7. Küçük işletmeler için NGFW. Performans ve genel öneriler

Yeni nesil KOBİ Kontrol Noktası (1500 serisi) ile ilgili yazı dizisini tamamlamanın zamanı geldi. Bunun sizin için faydalı bir deneyim olduğunu ve TS Çözüm blogunda bizimle birlikte olmaya devam edeceğinizi umuyoruz. Son makalenin konusu geniş kapsamlı değildir ancak daha az önemli değildir: KOBİ performans ayarlaması. İçinde NGFW'nin donanımı ve yazılımı için yapılandırma seçeneklerini tartışacağız, mevcut komutları ve etkileşim yöntemlerini açıklayacağız.

Küçük işletmelere yönelik NGFW ile ilgili serideki tüm makaleler:

1. Yeni CheckPoint 1500 Güvenlik Ağ Geçidi Hattı

2. Kutu Açma ve Kurulum

3. Kablosuz veri iletimi: WiFi ve LTE

4. VPN

5. Bulut SMP Yönetimi

6. Akıllı-1 Bulut

Şu anda KOBİ çözümlerine yönelik performans ayarlaması hakkında çok fazla bilgi kaynağı bulunmamaktadır. kısıtlamalar dahili işletim sistemi - Gaia 80.20 Gömülü. Makalemizde merkezi yönetime (özel Yönetim Sunucusu) sahip bir düzen kullanacağız - bu, NGFW ile çalışırken daha fazla araç kullanmanıza olanak tanır.

donanım parçası

Check Point SMB ailesi mimarisine dokunmadan önce partnerinizden her zaman bu yardımcı programı kullanmasını isteyebilirsiniz. Cihaz Boyutlandırma Aracı, belirtilen özelliklere (iş hacmi, beklenen kullanıcı sayısı vb.) göre en uygun çözümü seçmek.

NGFW donanımınızla etkileşime girerken önemli notlar

1. SMB ailesinin NGFW çözümleri, sistem bileşenlerini (CPU, RAM, HDD) donanım yükseltme yeteneğine sahip değildir; modele bağlı olarak SD kart desteği vardır, bu, disk kapasitesini artırmanıza olanak tanır, ancak önemli ölçüde değil.

2. Ağ arayüzlerinin çalışması kontrol gerektirir. Gaia 80.20 Embedded'da çok fazla izleme aracı yoktur, ancak CLI'deki iyi bilinen komutu her zaman Uzman modu aracılığıyla kullanabilirsiniz. 

   # Benfconfig

   

   Altı çizili çizgilere dikkat edin, bunlar arayüzdeki hata sayısını tahmin etmenizi sağlayacaktır. NGFW'nizin ilk uygulaması sırasında ve ayrıca çalışma sırasında periyodik olarak bu parametrelerin kontrol edilmesi önemle tavsiye edilir.

3. Tam teşekküllü bir Gaia için bir komut var:

   > tanıyı göster

   Yardımı ile donanımın sıcaklığı hakkında bilgi edinmek mümkündür. Ne yazık ki bu seçenek 80.20 Embedded'de mevcut değil; en popüler SNMP tuzaklarını göstereceğiz:

   isim 

   Açıklama

   Arayüz bağlantısı kesildi

   Arayüzün devre dışı bırakılması

   VLAN kaldırıldı

   Vlan'ları Kaldırma

   Yüksek bellek kullanımı

   Yüksek RAM kullanımı

   Düşük disk alanı

   Yeterli HDD alanı yok

   Yüksek CPU kullanımı

   Yüksek CPU kullanımı

   Yüksek CPU kesinti oranı

   Yüksek kesinti oranı

   Yüksek bağlantı hızı

   Yeni bağlantıların yüksek akışı

   Yüksek eşzamanlı bağlantılar

   Yüksek düzeyde rekabetçi oturumlar

   Yüksek Güvenlik Duvarı verimi

   Yüksek verimli Güvenlik Duvarı

   Yüksek kabul edilen paket hızı

   Yüksek paket alım hızı

   Küme üye durumu değişti

   Küme durumunu değiştirme

   Günlük sunucusu hatasıyla bağlantı

   Günlük Sunucusu ile bağlantı kesildi

4. Ağ geçidinizin çalışması RAM izlemeyi gerektirir. Gaia'nın (Linux benzeri işletim sistemi) çalışması için bu normal durumRAM tüketimi kullanımın %70-80'ine ulaştığında.

   KOBİ çözümlerinin mimarisi, eski Check Point modellerinin aksine SWAP belleğinin kullanımını sağlamaz. Ancak Linux sistem dosyalarında fark edildi SWAP parametresini değiştirmenin teorik olasılığını gösterir.

Yazılım bölümü

Makalenin yayınlandığı tarihte şimdiki Gaia sürümü - 80.20.10. CLI'de çalışırken sınırlamalar olduğunu bilmeniz gerekir: Bazı Linux komutları Uzman modunda desteklenir. NGFW performansının değerlendirilmesi, arka plan programlarının ve hizmetlerin performansının değerlendirilmesini gerektirir; bununla ilgili daha fazla ayrıntı şu adreste bulunabilir: Makale meslektaşım. SMB için olası komutlara bakacağız.

Gaia OS'la çalışma

1. SecureXL şablonlarına göz atın

   #fwaccelstat

   

2. Önyüklemeyi çekirdeğe göre görüntüle

   # fw ctl çoklu istatistik

   

3. Oturum sayısını (bağlantıları) görüntüleyin.

   # fw ctl pstat

   

4. *Küme durumunu görüntüle

   #cphaprob istatistiği

   

5. Klasik Linux TOP komutu

Kerestecilik

Bildiğiniz gibi NGFW günlükleriyle çalışmanın üç yolu vardır (depolama, işleme): yerel olarak, merkezi olarak ve bulutta. Son iki seçenek bir varlığın varlığını ima eder - Yönetim Sunucusu.

Olası NGFW kontrol şemaları

En değerli günlük dosyaları

1. Sistem mesajları (tam Gaia'dan daha az bilgi içerir)

   # tail -f /var/log/mesajlar2

   

2. Blade'lerin çalışmasında hata mesajları (sorunları giderirken oldukça faydalı bir dosya)

   # tail -f /var/log/log/sfwd.elg

   

3. Arabellekten gelen mesajları sistem çekirdeği düzeyinde görüntüleyin.

   #dmesg

   

Blade konfigürasyonu

Bu bölüm NGFW Kontrol Noktanızın kurulumuna ilişkin talimatların tamamını içermeyecektir; yalnızca deneyimlerimize göre seçilen önerilerimizi içermektedir.

Uygulama Kontrolü / URL Filtreleme

• Kurallarda HERHANGİ BİR (Kaynak, Hedef) koşulundan kaçınılması önerilir.

• Özel bir URL kaynağı belirtirken aşağıdaki gibi normal ifadeleri kullanmak daha etkili olacaktır: (^|..)checkpoint.com

• Kural günlüğünün aşırı kullanımından ve engelleyici sayfaların görüntülenmesinden (UserCheck) kaçının.

• Teknolojinin doğru çalıştığından emin olun "Güvenli XL". Trafiğin çoğunun geçmesi gerekir hızlandırılmış/orta yol. Ayrıca kuralları en çok kullanılanlara göre filtrelemeyi unutmayın (alan Hits ).

HTTPS Denetimi

Kullanıcı trafiğinin %70-80'inin HTTPS bağlantılarından geldiği bir sır değil, bu da bunun ağ geçidi işlemcinizden kaynak gerektirdiği anlamına gelir. Ayrıca HTTPS-Inspection, IPS, Antivirus, Antibot çalışmalarına katılmaktadır.

80.40 sürümünden başlayarak fırsat Eski Kontrol Paneli olmadan HTTPS kurallarıyla çalışmak için önerilen bazı kural sırası aşağıda verilmiştir:

• Bir grup adresi ve ağı atlayın (Hedef).

• Bir grup URL'yi atlayın.

• Ayrıcalıklı erişime sahip dahili IP ve ağları atlayın (Kaynak).

• Gerekli ağları ve kullanıcıları inceleyin

• Diğer herkes için bypass yapın.

* HTTPS veya HTTPS Proxy hizmetlerini manuel olarak seçip Herhangi Birinden ayrılmak her zaman daha iyidir. Olayları Inspect kurallarına göre günlüğe kaydedin.

IPS

Çok fazla imza kullanılırsa IPS blade, NGFW'nize ilke yüklemede başarısız olabilir. Buna göre Makale Check Point'ten SMB cihaz mimarisi, önerilen IPS yapılandırma profilinin tamamını çalıştıracak şekilde tasarlanmamıştır.

Sorunu çözmek veya önlemek için şu adımları izleyin:

1. “Optimize Edilmiş SMB” (veya tercih ettiğiniz başka bir profil) adı verilen Optimize edilmiş profili kopyalayın.

2. Profili düzenleyin, IPS → Pre R80.Settings bölümüne gidin ve Sunucu Korumalarını kapatın.

   

3. Kendi takdirinize bağlı olarak 2010'dan eski CVE'leri devre dışı bırakabilirsiniz; bu güvenlik açıkları küçük ofislerde nadiren bulunabilir ancak performansı etkiler. Bunlardan bazılarını devre dışı bırakmak için Profil→IPS→Ek Aktivasyon→Korumalar seçeneğine giderek devre dışı bırakma listesini açın

   

Bunun yerine bir sonuca

SMB ailesinin yeni nesil NGFW'si (1500) hakkındaki bir dizi makalenin parçası olarak, çözümün ana yeteneklerini vurgulamaya çalıştık ve belirli örnekler kullanarak önemli güvenlik bileşenlerinin yapılandırmasını gösterdik. Ürünle ilgili sorularınızı yorumlarda yanıtlamaktan mutluluk duyarız. Sizinle kalıyoruz, ilginiz için teşekkür ederiz!

TS Çözümünden Check Point'te geniş malzeme seçimi. Yeni yayınları kaçırmamak için sosyal ağlarımızdaki güncellemeleri takip edin ( Telegram,  Facebook, VK, TS Çözüm Günlüğü, Yandeks.Dzen).

Kaynak: habr.com