7. NGFW สำหรับธุรกิจขนาดเล็ก ประสิทธิภาพและคำแนะนำทั่วไป

ถึงเวลาแล้วที่จะรวบรวมบทความเกี่ยวกับ SMB Check Point รุ่นใหม่ (ซีรีส์ 1500) ให้สมบูรณ์ เราหวังว่านี่จะเป็นประสบการณ์ที่คุ้มค่าสำหรับคุณ และคุณจะยังอยู่กับเราต่อไปในบล็อก TS Solution หัวข้อสำหรับบทความสุดท้ายไม่ได้ครอบคลุมอย่างกว้างขวาง แต่ก็มีความสำคัญไม่น้อยไปกว่า - การปรับแต่งประสิทธิภาพของ SMB ในนั้นเราจะพูดถึงตัวเลือกการกำหนดค่าสำหรับฮาร์ดแวร์และซอฟต์แวร์ของ NGFW อธิบายคำสั่งและวิธีการโต้ตอบที่มีอยู่

บทความทั้งหมดในซีรีส์เกี่ยวกับ NGFW สำหรับธุรกิจขนาดเล็ก:

1. สายเกตเวย์รักษาความปลอดภัย CheckPoint 1500 ใหม่

2. การแกะกล่องและการตั้งค่า

3. การส่งข้อมูลแบบไร้สาย: WiFi และ LTE

4. VPN

5. การจัดการ SMP บนคลาวด์

6. สมาร์ท-1 คลาวด์

ปัจจุบันยังไม่มีแหล่งข้อมูลมากมายเกี่ยวกับการปรับแต่งประสิทธิภาพของโซลูชัน SMB เนื่องจาก ข้อ จำกัด ระบบปฏิบัติการภายใน - Gaia 80.20 ฝังตัว ในบทความของเรา เราจะใช้เลย์เอาต์ที่มีการจัดการแบบรวมศูนย์ (เซิร์ฟเวอร์การจัดการเฉพาะ) - ช่วยให้คุณใช้เครื่องมือเพิ่มเติมเมื่อทำงานกับ NGFW

ส่วนฮาร์ดแวร์

ก่อนที่จะสัมผัสสถาปัตยกรรมตระกูล Check Point SMB คุณสามารถขอให้คู่ของคุณใช้ยูทิลิตี้นี้ได้เสมอ เครื่องมือปรับขนาดเครื่องใช้ไฟฟ้าเพื่อเลือกโซลูชันที่เหมาะสมที่สุดตามคุณลักษณะที่ระบุ (ปริมาณงาน จำนวนผู้ใช้ที่คาดหวัง ฯลฯ)

หมายเหตุสำคัญเมื่อโต้ตอบกับฮาร์ดแวร์ NGFW ของคุณ

1. โซลูชัน NGFW ของตระกูล SMB ไม่มีความสามารถในการอัพเกรดส่วนประกอบของระบบฮาร์ดแวร์ (CPU, RAM, HDD) มีการรองรับการ์ด SD ขึ้นอยู่กับรุ่นซึ่งช่วยให้คุณสามารถขยายความจุของดิสก์ได้ แต่ไม่มาก

2. การทำงานของอินเทอร์เฟซเครือข่ายจำเป็นต้องมีการควบคุม Gaia 80.20 Embedded ไม่มีเครื่องมือตรวจสอบมากมาย แต่คุณสามารถใช้คำสั่งที่รู้จักกันดีใน CLI ผ่านโหมดผู้เชี่ยวชาญได้ตลอดเวลา 

   # ฉันfconfig.fconfig

   

   ให้ความสนใจกับบรรทัดที่ขีดเส้นใต้ซึ่งจะช่วยให้คุณสามารถประมาณจำนวนข้อผิดพลาดบนอินเทอร์เฟซได้ ขอแนะนำอย่างยิ่งให้ตรวจสอบพารามิเตอร์เหล่านี้ระหว่างการใช้งาน NGFW ของคุณครั้งแรก รวมถึงเป็นระยะๆ ระหว่างการดำเนินการ

3. สำหรับ Gaia ที่เต็มเปี่ยมมีคำสั่ง:

   >แสดงไดอะแกรม

   ด้วยความช่วยเหลือทำให้สามารถรับข้อมูลเกี่ยวกับอุณหภูมิของฮาร์ดแวร์ได้ น่าเสียดายที่ตัวเลือกนี้ไม่พร้อมใช้งานใน 80.20 Embedded เราจะระบุกับดัก SNMP ที่ได้รับความนิยมมากที่สุด:

   ชื่อ 

   ลักษณะ

   อินเทอร์เฟซถูกตัดการเชื่อมต่อ

   ปิดการใช้งานอินเทอร์เฟซ

   ลบ VLAN แล้ว

   การถอด Vlan

   การใช้หน่วยความจำสูง

   การใช้ RAM สูง

   ความจำดิสก์เหลือน้อย

   พื้นที่ HDD ไม่เพียงพอ

   การใช้งาน CPU สูง

   การใช้งาน CPU สูง

   อัตราการขัดจังหวะ CPU สูง

   อัตราการขัดจังหวะสูง

   อัตราการเชื่อมต่อสูง

   การเชื่อมต่อใหม่ๆ ไหลลื่นมาก

   การเชื่อมต่อพร้อมกันสูง

   เซสชั่นการแข่งขันระดับสูง

   ปริมาณงานไฟร์วอลล์สูง

   ไฟร์วอลล์ปริมาณงานสูง

   อัตราแพ็กเก็ตที่ยอมรับสูง

   อัตราการรับแพ็กเก็ตสูง

   สถานะของสมาชิกคลัสเตอร์มีการเปลี่ยนแปลง

   การเปลี่ยนสถานะคลัสเตอร์

   การเชื่อมต่อกับเซิร์ฟเวอร์บันทึกข้อผิดพลาด

   ขาดการเชื่อมต่อกับ Log-Server

4. การทำงานของเกตเวย์ของคุณต้องมีการตรวจสอบ RAM เพื่อให้ Gaia (ระบบปฏิบัติการที่คล้าย Linux) ทำงานได้นี่คือ สถานการณ์ปกติเมื่อปริมาณการใช้ RAM ถึง 70-80% ของการใช้งาน

   สถาปัตยกรรมของโซลูชัน SMB ไม่ได้มีไว้สำหรับการใช้หน่วยความจำ SWAP ซึ่งแตกต่างจากรุ่น Check Point รุ่นเก่า อย่างไรก็ตามพบเห็นได้ในไฟล์ระบบ Linux ซึ่งบ่งบอกถึงความเป็นไปได้ทางทฤษฎีของการเปลี่ยนแปลงพารามิเตอร์ SWAP

ส่วนซอฟต์แวร์

ณ เวลาที่เผยแพร่บทความ ปัจจุบัน เวอร์ชัน Gaia - 80.20.10 คุณต้องรู้ว่ามีข้อจำกัดเมื่อทำงานใน CLI: รองรับคำสั่ง Linux บางคำสั่งในโหมดผู้เชี่ยวชาญ การประเมินประสิทธิภาพของ NGFW จำเป็นต้องประเมินประสิทธิภาพของ daemons และบริการต่างๆ ดูรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ใน статье เพื่อนร่วมงานของฉัน. เราจะดูคำสั่งที่เป็นไปได้สำหรับ SMB

ทำงานร่วมกับ Gaia OS

1. เรียกดูเทมเพลต SecureXL

   #fwaccelstat

   

2. ดูการบูตตามคอร์

   # fw ctl สถิติหลายรายการ

   

3. ดูจำนวนเซสชัน (การเชื่อมต่อ)

   #fw ctl pstat

   

4. * ดูสถานะคลัสเตอร์

   #สถิติคชาพรอบ

   

5. คำสั่ง Linux TOP แบบคลาสสิก

การบันทึก

ดังที่คุณทราบแล้วว่า มีสามวิธีในการทำงานกับบันทึก NGFW (การจัดเก็บ การประมวลผล): ภายในเครื่อง ส่วนกลาง และในระบบคลาวด์ สองตัวเลือกสุดท้ายบ่งบอกถึงการมีอยู่ของเอนทิตี - เซิร์ฟเวอร์การจัดการ

แผนการควบคุม NGFW ที่เป็นไปได้

ไฟล์บันทึกที่มีค่าที่สุด

1. ข้อความของระบบ (มีข้อมูลน้อยกว่า Gaia แบบเต็ม)

   # tail -f /var/log/messages2

   

2. ข้อความแสดงข้อผิดพลาดในการทำงานของเบลด (ค่อนข้างเป็นไฟล์ที่มีประโยชน์เมื่อแก้ไขปัญหา)

   # หาง -f /var/log/log/sfwd.elg

   

3. ดูข้อความจากบัฟเฟอร์ในระดับเคอร์เนลของระบบ

   #dmesg

   

การกำหนดค่าใบมีด

ในส่วนนี้จะไม่มีคำแนะนำที่สมบูรณ์สำหรับการตั้งค่าจุดตรวจสอบ NGFW ของคุณ แต่จะมีเพียงคำแนะนำของเราซึ่งเลือกตามประสบการณ์เท่านั้น

การควบคุมแอปพลิเคชัน / การกรอง URL

• ขอแนะนำให้หลีกเลี่ยงเงื่อนไขใด ๆ (แหล่งที่มา, ปลายทาง) ในกฎ

• เมื่อระบุทรัพยากร URL ที่กำหนดเอง การใช้นิพจน์ทั่วไปเช่น: (^|..)เช็คพอยท์.com

• หลีกเลี่ยงการใช้การบันทึกกฎมากเกินไปและการแสดงหน้าการบล็อก (UserCheck)

• ตรวจสอบให้แน่ใจว่าเทคโนโลยีทำงานอย่างถูกต้อง "ซีเคียวเอ็กซ์แอล". การจราจรส่วนใหญ่ควรผ่าน เส้นทางเร่ง/ปานกลาง. นอกจากนี้อย่าลืมกรองกฎตามกฎที่ใช้บ่อยที่สุด (field ฮิต ).

การตรวจสอบ HTTPS

ไม่เป็นความลับเลยที่ 70-80% ของการรับส่งข้อมูลผู้ใช้มาจากการเชื่อมต่อ HTTPS ซึ่งหมายความว่าต้องใช้ทรัพยากรจากโปรเซสเซอร์เกตเวย์ของคุณ นอกจากนี้ HTTPS-Inspection ยังมีส่วนร่วมในการทำงานของ IPS, Antivirus, Antibot

เริ่มตั้งแต่เวอร์ชั่น 80.40 ก็มี โอกาส หากต้องการทำงานกับกฎ HTTPS โดยไม่มี Legacy Dashboard ต่อไปนี้เป็นลำดับกฎที่แนะนำ:

• บายพาสสำหรับกลุ่มที่อยู่และเครือข่าย (ปลายทาง)

• บายพาสสำหรับกลุ่ม URL

• บายพาสสำหรับ IP ภายในและเครือข่ายที่มีสิทธิ์การเข้าถึง (แหล่งที่มา)

• ตรวจสอบเครือข่ายที่จำเป็นผู้ใช้

• บายพาสสำหรับคนอื่นๆ

* จะดีกว่าเสมอหากเลือกบริการ HTTPS หรือ HTTPS Proxy ด้วยตนเองแล้วปล่อยทิ้งไว้ บันทึกเหตุการณ์ตามกฎการตรวจสอบ

IPS

เบลด IPS อาจล้มเหลวในการติดตั้งนโยบายบน NGFW ของคุณหากมีการใช้ลายเซ็นมากเกินไป ตาม статье จาก Check Point สถาปัตยกรรมอุปกรณ์ SMB ไม่ได้ออกแบบมาเพื่อเรียกใช้โปรไฟล์การกำหนดค่า IPS ที่แนะนำแบบเต็ม

เมื่อต้องการแก้ไขหรือป้องกันปัญหา ให้ทำตามขั้นตอนเหล่านี้:

1. โคลนโปรไฟล์ที่ปรับให้เหมาะสมที่สุดที่เรียกว่า "Optimized SMB" (หรือโปรไฟล์อื่นที่คุณเลือก)

2. แก้ไขโปรไฟล์ ไปที่ส่วน IPS → Pre R80.Settings และปิดการป้องกันเซิร์ฟเวอร์

   

3. ขึ้นอยู่กับดุลยพินิจของคุณ คุณสามารถปิดการใช้งาน CVE ที่เก่ากว่าปี 2010 ได้ ช่องโหว่เหล่านี้อาจไม่ค่อยพบในสำนักงานขนาดเล็ก แต่จะส่งผลต่อประสิทธิภาพการทำงาน หากต้องการปิดการใช้งานบางส่วน ให้ไปที่โปรไฟล์ → IPS → การเปิดใช้งานเพิ่มเติม → การป้องกัน เพื่อปิดการใช้งานรายการ

   

แทนการสรุป

ในส่วนหนึ่งของชุดบทความเกี่ยวกับ NGFW รุ่นใหม่ของตระกูล SMB (1500) เราได้พยายามเน้นย้ำความสามารถหลักของโซลูชันและสาธิตการกำหนดค่าส่วนประกอบความปลอดภัยที่สำคัญโดยใช้ตัวอย่างเฉพาะ เรายินดีที่จะตอบคำถามใด ๆ เกี่ยวกับผลิตภัณฑ์ในความคิดเห็น เราอยู่กับคุณ ขอบคุณสำหรับความสนใจของคุณ!

วัสดุที่มีให้เลือกมากมายบน Check Point จาก TS Solution. เพื่อไม่ให้พลาดสิ่งพิมพ์ใหม่ๆ ติดตามการอัพเดตบนโซเชียลเน็ตเวิร์กของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS, Yandex Zen).

ที่มา: will.com