7. చిన్న వ్యాపారాల కోసం NGFW. పనితీరు మరియు సాధారణ సిఫార్సులు

కొత్త తరం SMB చెక్ పాయింట్ (1500 సిరీస్) గురించి కథనాల శ్రేణిని పూర్తి చేయడానికి సమయం ఆసన్నమైంది. ఇది మీకు రివార్డింగ్ అనుభవమని మరియు TS సొల్యూషన్ బ్లాగ్‌లో మీరు మాతో కొనసాగుతారని మేము ఆశిస్తున్నాము. చివరి కథనం యొక్క అంశం విస్తృతంగా కవర్ చేయబడదు, కానీ తక్కువ ముఖ్యమైనది కాదు - SMB పనితీరు ట్యూనింగ్. దీనిలో మేము NGFW యొక్క హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ కోసం కాన్ఫిగరేషన్ ఎంపికలను చర్చిస్తాము, అందుబాటులో ఉన్న ఆదేశాలు మరియు పరస్పర చర్యల పద్ధతులను వివరిస్తాము.

చిన్న వ్యాపారాల కోసం NGFW గురించి సిరీస్‌లోని అన్ని కథనాలు:

1. కొత్త చెక్‌పాయింట్ 1500 సెక్యూరిటీ గేట్‌వే లైన్

2. అన్‌బాక్సింగ్ మరియు సెటప్

3. వైర్లెస్ డేటా ట్రాన్స్మిషన్: WiFi మరియు LTE

4. VPN

5. క్లౌడ్ SMP నిర్వహణ

6. స్మార్ట్-1 క్లౌడ్

ప్రస్తుతం, SMB సొల్యూషన్‌ల కోసం పనితీరు ట్యూనింగ్ గురించిన సమాచారం యొక్క చాలా మూలాధారాలు లేవు పరిమితులు అంతర్గత OS - Gaia 80.20 పొందుపరచబడింది. మా కథనంలో మేము కేంద్రీకృత నిర్వహణతో (అంకితమైన మేనేజ్‌మెంట్ సర్వర్) లేఅవుట్‌ను ఉపయోగిస్తాము - ఇది NGFWతో పనిచేసేటప్పుడు మరిన్ని సాధనాలను ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది.

హార్డ్వేర్ భాగం

చెక్ పాయింట్ SMB ఫ్యామిలీ ఆర్కిటెక్చర్‌ను తాకడానికి ముందు, మీరు ఎప్పుడైనా మీ భాగస్వామిని యుటిలిటీని ఉపయోగించమని అడగవచ్చు ఉపకరణం పరిమాణ సాధనం, పేర్కొన్న లక్షణాల ప్రకారం సరైన పరిష్కారాన్ని ఎంచుకోవడానికి (నిర్గమాంశ, అంచనా వేసిన వినియోగదారుల సంఖ్య మొదలైనవి).

మీ NGFW హార్డ్‌వేర్‌తో పరస్పర చర్య చేస్తున్నప్పుడు ముఖ్యమైన గమనికలు

1. SMB కుటుంబానికి చెందిన NGFW సొల్యూషన్స్‌కు హార్డ్‌వేర్ అప్‌గ్రేడ్ సిస్టమ్ కాంపోనెంట్స్ (CPU, RAM, HDD) సామర్థ్యం లేదు; మోడల్‌ను బట్టి, SD కార్డ్‌లకు మద్దతు ఉంది, ఇది డిస్క్ సామర్థ్యాన్ని విస్తరించడానికి మిమ్మల్ని అనుమతిస్తుంది, కానీ గణనీయంగా కాదు.

2. నెట్‌వర్క్ ఇంటర్‌ఫేస్‌ల ఆపరేషన్‌కు నియంత్రణ అవసరం. Gaia 80.20 ఎంబెడెడ్‌లో చాలా మానిటరింగ్ టూల్స్ లేవు, కానీ మీరు ఎక్స్‌పర్ట్ మోడ్ ద్వారా CLIలో ఎల్లప్పుడూ బాగా తెలిసిన ఆదేశాన్ని ఉపయోగించవచ్చు 

   # నేనుfconfig

   

   అండర్లైన్ చేసిన పంక్తులపై శ్రద్ధ వహించండి, అవి ఇంటర్ఫేస్లో లోపాల సంఖ్యను అంచనా వేయడానికి మిమ్మల్ని అనుమతిస్తాయి. మీ NGFW యొక్క ప్రారంభ అమలు సమయంలో, అలాగే ఆపరేషన్ సమయంలో క్రమానుగతంగా ఈ పారామితులను తనిఖీ చేయడానికి ఇది బాగా సిఫార్సు చేయబడింది.

3. పూర్తి స్థాయి గియా కోసం ఒక ఆదేశం ఉంది:

   > డయాగ్ చూపించు

   దాని సహాయంతో హార్డ్వేర్ యొక్క ఉష్ణోగ్రత గురించి సమాచారాన్ని పొందడం సాధ్యమవుతుంది. దురదృష్టవశాత్తూ, ఈ ఎంపిక 80.20 ఎంబెడెడ్‌లో అందుబాటులో లేదు; మేము అత్యంత ప్రజాదరణ పొందిన SNMP ట్రాప్‌లను సూచిస్తాము:

   పేరు 

   వివరణ

   ఇంటర్‌ఫేస్ డిస్‌కనెక్ట్ చేయబడింది

   ఇంటర్‌ఫేస్‌ను నిలిపివేస్తోంది

   VLAN తీసివేయబడింది

   Vlanలను తొలగిస్తోంది

   అధిక మెమరీ వినియోగం

   అధిక RAM వినియోగం

   తక్కువ డిస్క్ స్థలం

   తగినంత HDD స్థలం లేదు

   అధిక CPU వినియోగం

   అధిక CPU వినియోగం

   అధిక CPU అంతరాయ రేటు

   అధిక అంతరాయం రేటు

   అధిక కనెక్షన్ రేటు

   కొత్త కనెక్షన్ల అధిక ప్రవాహం

   అధిక ఏకకాల కనెక్షన్లు

   అధిక స్థాయి పోటీ సెషన్‌లు

   అధిక ఫైర్‌వాల్ నిర్గమాంశ

   అధిక నిర్గమాంశ ఫైర్‌వాల్

   అధిక ఆమోదించబడిన ప్యాకెట్ రేటు

   అధిక ప్యాకెట్ రిసెప్షన్ రేటు

   క్లస్టర్ సభ్య దేశం మార్చబడింది

   క్లస్టర్ స్థితిని మార్చడం

   లాగ్ సర్వర్ లోపంతో కనెక్షన్

   లాగ్-సర్వర్‌తో కనెక్షన్ కోల్పోయింది

4. మీ గేట్‌వే యొక్క ఆపరేషన్‌కు RAM పర్యవేక్షణ అవసరం. Gaia (Linux-వంటి OS) పని చేయడానికి, ఇది సాధారణ పరిస్థితిRAM వినియోగం 70-80% వినియోగానికి చేరుకున్నప్పుడు.

   SMB సొల్యూషన్స్ యొక్క ఆర్కిటెక్చర్ SWAP మెమరీని ఉపయోగించడం కోసం అందించదు, పాత చెక్ పాయింట్ మోడల్‌ల వలె కాకుండా. అయినప్పటికీ, Linux సిస్టమ్ ఫైల్‌లలో ఇది గమనించబడింది , ఇది SWAP పరామితిని మార్చే సైద్ధాంతిక అవకాశాన్ని సూచిస్తుంది.

సాఫ్ట్‌వేర్ భాగం

వ్యాసం ప్రచురణ సమయంలో తాజాగా గియా వెర్షన్ - 80.20.10. CLIలో పని చేస్తున్నప్పుడు పరిమితులు ఉన్నాయని మీరు తెలుసుకోవాలి: కొన్ని Linux ఆదేశాలకు నిపుణుల మోడ్‌లో మద్దతు ఉంది. NGFW పనితీరును అంచనా వేయడానికి డెమోన్‌లు మరియు సేవల పనితీరును అంచనా వేయడం అవసరం, దీని గురించి మరిన్ని వివరాలను ఇక్కడ చూడవచ్చు వ్యాసం నా సహోద్యోగి. మేము SMB కోసం సాధ్యమయ్యే ఆదేశాలను పరిశీలిస్తాము.

Gaia OSతో పని చేస్తున్నారు

1. SecureXL టెంప్లేట్‌లను బ్రౌజ్ చేయండి

   #fwaccelstat

   

2. కోర్ ద్వారా బూట్‌ని వీక్షించండి

   # fw ctl మల్టీక్ స్టాట్

   

3. సెషన్‌ల సంఖ్యను (కనెక్షన్‌లు) వీక్షించండి.

   # fw ctl pstat

   

4. * క్లస్టర్ స్థితిని వీక్షించండి

   #cphaprob గణాంకాలు

   

5. క్లాసిక్ లైనక్స్ TOP కమాండ్

లాగింగ్

మీకు ఇప్పటికే తెలిసినట్లుగా, NGFW లాగ్‌లతో (నిల్వ, ప్రాసెసింగ్) పని చేయడానికి మూడు మార్గాలు ఉన్నాయి: స్థానికంగా, కేంద్రంగా మరియు క్లౌడ్‌లో. చివరి రెండు ఎంపికలు ఎంటిటీ ఉనికిని సూచిస్తాయి - నిర్వహణ సర్వర్.

సాధ్యమైన NGFW నియంత్రణ పథకాలు

అత్యంత విలువైన లాగ్ ఫైల్స్

1. సిస్టమ్ సందేశాలు (పూర్తి Gaia కంటే తక్కువ సమాచారాన్ని కలిగి ఉంది)

   # tail -f /var/log/messages2

   

2. బ్లేడ్‌ల ఆపరేషన్‌లో దోష సందేశాలు (సమస్యలను పరిష్కరించేటప్పుడు చాలా ఉపయోగకరమైన ఫైల్)

   # tail -f /var/log/log/sfwd.elg

   

3. సిస్టమ్ కెర్నల్ స్థాయిలో బఫర్ నుండి సందేశాలను వీక్షించండి.

   #dmesg

   

బ్లేడ్ కాన్ఫిగరేషన్

ఈ విభాగం మీ NGFW చెక్ పాయింట్‌ని సెటప్ చేయడానికి పూర్తి సూచనలను కలిగి ఉండదు; ఇది అనుభవం ద్వారా ఎంపిక చేయబడిన మా సిఫార్సులను మాత్రమే కలిగి ఉంటుంది.

అప్లికేషన్ నియంత్రణ / URL ఫిల్టరింగ్

• నియమాలలో ఏదైనా, ఏదైనా (మూలం, గమ్యం) పరిస్థితులను నివారించాలని సిఫార్సు చేయబడింది.

• అనుకూల URL వనరును పేర్కొనేటప్పుడు, సాధారణ వ్యక్తీకరణలను ఉపయోగించడం మరింత ప్రభావవంతంగా ఉంటుంది: (^|..)checkpoint.com

• రూల్ లాగింగ్ మరియు బ్లాకింగ్ పేజీల ప్రదర్శన (UserCheck) యొక్క అధిక ఉపయోగాన్ని నివారించండి.

• సాంకేతికత సరిగ్గా పనిచేస్తుందని నిర్ధారించుకోండి "SecureXL". చాలా వరకు ట్రాఫిక్ వెళ్లాలి వేగవంతమైన/మధ్యస్థ మార్గం. అలాగే, ఎక్కువగా ఉపయోగించే వాటి ద్వారా నియమాలను ఫిల్టర్ చేయడం మర్చిపోవద్దు (ఫీల్డ్ హిట్స్ ).

HTTPS-ఇన్‌స్పెక్షన్

వినియోగదారు ట్రాఫిక్‌లో 70-80% HTTPS కనెక్షన్‌ల నుండి వస్తుందనేది రహస్యం కాదు, అంటే దీనికి మీ గేట్‌వే ప్రాసెసర్ నుండి వనరులు అవసరం. అదనంగా, HTTPS-ఇన్‌స్పెక్షన్ IPS, యాంటీవైరస్, యాంటీబాట్ పనిలో పాల్గొంటుంది.

వెర్షన్ 80.40 నుండి ప్రారంభించి ఉంది అవకాశం లెగసీ డ్యాష్‌బోర్డ్ లేకుండా HTTPS నియమాలతో పని చేయడానికి, ఇక్కడ కొన్ని సిఫార్సు చేయబడిన నియమ క్రమం ఉంది:

• చిరునామాలు మరియు నెట్‌వర్క్‌ల సమూహం కోసం బైపాస్ (గమ్యం).

• URLల సమూహం కోసం బైపాస్ చేయండి.

• ప్రత్యేక యాక్సెస్ (మూలం)తో అంతర్గత IP మరియు నెట్‌వర్క్‌ల కోసం బైపాస్ చేయండి.

• అవసరమైన నెట్‌వర్క్‌లు, వినియోగదారుల కోసం తనిఖీ చేయండి

• అందరికి బైపాస్.

* HTTPS లేదా HTTPS ప్రాక్సీ సేవలను మాన్యువల్‌గా ఎంచుకుని, ఏదైనా వదిలివేయడం ఎల్లప్పుడూ ఉత్తమం. తనిఖీ నియమాల ప్రకారం ఈవెంట్‌లను లాగ్ చేయండి.

ఐపిఎస్

చాలా ఎక్కువ సంతకాలు ఉపయోగించినట్లయితే IPS బ్లేడ్ మీ NGFWలో పాలసీని ఇన్‌స్టాల్ చేయడంలో విఫలం కావచ్చు. ప్రకారం వ్యాసం చెక్ పాయింట్ నుండి, SMB పరికర నిర్మాణం పూర్తి సిఫార్సు చేయబడిన IPS కాన్ఫిగరేషన్ ప్రొఫైల్‌ను అమలు చేయడానికి రూపొందించబడలేదు.

సమస్యను పరిష్కరించడానికి లేదా నిరోధించడానికి, ఈ దశలను అనుసరించండి:

1. "ఆప్టిమైజ్ చేసిన SMB" (లేదా మీ ఎంపికలో మరొకటి) అని పిలువబడే ఆప్టిమైజ్ చేసిన ప్రొఫైల్‌ను క్లోన్ చేయండి.

2. ప్రొఫైల్‌ను సవరించండి, IPS → ప్రీ R80. సెట్టింగ్‌ల విభాగానికి వెళ్లి, సర్వర్ రక్షణలను ఆఫ్ చేయండి.

   

3. మీ అభీష్టానుసారం, మీరు 2010 కంటే పాత CVEలను నిలిపివేయవచ్చు, ఈ దుర్బలత్వాలు చిన్న కార్యాలయాలలో చాలా అరుదుగా కనిపిస్తాయి, కానీ పనితీరును ప్రభావితం చేస్తాయి. వాటిలో కొన్నింటిని నిలిపివేయడానికి, జాబితాను నిష్క్రియం చేయడానికి ప్రొఫైల్→IPS→అదనపు యాక్టివేషన్→రక్షణలకు వెళ్లండి

   

ముగింపుకు బదులుగా

SMB కుటుంబం (1500) యొక్క కొత్త తరం NGFW గురించి కథనాల శ్రేణిలో భాగంగా, మేము పరిష్కారం యొక్క ప్రధాన సామర్థ్యాలను హైలైట్ చేయడానికి ప్రయత్నించాము మరియు నిర్దిష్ట ఉదాహరణలను ఉపయోగించి ముఖ్యమైన భద్రతా భాగాల కాన్ఫిగరేషన్‌ను ప్రదర్శించాము. వ్యాఖ్యలలో ఉత్పత్తి గురించి ఏవైనా ప్రశ్నలకు సమాధానం ఇవ్వడానికి మేము సంతోషిస్తాము. మేము మీతోనే ఉంటాము, మీ దృష్టికి ధన్యవాదాలు!

TS సొల్యూషన్ నుండి చెక్ పాయింట్‌లో మెటీరియల్‌ల యొక్క పెద్ద ఎంపిక. కొత్త ప్రచురణలను కోల్పోకుండా ఉండటానికి, మా సోషల్ నెట్‌వర్క్‌లలో నవీకరణలను అనుసరించండి (Telegram, <span style="font-family: Mandali; ">ఫేస్‌బుక్ </span>, VK, TS సొల్యూషన్ బ్లాగ్, యాండెక్స్ జెన్).

మూలం: www.habr.com