Prohoster > Blog > quản lý > 7. NGFW dành cho doanh nghiệp nhỏ. Hiệu suất và khuyến nghị chung
7. NGFW dành cho doanh nghiệp nhỏ. Hiệu suất và khuyến nghị chung
Đã đến lúc hoàn thành loạt bài viết về SMB Check Point thế hệ mới (loạt 1500). Chúng tôi hy vọng rằng đây là một trải nghiệm bổ ích cho bạn và bạn sẽ tiếp tục đồng hành cùng chúng tôi trên blog TS Solution. Chủ đề của bài viết cuối cùng không được đề cập rộng rãi nhưng không kém phần quan trọng - điều chỉnh hiệu suất SMB. Trong đó, chúng ta sẽ thảo luận về các tùy chọn cấu hình cho phần cứng và phần mềm của NGFW, mô tả các lệnh và phương thức tương tác có sẵn.
Tất cả các bài viết trong series về NGFW dành cho doanh nghiệp nhỏ:
Hiện tại, không có nhiều nguồn thông tin về điều chỉnh hiệu suất cho các giải pháp SMB do những hạn chế Hệ điều hành nội bộ - Gaia 80.20 được nhúng. Trong bài viết của chúng tôi, chúng tôi sẽ sử dụng bố cục với quản lý tập trung (Máy chủ quản lý chuyên dụng) - nó cho phép bạn sử dụng nhiều công cụ hơn khi làm việc với NGFW.
Phần cứng
Trước khi chạm vào kiến trúc dòng Check Point SMB, bạn luôn có thể yêu cầu đối tác của mình sử dụng tiện ích Công cụ định cỡ thiết bị, để chọn giải pháp tối ưu theo các đặc điểm đã chỉ định (thông lượng, số lượng người dùng dự kiến, v.v.).
Những lưu ý quan trọng khi tương tác với phần cứng NGFW của bạn
Các giải pháp NGFW thuộc dòng SMB không có khả năng nâng cấp phần cứng các thành phần hệ thống (CPU, RAM, HDD); tùy thuộc vào kiểu máy, có hỗ trợ thẻ SD, điều này cho phép bạn mở rộng dung lượng ổ đĩa, nhưng không đáng kể.
Hoạt động của các giao diện mạng yêu cầu phải có sự điều khiển. Gaia 80.20 Embedded không có nhiều công cụ giám sát, nhưng bạn luôn có thể sử dụng lệnh nổi tiếng trong CLI thông qua chế độ Expert
# Tôifconfig
Hãy chú ý đến những dòng được gạch chân, chúng sẽ cho phép bạn ước tính số lượng lỗi trên giao diện. Bạn nên kiểm tra các tham số này trong quá trình triển khai NGFW ban đầu cũng như định kỳ trong quá trình vận hành.
Đối với một Gaia chính thức, có một lệnh:
> hiển thị đường chéo
Với sự trợ giúp của nó, bạn có thể thu được thông tin về nhiệt độ của phần cứng. Thật không may, tùy chọn này không có sẵn trong 80.20 Embedded; chúng tôi sẽ chỉ ra các bẫy SNMP phổ biến nhất:
tên
Описание
Giao diện bị ngắt kết nối
Vô hiệu hóa giao diện
Đã xóa Vlan
Loại bỏ Vlan
Sử dụng bộ nhớ cao
Sử dụng RAM cao
Dung lượng đĩa thấp
Không đủ dung lượng ổ cứng
Sử dụng CPU cao
Sử dụng CPU cao
Tốc độ ngắt CPU cao
Tỷ lệ ngắt cao
Tốc độ kết nối cao
Lưu lượng kết nối mới cao
Kết nối đồng thời cao
Mức độ cao của các phiên cạnh tranh
Thông lượng tường lửa cao
Tường lửa thông lượng cao
Tốc độ gói được chấp nhận cao
Tốc độ nhận gói cao
Trạng thái thành viên cụm đã thay đổi
Thay đổi trạng thái cụm
Kết nối với lỗi máy chủ đăng nhập
Mất kết nối với Log-Server
Hoạt động của cổng của bạn yêu cầu giám sát RAM. Để Gaia (HĐH giống Linux) hoạt động, đây là tình trạng bình thườngkhi mức tiêu thụ RAM đạt 70-80% thời gian sử dụng.
Kiến trúc của các giải pháp SMB không cung cấp việc sử dụng bộ nhớ SWAP, không giống như các mô hình Check Point cũ hơn. Tuy nhiên, trong các tệp hệ thống Linux, người ta nhận thấy , cho biết khả năng về mặt lý thuyết của việc thay đổi tham số SWAP.
phần mềm
Tại thời điểm xuất bản bài viết thực tế Phiên bản Gaia - 80.20.10. Bạn cần biết rằng có những hạn chế khi làm việc trong CLI: một số lệnh Linux được hỗ trợ ở chế độ Expert. Đánh giá hiệu suất của NGFW yêu cầu đánh giá hiệu suất của daemon và dịch vụ, bạn có thể tìm thêm thông tin chi tiết về điều này trong Bài viết đồng nghiệp của tôi. Chúng tôi sẽ xem xét các lệnh có thể có cho SMB.
Làm việc với hệ điều hành Gaia
Duyệt qua các mẫu SecureXL
#fwaccelstat
Xem khởi động theo lõi
# fw ctl multik stat
Xem số phiên (kết nối).
# fw ctl pstat
*Xem trạng thái cụm
#cphaprob chỉ số
Lệnh TOP Linux cổ điển
ghi nhật ký
Như bạn đã biết, có ba cách để làm việc với nhật ký NGFW (lưu trữ, xử lý): cục bộ, tập trung và trên đám mây. Hai tùy chọn cuối cùng ngụ ý sự hiện diện của một thực thể - Máy chủ quản lý.
Các sơ đồ kiểm soát NGFW có thể có
Các tập tin nhật ký có giá trị nhất
Thông báo hệ thống (chứa ít thông tin hơn Gaia đầy đủ)
# tail -f /var/log/messages2
Thông báo lỗi trong hoạt động của lưỡi dao (một tệp khá hữu ích khi khắc phục sự cố)
# tail -f /var/log/log/sfwd.elg
Xem tin nhắn từ bộ đệm ở cấp hạt nhân hệ thống.
#dmesg
Cấu hình lưỡi
Phần này sẽ không chứa hướng dẫn đầy đủ để thiết lập Điểm kiểm tra NGFW của bạn; nó chỉ chứa các đề xuất của chúng tôi, được lựa chọn theo kinh nghiệm.
Kiểm soát ứng dụng / Lọc URL
Bạn nên tránh BẤT KỲ, BẤT KỲ điều kiện nào (Nguồn, Đích) trong các quy tắc.
Khi chỉ định tài nguyên URL tùy chỉnh, sẽ hiệu quả hơn khi sử dụng các biểu thức thông thường như: (^|..)checkpoint.com
Tránh sử dụng quá nhiều tính năng ghi nhật ký quy tắc và hiển thị các trang chặn (UserCheck).
Đảm bảo công nghệ hoạt động chính xác "Bảo mậtXL". Hầu hết lưu lượng truy cập phải đi qua đường dẫn tăng tốc/trung bình. Ngoài ra, đừng quên lọc các quy tắc theo những quy tắc được sử dụng nhiều nhất (trường Số lượt truy cập ).
Kiểm tra HTTPS
Không có gì ngạc nhiên khi 70-80% lưu lượng truy cập của người dùng đến từ các kết nối HTTPS, điều đó có nghĩa là điều này yêu cầu tài nguyên từ bộ xử lý cổng của bạn. Ngoài ra, HTTPS-Inspection còn tham gia vào công việc của IPS, Antivirus, Antibot.
Bắt đầu từ phiên bản 80.40 đã có cơ hội để hoạt động với các quy tắc HTTPS mà không cần Trang tổng quan cũ, dưới đây là một số thứ tự quy tắc được đề xuất:
Bỏ qua một nhóm địa chỉ và mạng (Destination).
Bỏ qua một nhóm URL.
Bỏ qua IP nội bộ và mạng có quyền truy cập đặc quyền (Nguồn).
Kiểm tra các mạng, người dùng được yêu cầu
Bỏ qua cho những người khác.
* Tốt hơn hết bạn nên chọn thủ công các dịch vụ HTTPS hoặc HTTPS Proxy và để lại Bất kỳ. Ghi lại các sự kiện theo quy tắc Kiểm tra.
IPS
Tấm IPS có thể không cài đặt được chính sách trên NGFW của bạn nếu sử dụng quá nhiều chữ ký. Dựa theo Bài viết từ Check Point, kiến trúc thiết bị SMB không được thiết kế để chạy cấu hình cấu hình IPS đầy đủ được đề xuất.
Để giải quyết hoặc ngăn chặn sự cố, hãy làm theo các bước sau:
Sao chép cấu hình Tối ưu hóa có tên là “SMB được tối ưu hóa” (hoặc một cấu hình khác mà bạn chọn).
Chỉnh sửa cấu hình, đi tới phần IPS → Pre R80.Settings và tắt Bảo vệ máy chủ.
Theo quyết định riêng của mình, bạn có thể vô hiệu hóa các CVE cũ hơn 2010, những lỗ hổng này có thể hiếm gặp ở các văn phòng nhỏ nhưng ảnh hưởng đến hiệu suất. Để vô hiệu hóa một số trong số chúng, hãy đi tới Hồ sơ → IPS → Kích hoạt bổ sung → Danh sách bảo vệ để hủy kích hoạt
Thay vì một kết luận
Là một phần của loạt bài viết về thế hệ NGFW mới của dòng SMB (1500), chúng tôi đã cố gắng nêu bật các khả năng chính của giải pháp và trình diễn cấu hình của các thành phần bảo mật quan trọng bằng các ví dụ cụ thể. Chúng tôi sẽ sẵn lòng trả lời mọi câu hỏi về sản phẩm trong phần bình luận. Chúng tôi ở lại với bạn, cảm ơn bạn đã quan tâm!