7. NGFW для бізнесу. Продуктивність та загальні рекомендації
Настав час для завершення циклу статей про нове покоління SMB Check Point (1500 серія). Ми сподіваємося, що для вас це був корисний досвід і ви продовжите бути з нами в блозі TS Solution. Тема для заключної статті широко не освітлена, але не менш важлива тюнінг продуктивності SMB. У ній ми обговоримо можливості конфігурації апаратної та програмної частини роботи NGFW, опишемо доступні команди та способи взаємодії.
На даний момент існує не так багато джерел інформації про тюнінг продуктивності для SMB рішень через обмежень внутрішньої ОС - Gaia 80.20 Embedded. У нашій статті ми будемо використовувати макет із централізованим управлінням ( виділений Management Server ) - він дозволяє застосувати більшу кількість інструментів під час роботи з NGFW.
апаратна частина
Перш ніж торкатися архітектури Check Point сімейства SMB, ви завжди можете звернутися до вашого партнера, щоб він використовував утиліту Appliance Sizing Tool, для підбору оптимального рішення згідно з заданими характеристиками (пропускна спроможність, очікувана кількість користувачів тощо).
Важливі примітки при взаємодії з апаратною частиною вашого NGFW
NGFW рішення сімейства SMB не мають можливості апаратного апгрейду системних компонентів (CPU, RAM, HDD), залежно від моделі є підтримка SD-карток, це дозволяє розширити ємність диска, але не значно.
Робота мережевих інтерфейсів потребує контролю. Gaia 80.20 Embedded не так багато інструментів для моніторингу, але ви завжди можете використовувати загальновідому команду в CLI через режим Expert
#ifconfig
Зверніть увагу на підкреслені рядки, які дозволять вам оцінити кількість помилок на інтерфейсі. Вкрай рекомендується перевіряти дані параметри при первинному впровадженні вашого NGFW, а також періодично вже під час експлуатації.
Для повноцінної Gaia є команда:
> show diag
З її допомогою можна отримати інформацію про температуру апаратного забезпечення. На жаль, в 80.20 Embedded цієї опції немає, вкажемо найбільш популярні SNMP-traps:
Назва
Опис
Interface disconnected
Вимкнення інтерфейсу
VLAN removed
Вилучення Vlan
High memory utilization
Висока утилізація RAM
Мало місця на диску
Мало місце на HDD
High CPU utilization
Висока утилізація CPU
High CPU interrupts rate
Висока частота переривань
Висока швидкість підключення
Високий потік нових підключень
High concurrent connections
Високий рівень конкурентних сесій
High Firewall черезput
Високий рівень пропускної спроможності Firewall
High accepted packet rate
Високий рівень прийому пакетів
Cluster member state changed
Зміна стану кластера
Connection with log server error
Втрата зв'язку з Log-Server
Робота вашого шлюзу вимагає контролю RAM. Для роботи Gaia (Linux подібна до OC) це нормальна ситуаціяколи витрата RAM доходить до 70-80% використання.
В архітектурі SMB-рішень не передбачено використання SWAP-пам'яті, на відміну від старших моделей Check Point. Тим не менш, у системних файлах Linux був помічений що говорить про теоретичну можливість змінювати параметр SWAP.
Програмна частина
На момент виходу статті актуальна версії Gaia - 80.20.10. Вам потрібно знати, що є обмеження при роботі в CLI: у режимі Expert підтримуються деякі Linuх команди. Для оцінки роботи NGFW потрібна оцінка роботи демонів і служб, докладніше про це можна дізнатися в статті мого колеги. Ми розглянемо можливі команди для SMB.
Робота з Gaia OS
Перегляд шаблонів SecureXL
# fwaccel stat
Перегляд завантаження ядрами
# fw ctl multik stat
Перегляд кількості сесій (з'єднань).
# fw ctl pstat
*Перегляд стану кластера
# cphaprob stat
Класична Linux-команда TOP
Логування
Як ви вже знаєте, є три способи роботи з логами NGFW (зберігання, обробка): локально, централізовано та у хмарі. Останні два варіанти мають на увазі наявність сутності - Management Server.
Можливі схеми керування NGFW
Найбільш цінні файли логів
Системні повідомлення (містить менше інформації, ніж у повноцінній Gaia)
# tail -f /var/log/messages2
Повідомлення про помилки в роботі блейдів (досить корисний файл при пошуку проблем)
# tail -f /var/log/log/sfwd.elg
Перегляд повідомлень із буфера на рівні ядра системи.
# dmesg
Конфігурація блейдів
Цей розділ не міститиме повноцінних інструкцій з налаштування вашого NGFW Сheck Point, він лише містить наші рекомендації, підібрані досвідченим шляхом.
Application Control / URL Filtering
Рекомендовано уникати умов правила ANY, ANY (Source, Destination).
У разі завдання кастомного URL-ресурсу більш ефективно використовуватиме регулярні вирази типу: (^|..)checkpoint.com
Уникайте надмірного використання логування за правилами та показу сторінок блокування (UserCheck).
Переконайтеся, що коректно працює технологія "SecureXL". Більша частина трафіку має проходити через accelerated / medium path. Також не забувайте фільтрувати правила за найбільш використовуваними (поле число переглядів ).
HTTPS-Inspection
Ні для кого не секрет, що 70-80% трафіку користувача припадає на HTTPS-з'єднання, відповідно, це вимагає ресурсів від процесора вашого шлюзу. Крім цього, HTTPS-Inspection бере участь у роботі IPS, Antivirus, Antibot.
Починаючи з версії 80.40, з'явилася можливість працювати з HTTPS-правилами без Legacy Dashboard, ось деякий порядок правил:
Bypass для групи адрес та мереж (Destination).
Bypass для групи URL-адрес.
Bypass для внутрішніх IP та мереж з привілейованим доступом (Source).
Inspect для необхідних мереж, користувачів
Bypass для всіх інших.
* Завжди краще вибирати вручну HTTPS або HTTPS Proxy, не залишати Any. Логувати події за правилами Inspect.
IPS
Блейд IPS може викликати помилку при інсталяції політики на вашому NGFW, якщо використовується занадто багато сигнатур. Згідно статті від Check Point, архітектура SMB пристроїв не розрахована для запуску повного профілю налаштувань IPS.
Щоб вирішити або запобігти проблемі, виконайте такі кроки:
Клонуйте Optimized профіль під назвою “Optimized SMB” (або іншим на ваш розсуд).
Відредагуйте профіль, перейдіть до розділу IPS → Pre R80.Settings та вимкніть Server Protections.
На вашу думку ви можете деактивувати CVE старше 2010, дані вразливості можуть бути рідко виявлені в малих офісах, але впливають на продуктивність. Щоб вимкнути деякі з них, перейдіть до Profile→ IPS→ Additional Activation → Protections to deactivate list
Замість висновку
У рамках циклу статей про нове покоління NGFW сімейства SMB (1500) ми постаралися висвітлити основні можливості рішення, продемонстрували на конкретних прикладах налаштування важливих компонентів безпеки. Будемо раді відповісти на будь-які питання щодо продукту в коментарях. Залишаємося з вами, дякую за увагу!