7. Kichik biznes uchun NGFW. Ishlash va umumiy tavsiyalar
Yangi avlod SMB Check Point (1500 seriya) haqidagi maqolalar seriyasini yakunlash vaqti keldi. Umid qilamizki, bu siz uchun foydali tajriba bo'ldi va siz biz bilan TS Solution blogida bo'lishda davom etasiz. Yakuniy maqola uchun mavzu keng yoritilgan emas, lekin unchalik muhim emas - SMB ishlashini sozlash. Unda biz NGFW apparat va dasturiy ta'minoti uchun konfiguratsiya variantlarini muhokama qilamiz, mavjud buyruqlar va o'zaro ta'sir usullarini tavsiflaymiz.
Kichik biznes uchun NGFW haqidagi turkumdagi barcha maqolalar:
Hozirgi vaqtda SMB yechimlari uchun unumdorlikni sozlash haqida ma'lumot manbalari ko'p emas cheklovlar ichki operatsion tizim - Gaia 80.20 o'rnatilgan. Bizning maqolamizda biz markazlashtirilgan boshqaruv (ajratilgan boshqaruv serveri) bilan tartibdan foydalanamiz - bu NGFW bilan ishlashda ko'proq vositalardan foydalanishga imkon beradi.
Uskuna
Check Point SMB oilaviy arxitekturasiga tegmasdan oldin har doim hamkoringizdan yordam dasturidan foydalanishni so'rashingiz mumkin Qurilma o'lchamini aniqlash vositasi, belgilangan xususiyatlarga ko'ra optimal echimni tanlash (o'tkazuvchanlik, kutilayotgan foydalanuvchilar soni va boshqalar).
NGFW uskunangiz bilan ishlashda muhim eslatmalar
SMB oilasining NGFW yechimlari tizim komponentlarini (CPU, RAM, HDD) apparat ta'minotini yangilash imkoniyatiga ega emas; modelga qarab, SD-kartalarni qo'llab-quvvatlash mavjud, bu sizga disk hajmini kengaytirish imkonini beradi, lekin sezilarli darajada emas.
Tarmoq interfeyslarining ishlashi nazoratni talab qiladi. Gaia 80.20 Embedded-da ko'plab kuzatuv vositalari mavjud emas, lekin siz har doim CLI-dagi taniqli buyruqni Ekspert rejimi orqali ishlatishingiz mumkin.
# ifconfig
Belgilangan chiziqlarga e'tibor bering, ular interfeysdagi xatolar sonini taxmin qilish imkonini beradi. Ushbu parametrlarni NGFWni dastlabki amalga oshirish paytida, shuningdek, vaqti-vaqti bilan ish paytida tekshirish tavsiya etiladi.
To'liq huquqli Gaia uchun buyruq mavjud:
> diagrammani ko'rsatish
Uning yordami bilan apparatning harorati haqida ma'lumot olish mumkin. Afsuski, bu variant 80.20 Embedded-da mavjud emas; biz eng mashhur SNMP tuzoqlarini ko'rsatamiz:
ism
tavsifi
Interfeys uzilgan
Interfeysni o'chirish
VLAN olib tashlandi
Vlanlarni olib tashlash
Yuqori xotiradan foydalanish
Yuqori RAM foydalanish
Kam disk maydoni
HDD maydoni yetarli emas
Yuqori protsessordan foydalanish
Yuqori protsessordan foydalanish
Yuqori CPU uzilish tezligi
Yuqori uzilish tezligi
Yuqori ulanish tezligi
Yangi ulanishlarning yuqori oqimi
Yuqori bir vaqtda ulanishlar
Yuqori darajadagi raqobatbardosh sessiyalar
Yuqori xavfsizlik devori o'tkazuvchanligi
Yuqori o'tkazuvchanlik xavfsizlik devori
Qabul qilingan yuqori paket tezligi
Yuqori paketlarni qabul qilish tezligi
Klasterga a'zo davlat o'zgardi
Klaster holatini o'zgartirish
Jurnal serveri bilan ulanish xatosi
Log-server bilan aloqa uzildi
Shlyuzingizning ishlashi RAM monitoringini talab qiladi. Gaia (Linux-ga o'xshash OS) ishlashi uchun bu normal holatRAM iste'moli foydalanishning 70-80% ga yetganda.
SMB yechimlari arxitekturasi eski Check Point modellaridan farqli o'laroq, SWAP xotirasidan foydalanishni ta'minlamaydi. Biroq, Linux tizim fayllarida bu sezildi , bu SWAP parametrini o'zgartirishning nazariy imkoniyatini ko'rsatadi.
Dasturiy ta'minot qismi
Maqola nashr etilgan paytda joriy Gaia versiyasi - 80.20.10. CLI-da ishlashda cheklovlar mavjudligini bilishingiz kerak: ba'zi Linux buyruqlari Ekspert rejimida qo'llab-quvvatlanadi. NGFW samaradorligini baholash demonlar va xizmatlarning ishlashini baholashni talab qiladi, bu haqda batafsil ma'lumotni quyidagi havolada topishingiz mumkin. maqola mening hamkasbim. Biz SMB uchun mumkin bo'lgan buyruqlarni ko'rib chiqamiz.
Gaia OS bilan ishlash
SecureXL shablonlarini ko'rib chiqing
#fwaccelstat
Yuklashni yadro bo'yicha ko'rish
# fw ctl multik stat
Seanslar (ulanishlar) sonini ko'ring.
# fw ctl pstat
*Klaster holatini ko'rish
#cphaprob stat
Klassik Linux TOP buyrug'i
Jurnal yozish
Ma'lumki, NGFW jurnallari (saqlash, qayta ishlash) bilan ishlashning uchta usuli mavjud: mahalliy, markaziy va bulutda. Oxirgi ikkita variant ob'ekt - boshqaruv serverining mavjudligini nazarda tutadi.
NGFWni boshqarishning mumkin bo'lgan sxemalari
Eng qimmatli jurnal fayllari
Tizim xabarlari (to'liq Gaiadan kamroq ma'lumotni o'z ichiga oladi)
# tail -f /var/log/messages2
Pichoqlarning ishlashidagi xato xabarlari (muammolarni bartaraf etishda juda foydali fayl)
# quyruq -f /var/log/log/sfwd.elg
Tizim yadrosi darajasida buferdan xabarlarni ko'ring.
#dmesg
Pichoq konfiguratsiyasi
Ushbu bo'limda NGFW nazorat punktini sozlash bo'yicha to'liq ko'rsatmalar mavjud emas, u faqat tajribamiz asosida tanlangan tavsiyalarimizni o'z ichiga oladi.
Ilovani boshqarish / URL filtrlash
Qoidalarda HAR QANDAY, HAR QANDAY (Manba, maqsad) shartlardan qochish tavsiya etiladi.
Maxsus URL resursini belgilashda oddiy iboralardan foydalanish samaraliroq bo'ladi: (^|..)checkpoint.com
Qoidalar jurnalidan ortiqcha foydalanishdan va bloklangan sahifalarni ko'rsatishdan saqlaning (UserCheck).
Texnologiyaning to'g'ri ishlashiga ishonch hosil qiling "SecureXL". Trafikning katta qismi o'tishi kerak tezlashtirilgan / o'rta yo'l. Shuningdek, qoidalarni eng ko'p ishlatiladiganlar bo'yicha filtrlashni unutmang (maydon Hits ).
HTTPS-tekshirish
Hech kimga sir emaski, foydalanuvchi trafigining 70-80% HTTPS ulanishlaridan kelib chiqadi, ya'ni bu sizning shlyuz protsessoringizdan resurslarni talab qiladi. Bundan tashqari, HTTPS-Inspection IPS, Antivirus, Antibot ishlarida ishtirok etadi.
80.40 versiyasidan boshlab mavjud edi imkoniyat Legacy Dashboard holda HTTPS qoidalari bilan ishlash uchun bu erda tavsiya etilgan qoidalar tartibi:
Manzillar va tarmoqlar guruhini chetlab o'tish (Mo'ljal).
URL manzillar guruhini chetlab o'tish.
Imtiyozli kirishga ega ichki IP va tarmoqlarni chetlab o'tish (Manba).
Kerakli tarmoqlarni, foydalanuvchilarni tekshiring
Boshqalar uchun chetlab o'tish.
* HTTPS yoki HTTPS proksi xizmatlarini qo'lda tanlab, istalganini qoldirgan ma'qul. Inspect qoidalariga muvofiq voqealarni qayd qiling.
IPS
Agar juda koΚ»p imzo ishlatilsa, IPS blade NGFW-ga siyosatni oΚ»rnatolmasligi mumkin. Ga binoan maqola Check Point-dan, SMB qurilmasi arxitekturasi to'liq tavsiya etilgan IPS konfiguratsiya profilini ishga tushirish uchun mo'ljallanmagan.
Muammoni hal qilish yoki oldini olish uchun quyidagi amallarni bajaring:
"Optimallashtirilgan SMB" deb nomlangan optimallashtirilgan profilni klonlash (yoki siz tanlagan boshqa).
Profilni tahrirlang, IPS β Pre R80.Settings bo'limiga o'ting va Server himoyasini o'chiring.
O'zingizning xohishingizga ko'ra, 2010 yildan eski CVE'larni o'chirib qo'yishingiz mumkin, bu zaifliklar kichik ofislarda kamdan-kam uchraydi, lekin ishlashga ta'sir qiladi. Ulardan ba'zilarini o'chirish uchun Profil β IPS β Qo'shimcha faollashtirish β Ro'yxatni o'chirish uchun himoyalar ga o'ting.
Xulosa o'rniga
SMB oilasining NGFW ning yangi avlodi (1500) haqidagi bir qator maqolalar doirasida biz yechimning asosiy imkoniyatlarini ta'kidlashga harakat qildik va aniq misollar yordamida muhim xavfsizlik komponentlari konfiguratsiyasini namoyish qildik. Izohlarda mahsulot haqida har qanday savollarga javob berishdan mamnun bo'lamiz. Biz siz bilan qolamiz, e'tiboringiz uchun rahmat!