ถึงเวลาแล้วที่จะรวบรวมบทความเกี่ยวกับ SMB Check Point รุ่นใหม่ (ซีรีส์ 1500) ให้สมบูรณ์ เราหวังว่านี่จะเป็นประสบการณ์ที่คุ้มค่าสำหรับคุณ และคุณจะยังอยู่กับเราต่อไปในบล็อก TS Solution หัวข้อสำหรับบทความสุดท้ายไม่ได้ครอบคลุมอย่างกว้างขวาง แต่ก็มีความสำคัญไม่น้อยไปกว่า - การปรับแต่งประสิทธิภาพของ SMB ในนั้นเราจะพูดถึงตัวเลือกการกำหนดค่าสำหรับฮาร์ดแวร์และซอฟต์แวร์ของ NGFW อธิบายคำสั่งและวิธีการโต้ตอบที่มีอยู่
บทความทั้งหมดในซีรีส์เกี่ยวกับ NGFW สำหรับธุรกิจขนาดเล็ก:
ปัจจุบันยังไม่มีแหล่งข้อมูลมากมายเกี่ยวกับการปรับแต่งประสิทธิภาพของโซลูชัน SMB เนื่องจาก
ส่วนฮาร์ดแวร์
ก่อนที่จะสัมผัสสถาปัตยกรรมตระกูล Check Point SMB คุณสามารถขอให้คู่ของคุณใช้ยูทิลิตี้นี้ได้เสมอ เครื่องมือปรับขนาดเครื่องใช้ไฟฟ้าเพื่อเลือกโซลูชันที่เหมาะสมที่สุดตามคุณลักษณะที่ระบุ (ปริมาณงาน จำนวนผู้ใช้ที่คาดหวัง ฯลฯ)
หมายเหตุสำคัญเมื่อโต้ตอบกับฮาร์ดแวร์ NGFW ของคุณ
-
โซลูชัน NGFW ของตระกูล SMB ไม่มีความสามารถในการอัพเกรดส่วนประกอบของระบบฮาร์ดแวร์ (CPU, RAM, HDD) มีการรองรับการ์ด SD ขึ้นอยู่กับรุ่นซึ่งช่วยให้คุณสามารถขยายความจุของดิสก์ได้ แต่ไม่มาก
-
การทำงานของอินเทอร์เฟซเครือข่ายจำเป็นต้องมีการควบคุม Gaia 80.20 Embedded ไม่มีเครื่องมือตรวจสอบมากมาย แต่คุณสามารถใช้คำสั่งที่รู้จักกันดีใน CLI ผ่านโหมดผู้เชี่ยวชาญได้ตลอดเวลา
# ฉันfconfig.fconfig
ให้ความสนใจกับบรรทัดที่ขีดเส้นใต้ซึ่งจะช่วยให้คุณสามารถประมาณจำนวนข้อผิดพลาดบนอินเทอร์เฟซได้ ขอแนะนำอย่างยิ่งให้ตรวจสอบพารามิเตอร์เหล่านี้ระหว่างการใช้งาน NGFW ของคุณครั้งแรก รวมถึงเป็นระยะๆ ระหว่างการดำเนินการ
-
สำหรับ Gaia ที่เต็มเปี่ยมมีคำสั่ง:
>แสดงไดอะแกรม
ด้วยความช่วยเหลือทำให้สามารถรับข้อมูลเกี่ยวกับอุณหภูมิของฮาร์ดแวร์ได้ น่าเสียดายที่ตัวเลือกนี้ไม่พร้อมใช้งานใน 80.20 Embedded เราจะระบุกับดัก SNMP ที่ได้รับความนิยมมากที่สุด:
ชื่อ
ลักษณะ
อินเทอร์เฟซถูกตัดการเชื่อมต่อ
ปิดการใช้งานอินเทอร์เฟซ
ลบ VLAN แล้ว
การถอด Vlan
การใช้หน่วยความจำสูง
การใช้ RAM สูง
ความจำดิสก์เหลือน้อย
พื้นที่ HDD ไม่เพียงพอ
การใช้งาน CPU สูง
การใช้งาน CPU สูง
อัตราการขัดจังหวะ CPU สูง
อัตราการขัดจังหวะสูง
อัตราการเชื่อมต่อสูง
การเชื่อมต่อใหม่ๆ ไหลลื่นมาก
การเชื่อมต่อพร้อมกันสูง
เซสชั่นการแข่งขันระดับสูง
ปริมาณงานไฟร์วอลล์สูง
ไฟร์วอลล์ปริมาณงานสูง
อัตราแพ็กเก็ตที่ยอมรับสูง
อัตราการรับแพ็กเก็ตสูง
สถานะของสมาชิกคลัสเตอร์มีการเปลี่ยนแปลง
การเปลี่ยนสถานะคลัสเตอร์
การเชื่อมต่อกับเซิร์ฟเวอร์บันทึกข้อผิดพลาด
ขาดการเชื่อมต่อกับ Log-Server
-
การทำงานของเกตเวย์ของคุณต้องมีการตรวจสอบ RAM เพื่อให้ Gaia (ระบบปฏิบัติการที่คล้าย Linux) ทำงานได้นี่คือ
สถานการณ์ปกติ เมื่อปริมาณการใช้ RAM ถึง 70-80% ของการใช้งานสถาปัตยกรรมของโซลูชัน SMB ไม่ได้มีไว้สำหรับการใช้หน่วยความจำ SWAP ซึ่งแตกต่างจากรุ่น Check Point รุ่นเก่า อย่างไรก็ตามพบเห็นได้ในไฟล์ระบบ Linux ซึ่งบ่งบอกถึงความเป็นไปได้ทางทฤษฎีของการเปลี่ยนแปลงพารามิเตอร์ SWAP
ส่วนซอฟต์แวร์
ณ เวลาที่เผยแพร่บทความ
ทำงานร่วมกับ Gaia OS
-
เรียกดูเทมเพลต SecureXL
#fwaccelstat
-
ดูการบูตตามคอร์
# fw ctl สถิติหลายรายการ
-
ดูจำนวนเซสชัน (การเชื่อมต่อ)
#fw ctl pstat
-
* ดูสถานะคลัสเตอร์
#สถิติคชาพรอบ
-
คำสั่ง Linux TOP แบบคลาสสิก
การบันทึก
ดังที่คุณทราบแล้วว่า มีสามวิธีในการทำงานกับบันทึก NGFW (การจัดเก็บ การประมวลผล): ภายในเครื่อง ส่วนกลาง และในระบบคลาวด์ สองตัวเลือกสุดท้ายบ่งบอกถึงการมีอยู่ของเอนทิตี - เซิร์ฟเวอร์การจัดการ
แผนการควบคุม NGFW ที่เป็นไปได้
ไฟล์บันทึกที่มีค่าที่สุด
-
ข้อความของระบบ (มีข้อมูลน้อยกว่า Gaia แบบเต็ม)
# tail -f /var/log/messages2
-
ข้อความแสดงข้อผิดพลาดในการทำงานของเบลด (ค่อนข้างเป็นไฟล์ที่มีประโยชน์เมื่อแก้ไขปัญหา)
# หาง -f /var/log/log/sfwd.elg
-
ดูข้อความจากบัฟเฟอร์ในระดับเคอร์เนลของระบบ
#dmesg
การกำหนดค่าใบมีด
ในส่วนนี้จะไม่มีคำแนะนำที่สมบูรณ์สำหรับการตั้งค่าจุดตรวจสอบ NGFW ของคุณ แต่จะมีเพียงคำแนะนำของเราซึ่งเลือกตามประสบการณ์เท่านั้น
การควบคุมแอปพลิเคชัน / การกรอง URL
-
ขอแนะนำให้หลีกเลี่ยงเงื่อนไขใด ๆ (แหล่งที่มา, ปลายทาง) ในกฎ
-
เมื่อระบุทรัพยากร URL ที่กำหนดเอง การใช้นิพจน์ทั่วไปเช่น: (^|..)เช็คพอยท์.com
-
หลีกเลี่ยงการใช้การบันทึกกฎมากเกินไปและการแสดงหน้าการบล็อก (UserCheck)
-
ตรวจสอบให้แน่ใจว่าเทคโนโลยีทำงานอย่างถูกต้อง "ซีเคียวเอ็กซ์แอล". การจราจรส่วนใหญ่ควรผ่าน เส้นทางเร่ง/ปานกลาง. นอกจากนี้อย่าลืมกรองกฎตามกฎที่ใช้บ่อยที่สุด (field ฮิต ).
การตรวจสอบ HTTPS
ไม่เป็นความลับเลยที่ 70-80% ของการรับส่งข้อมูลผู้ใช้มาจากการเชื่อมต่อ HTTPS ซึ่งหมายความว่าต้องใช้ทรัพยากรจากโปรเซสเซอร์เกตเวย์ของคุณ นอกจากนี้ HTTPS-Inspection ยังมีส่วนร่วมในการทำงานของ IPS, Antivirus, Antibot
เริ่มตั้งแต่เวอร์ชั่น 80.40 ก็มี
-
บายพาสสำหรับกลุ่มที่อยู่และเครือข่าย (ปลายทาง)
-
บายพาสสำหรับกลุ่ม URL
-
บายพาสสำหรับ IP ภายในและเครือข่ายที่มีสิทธิ์การเข้าถึง (แหล่งที่มา)
-
ตรวจสอบเครือข่ายที่จำเป็นผู้ใช้
-
บายพาสสำหรับคนอื่นๆ
* จะดีกว่าเสมอหากเลือกบริการ HTTPS หรือ HTTPS Proxy ด้วยตนเองแล้วปล่อยทิ้งไว้ บันทึกเหตุการณ์ตามกฎการตรวจสอบ
IPS
เบลด IPS อาจล้มเหลวในการติดตั้งนโยบายบน NGFW ของคุณหากมีการใช้ลายเซ็นมากเกินไป ตาม
เมื่อต้องการแก้ไขหรือป้องกันปัญหา ให้ทำตามขั้นตอนเหล่านี้:
-
โคลนโปรไฟล์ที่ปรับให้เหมาะสมที่สุดที่เรียกว่า "Optimized SMB" (หรือโปรไฟล์อื่นที่คุณเลือก)
-
แก้ไขโปรไฟล์ ไปที่ส่วน IPS → Pre R80.Settings และปิดการป้องกันเซิร์ฟเวอร์
-
ขึ้นอยู่กับดุลยพินิจของคุณ คุณสามารถปิดการใช้งาน CVE ที่เก่ากว่าปี 2010 ได้ ช่องโหว่เหล่านี้อาจไม่ค่อยพบในสำนักงานขนาดเล็ก แต่จะส่งผลต่อประสิทธิภาพการทำงาน หากต้องการปิดการใช้งานบางส่วน ให้ไปที่โปรไฟล์ → IPS → การเปิดใช้งานเพิ่มเติม → การป้องกัน เพื่อปิดการใช้งานรายการ
แทนการสรุป
ในส่วนหนึ่งของชุดบทความเกี่ยวกับ NGFW รุ่นใหม่ของตระกูล SMB (1500) เราได้พยายามเน้นย้ำความสามารถหลักของโซลูชันและสาธิตการกำหนดค่าส่วนประกอบความปลอดภัยที่สำคัญโดยใช้ตัวอย่างเฉพาะ เรายินดีที่จะตอบคำถามใด ๆ เกี่ยวกับผลิตภัณฑ์ในความคิดเห็น เราอยู่กับคุณ ขอบคุณสำหรับความสนใจของคุณ!
ที่มา: will.com