7. NGFW för småföretag. Prestanda och allmänna rekommendationer

Det är dags att slutföra artikelserien om den nya generationen SMB Check Point (1500-serien). Vi hoppas att detta var en givande upplevelse för dig och att du kommer att fortsätta att vara med oss ​​på TS Solution-bloggen. Ämnet för den sista artikeln täcks inte brett, men inte mindre viktigt - SMB-prestandajustering. I det kommer vi att diskutera konfigurationsalternativen för hårdvaran och mjukvaran för NGFW, beskriva tillgängliga kommandon och metoder för interaktion.

Alla artiklar i serien om NGFW för småföretag:

1. Ny CheckPoint 1500 Security Gateway Line

2. Uppackning och installation

3. Trådlös dataöverföring: WiFi och LTE

4. VPN

5. Cloud SMP Management

6. Smart-1 Cloud

För närvarande finns det inte många informationskällor om prestandajustering för SMB-lösningar pga restriktioner internt OS - Gaia 80.20 Embedded. I vår artikel kommer vi att använda en layout med centraliserad hantering (dedikerad Management Server) - den låter dig använda fler verktyg när du arbetar med NGFW.

Hårdvaran delen

Innan du rör vid Check Point SMB-familjens arkitektur kan du alltid be din partner att använda verktyget Maskinstorleksverktyg, för att välja den optimala lösningen enligt de specificerade egenskaperna (genomströmning, förväntat antal användare, etc.).

Viktiga anmärkningar när du interagerar med din NGFW-hårdvara

1. NGFW-lösningar i SMB-familjen har inte förmågan att uppgradera systemkomponenter (CPU, RAM, HDD); beroende på modell finns det stöd för SD-kort, detta gör att du kan utöka diskkapaciteten, men inte avsevärt.

2. Driften av nätverksgränssnitt kräver kontroll. Gaia 80.20 Embedded har inte många övervakningsverktyg, men du kan alltid använda det välkända kommandot i CLI via expertläge 

   # ifconfig

   

   Var uppmärksam på de understrukna linjerna, de låter dig uppskatta antalet fel i gränssnittet. Det rekommenderas starkt att kontrollera dessa parametrar under den första implementeringen av din NGFW, såväl som regelbundet under drift.

3. För en fullfjädrad Gaia finns ett kommando:

   >visa diag

   Med dess hjälp är det möjligt att få information om hårdvarans temperatur. Tyvärr är det här alternativet inte tillgängligt i 80.20 Embedded; vi kommer att ange de mest populära SNMP-fällorna:

   namn 

   beskrivning

   Gränssnittet frånkopplat

   Inaktiverar gränssnittet

   VLAN togs bort

   Ta bort Vlans

   Högt minnesutnyttjande

   Högt RAM-utnyttjande

   Lågt diskutrymme

   Inte tillräckligt med hårddiskutrymme

   Hög CPU-användning

   Hög CPU-användning

   Hög CPU-avbrottshastighet

   Hög avbrottsfrekvens

   Hög anslutningshastighet

   Högt flöde av nya förbindelser

   Höga samtidiga anslutningar

   Hög nivå av tävlingspass

   Hög genomströmning av brandväggen

   Brandvägg med hög genomströmning

   Hög accepterad pakethastighet

   Hög paketmottagningshastighet

   Klustrets medlemsland ändrats

   Ändra klustertillståndet

   Anslutning med loggserverfel

   Förlorade anslutningen till Log-Server

4. Driften av din gateway kräver RAM-övervakning. För att Gaia (Linux-liknande OS) ska fungera är det här normal situationnär RAM-förbrukningen når 70-80% av användningen.

   Arkitekturen för SMB-lösningar tillåter inte användning av SWAP-minne, till skillnad från äldre Check Point-modeller. Men i Linux-systemfiler märktes det , vilket indikerar den teoretiska möjligheten att ändra SWAP-parametern.

Programvara del

Vid tidpunkten för publicering av artikeln aktuellt Gaia-version - 80.20.10. Du måste veta att det finns begränsningar när du arbetar i CLI: vissa Linux-kommandon stöds i expertläge. Att bedöma prestandan för NGFW kräver att man bedömer prestandan för demoner och tjänster, mer information om detta finns i artikeln min kollega. Vi kommer att titta på möjliga kommandon för SMB.

Arbetar med Gaia OS

1. Bläddra i SecureXL-mallar

   #fwaccelstat

   

2. Se känga för kärna

   # fw ctl multik-stat

   

3. Se antalet sessioner (anslutningar).

   # fw ctl pstat

   

4. *Visa klusterstatus

   #cphaprob stat

   

5. Klassiskt Linux TOP-kommando

Skogsavverkning

Som du redan vet finns det tre sätt att arbeta med NGFW-loggar (lagring, bearbetning): lokalt, centralt och i molnet. De två sista alternativen innebär närvaron av en enhet - Management Server.

Möjliga NGFW-kontrollscheman

De mest värdefulla loggfilerna

1. Systemmeddelanden (innehåller mindre information än hela Gaia)

   # tail -f /var/log/meddelanden2

   

2. Felmeddelanden i driften av blad (en ganska användbar fil vid felsökning av problem)

   # tail -f /var/log/log/sfwd.elg

   

3. Visa meddelanden från bufferten på systemkärnnivå.

   #dmesg

   

Bladkonfiguration

Det här avsnittet kommer inte att innehålla fullständiga instruktioner för att ställa in din NGFW Check Point, det innehåller bara våra rekommendationer, valda av erfarenhet.

Programkontroll / URL-filtrering

• Det rekommenderas att undvika ALLA (Källa, Destination) villkor i reglerna.

• När du anger en anpassad URL-resurs är det mer effektivt att använda reguljära uttryck som: (^|..)checkpoint.com

• Undvik överdriven användning av regelloggning och visning av blockeringssidor (UserCheck).

• Se till att tekniken fungerar korrekt "SecureXL". Den mesta trafiken ska gå igenom accelererad/medelväg. Glöm inte heller att filtrera reglerna efter de mest använda (fältet träffar ).

HTTPS-inspektion

Det är ingen hemlighet att 70-80% av användartrafiken kommer från HTTPS-anslutningar, vilket innebär att detta kräver resurser från din gatewayprocessor. Dessutom deltar HTTPS-Inspection i arbetet med IPS, Antivirus, Antibot.

Från och med version 80.40 fanns det möjlighet för att arbeta med HTTPS-regler utan äldre instrumentpanel, här är en rekommenderad regelordning:

• Bypass för en grupp av adresser och nätverk (Destination).

• Förbigå för en grupp webbadresser.

• Bypass för intern IP och nätverk med privilegierad åtkomst (källa).

• Inspektera för nödvändiga nätverk, användare

• Bypass för alla andra.

* Det är alltid bättre att manuellt välja HTTPS- eller HTTPS-proxytjänster och lämna Any. Logga händelser enligt Inspect-regler.

IPS

IPS-bladet kan misslyckas med att installera policy på din NGFW om för många signaturer används. Enligt artikeln från Check Point är SMB-enhetsarkitekturen inte utformad för att köra den fullständiga rekommenderade IPS-konfigurationsprofilen.

Följ dessa steg för att lösa eller förhindra problemet:

1. Klona den optimerade profilen som heter "Optimerad SMB" (eller en annan som du väljer).

2. Redigera profilen, gå till avsnittet IPS → Pre R80.Settings och stäng av Serverskydd.

   

3. Efter eget gottfinnande kan du inaktivera CVEs äldre än 2010, dessa sårbarheter kan sällan hittas på små kontor, men påverkar prestanda. För att inaktivera några av dem, gå till Profil→IPS→Ytterligare aktivering→ Skydd för att inaktivera listan

   

I stället för en slutsats

Som en del av en serie artiklar om den nya generationen av NGFW i SMB-familjen (1500) försökte vi lyfta fram de viktigaste funktionerna i lösningen och demonstrerade konfigurationen av viktiga säkerhetskomponenter med hjälp av specifika exempel. Vi svarar gärna på frågor om produkten i kommentarerna. Vi stannar hos dig, tack för din uppmärksamhet!

Stort urval av material på Check Point från TS Solution. För att inte missa nya publikationer, följ uppdateringarna på våra sociala nätverk (Telegram, Facebook, VK, TS Lösningsblogg, Yandex.Zen).

Källa: will.com