbadresser.
Bypass för intern IP och nätverk med privilegierad åtkomst (källa).
Inspektera för nödvändiga nätverk, användare
Bypass för alla andra.
* Det är alltid bättre att manuellt välja HTTPS- eller HTTPS-proxytjänster och lämna Any. Logga händelser enligt Inspect-regler.
IPS
IPS-bladet kan misslyckas med att installera policy på din NGFW om för många signaturer används. Enligt artikeln från Check Point är SMB-enhetsarkitekturen inte utformad för att köra den fullständiga rekommenderade IPS-konfigurationsprofilen.
Följ dessa steg för att lösa eller förhindra problemet:
Klona den optimerade profilen som heter "Optimerad SMB" (eller en annan som du väljer).
Redigera profilen, gå till avsnittet IPS → Pre R80.Settings och stäng av Serverskydd.
Efter eget gottfinnande kan du inaktivera CVEs äldre än 2010, dessa sårbarheter kan sällan hittas på små kontor, men påverkar prestanda. För att inaktivera några av dem, gå till Profil→IPS→Ytterligare aktivering→ Skydd för att inaktivera listan
I stället för en slutsats
Som en del av en serie artiklar om den nya generationen av NGFW i SMB-familjen (1500) försökte vi lyfta fram de viktigaste funktionerna i lösningen och demonstrerade konfigurationen av viktiga säkerhetskomponenter med hjälp av specifika exempel. Vi svarar gärna på frågor om produkten i kommentarerna. Vi stannar hos dig, tack för din uppmärksamhet!