7. NGFW kwa biashara ndogo ndogo. Utendaji na mapendekezo ya jumla

Wakati umefika wa kukamilisha mfululizo wa makala kuhusu kizazi kipya cha SMB Check Point (mfululizo wa 1500). Tunatumai kuwa hili lilikuwa tukio la kuthawabisha kwako na kwamba utaendelea kuwa nasi kwenye blogu ya TS Solution. Mada ya kifungu cha mwisho haijashughulikiwa sana, lakini sio muhimu sana - urekebishaji wa utendaji wa SMB. Ndani yake tutajadili chaguzi za usanidi wa vifaa na programu ya NGFW, kuelezea amri zilizopo na mbinu za mwingiliano.

Nakala zote katika mfululizo kuhusu NGFW kwa biashara ndogo ndogo:

1. Lango Mpya la CheckPoint 1500 Security Gateway Line

2. Kuondoa kisanduku na Kuweka

3. Usambazaji wa data bila waya: WiFi na LTE

4. VPN

5. Usimamizi wa Cloud SMP

6. Wingu la Smart-1

Hivi sasa, hakuna vyanzo vingi vya habari kuhusu kurekebisha utendakazi kwa suluhu za SMB kutokana na vikwazo OS ya ndani - Gaia 80.20 Iliyopachikwa. Katika makala yetu tutatumia mpangilio na usimamizi wa kati (Seva ya Usimamizi iliyojitolea) - inakuwezesha kutumia zana zaidi wakati wa kufanya kazi na NGFW.

Vifaa

Kabla ya kugusa usanifu wa familia wa Check Point SMB, unaweza kumwomba mshirika wako atumie matumizi Zana ya Ukubwa wa Kifaa, kuchagua suluhisho mojawapo kulingana na sifa maalum (mapitio, idadi inayotarajiwa ya watumiaji, nk).

Vidokezo muhimu unapoingiliana na maunzi yako ya NGFW

1. Suluhisho za NGFW za familia ya SMB hazina uwezo wa kuboresha vifaa vya vifaa vya mfumo (CPU, RAM, HDD); kulingana na mfano, kuna msaada wa kadi za SD, hii hukuruhusu kupanua uwezo wa diski, lakini sio sana.

2. Uendeshaji wa violesura vya mtandao unahitaji udhibiti. Gaia 80.20 Iliyopachikwa haina zana nyingi za ufuatiliaji, lakini unaweza kutumia amri inayojulikana kila wakati kwenye CLI kupitia hali ya Mtaalam. 

   #ifconfig

   

   Zingatia mistari iliyopigiwa mstari, itakuruhusu kukadiria idadi ya makosa kwenye kiolesura. Inapendekezwa sana kuangalia vigezo hivi wakati wa utekelezaji wa awali wa NGFW yako, na pia mara kwa mara wakati wa operesheni.

3. Kwa Gaia kamili kuna amri:

   > onyesha kielelezo

   Kwa msaada wake inawezekana kupata taarifa kuhusu joto la vifaa. Kwa bahati mbaya, chaguo hili halipatikani katika 80.20 Iliyopachikwa; tutaonyesha mitego maarufu zaidi ya SNMP:

   Jina 

   Description

   Kiolesura kimetenganishwa

   Inalemaza kiolesura

   VLAN imeondolewa

   Kuondoa Vlans

   Utumiaji wa kumbukumbu ya juu

   Matumizi ya juu ya RAM

   Nafasi ya chini ya diski

   Hakuna nafasi ya kutosha ya HDD

   Matumizi ya juu ya CPU

   Matumizi ya juu ya CPU

   Kiwango cha juu cha kukatiza kwa CPU

   Kiwango cha juu cha usumbufu

   Kiwango cha juu cha uunganisho

   Mtiririko wa juu wa viunganisho vipya

   Viunganisho vya juu vya wakati mmoja

   Kiwango cha juu cha vikao vya ushindani

   Upitishaji wa juu wa Firewall

   Firewall ya juu ya upitishaji

   Kiwango cha juu cha pakiti kinachokubalika

   Kiwango cha juu cha kupokea pakiti

   Nchi mwanachama wa Nguzo imebadilishwa

   Kubadilisha hali ya nguzo

   Muunganisho na hitilafu ya seva ya kumbukumbu

   Umepoteza muunganisho na Seva-Kumbukumbu

4. Uendeshaji wa lango lako unahitaji ufuatiliaji wa RAM. Kwa Gaia (Linux-kama OS) kufanya kazi, hii ni hali ya kawaidawakati matumizi ya RAM yanafikia 70-80% ya matumizi.

   Usanifu wa ufumbuzi wa SMB hautoi matumizi ya kumbukumbu ya SWAP, tofauti na mifano ya zamani ya Check Point. Walakini, katika faili za mfumo wa Linux iligunduliwa , ambayo inaonyesha uwezekano wa kinadharia wa kubadilisha parameter ya SWAP.

Sehemu ya programu

Wakati wa kuchapishwa kwa makala hiyo ya kisasa Toleo la Gaia - 80.20.10. Unahitaji kujua kwamba kuna vikwazo wakati wa kufanya kazi katika CLI: baadhi ya amri za Linux zinasaidiwa katika hali ya Mtaalam. Kutathmini utendakazi wa NGFW kunahitaji kutathmini utendakazi wa damoni na huduma, maelezo zaidi kuhusu hili yanaweza kupatikana katika Ibara ya mwenzangu. Tutaangalia amri zinazowezekana za SMB.

Kufanya kazi na Gaia OS

1. Vinjari violezo vya SecureXL

   #fwaccelstat

   

2. Tazama buti kwa msingi

   # fw ctl takwimu nyingi

   

3. Tazama idadi ya vipindi (miunganisho).

   # fw ctl pstat

   

4. *Tazama hali ya nguzo

   #cphaprob takwimu

   

5. Amri ya kawaida ya Linux TOP

Kuweka magogo

Kama unavyojua tayari, kuna njia tatu za kufanya kazi na kumbukumbu za NGFW (kuhifadhi, usindikaji): ndani, serikali kuu na katika wingu. Chaguzi mbili za mwisho zinamaanisha uwepo wa chombo - Seva ya Usimamizi.

Mipango inayowezekana ya udhibiti wa NGFW

Faili za kumbukumbu za thamani zaidi

1. Ujumbe wa mfumo (una maelezo machache kuliko Gaia kamili)

   # mkia -f /var/log/messages2

   

2. Ujumbe wa makosa katika uendeshaji wa vile (faili muhimu sana wakati wa matatizo ya utatuzi)

   # mkia -f /var/log/log/sfwd.elg

   

3. Tazama ujumbe kutoka kwa bafa katika kiwango cha kernel ya mfumo.

   #dmesg

   

Mpangilio wa blade

Sehemu hii haitakuwa na maagizo kamili ya kusanidi Sehemu yako ya Kukagua ya NGFW; ina tu mapendekezo yetu, yaliyochaguliwa na uzoefu.

Udhibiti wa Programu / Uchujaji wa URL

• Inapendekezwa kuepuka hali YOYOTE, YOYOTE (Chanzo, Lengwa) katika sheria.

• Wakati wa kubainisha rasilimali maalum ya URL, itakuwa na ufanisi zaidi kutumia misemo ya kawaida kama vile: (^|..)checkpoint.com

• Epuka utumiaji mwingi wa kuweka kumbukumbu na kuonyesha kurasa zinazozuia (UserCheck).

• Hakikisha teknolojia inafanya kazi kwa usahihi "SecureXL". Trafiki nyingi zinapaswa kupitia njia ya kasi/kati. Pia, usisahau kuchuja sheria na zile zinazotumiwa zaidi (uwanja hits ).

Ukaguzi wa HTTPS

Sio siri kuwa 70-80% ya trafiki ya watumiaji hutoka kwa miunganisho ya HTTPS, ambayo inamaanisha kuwa hii inahitaji rasilimali kutoka kwa kichakataji lango lako. Kwa kuongeza, HTTPS-Inspection inashiriki katika kazi ya IPS, Antivirus, Antibot.

Kuanzia toleo la 80.40 kulikuwa nafasi kufanya kazi na sheria za HTTPS bila Dashibodi ya Urithi, hapa kuna agizo la sheria linalopendekezwa:

• Bypass kwa kikundi cha anwani na mitandao (Lengwa).

• Bypass kwa kikundi cha URLs.

• Bypass kwa IP ya ndani na mitandao yenye ufikiaji wa upendeleo (Chanzo).

• Kagua mitandao inayohitajika, watumiaji

• Bypass kwa kila mtu mwingine.

* Daima ni bora kuchagua mwenyewe huduma za HTTPS au HTTPS na kuacha Zozote. Rekodi matukio kulingana na sheria za Kagua.

IPS

Upeo wa IPS unaweza kushindwa kusakinisha sera kwenye NGFW yako ikiwa sahihi nyingi sana zitatumika. Kulingana na Ibara ya kutoka kwa Check Point, usanifu wa kifaa cha SMB haujaundwa kutekeleza wasifu kamili wa usanidi wa IPS uliopendekezwa.

Ili kutatua au kuzuia shida, fuata hatua hizi:

1. Funga wasifu Ulioboreshwa unaoitwa "Optimized SMB" (au nyingine ya chaguo lako).

2. Badilisha wasifu, nenda kwenye sehemu ya IPS → Pre R80.Mipangilio na uzime Ulinzi wa Seva.

   

3. Kwa hiari yako, unaweza kuzima CVE za zamani zaidi ya 2010, udhaifu huu unaweza kupatikana kwa nadra katika ofisi ndogo, lakini kuathiri utendakazi. Ili kuzima baadhi yao, nenda kwa Profaili→IPS→Uanzishaji wa Ziada→Kinga ili kulemaza orodha.

   

Badala ya hitimisho

Kama sehemu ya mfululizo wa makala kuhusu kizazi kipya cha NGFW cha familia ya SMB (1500), tulijaribu kuangazia uwezo mkuu wa suluhisho na kuonyesha usanidi wa vipengele muhimu vya usalama kwa kutumia mifano maalum. Tutafurahi kujibu maswali yoyote kuhusu bidhaa katika maoni. Tunakaa nawe, asante kwa umakini wako!

Uchaguzi mkubwa wa vifaa kwenye Check Point kutoka TS Solution. Ili usikose machapisho mapya, fuata sasisho kwenye mitandao yetu ya kijamii (telegram, Facebook, VK, TS Solution Blog, Yandex.Zen).

Chanzo: mapenzi.com