7. NGFW dành cho doanh nghiệp nhỏ. Hiệu suất và khuyến nghị chung

Đã đến lúc hoàn thành loạt bài viết về SMB Check Point thế hệ mới (loạt 1500). Chúng tôi hy vọng rằng đây là một trải nghiệm bổ ích cho bạn và bạn sẽ tiếp tục đồng hành cùng chúng tôi trên blog TS Solution. Chủ đề của bài viết cuối cùng không được đề cập rộng rãi nhưng không kém phần quan trọng - điều chỉnh hiệu suất SMB. Trong đó, chúng ta sẽ thảo luận về các tùy chọn cấu hình cho phần cứng và phần mềm của NGFW, mô tả các lệnh và phương thức tương tác có sẵn.

Tất cả các bài viết trong series về NGFW dành cho doanh nghiệp nhỏ:

1. Đường dây cổng bảo mật CheckPoint 1500 mới

2. Mở hộp và thiết lập

3. Truyền dữ liệu không dây: WiFi và LTE

4. VPN

5. Quản lý SMP trên đám mây

6. Đám mây thông minh-1

Hiện tại, không có nhiều nguồn thông tin về điều chỉnh hiệu suất cho các giải pháp SMB do những hạn chế Hệ điều hành nội bộ - Gaia 80.20 được nhúng. Trong bài viết của chúng tôi, chúng tôi sẽ sử dụng bố cục với quản lý tập trung (Máy chủ quản lý chuyên dụng) - nó cho phép bạn sử dụng nhiều công cụ hơn khi làm việc với NGFW.

Phần cứng

Trước khi chạm vào kiến ​​trúc dòng Check Point SMB, bạn luôn có thể yêu cầu đối tác của mình sử dụng tiện ích Công cụ định cỡ thiết bị, để chọn giải pháp tối ưu theo các đặc điểm đã chỉ định (thông lượng, số lượng người dùng dự kiến, v.v.).

Những lưu ý quan trọng khi tương tác với phần cứng NGFW của bạn

1. Các giải pháp NGFW thuộc dòng SMB không có khả năng nâng cấp phần cứng các thành phần hệ thống (CPU, RAM, HDD); tùy thuộc vào kiểu máy, có hỗ trợ thẻ SD, điều này cho phép bạn mở rộng dung lượng ổ đĩa, nhưng không đáng kể.

2. Hoạt động của các giao diện mạng yêu cầu phải có sự điều khiển. Gaia 80.20 Embedded không có nhiều công cụ giám sát, nhưng bạn luôn có thể sử dụng lệnh nổi tiếng trong CLI thông qua chế độ Expert 

   # Tôifconfig

   

   Hãy chú ý đến những dòng được gạch chân, chúng sẽ cho phép bạn ước tính số lượng lỗi trên giao diện. Bạn nên kiểm tra các tham số này trong quá trình triển khai NGFW ban đầu cũng như định kỳ trong quá trình vận hành.

3. Đối với một Gaia chính thức, có một lệnh:

   > hiển thị đường chéo

   Với sự trợ giúp của nó, bạn có thể thu được thông tin về nhiệt độ của phần cứng. Thật không may, tùy chọn này không có sẵn trong 80.20 Embedded; chúng tôi sẽ chỉ ra các bẫy SNMP phổ biến nhất:

   tên 

   Описание

   Giao diện bị ngắt kết nối

   Vô hiệu hóa giao diện

   Đã xóa Vlan

   Loại bỏ Vlan

   Sử dụng bộ nhớ cao

   Sử dụng RAM cao

   Dung lượng đĩa thấp

   Không đủ dung lượng ổ cứng

   Sử dụng CPU cao

   Sử dụng CPU cao

   Tốc độ ngắt CPU cao

   Tỷ lệ ngắt cao

   Tốc độ kết nối cao

   Lưu lượng kết nối mới cao

   Kết nối đồng thời cao

   Mức độ cao của các phiên cạnh tranh

   Thông lượng tường lửa cao

   Tường lửa thông lượng cao

   Tốc độ gói được chấp nhận cao

   Tốc độ nhận gói cao

   Trạng thái thành viên cụm đã thay đổi

   Thay đổi trạng thái cụm

   Kết nối với lỗi máy chủ đăng nhập

   Mất kết nối với Log-Server

4. Hoạt động của cổng của bạn yêu cầu giám sát RAM. Để Gaia (HĐH giống Linux) hoạt động, đây là tình trạng bình thườngkhi mức tiêu thụ RAM đạt 70-80% thời gian sử dụng.

   Kiến trúc của các giải pháp SMB không cung cấp việc sử dụng bộ nhớ SWAP, không giống như các mô hình Check Point cũ hơn. Tuy nhiên, trong các tệp hệ thống Linux, người ta nhận thấy , cho biết khả năng về mặt lý thuyết của việc thay đổi tham số SWAP.

phần mềm

Tại thời điểm xuất bản bài viết thực tế Phiên bản Gaia - 80.20.10. Bạn cần biết rằng có những hạn chế khi làm việc trong CLI: một số lệnh Linux được hỗ trợ ở chế độ Expert. Đánh giá hiệu suất của NGFW yêu cầu đánh giá hiệu suất của daemon và dịch vụ, bạn có thể tìm thêm thông tin chi tiết về điều này trong Bài viết đồng nghiệp của tôi. Chúng tôi sẽ xem xét các lệnh có thể có cho SMB.

Làm việc với hệ điều hành Gaia

1. Duyệt qua các mẫu SecureXL

   #fwaccelstat

   

2. Xem khởi động theo lõi

   # fw ctl multik stat

   

3. Xem số phiên (kết nối).

   # fw ctl pstat

   

4. *Xem trạng thái cụm

   #cphaprob chỉ số

   

5. Lệnh TOP Linux cổ điển

ghi nhật ký

Như bạn đã biết, có ba cách để làm việc với nhật ký NGFW (lưu trữ, xử lý): cục bộ, tập trung và trên đám mây. Hai tùy chọn cuối cùng ngụ ý sự hiện diện của một thực thể - Máy chủ quản lý.

Các sơ đồ kiểm soát NGFW có thể có

Các tập tin nhật ký có giá trị nhất

1. Thông báo hệ thống (chứa ít thông tin hơn Gaia đầy đủ)

   # tail -f /var/log/messages2

   

2. Thông báo lỗi trong hoạt động của lưỡi dao (một tệp khá hữu ích khi khắc phục sự cố)

   # tail -f /var/log/log/sfwd.elg

   

3. Xem tin nhắn từ bộ đệm ở cấp hạt nhân hệ thống.

   #dmesg

   

Cấu hình lưỡi

Phần này sẽ không chứa hướng dẫn đầy đủ để thiết lập Điểm kiểm tra NGFW của bạn; nó chỉ chứa các đề xuất của chúng tôi, được lựa chọn theo kinh nghiệm.

Kiểm soát ứng dụng / Lọc URL

• Bạn nên tránh BẤT KỲ, BẤT KỲ điều kiện nào (Nguồn, Đích) trong các quy tắc.

• Khi chỉ định tài nguyên URL tùy chỉnh, sẽ hiệu quả hơn khi sử dụng các biểu thức thông thường như: (^|..)checkpoint.com

• Tránh sử dụng quá nhiều tính năng ghi nhật ký quy tắc và hiển thị các trang chặn (UserCheck).

• Đảm bảo công nghệ hoạt động chính xác "Bảo mậtXL". Hầu hết lưu lượng truy cập phải đi qua đường dẫn tăng tốc/trung bình. Ngoài ra, đừng quên lọc các quy tắc theo những quy tắc được sử dụng nhiều nhất (trường Số lượt truy cập ).

Kiểm tra HTTPS

Không có gì ngạc nhiên khi 70-80% lưu lượng truy cập của người dùng đến từ các kết nối HTTPS, điều đó có nghĩa là điều này yêu cầu tài nguyên từ bộ xử lý cổng của bạn. Ngoài ra, HTTPS-Inspection còn tham gia vào công việc của IPS, Antivirus, Antibot.

Bắt đầu từ phiên bản 80.40 đã có cơ hội để hoạt động với các quy tắc HTTPS mà không cần Trang tổng quan cũ, dưới đây là một số thứ tự quy tắc được đề xuất:

• Bỏ qua một nhóm địa chỉ và mạng (Destination).

• Bỏ qua một nhóm URL.

• Bỏ qua IP nội bộ và mạng có quyền truy cập đặc quyền (Nguồn).

• Kiểm tra các mạng, người dùng được yêu cầu

• Bỏ qua cho những người khác.

* Tốt hơn hết bạn nên chọn thủ công các dịch vụ HTTPS hoặc HTTPS Proxy và để lại Bất kỳ. Ghi lại các sự kiện theo quy tắc Kiểm tra.

IPS

Tấm IPS có thể không cài đặt được chính sách trên NGFW của bạn nếu sử dụng quá nhiều chữ ký. Dựa theo Bài viết từ Check Point, kiến ​​trúc thiết bị SMB không được thiết kế để chạy cấu hình cấu hình IPS đầy đủ được đề xuất.

Để giải quyết hoặc ngăn chặn sự cố, hãy làm theo các bước sau:

1. Sao chép cấu hình Tối ưu hóa có tên là “SMB được tối ưu hóa” (hoặc một cấu hình khác mà bạn chọn).

2. Chỉnh sửa cấu hình, đi tới phần IPS → Pre R80.Settings và tắt Bảo vệ máy chủ.

   

3. Theo quyết định riêng của mình, bạn có thể vô hiệu hóa các CVE cũ hơn 2010, những lỗ hổng này có thể hiếm gặp ở các văn phòng nhỏ nhưng ảnh hưởng đến hiệu suất. Để vô hiệu hóa một số trong số chúng, hãy đi tới Hồ sơ → IPS → Kích hoạt bổ sung → Danh sách bảo vệ để hủy kích hoạt

   

Thay vì một kết luận

Là một phần của loạt bài viết về thế hệ NGFW mới của dòng SMB (1500), chúng tôi đã cố gắng nêu bật các khả năng chính của giải pháp và trình diễn cấu hình của các thành phần bảo mật quan trọng bằng các ví dụ cụ thể. Chúng tôi sẽ sẵn lòng trả lời mọi câu hỏi về sản phẩm trong phần bình luận. Chúng tôi ở lại với bạn, cảm ơn bạn đã quan tâm!

Nhiều lựa chọn tài liệu về Check Point từ TS Solution. Để không bỏ lỡ các ấn phẩm mới, hãy theo dõi cập nhật trên mạng xã hội của chúng tôi (Telegram, Facebook, VK, Blog giải pháp TS, Yandex Zen).

Nguồn: www.habr.com