7. NGFW для бізнесу. Продуктивність та загальні рекомендації

Настав час для завершення циклу статей про нове покоління SMB Check Point (1500 серія). Ми сподіваємося, що для вас це був корисний досвід і ви продовжите бути з нами в блозі TS Solution. Тема для заключної статті широко не освітлена, але не менш важлива тюнінг продуктивності SMB. У ній ми обговоримо можливості конфігурації апаратної та програмної частини роботи NGFW, опишемо доступні команди та способи взаємодії.

Всі статті циклу про NGFW для малого бізнесу:

1. Нова лінійка CheckPoint 1500 Security Gateway

2. Розпакування та налаштування

3. Бездротова передача даних: WiFi та LTE

4. VPN

5. Хмарне керування SMP

6. Smart-1 Cloud

На даний момент існує не так багато джерел інформації про тюнінг продуктивності для SMB рішень через обмежень внутрішньої ОС - Gaia 80.20 Embedded. У нашій статті ми будемо використовувати макет із централізованим управлінням ( виділений Management Server ) - він дозволяє застосувати більшу кількість інструментів під час роботи з NGFW.

апаратна частина

Перш ніж торкатися архітектури Check Point сімейства SMB, ви завжди можете звернутися до вашого партнера, щоб він використовував утиліту Appliance Sizing Tool, для підбору оптимального рішення згідно з заданими характеристиками (пропускна спроможність, очікувана кількість користувачів тощо).

Важливі примітки при взаємодії з апаратною частиною вашого NGFW

1. NGFW рішення сімейства SMB не мають можливості апаратного апгрейду системних компонентів (CPU, RAM, HDD), залежно від моделі є підтримка SD-карток, це дозволяє розширити ємність диска, але не значно.

2. Робота мережевих інтерфейсів потребує контролю. Gaia 80.20 Embedded не так багато інструментів для моніторингу, але ви завжди можете використовувати загальновідому команду в CLI через режим Expert 

   #ifconfig

   

   Зверніть увагу на підкреслені рядки, які дозволять вам оцінити кількість помилок на інтерфейсі. Вкрай рекомендується перевіряти дані параметри при первинному впровадженні вашого NGFW, а також періодично вже під час експлуатації.

3. Для повноцінної Gaia є команда:

   > show diag

   З її допомогою можна отримати інформацію про температуру апаратного забезпечення. На жаль, в 80.20 Embedded цієї опції немає, вкажемо найбільш популярні SNMP-traps:

   Назва 

   Опис

   Interface disconnected

   Вимкнення інтерфейсу

   VLAN removed

   Вилучення Vlan

   High memory utilization

   Висока утилізація RAM

   Мало місця на диску

   Мало місце на HDD

   High CPU utilization

   Висока утилізація CPU

   High CPU interrupts rate

   Висока частота переривань

   Висока швидкість підключення

   Високий потік нових підключень

   High concurrent connections

   Високий рівень конкурентних сесій

   High Firewall черезput

   Високий рівень пропускної спроможності Firewall

   High accepted packet rate

   Високий рівень прийому пакетів

   Cluster member state changed

   Зміна стану кластера

   Connection with log server error

   Втрата зв'язку з Log-Server

4. Робота вашого шлюзу вимагає контролю RAM. Для роботи Gaia (Linux подібна до OC) це нормальна ситуаціяколи витрата RAM доходить до 70-80% використання.

   В архітектурі SMB-рішень не передбачено використання SWAP-пам'яті, на відміну від старших моделей Check Point. Тим не менш, у системних файлах Linux був помічений що говорить про теоретичну можливість змінювати параметр SWAP.

Програмна частина

На момент виходу статті актуальна версії Gaia - 80.20.10. Вам потрібно знати, що є обмеження при роботі в CLI: у режимі Expert підтримуються деякі Linuх команди. Для оцінки роботи NGFW потрібна оцінка роботи демонів і служб, докладніше про це можна дізнатися в статті мого колеги. Ми розглянемо можливі команди для SMB.

Робота з Gaia OS

1. Перегляд шаблонів SecureXL

   # fwaccel stat

   

2. Перегляд завантаження ядрами

   # fw ctl multik stat

   

3. Перегляд кількості сесій (з'єднань).

   # fw ctl pstat

   

4. *Перегляд стану кластера

   # cphaprob stat

   

5. Класична Linux-команда TOP

Логування

Як ви вже знаєте, є три способи роботи з логами NGFW (зберігання, обробка): локально, централізовано та у хмарі. Останні два варіанти мають на увазі наявність сутності - Management Server.

Можливі схеми керування NGFW

Найбільш цінні файли логів

1. Системні повідомлення (містить менше інформації, ніж у повноцінній Gaia)

   # tail -f /var/log/messages2

   

2. Повідомлення про помилки в роботі блейдів (досить корисний файл при пошуку проблем)

   # tail -f /var/log/log/sfwd.elg

   

3. Перегляд повідомлень із буфера на рівні ядра системи.

   # dmesg

   

Конфігурація блейдів

Цей розділ не міститиме повноцінних інструкцій з налаштування вашого NGFW Сheck Point, він лише містить наші рекомендації, підібрані досвідченим шляхом.

Application Control / URL Filtering

• Рекомендовано уникати умов правила ANY, ANY (Source, Destination).

• У разі завдання кастомного URL-ресурсу більш ефективно використовуватиме регулярні вирази типу: (^|..)checkpoint.com

• Уникайте надмірного використання логування за правилами та показу сторінок блокування (UserCheck).

• Переконайтеся, що коректно працює технологія "SecureXL". Більша частина трафіку має проходити через accelerated / medium path. Також не забувайте фільтрувати правила за найбільш використовуваними (поле число переглядів ).

HTTPS-Inspection

Ні для кого не секрет, що 70-80% трафіку користувача припадає на HTTPS-з'єднання, відповідно, це вимагає ресурсів від процесора вашого шлюзу. Крім цього, HTTPS-Inspection бере участь у роботі IPS, Antivirus, Antibot.

Починаючи з версії 80.40, з'явилася можливість працювати з HTTPS-правилами без Legacy Dashboard, ось деякий порядок правил:

• Bypass для групи адрес та мереж (Destination).

• Bypass для групи URL-адрес.

• Bypass для внутрішніх IP та мереж з привілейованим доступом (Source).

• Inspect для необхідних мереж, користувачів

• Bypass для всіх інших.

* Завжди краще вибирати вручну HTTPS або HTTPS Proxy, не залишати Any. Логувати події за правилами Inspect.

IPS

Блейд IPS може викликати помилку при інсталяції політики на вашому NGFW, якщо використовується занадто багато сигнатур. Згідно статті від Check Point, архітектура SMB пристроїв не розрахована для запуску повного профілю налаштувань IPS.

Щоб вирішити або запобігти проблемі, виконайте такі кроки:

1. Клонуйте Optimized профіль під назвою “Optimized SMB” (або іншим на ваш розсуд).

2. Відредагуйте профіль, перейдіть до розділу IPS → Pre R80.Settings та вимкніть Server Protections.

   

3. На вашу думку ви можете деактивувати CVE старше 2010, дані вразливості можуть бути рідко виявлені в малих офісах, але впливають на продуктивність. Щоб вимкнути деякі з них, перейдіть до Profile→ IPS→ Additional Activation → Protections to deactivate list

   

Замість висновку

У рамках циклу статей про нове покоління NGFW сімейства SMB (1500) ми постаралися висвітлити основні можливості рішення, продемонстрували на конкретних прикладах налаштування важливих компонентів безпеки. Будемо раді відповісти на будь-які питання щодо продукту в коментарях. Залишаємося з вами, дякую за увагу!

Великий вибір матеріалів по Check Point від TS Solution. Щоб не пропустити нові публікації, слідкуйте за оновленнями в наших соціальних мережах.Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Джерело: habr.com