是时候完成有关新一代 SMB Check Point(1500 系列)的系列文章了。 我们希望这对您来说是一次有益的体验,并且您将继续在 TS 解决方案博客上与我们在一起。 最后一篇文章的主题没有被广泛讨论,但同样重要 - SMB 性能调整。 在其中我们将讨论 NGFW 硬件和软件的配置选项,描述可用的命令和交互方法。
有关小型企业 NGFW 的系列所有文章:
目前,由于以下原因,有关 SMB 解决方案性能调优的信息来源并不多:
硬件部分
在接触 Check Point SMB 系列架构之前,您可以随时要求您的合作伙伴使用该实用程序 电器选型工具,根据指定的特征(吞吐量、预期用户数等)选择最优解决方案。
与 NGFW 硬件交互时的重要注意事项
-
SMB 系列的 NGFW 解决方案不具备硬件升级系统组件(CPU、RAM、HDD)的能力;根据型号,支持 SD 卡,这允许您扩展磁盘容量,但幅度不大。
-
网络接口的操作需要控制。 Gaia 80.20 Embedded没有很多监控工具,但您始终可以通过专家模式在CLI中使用众所周知的命令
# 我配置文件
请注意带下划线的线,它们将允许您估计界面上的错误数量。 强烈建议在 NGFW 的初始实施期间以及在运行期间定期检查这些参数。
-
对于成熟的盖亚有一个命令:
>显示诊断
借助它的帮助,可以获得有关硬件温度的信息。 不幸的是,此选项在 80.20 Embedded 中不可用;我们将指出最流行的 SNMP 陷阱:
名称
使用说明
接口断开
禁用接口
VLAN 已删除
删除 VLAN
内存利用率高
高内存利用率
磁盘空间不足
硬盘空间不足
CPU利用率高
CPU利用率高
CPU中断率高
高中断率
连接率高
新连接流量高
高并发连接数
高水平的竞技环节
高防火墙吞吐量
高吞吐量防火墙
高接受包率
高数据包接收率
集群成员状态发生变化
更改集群状态
连接日志服务器错误
与日志服务器失去连接
-
网关的运行需要 RAM 监控。 为了让 Gaia(类似 Linux 的操作系统)工作,这是
正常情况 当 RAM 消耗达到使用量的 70-80% 时。与旧的 Check Point 型号不同,SMB 解决方案的架构不提供 SWAP 内存的使用。 然而,在Linux系统文件中注意到,这表明理论上改变SWAP参数的可能性。
软件部分
文章发表时
使用 Gaia 操作系统
-
浏览 SecureXL 模板
#fwaccelstat
-
按核心查看启动
# fw ctl multik stat
-
查看会话(连接)数量。
#fw ctl pstat
-
*查看集群状态
#cphaprob 统计数据
-
经典Linux TOP命令
记录
如您所知,可以通过三种方式处理 NGFW 日志(存储、处理):本地、集中和云端。 最后两个选项意味着存在一个实体 - 管理服务器。
可能的NGFW控制方案
最有价值的日志文件
-
系统消息(包含的信息少于完整的 Gaia)
# tail -f /var/log/messages2
-
刀片操作中的错误消息(在排除问题时非常有用的文件)
# tail -f /var/log/log/sfwd.elg
-
在系统内核级别查看缓冲区中的消息。
#dmesg
刀片配置
本节不包含设置 NGFW 检查点的完整说明;它仅包含我们根据经验选择的建议。
应用程序控制/URL过滤
-
建议避免规则中的 ANY、ANY(源、目的地)条件。
-
指定自定义 URL 资源时,使用正则表达式会更有效,例如: (^|..)checkpoint.com
-
避免过度使用规则日志记录和显示阻止页面 (UserCheck)。
-
确保技术正常工作 “安全XL”。 大多数流量应该经过 加速/中等路径。 另外,不要忘记按最常用的规则(字段 点击 ).
HTTPS-检查
众所周知,70-80% 的用户流量来自 HTTPS 连接,这意味着这需要网关处理器的资源。 此外,HTTPS-Inspection还参与IPS、Antivirus、Antibot的工作。
从版本 80.40 开始有
-
绕过一组地址和网络(目的地)。
-
绕过一组 URL。
-
绕过具有特权访问的内部 IP 和网络(源)。
-
检查所需的网络、用户
-
为其他人绕行。
* 最好手动选择 HTTPS 或 HTTPS 代理服务并保留“任意”。 根据检查规则记录事件。
IPS
如果使用太多签名,IPS 刀片可能无法在 NGFW 上安装策略。 根据
要解决或防止该问题,请按照下列步骤操作:
-
克隆名为“Optimized SMB”的优化配置文件(或您选择的其他配置文件)。
-
编辑配置文件,转至 IPS → Pre R80.Settings 部分并关闭服务器保护。
-
您可以自行决定禁用 2010 年之前的 CVE,这些漏洞在小型办公室中可能很少发现,但会影响性能。 要禁用其中一些,请转至配置文件→IPS→其他激活→要停用的保护列表
取而代之的是结论
作为新一代SMB系列NGFW(1500)系列文章的一部分,我们试图突出该解决方案的主要功能,并使用具体示例演示重要安全组件的配置。 我们很乐意在评论中回答有关该产品的任何问题。 我们与您同在,感谢您的关注!
来源: habr.com