ProHoster > blog > Utawala > 7. NGFW kwa biashara ndogo ndogo. Utendaji na mapendekezo ya jumla
7. NGFW kwa biashara ndogo ndogo. Utendaji na mapendekezo ya jumla
Wakati umefika wa kukamilisha mfululizo wa makala kuhusu kizazi kipya cha SMB Check Point (mfululizo wa 1500). Tunatumai kuwa hili lilikuwa tukio la kuthawabisha kwako na kwamba utaendelea kuwa nasi kwenye blogu ya TS Solution. Mada ya kifungu cha mwisho haijashughulikiwa sana, lakini sio muhimu sana - urekebishaji wa utendaji wa SMB. Ndani yake tutajadili chaguzi za usanidi wa vifaa na programu ya NGFW, kuelezea amri zilizopo na mbinu za mwingiliano.
Nakala zote katika mfululizo kuhusu NGFW kwa biashara ndogo ndogo:
Hivi sasa, hakuna vyanzo vingi vya habari kuhusu kurekebisha utendakazi kwa suluhu za SMB kutokana na vikwazo OS ya ndani - Gaia 80.20 Iliyopachikwa. Katika makala yetu tutatumia mpangilio na usimamizi wa kati (Seva ya Usimamizi iliyojitolea) - inakuwezesha kutumia zana zaidi wakati wa kufanya kazi na NGFW.
Vifaa
Kabla ya kugusa usanifu wa familia wa Check Point SMB, unaweza kumwomba mshirika wako atumie matumizi Zana ya Ukubwa wa Kifaa, kuchagua suluhisho mojawapo kulingana na sifa maalum (mapitio, idadi inayotarajiwa ya watumiaji, nk).
Vidokezo muhimu unapoingiliana na maunzi yako ya NGFW
Suluhisho za NGFW za familia ya SMB hazina uwezo wa kuboresha vifaa vya vifaa vya mfumo (CPU, RAM, HDD); kulingana na mfano, kuna msaada wa kadi za SD, hii hukuruhusu kupanua uwezo wa diski, lakini sio sana.
Uendeshaji wa violesura vya mtandao unahitaji udhibiti. Gaia 80.20 Iliyopachikwa haina zana nyingi za ufuatiliaji, lakini unaweza kutumia amri inayojulikana kila wakati kwenye CLI kupitia hali ya Mtaalam.
#ifconfig
Zingatia mistari iliyopigiwa mstari, itakuruhusu kukadiria idadi ya makosa kwenye kiolesura. Inapendekezwa sana kuangalia vigezo hivi wakati wa utekelezaji wa awali wa NGFW yako, na pia mara kwa mara wakati wa operesheni.
Kwa Gaia kamili kuna amri:
> onyesha kielelezo
Kwa msaada wake inawezekana kupata taarifa kuhusu joto la vifaa. Kwa bahati mbaya, chaguo hili halipatikani katika 80.20 Iliyopachikwa; tutaonyesha mitego maarufu zaidi ya SNMP:
Jina
Description
Kiolesura kimetenganishwa
Inalemaza kiolesura
VLAN imeondolewa
Kuondoa Vlans
Utumiaji wa kumbukumbu ya juu
Matumizi ya juu ya RAM
Nafasi ya chini ya diski
Hakuna nafasi ya kutosha ya HDD
Matumizi ya juu ya CPU
Matumizi ya juu ya CPU
Kiwango cha juu cha kukatiza kwa CPU
Kiwango cha juu cha usumbufu
Kiwango cha juu cha uunganisho
Mtiririko wa juu wa viunganisho vipya
Viunganisho vya juu vya wakati mmoja
Kiwango cha juu cha vikao vya ushindani
Upitishaji wa juu wa Firewall
Firewall ya juu ya upitishaji
Kiwango cha juu cha pakiti kinachokubalika
Kiwango cha juu cha kupokea pakiti
Nchi mwanachama wa Nguzo imebadilishwa
Kubadilisha hali ya nguzo
Muunganisho na hitilafu ya seva ya kumbukumbu
Umepoteza muunganisho na Seva-Kumbukumbu
Uendeshaji wa lango lako unahitaji ufuatiliaji wa RAM. Kwa Gaia (Linux-kama OS) kufanya kazi, hii ni hali ya kawaidawakati matumizi ya RAM yanafikia 70-80% ya matumizi.
Usanifu wa ufumbuzi wa SMB hautoi matumizi ya kumbukumbu ya SWAP, tofauti na mifano ya zamani ya Check Point. Walakini, katika faili za mfumo wa Linux iligunduliwa , ambayo inaonyesha uwezekano wa kinadharia wa kubadilisha parameter ya SWAP.
Sehemu ya programu
Wakati wa kuchapishwa kwa makala hiyo ya kisasa Toleo la Gaia - 80.20.10. Unahitaji kujua kwamba kuna vikwazo wakati wa kufanya kazi katika CLI: baadhi ya amri za Linux zinasaidiwa katika hali ya Mtaalam. Kutathmini utendakazi wa NGFW kunahitaji kutathmini utendakazi wa damoni na huduma, maelezo zaidi kuhusu hili yanaweza kupatikana katika Ibara ya mwenzangu. Tutaangalia amri zinazowezekana za SMB.
Kufanya kazi na Gaia OS
Vinjari violezo vya SecureXL
#fwaccelstat
Tazama buti kwa msingi
# fw ctl takwimu nyingi
Tazama idadi ya vipindi (miunganisho).
# fw ctl pstat
*Tazama hali ya nguzo
#cphaprob takwimu
Amri ya kawaida ya Linux TOP
Kuweka magogo
Kama unavyojua tayari, kuna njia tatu za kufanya kazi na kumbukumbu za NGFW (kuhifadhi, usindikaji): ndani, serikali kuu na katika wingu. Chaguzi mbili za mwisho zinamaanisha uwepo wa chombo - Seva ya Usimamizi.
Mipango inayowezekana ya udhibiti wa NGFW
Faili za kumbukumbu za thamani zaidi
Ujumbe wa mfumo (una maelezo machache kuliko Gaia kamili)
# mkia -f /var/log/messages2
Ujumbe wa makosa katika uendeshaji wa vile (faili muhimu sana wakati wa matatizo ya utatuzi)
# mkia -f /var/log/log/sfwd.elg
Tazama ujumbe kutoka kwa bafa katika kiwango cha kernel ya mfumo.
#dmesg
Mpangilio wa blade
Sehemu hii haitakuwa na maagizo kamili ya kusanidi Sehemu yako ya Kukagua ya NGFW; ina tu mapendekezo yetu, yaliyochaguliwa na uzoefu.
Udhibiti wa Programu / Uchujaji wa URL
Inapendekezwa kuepuka hali YOYOTE, YOYOTE (Chanzo, Lengwa) katika sheria.
Wakati wa kubainisha rasilimali maalum ya URL, itakuwa na ufanisi zaidi kutumia misemo ya kawaida kama vile: (^|..)checkpoint.com
Epuka utumiaji mwingi wa kuweka kumbukumbu na kuonyesha kurasa zinazozuia (UserCheck).
Hakikisha teknolojia inafanya kazi kwa usahihi "SecureXL". Trafiki nyingi zinapaswa kupitia njia ya kasi/kati. Pia, usisahau kuchuja sheria na zile zinazotumiwa zaidi (uwanja hits ).
Ukaguzi wa HTTPS
Sio siri kuwa 70-80% ya trafiki ya watumiaji hutoka kwa miunganisho ya HTTPS, ambayo inamaanisha kuwa hii inahitaji rasilimali kutoka kwa kichakataji lango lako. Kwa kuongeza, HTTPS-Inspection inashiriki katika kazi ya IPS, Antivirus, Antibot.
Kuanzia toleo la 80.40 kulikuwa nafasi kufanya kazi na sheria za HTTPS bila Dashibodi ya Urithi, hapa kuna agizo la sheria linalopendekezwa:
Bypass kwa kikundi cha anwani na mitandao (Lengwa).
Bypass kwa kikundi cha URLs.
Bypass kwa IP ya ndani na mitandao yenye ufikiaji wa upendeleo (Chanzo).
Kagua mitandao inayohitajika, watumiaji
Bypass kwa kila mtu mwingine.
* Daima ni bora kuchagua mwenyewe huduma za HTTPS au HTTPS na kuacha Zozote. Rekodi matukio kulingana na sheria za Kagua.
IPS
Upeo wa IPS unaweza kushindwa kusakinisha sera kwenye NGFW yako ikiwa sahihi nyingi sana zitatumika. Kulingana na Ibara ya kutoka kwa Check Point, usanifu wa kifaa cha SMB haujaundwa kutekeleza wasifu kamili wa usanidi wa IPS uliopendekezwa.
Ili kutatua au kuzuia shida, fuata hatua hizi:
Funga wasifu Ulioboreshwa unaoitwa "Optimized SMB" (au nyingine ya chaguo lako).
Badilisha wasifu, nenda kwenye sehemu ya IPS β Pre R80.Mipangilio na uzime Ulinzi wa Seva.
Kwa hiari yako, unaweza kuzima CVE za zamani zaidi ya 2010, udhaifu huu unaweza kupatikana kwa nadra katika ofisi ndogo, lakini kuathiri utendakazi. Ili kuzima baadhi yao, nenda kwa ProfailiβIPSβUanzishaji wa ZiadaβKinga ili kulemaza orodha.
Badala ya hitimisho
Kama sehemu ya mfululizo wa makala kuhusu kizazi kipya cha NGFW cha familia ya SMB (1500), tulijaribu kuangazia uwezo mkuu wa suluhisho na kuonyesha usanidi wa vipengele muhimu vya usalama kwa kutumia mifano maalum. Tutafurahi kujibu maswali yoyote kuhusu bidhaa katika maoni. Tunakaa nawe, asante kwa umakini wako!