Dumating na ang oras upang makumpleto ang serye ng mga artikulo tungkol sa bagong henerasyon ng SMB Check Point (1500 series). Umaasa kami na ito ay isang kasiya-siyang karanasan para sa iyo at patuloy kang makakasama namin sa TS Solution blog. Ang paksa para sa huling artikulo ay hindi malawak na sakop, ngunit hindi gaanong mahalaga - pag-tune ng pagganap ng SMB. Sa loob nito ay tatalakayin natin ang mga opsyon sa pagsasaayos para sa hardware at software ng NGFW, ilarawan ang magagamit na mga utos at paraan ng pakikipag-ugnayan.
Lahat ng artikulo sa serye tungkol sa NGFW para sa maliliit na negosyo:
Sa kasalukuyan, walang maraming mapagkukunan ng impormasyon tungkol sa pag-tune ng pagganap para sa mga solusyon sa SMB dahil sa panloob na OS - Gaia 80.20 Naka-embed. Sa aming artikulo ay gagamit kami ng isang layout na may sentralisadong pamamahala (nakalaang Management Server) - pinapayagan ka nitong gumamit ng higit pang mga tool kapag nagtatrabaho sa NGFW.
Hardware
Bago hawakan ang arkitektura ng pamilya ng Check Point SMB, maaari mong hilingin sa iyong kapareha anumang oras na gamitin ang utility Tool sa Pagsusukat ng Appliance, upang piliin ang pinakamainam na solusyon ayon sa mga tinukoy na katangian (throughput, inaasahang bilang ng mga user, atbp.).
Mahahalagang tala kapag nakikipag-ugnayan sa iyong NGFW hardware
-
Ang mga solusyon ng NGFW ng pamilya ng SMB ay walang kakayahang mag-upgrade ng mga bahagi ng system ng hardware (CPU, RAM, HDD); depende sa modelo, mayroong suporta para sa mga SD card, pinapayagan ka nitong palawakin ang kapasidad ng disk, ngunit hindi gaanong.
-
Ang pagpapatakbo ng mga interface ng network ay nangangailangan ng kontrol. Ang Gaia 80.20 na naka-embed ay walang maraming mga tool sa pagsubaybay, ngunit maaari mong palaging gamitin ang kilalang command sa CLI sa pamamagitan ng Expert mode
# ifconfig
Bigyang-pansin ang mga may salungguhit na linya, papayagan ka nilang tantiyahin ang bilang ng mga error sa interface. Lubos na inirerekomendang suriin ang mga parameter na ito sa panahon ng paunang pagpapatupad ng iyong NGFW, gayundin sa pana-panahon sa panahon ng operasyon.
-
Para sa isang ganap na Gaia mayroong isang utos:
> ipakita ang diag
Sa tulong nito posible na makakuha ng impormasyon tungkol sa temperatura ng hardware. Sa kasamaang palad, ang opsyong ito ay hindi available sa 80.20 Naka-embed; ipapahiwatig namin ang pinakasikat na SNMP traps:
Pangalan
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅
Nadiskonekta ang interface
Hindi pagpapagana ng interface
Inalis ang VLAN
Pag-alis ng mga Vlan
Mataas na paggamit ng memorya
Mataas na paggamit ng RAM
Mababang puwang sa disk
Walang sapat na espasyo sa HDD
Mataas na paggamit ng CPU
Mataas na paggamit ng CPU
Mataas na CPU interrupts rate
Mataas na rate ng pagkagambala
Mataas na rate ng koneksyon
Mataas na daloy ng mga bagong koneksyon
Mataas na magkakasabay na koneksyon
Mataas na antas ng mapagkumpitensyang mga sesyon
Mataas na Firewall throughput
Mataas na throughput na Firewall
Mataas na tinatanggap na packet rate
Mataas na rate ng pagtanggap ng packet
Nagbago ang estado ng miyembro ng cluster
Pagbabago ng estado ng kumpol
Koneksyon sa log server error
Nawalan ng koneksyon sa Log-Server
-
Ang pagpapatakbo ng iyong gateway ay nangangailangan ng pagsubaybay sa RAM. Para gumana ang Gaia (Linux-like OS), ito ay kapag ang pagkonsumo ng RAM ay umabot sa 70-80% ng paggamit.
Ang arkitektura ng mga solusyon sa SMB ay hindi nagbibigay para sa paggamit ng SWAP memory, hindi katulad ng mga mas lumang modelo ng Check Point. Gayunpaman, napansin ito sa mga file ng system ng Linux , na nagpapahiwatig ng teoretikal na posibilidad ng pagbabago ng SWAP parameter.
Bahagi ng software
Sa oras ng paglalathala ng artikulo Bersyon ng Gaia - 80.20.10. Kailangan mong malaman na may mga limitasyon kapag nagtatrabaho sa CLI: ang ilang mga Linux command ay sinusuportahan sa Expert mode. Ang pagtatasa sa pagganap ng NGFW ay nangangailangan ng pagtatasa sa pagganap ng mga daemon at serbisyo, ang higit pang mga detalye tungkol dito ay matatagpuan sa kasamahan ko. Titingnan natin ang mga posibleng command para sa SMB.
Nagtatrabaho sa Gaia OS
-
Mag-browse ng mga template ng SecureXL
#fwaccelstat
-
Tingnan ang boot ayon sa core
# fw ctl multik stat
-
Tingnan ang bilang ng mga session (koneksyon).
# fw ctl pstat
-
*Tingnan ang katayuan ng cluster
#cphaprob stat
-
Klasikong Linux TOP command
Pagtotroso
Tulad ng alam mo na, may tatlong paraan upang gumana sa mga log ng NGFW (imbakan, pagproseso): lokal, sa gitna at sa cloud. Ang huling dalawang opsyon ay nagpapahiwatig ng pagkakaroon ng isang entity - Management Server.
Posibleng NGFW control scheme
Ang pinakamahalagang log file
-
Mga mensahe ng system (naglalaman ng mas kaunting impormasyon kaysa sa buong Gaia)
# tail -f /var/log/messages2
-
Mga mensahe ng error sa pagpapatakbo ng mga blades (medyo isang kapaki-pakinabang na file kapag nag-troubleshoot ng mga problema)
# tail -f /var/log/log/sfwd.elg
-
Tingnan ang mga mensahe mula sa buffer sa antas ng kernel ng system.
#dmesg
Pag-configure ng talim
Ang seksyong ito ay hindi naglalaman ng kumpletong mga tagubilin para sa pag-set up ng iyong NGFW Check Point; naglalaman lamang ito ng aming mga rekomendasyon, na pinili ayon sa karanasan.
Kontrol ng Application / Pag-filter ng URL
-
Inirerekomenda na iwasan ang ANUMANG, ANUMANG (Source, Destination) na kundisyon sa mga panuntunan.
-
Kapag tumutukoy ng custom na mapagkukunan ng URL, magiging mas epektibo ang paggamit ng mga regular na expression tulad ng: (^|..)checkpoint.com
-
Iwasan ang labis na paggamit ng pag-log ng panuntunan at pagpapakita ng mga naka-block na pahina (UserCheck).
-
Tiyaking gumagana nang tama ang teknolohiya "SecureXL". Karamihan sa trapiko ay dapat dumaan accelerated/medium path. Gayundin, huwag kalimutang i-filter ang mga panuntunan ayon sa mga pinaka ginagamit na (field Hits ).
HTTPS-Inspeksyon
Hindi lihim na ang 70-80% ng trapiko ng user ay nagmumula sa mga koneksyon sa HTTPS, na nangangahulugang nangangailangan ito ng mga mapagkukunan mula sa iyong gateway processor. Bilang karagdagan, ang HTTPS-Inspection ay nakikilahok sa gawain ng IPS, Antivirus, Antibot.
Simula sa bersyon 80.40 nagkaroon upang gumana sa mga panuntunan ng HTTPS nang walang Legacy Dashboard, narito ang ilang inirerekomendang order ng panuntunan:
-
Bypass para sa isang pangkat ng mga address at network (Patutunguhan).
-
Bypass para sa isang pangkat ng mga URL.
-
Bypass para sa panloob na IP at mga network na may privileged access (Source).
-
Siyasatin para sa mga kinakailangang network, mga user
-
Bypass para sa lahat.
* Laging mas mahusay na manu-manong piliin ang mga serbisyo ng HTTPS o HTTPS Proxy at iwanan ang Anuman. Mag-log ng mga kaganapan ayon sa Inspect rules.
IP
Maaaring mabigo ang IPS blade sa pag-install ng patakaran sa iyong NGFW kung masyadong maraming pirma ang ginamit. Ayon kay mula sa Check Point, ang arkitektura ng SMB device ay hindi idinisenyo upang patakbuhin ang buong inirerekomendang IPS configuration profile.
Upang malutas o maiwasan ang problema, sundin ang mga hakbang na ito:
-
I-clone ang Na-optimize na profile na tinatawag na "Optimized SMB" (o isa pa sa iyong pinili).
-
I-edit ang profile, pumunta sa IPS β Pre R80.Settings section at i-off ang Server Protections.
-
Sa iyong paghuhusga, maaari mong hindi paganahin ang mga CVE na mas luma sa 2010, ang mga kahinaan na ito ay maaaring bihirang makita sa maliliit na opisina, ngunit nakakaapekto sa pagganap. Upang i-disable ang ilan sa mga ito, pumunta sa ProfileβIPSβAdditional ActivationβProtections to deactivate list
Sa halip ng isang konklusyon
Bilang bahagi ng isang serye ng mga artikulo tungkol sa bagong henerasyon ng NGFW ng pamilyang SMB (1500), sinubukan naming i-highlight ang mga pangunahing kakayahan ng solusyon at ipinakita ang pagsasaayos ng mahahalagang bahagi ng seguridad gamit ang mga partikular na halimbawa. Ikalulugod naming sagutin ang anumang mga katanungan tungkol sa produkto sa mga komento. Nananatili kami sa iyo, salamat sa iyong pansin!
. Upang hindi makaligtaan ang mga bagong publikasyon, sundin ang mga update sa aming mga social network (, , , , ).
Pinagmulan: www.habr.com