புதிய தலைமுறை SMB செக் பாயின்ட் (1500 தொடர்) பற்றிய தொடர் கட்டுரைகளை முடிக்க வேண்டிய நேரம் வந்துவிட்டது. இது உங்களுக்குப் பலனளிக்கும் அனுபவமாக இருந்தது என்றும், TS Solution வலைப்பதிவில் நீங்கள் எங்களுடன் தொடர்ந்து இருப்பீர்கள் என்றும் நம்புகிறோம். இறுதி கட்டுரைக்கான தலைப்பு பரவலாக விவாதிக்கப்படவில்லை, ஆனால் குறைவான முக்கியத்துவம் இல்லை - SMB செயல்திறன் சரிப்படுத்தும். இதில் NGFW இன் வன்பொருள் மற்றும் மென்பொருளுக்கான உள்ளமைவு விருப்பங்களைப் பற்றி விவாதிப்போம், கிடைக்கக்கூடிய கட்டளைகள் மற்றும் தொடர்பு முறைகளை விவரிப்போம்.
சிறு வணிகங்களுக்கான NGFW பற்றிய தொடரில் உள்ள அனைத்து கட்டுரைகளும்:
தற்போது, SMB தீர்வுகளுக்கான செயல்திறன் ட்யூனிங் பற்றிய தகவல்களின் பல ஆதாரங்கள் இல்லை உள் OS - Gaia 80.20 உட்பொதிக்கப்பட்டது. எங்கள் கட்டுரையில் மையப்படுத்தப்பட்ட மேலாண்மை (அர்ப்பணிப்பு மேலாண்மை சேவையகம்) கொண்ட தளவமைப்பைப் பயன்படுத்துவோம் - இது NGFW உடன் பணிபுரியும் போது கூடுதல் கருவிகளைப் பயன்படுத்த உங்களை அனுமதிக்கிறது.
வன்பொருள் பகுதியைத்
செக் பாயிண்ட் SMB குடும்பக் கட்டமைப்பைத் தொடும் முன், நீங்கள் எப்பொழுதும் உங்கள் கூட்டாளரிடம் பயன்பாட்டைப் பயன்படுத்தும்படி கேட்கலாம் உபகரண அளவு கருவி, குறிப்பிட்ட குணாதிசயங்களின்படி உகந்த தீர்வைத் தேர்ந்தெடுக்க (செயல்திறன், எதிர்பார்க்கப்படும் பயனர்களின் எண்ணிக்கை, முதலியன).
உங்கள் NGFW வன்பொருளுடன் தொடர்பு கொள்ளும்போது முக்கியமான குறிப்புகள்
-
SMB குடும்பத்தின் NGFW தீர்வுகள் கணினி கூறுகளை (CPU, RAM, HDD) மேம்படுத்தும் திறனைக் கொண்டிருக்கவில்லை; மாதிரியைப் பொறுத்து, SD கார்டுகளுக்கான ஆதரவு உள்ளது, இது வட்டு திறனை விரிவாக்க உங்களை அனுமதிக்கிறது, ஆனால் கணிசமாக இல்லை.
-
பிணைய இடைமுகங்களின் செயல்பாட்டிற்கு கட்டுப்பாடு தேவை. Gaia 80.20 Embedded இல் பல கண்காணிப்பு கருவிகள் இல்லை, ஆனால் நீங்கள் எப்போதும் CLI இல் நன்கு அறியப்பட்ட கட்டளையை நிபுணர் பயன்முறையில் பயன்படுத்தலாம்
# நான்fconfig
அடிக்கோடிட்ட வரிகளுக்கு கவனம் செலுத்துங்கள், அவை இடைமுகத்தில் உள்ள பிழைகளின் எண்ணிக்கையை மதிப்பிட உங்களை அனுமதிக்கும். உங்கள் NGFW இன் ஆரம்ப செயலாக்கத்தின் போதும், செயல்பாட்டின் போதும் அவ்வப்போது இந்த அளவுருக்களை சரிபார்க்க பரிந்துரைக்கப்படுகிறது.
-
ஒரு முழுமையான கையாவிற்கு ஒரு கட்டளை உள்ளது:
> விளக்கப்படத்தைக் காட்டு
அதன் உதவியுடன் வன்பொருளின் வெப்பநிலை பற்றிய தகவலைப் பெற முடியும். துரதிர்ஷ்டவசமாக, இந்த விருப்பம் 80.20 உட்பொதிக்கப்பட்டதில் கிடைக்கவில்லை; மிகவும் பிரபலமான SNMP பொறிகளைக் குறிப்பிடுவோம்:
பெயர்
விளக்கம்
இடைமுகம் துண்டிக்கப்பட்டது
இடைமுகத்தை முடக்குகிறது
VLAN அகற்றப்பட்டது
Vlans ஐ நீக்குகிறது
அதிக நினைவக பயன்பாடு
அதிக ரேம் பயன்பாடு
குறைந்த வட்டு இடம்
போதுமான HDD இடம் இல்லை
உயர் CPU பயன்பாடு
உயர் CPU பயன்பாடு
உயர் CPU குறுக்கீடு விகிதம்
அதிக குறுக்கீடு விகிதம்
உயர் இணைப்பு விகிதம்
புதிய இணைப்புகளின் அதிக ஓட்டம்
உயர் கூட்டு இணைப்புகள்
உயர் மட்ட போட்டி அமர்வுகள்
உயர் ஃபயர்வால் செயல்திறன்
உயர் செயல்திறன் ஃபயர்வால்
உயர் ஏற்றுக்கொள்ளப்பட்ட பாக்கெட் விகிதம்
உயர் பாக்கெட் வரவேற்பு விகிதம்
கிளஸ்டர் உறுப்பினர் நாடு மாறியது
கிளஸ்டர் நிலையை மாற்றுதல்
பதிவு சேவையகப் பிழையுடன் இணைப்பு
லாக்-சர்வருடனான தொடர்பை இழந்தது
-
உங்கள் நுழைவாயிலின் செயல்பாட்டிற்கு ரேம் கண்காணிப்பு தேவை. கையா (லினக்ஸ் போன்ற OS) வேலை செய்ய, இது ரேம் நுகர்வு 70-80% பயன்பாட்டை அடையும் போது.
SMB தீர்வுகளின் கட்டமைப்பு பழைய செக் பாயிண்ட் மாடல்களைப் போலன்றி, SWAP நினைவகத்தைப் பயன்படுத்துவதற்கு வழங்கவில்லை. இருப்பினும், லினக்ஸ் கணினி கோப்புகளில் இது கவனிக்கப்பட்டது , இது SWAP அளவுருவை மாற்றுவதற்கான தத்துவார்த்த சாத்தியத்தை குறிக்கிறது.
மென்பொருள் பகுதி
கட்டுரை வெளியிடப்பட்ட நேரத்தில் கையா பதிப்பு - 80.20.10. CLI இல் பணிபுரியும் போது வரம்புகள் இருப்பதை நீங்கள் அறிந்து கொள்ள வேண்டும்: சில Linux கட்டளைகள் நிபுணர் பயன்முறையில் ஆதரிக்கப்படுகின்றன. NGFW இன் செயல்திறனை மதிப்பிடுவதற்கு டீமான்கள் மற்றும் சேவைகளின் செயல்திறனை மதிப்பிடுவது அவசியம், இதைப் பற்றிய கூடுதல் விவரங்களைக் காணலாம் என்னுடன் பணிபுரிபவர். SMBக்கான சாத்தியமான கட்டளைகளைப் பார்ப்போம்.
Gaia OS உடன் பணிபுரிகிறது
-
SecureXL டெம்ப்ளேட்களை உலாவவும்
#fwaccelstat
-
மையத்தின் அடிப்படையில் துவக்கத்தைக் காண்க
# fw ctl மல்டிக் ஸ்டேட்
-
அமர்வுகளின் எண்ணிக்கையைப் பார்க்கவும் (இணைப்புகள்).
# fw ctl pstat
-
*கிளஸ்டர் நிலையைக் காண்க
#cphaprob புள்ளிவிவரம்
-
கிளாசிக் லினக்ஸ் TOP கட்டளை
பதிவு செய்தல்
உங்களுக்கு ஏற்கனவே தெரியும், NGFW பதிவுகளுடன் (சேமிப்பு, செயலாக்கம்) வேலை செய்ய மூன்று வழிகள் உள்ளன: உள்நாட்டில், மையமாக மற்றும் மேகக்கணியில். கடைசி இரண்டு விருப்பங்கள் ஒரு நிறுவனத்தின் இருப்பைக் குறிக்கின்றன - மேலாண்மை சேவையகம்.
சாத்தியமான NGFW கட்டுப்பாட்டு திட்டங்கள்
மிகவும் மதிப்புமிக்க பதிவு கோப்புகள்
-
சிஸ்டம் செய்திகள் (முழு கையாவை விட குறைவான தகவலைக் கொண்டுள்ளது)
# tail -f /var/log/messages2
-
பிளேடுகளின் செயல்பாட்டில் பிழை செய்திகள் (சிக்கல்களை சரிசெய்யும் போது மிகவும் பயனுள்ள கோப்பு)
# tail -f /var/log/log/sfwd.elg
-
கணினி கர்னல் மட்டத்தில் இடையகத்திலிருந்து செய்திகளைப் பார்க்கவும்.
#dmesg
கத்தி கட்டமைப்பு
இந்தப் பிரிவில் உங்கள் NGFW செக் பாயின்டை அமைப்பதற்கான முழுமையான வழிமுறைகள் இருக்காது; அனுபவத்தால் தேர்ந்தெடுக்கப்பட்ட எங்கள் பரிந்துரைகள் மட்டுமே இதில் உள்ளன.
பயன்பாட்டுக் கட்டுப்பாடு / URL வடிகட்டுதல்
-
விதிகளில் எந்த, எந்த (மூல, இலக்கு) நிபந்தனைகளையும் தவிர்க்க பரிந்துரைக்கப்படுகிறது.
-
தனிப்பயன் URL ஆதாரத்தைக் குறிப்பிடும்போது, வழக்கமான வெளிப்பாடுகளைப் பயன்படுத்துவது மிகவும் பயனுள்ளதாக இருக்கும்: (^|..) checkpoint.com
-
விதி லாக்கிங் மற்றும் தடுக்கும் பக்கங்களைக் காட்சிப்படுத்துதல் (UserCheck) ஆகியவற்றின் அதிகப்படியான பயன்பாட்டைத் தவிர்க்கவும்.
-
தொழில்நுட்பம் சரியாக வேலை செய்கிறது என்பதை உறுதிப்படுத்தவும் "SecureXL". பெரும்பாலான போக்குவரத்து செல்ல வேண்டும் துரிதப்படுத்தப்பட்ட/நடுத்தர பாதை. மேலும், அதிகம் பயன்படுத்தப்படும் விதிகளை வடிகட்ட மறக்காதீர்கள் (புலம் ஹிட்ஸ் ).
HTTPS-ஆய்வு
பயனர் போக்குவரத்தில் 70-80% HTTPS இணைப்புகளிலிருந்து வருகிறது என்பது இரகசியமல்ல, அதாவது இதற்கு உங்கள் நுழைவாயில் செயலியின் ஆதாரங்கள் தேவை. கூடுதலாக, HTTPS-ஆய்வு IPS, வைரஸ் தடுப்பு, ஆன்டிபாட் ஆகியவற்றின் வேலைகளில் பங்கேற்கிறது.
பதிப்பு 80.40 இல் இருந்து தொடங்கி இருந்தது லெகசி டாஷ்போர்டு இல்லாமல் HTTPS விதிகளுடன் பணிபுரிய, இதோ சில பரிந்துரைக்கப்பட்ட விதிகள்:
-
முகவரிகள் மற்றும் நெட்வொர்க்குகளின் குழுவிற்கு (இலக்கு) பைபாஸ்.
-
URLகளின் குழுவிற்கு பைபாஸ்.
-
சிறப்பு அணுகல் (மூலம்) கொண்ட உள் ஐபி மற்றும் நெட்வொர்க்குகளுக்கான பைபாஸ்.
-
தேவையான நெட்வொர்க்குகள், பயனர்களை சரிபார்க்கவும்
-
மற்ற அனைவருக்கும் பைபாஸ்.
* HTTPS அல்லது HTTPS ப்ராக்ஸி சேவைகளை கைமுறையாகத் தேர்ந்தெடுத்து விட்டு விட்டுச் செல்வது எப்போதும் சிறந்தது. ஆய்வு விதிகளின்படி நிகழ்வுகளை பதிவு செய்யவும்.
ஐபிஎஸ்
அதிகமான கையொப்பங்கள் பயன்படுத்தப்பட்டால், உங்கள் NGFW இல் கொள்கையை நிறுவுவதில் IPS பிளேடு தோல்வியடையும். படி செக் பாயிண்டில் இருந்து, SMB சாதன கட்டமைப்பு முழு பரிந்துரைக்கப்பட்ட IPS கட்டமைப்பு சுயவிவரத்தை இயக்க வடிவமைக்கப்படவில்லை.
சிக்கலைத் தீர்க்க அல்லது தடுக்க, இந்த வழிமுறைகளைப் பின்பற்றவும்:
-
"உகந்த SMB" (அல்லது உங்கள் விருப்பப்படி) எனப்படும் உகந்த சுயவிவரத்தை குளோன் செய்யவும்.
-
சுயவிவரத்தைத் திருத்தி, IPS → Pre R80.Settings பகுதிக்குச் சென்று சர்வர் பாதுகாப்புகளை முடக்கவும்.
-
உங்கள் விருப்பப்படி, 2010 க்கு முந்தைய CVEகளை நீங்கள் முடக்கலாம், இந்த பாதிப்புகள் சிறிய அலுவலகங்களில் அரிதாகவே காணப்படலாம், ஆனால் செயல்திறனைப் பாதிக்கலாம். அவற்றில் சிலவற்றை முடக்க, சுயவிவரம்→IPS→கூடுதல் செயல்படுத்தல்→பாதுகாப்புகளுக்குச் சென்று பட்டியலை செயலிழக்கச் செய்யவும்
அதற்கு பதிலாக, ஒரு முடிவுக்கும்
SMB குடும்பத்தின் (1500) புதிய தலைமுறை NGFW பற்றிய தொடர் கட்டுரைகளின் ஒரு பகுதியாக, தீர்வின் முக்கிய திறன்களை முன்னிலைப்படுத்த முயற்சித்தோம் மற்றும் குறிப்பிட்ட எடுத்துக்காட்டுகளைப் பயன்படுத்தி முக்கியமான பாதுகாப்பு கூறுகளின் உள்ளமைவைக் காட்டினோம். கருத்துகளில் தயாரிப்பு பற்றிய ஏதேனும் கேள்விகளுக்கு பதிலளிப்பதில் நாங்கள் மகிழ்ச்சியடைவோம். நாங்கள் உங்களுடன் இருக்கிறோம், உங்கள் கவனத்திற்கு நன்றி!
. புதிய வெளியீடுகளைத் தவறவிடாமல் இருக்க, எங்கள் சமூக வலைப்பின்னல்களில் புதுப்பிப்புகளைப் பின்பற்றவும் (, , , , ).
ஆதாரம்: www.habr.com