7. NGFW барои тиҷорати хурд. Фаъолият ва тавсияҳои умумӣ

Вақти анҷом додани силсилаи мақолаҳо дар бораи насли нави SMB Check Point (силсилаи 1500) расидааст. Мо умедворем, ки ин як таҷрибаи судбахш барои шумо буд ва шумо минбаъд низ дар блоги TS Solution бо мо хоҳед буд. Мавзӯи мақолаи ниҳоӣ ба таври васеъ фаро гирифта нашудааст, аммо на камтар муҳим - танзими иҷрои SMB. Дар он мо вариантҳои конфигуратсияи сахтафзор ва нармафзори NGFW-ро баррасӣ мекунем, фармонҳо ва усулҳои ҳамкории мавҷударо тавсиф мекунем.

Ҳама мақолаҳо дар силсила дар бораи NGFW барои тиҷорати хурд:

1. Хати нави дарвозаи CheckPoint 1500

2. Кушодани қуттӣ ва танзим

3. Интиқоли бесими маълумот: WiFi ва LTE

4. VPN

5. Идоракунии абрии SMP

6. Smart-1 Абри

Дар айни замон, сарчашмаҳои зиёди маълумот дар бораи танзими иҷрои қарорҳои SMB вуҷуд надоранд маҳдудиятҳо OS дохилӣ - Gaia 80.20 дарунсохти. Дар мақолаи мо мо тарҳбандиро бо идоракунии мутамарказ (Dedicated Management Server) истифода хоҳем кард - он ба шумо имкон медиҳад, ки ҳангоми кор бо NGFW асбобҳои бештарро истифода баред.

Hardware

Пеш аз он ки ба меъмории оилаи Check Point SMB даст занед, шумо ҳамеша метавонед аз шарики худ хоҳиш кунед, ки ин утилитро истифода барад Воситаи андозагирии дастгоҳ, интихоб кардани ҳалли оптималии мувофиқи хусусиятҳои муайяншуда (иқтидори интиқол, шумораи интизории истифодабарандагон ва ғайра).

Қайдҳои муҳим ҳангоми ҳамкорӣ бо сахтафзори NGFW-и шумо

1. Қарорҳои NGFW-и оилаи SMB қобилияти такмил додани ҷузъҳои системаи сахтафзорро надоранд (CPU, RAM, HDD); вобаста ба модел, дастгирии кортҳои SD мавҷуд аст, ин ба шумо имкон медиҳад, ки қобилияти дискро васеъ кунед, аммо на ба таври назаррас.

2. Фаъолияти интерфейсҳои шабакавӣ назоратро талаб мекунад. Gaia 80.20 Embedded асбобҳои зиёди мониторинг надорад, аммо шумо ҳамеша метавонед фармони маъруфро дар CLI тавассути режими коршинос истифода баред 

   #иfconfig

   

   Ба хатҳои зеркашида диққат диҳед, онҳо ба шумо имкон медиҳанд, ки шумораи хатогиҳои интерфейсро ҳисоб кунед. Тавсия дода мешавад, ки ин параметрҳоро ҳангоми татбиқи ибтидоии NGFW-и худ, инчунин давра ба давра ҳангоми кор санҷед.

3. Барои гаиаи мукаммал фармон аст:

   > нишон додани диаг

   Бо ёрии он дар бораи харорати аппаратура маълумот гирифтан мумкин аст. Мутаассифона, ин хосият дар 80.20 Embedded дастрас нест; мо маъмултарин домҳои SNMP-ро нишон медиҳем:

   Title 

   Шарҳи

   Интерфейс ҷудо карда шудааст

   Хомӯш кардани интерфейс

   VLAN хориҷ карда шуд

   Хориҷ кардани Vlans

   Истифодаи хотираи баланд

   Истифодаи баланди RAM

   Фазои ками диск

   Фазои HDD кофӣ нест

   Истифодаи баланди CPU

   Истифодаи баланди CPU

   Сатҳи баланди халалдоршавии CPU

   Сатҳи баланди қатъ

   Сатҳи баланди пайвастшавӣ

   Ҷараёни баланди пайвастҳои нав

   Пайвастҳои ҳамзамон баланд

   Сатҳи баланди ҷаласаҳои рақобатӣ

   Гузариши баланди Сипар

   Сипари гузариши баланд

   Сатҳи баланди қабули баста

   Сатҳи баланди қабули бастаҳо

   Давлати аъзои кластер тағйир ёфт

   Тағир додани ҳолати кластер

   Пайвастшавӣ бо хатои сервери гузориш

   Пайвастшавӣ бо Log-Server гум шуд

4. Фаъолияти дарвозаи шумо мониторинги RAM-ро талаб мекунад. Барои кор кардани Gaia (OS ба монанди Linux) ин аст вазъияти муқаррарӣвақте ки истеъмоли RAM ба 70-80% истифода мерасад.

   Меъмории қарорҳои SMB, бар хилофи моделҳои кӯҳнаи Check Point, истифодаи хотираи SWAP-ро таъмин намекунад. Аммо, дар файлҳои системаи Linux он мушоҳида карда шуд , ки имкони назариявии тағир додани параметри SWAP-ро нишон медиҳад.

Қисми нармафзор

Дар вакти нашри макола воқеӣ Версияи Gaia - 80.20.10. Шумо бояд бидонед, ки ҳангоми кор дар CLI маҳдудиятҳо вуҷуд доранд: баъзе фармонҳои Linux дар реҷаи коршинос дастгирӣ карда мешаванд. Арзёбии иҷрои NGFW арзёбии кори демонҳо ва хидматҳоро талаб мекунад, тафсилоти бештарро дар ин бора дар зер пайдо кардан мумкин аст. мақола хамкасби ман. Мо фармонҳои имконпазирро барои SMB дида мебароем.

Кор бо Gaia OS

1. Шаблонҳои SecureXL-ро аз назар гузаронед

   #fwaccelstat

   

2. Дидани боркунӣ аз рӯи аслӣ

   # fw ctl multik стат

   

3. Миқдори сеансҳоро (пайвастҳоро) бинед.

   # fw ctl pstat

   

4. * Намоиши ҳолати кластер

   #cphaprob стат

   

5. Фармони классикии Linux TOP

Бақайдгирӣ

Тавре ки шумо аллакай медонед, се роҳи кор бо гузоришҳои NGFW (нигоҳдорӣ, коркард) вуҷуд дорад: ба таври маҳаллӣ, мутамарказ ва дар абр. Ду варианти охирин мавҷудияти объект - Сервери идоракуниро дар назар доранд.

Нақшаҳои эҳтимолии назорати NGFW

Файлҳои пурарзиштарин гузоришҳо

1. Паёмҳои система (маълумоти камтар аз Gaia пурра дорад)

   # tail -f /var/log/messages2

   

2. Паёмҳои хатогӣ дар кори blades (файли хеле муфид ҳангоми ҳалли мушкилот)

   # дум -f /var/log/log/sfwd.elg

   

3. Паёмҳоро аз буфер дар сатҳи ядрои система дидан.

   #dmesg

   

Конфигуратсияи майса

Ин бахш дастурҳои мукаммал оид ба таъсиси нуқтаи санҷиши NGFW-ро дар бар намегирад; он танҳо тавсияҳои моро дар бар мегирад, ки аз рӯи таҷриба интихоб шудаанд.

Назорати барнома / Филтри URL

• Тавсия дода мешавад, ки дар қоидаҳо аз ЯГОН, ЯГОН (Сарчашма, Ҷойгиршавӣ) аз шароит канорагирӣ кунед.

• Ҳангоми муайян кардани манбаи URL-и фармоишӣ, истифодаи ибораҳои муқаррарӣ ба монанди: (^|..)checkpoint.com

• Аз истифодаи аз ҳад зиёди сабти қоидаҳо ва намоиши саҳифаҳои басташуда (UserCheck) худдорӣ намоед.

• Боварӣ ҳосил кунед, ки технология дуруст кор мекунад "SecureXL". Аксарияти трафик бояд гузарад роҳи суръатбахш/миёна. Инчунин, фаромӯш накунед, ки қоидаҳоро аз рӯи қоидаҳои бештар истифодашуда филтр кунед (садо Боздидҳо ).

HTTPS-тафтиш

Ба касе пӯшида нест, ки 70-80% трафики корбарон аз пайвастҳои HTTPS бармеояд, ки ин маънои онро дорад, ки ин аз протсессори дарвозаи шумо захираҳоро талаб мекунад. Илова бар ин, HTTPS-Inspection дар кори IPS, Antivirus, Antibot иштирок мекунад.

Аз версияи 80.40 сар карда буд имконият Барои кор кардан бо қоидаҳои HTTPS бе панели Legacy, дар ин ҷо баъзе фармонҳои тавсияшуда мавҷуданд:

• Гузариш барои гурӯҳи суроғаҳо ва шабакаҳо (Макон).

• Барои як гурӯҳи URL-ҳо гузаред.

• Гузариш барои IP дохилӣ ва шабакаҳо бо дастрасии имтиёзнок (Сарчашма).

• Тафтиш барои шабакаҳои зарурӣ, истифодабарандагон

• Барои ҳама дигарон гузаред.

* Ҳамеша беҳтар аст, ки хидматҳои HTTPS ё HTTPS Proxy-ро дастӣ интихоб кунед ва Ҳамаро тарк кунед. Воқеаҳоро тибқи қоидаҳои санҷиш сабт кунед.

IPS

Агар аз ҳад зиёд имзо истифода шавад, майсаи IPS метавонад сиёсатро дар NGFW-и шумо насб накунад. Бино бар мақола аз Check Point, меъмории дастгоҳи SMB барои иҷро кардани профили конфигуратсияи тавсияшудаи IPS тарҳрезӣ нашудааст.

Барои ҳал кардан ё пешгирӣ кардани мушкилот, ин қадамҳоро иҷро кунед:

1. Профили оптимизатсияшуда бо номи "SMB Optimized" (ё яке аз интихоби шумо) клон кунед.

2. Профилро таҳрир кунед, ба бахши IPS → Pre R80.Settings гузаред ва Муҳофизати серверро хомӯш кунед.

   

3. Бо ихтиёри худ, шумо метавонед CVE-ҳои аз соли 2010 калонтарро ғайрифаъол кунед, ин осебпазириҳо дар офисҳои хурд хеле кам пайдо мешаванд, аммо ба иҷроиш таъсир мерасонанд. Барои хомӯш кардани баъзеи онҳо, ба Профил → IPS → Фаъолсозии иловагӣ → Ҳимояҳо барои хомӯш кардани рӯйхат гузаред

   

Ба ҷои хулоса

Дар доираи як қатор мақолаҳо дар бораи насли нави NGFW-и оилаи SMB (1500), мо кӯшиш кардем, ки имкониятҳои асосии ҳалли онро нишон диҳем ва конфигуратсияи ҷузъҳои муҳими амниятро бо истифода аз мисолҳои мушаххас нишон додем. Мо омодаем ба ҳама саволҳо дар бораи маҳсулот дар шарҳҳо ҷавоб диҳем. Мо бо шумо мемонем, ташаккур барои таваҷҷӯҳатон!

Интихоби васеи маводҳо дар Check Point аз TS Solution. Барои он ки нашрияҳои навро аз даст надиҳед, навсозиҳои шабакаҳои иҷтимоии моро пайгирӣ кунед (телеграмма, Facebook, VK, Блоги TS Solution, Яндекс Зен).

Манбаъ: will.com