7. Kichik biznes uchun NGFW. Ishlash va umumiy tavsiyalar

Yangi avlod SMB Check Point (1500 seriya) haqidagi maqolalar seriyasini yakunlash vaqti keldi. Umid qilamizki, bu siz uchun foydali tajriba bo'ldi va siz biz bilan TS Solution blogida bo'lishda davom etasiz. Yakuniy maqola uchun mavzu keng yoritilgan emas, lekin unchalik muhim emas - SMB ishlashini sozlash. Unda biz NGFW apparat va dasturiy ta'minoti uchun konfiguratsiya variantlarini muhokama qilamiz, mavjud buyruqlar va o'zaro ta'sir usullarini tavsiflaymiz.

Kichik biznes uchun NGFW haqidagi turkumdagi barcha maqolalar:

1. Yangi CheckPoint 1500 xavfsizlik shlyuzi liniyasi

2. Qutidan chiqarish va sozlash

3. Simsiz ma'lumotlarni uzatish: WiFi va LTE

4. VPN

5. Bulutli SMP boshqaruvi

6. Smart-1 bulutli

Hozirgi vaqtda SMB yechimlari uchun unumdorlikni sozlash haqida ma'lumot manbalari ko'p emas cheklovlar ichki operatsion tizim - Gaia 80.20 o'rnatilgan. Bizning maqolamizda biz markazlashtirilgan boshqaruv (ajratilgan boshqaruv serveri) bilan tartibdan foydalanamiz - bu NGFW bilan ishlashda ko'proq vositalardan foydalanishga imkon beradi.

Uskuna

Check Point SMB oilaviy arxitekturasiga tegmasdan oldin har doim hamkoringizdan yordam dasturidan foydalanishni so'rashingiz mumkin Qurilma o'lchamini aniqlash vositasi, belgilangan xususiyatlarga ko'ra optimal echimni tanlash (o'tkazuvchanlik, kutilayotgan foydalanuvchilar soni va boshqalar).

NGFW uskunangiz bilan ishlashda muhim eslatmalar

1. SMB oilasining NGFW yechimlari tizim komponentlarini (CPU, RAM, HDD) apparat ta'minotini yangilash imkoniyatiga ega emas; modelga qarab, SD-kartalarni qo'llab-quvvatlash mavjud, bu sizga disk hajmini kengaytirish imkonini beradi, lekin sezilarli darajada emas.

2. Tarmoq interfeyslarining ishlashi nazoratni talab qiladi. Gaia 80.20 Embedded-da ko'plab kuzatuv vositalari mavjud emas, lekin siz har doim CLI-dagi taniqli buyruqni Ekspert rejimi orqali ishlatishingiz mumkin. 

   # ifconfig

   

   Belgilangan chiziqlarga e'tibor bering, ular interfeysdagi xatolar sonini taxmin qilish imkonini beradi. Ushbu parametrlarni NGFWni dastlabki amalga oshirish paytida, shuningdek, vaqti-vaqti bilan ish paytida tekshirish tavsiya etiladi.

3. To'liq huquqli Gaia uchun buyruq mavjud:

   > diagrammani ko'rsatish

   Uning yordami bilan apparatning harorati haqida ma'lumot olish mumkin. Afsuski, bu variant 80.20 Embedded-da mavjud emas; biz eng mashhur SNMP tuzoqlarini ko'rsatamiz:

   ism 

   tavsifi

   Interfeys uzilgan

   Interfeysni o'chirish

   VLAN olib tashlandi

   Vlanlarni olib tashlash

   Yuqori xotiradan foydalanish

   Yuqori RAM foydalanish

   Kam disk maydoni

   HDD maydoni yetarli emas

   Yuqori protsessordan foydalanish

   Yuqori protsessordan foydalanish

   Yuqori CPU uzilish tezligi

   Yuqori uzilish tezligi

   Yuqori ulanish tezligi

   Yangi ulanishlarning yuqori oqimi

   Yuqori bir vaqtda ulanishlar

   Yuqori darajadagi raqobatbardosh sessiyalar

   Yuqori xavfsizlik devori o'tkazuvchanligi

   Yuqori o'tkazuvchanlik xavfsizlik devori

   Qabul qilingan yuqori paket tezligi

   Yuqori paketlarni qabul qilish tezligi

   Klasterga a'zo davlat o'zgardi

   Klaster holatini o'zgartirish

   Jurnal serveri bilan ulanish xatosi

   Log-server bilan aloqa uzildi

4. Shlyuzingizning ishlashi RAM monitoringini talab qiladi. Gaia (Linux-ga o'xshash OS) ishlashi uchun bu normal holatRAM iste'moli foydalanishning 70-80% ga yetganda.

   SMB yechimlari arxitekturasi eski Check Point modellaridan farqli o'laroq, SWAP xotirasidan foydalanishni ta'minlamaydi. Biroq, Linux tizim fayllarida bu sezildi , bu SWAP parametrini o'zgartirishning nazariy imkoniyatini ko'rsatadi.

Dasturiy ta'minot qismi

Maqola nashr etilgan paytda joriy Gaia versiyasi - 80.20.10. CLI-da ishlashda cheklovlar mavjudligini bilishingiz kerak: ba'zi Linux buyruqlari Ekspert rejimida qo'llab-quvvatlanadi. NGFW samaradorligini baholash demonlar va xizmatlarning ishlashini baholashni talab qiladi, bu haqda batafsil ma'lumotni quyidagi havolada topishingiz mumkin. maqola mening hamkasbim. Biz SMB uchun mumkin bo'lgan buyruqlarni ko'rib chiqamiz.

Gaia OS bilan ishlash

1. SecureXL shablonlarini ko'rib chiqing

   #fwaccelstat

   

2. Yuklashni yadro bo'yicha ko'rish

   # fw ctl multik stat

   

3. Seanslar (ulanishlar) sonini ko'ring.

   # fw ctl pstat

   

4. *Klaster holatini ko'rish

   #cphaprob stat

   

5. Klassik Linux TOP buyrug'i

Jurnal yozish

Ma'lumki, NGFW jurnallari (saqlash, qayta ishlash) bilan ishlashning uchta usuli mavjud: mahalliy, markaziy va bulutda. Oxirgi ikkita variant ob'ekt - boshqaruv serverining mavjudligini nazarda tutadi.

NGFWni boshqarishning mumkin bo'lgan sxemalari

Eng qimmatli jurnal fayllari

1. Tizim xabarlari (to'liq Gaiadan kamroq ma'lumotni o'z ichiga oladi)

   # tail -f /var/log/messages2

   

2. Pichoqlarning ishlashidagi xato xabarlari (muammolarni bartaraf etishda juda foydali fayl)

   # quyruq -f /var/log/log/sfwd.elg

   

3. Tizim yadrosi darajasida buferdan xabarlarni ko'ring.

   #dmesg

   

Pichoq konfiguratsiyasi

Ushbu bo'limda NGFW nazorat punktini sozlash bo'yicha to'liq ko'rsatmalar mavjud emas, u faqat tajribamiz asosida tanlangan tavsiyalarimizni o'z ichiga oladi.

Ilovani boshqarish / URL filtrlash

• Qoidalarda HAR QANDAY, HAR QANDAY (Manba, maqsad) shartlardan qochish tavsiya etiladi.

• Maxsus URL resursini belgilashda oddiy iboralardan foydalanish samaraliroq bo'ladi: (^|..)checkpoint.com

• Qoidalar jurnalidan ortiqcha foydalanishdan va bloklangan sahifalarni ko'rsatishdan saqlaning (UserCheck).

• Texnologiyaning to'g'ri ishlashiga ishonch hosil qiling "SecureXL". Trafikning katta qismi o'tishi kerak tezlashtirilgan / o'rta yo'l. Shuningdek, qoidalarni eng ko'p ishlatiladiganlar bo'yicha filtrlashni unutmang (maydon Hits ).

HTTPS-tekshirish

Hech kimga sir emaski, foydalanuvchi trafigining 70-80% HTTPS ulanishlaridan kelib chiqadi, ya'ni bu sizning shlyuz protsessoringizdan resurslarni talab qiladi. Bundan tashqari, HTTPS-Inspection IPS, Antivirus, Antibot ishlarida ishtirok etadi.

80.40 versiyasidan boshlab mavjud edi imkoniyat Legacy Dashboard holda HTTPS qoidalari bilan ishlash uchun bu erda tavsiya etilgan qoidalar tartibi:

• Manzillar va tarmoqlar guruhini chetlab o'tish (Mo'ljal).

• URL manzillar guruhini chetlab o'tish.

• Imtiyozli kirishga ega ichki IP va tarmoqlarni chetlab o'tish (Manba).

• Kerakli tarmoqlarni, foydalanuvchilarni tekshiring

• Boshqalar uchun chetlab o'tish.

* HTTPS yoki HTTPS proksi xizmatlarini qo'lda tanlab, istalganini qoldirgan ma'qul. Inspect qoidalariga muvofiq voqealarni qayd qiling.

IPS

Agar juda koʻp imzo ishlatilsa, IPS blade NGFW-ga siyosatni oʻrnatolmasligi mumkin. Ga binoan maqola Check Point-dan, SMB qurilmasi arxitekturasi to'liq tavsiya etilgan IPS konfiguratsiya profilini ishga tushirish uchun mo'ljallanmagan.

Muammoni hal qilish yoki oldini olish uchun quyidagi amallarni bajaring:

1. "Optimallashtirilgan SMB" deb nomlangan optimallashtirilgan profilni klonlash (yoki siz tanlagan boshqa).

2. Profilni tahrirlang, IPS → Pre R80.Settings bo'limiga o'ting va Server himoyasini o'chiring.

   

3. O'zingizning xohishingizga ko'ra, 2010 yildan eski CVE'larni o'chirib qo'yishingiz mumkin, bu zaifliklar kichik ofislarda kamdan-kam uchraydi, lekin ishlashga ta'sir qiladi. Ulardan ba'zilarini o'chirish uchun Profil → IPS → Qo'shimcha faollashtirish → Ro'yxatni o'chirish uchun himoyalar ga o'ting.

   

Xulosa o'rniga

SMB oilasining NGFW ning yangi avlodi (1500) haqidagi bir qator maqolalar doirasida biz yechimning asosiy imkoniyatlarini ta'kidlashga harakat qildik va aniq misollar yordamida muhim xavfsizlik komponentlari konfiguratsiyasini namoyish qildik. Izohlarda mahsulot haqida har qanday savollarga javob berishdan mamnun bo'lamiz. Biz siz bilan qolamiz, e'tiboringiz uchun rahmat!

TS Solution-dan Check Point-da materiallarning katta tanlovi. Yangi nashrlarni o'tkazib yubormaslik uchun ijtimoiy tarmoqlarimizdagi yangiliklarni kuzatib boring (Telegram, Facebook, VK, TS yechimlari blogi, Yandex Zen).

Manba: www.habr.com