7. 针对小型企业的 NGFW。 性能和一般建议

是时候完成有关新一代 SMB Check Point（1500 系列）的系列文章了。 我们希望这对您来说是一次有益的体验，并且您将继续在 TS 解决方案博客上与我们在一起。 最后一篇文章的主题没有被广泛讨论，但同样重要 - SMB 性能调整。 在其中我们将讨论 NGFW 硬件和软件的配置选项，描述可用的命令和交互方法。

有关小型企业 NGFW 的系列所有文章：

1. 全新 CheckPoint 1500 安全网关系列

2. 拆箱和设置

3. 无线数据传输：WiFi和LTE

4. VPN

5. 云SMP管理

6. 智能1云

目前，由于以下原因，有关 SMB 解决方案性能调优的信息来源并不多： 限制 内部操作系统 - Gaia 80.20 嵌入式。 在我们的文章中，我们将使用集中管理的布局（专用管理服务器）——它允许您在使用 NGFW 时使用更多工具。

硬件部分

在接触 Check Point SMB 系列架构之前，您可以随时要求您的合作伙伴使用该实用程序 电器选型工具，根据指定的特征（吞吐量、预期用户数等）选择最优解决方案。

与 NGFW 硬件交互时的重要注意事项

1. SMB 系列的 NGFW 解决方案不具备硬件升级系统组件（CPU、RAM、HDD）的能力；根据型号，支持 SD 卡，这允许您扩展磁盘容量，但幅度不大。

2. 网络接口的操作需要控制。 Gaia 80.20 Embedded没有很多监控工具，但您始终可以通过专家模式在CLI中使用众所周知的命令 

   ＃ 我配置文件

   

   请注意带下划线的线，它们将允许您估计界面上的错误数量。 强烈建议在 NGFW 的初始实施期间以及在运行期间定期检查这些参数。

3. 对于成熟的盖亚有一个命令：

   >显示诊断

   借助它的帮助，可以获得有关硬件温度的信息。 不幸的是，此选项在 80.20 Embedded 中不可用；我们将指出最流行的 SNMP 陷阱：

   名称 

   使用说明

   接口断开

   禁用接口

   VLAN 已删除

   删除 VLAN

   内存利用率高

   高内存利用率

   磁盘空间不足

   硬盘空间不足

   CPU利用率高

   CPU利用率高

   CPU中断率高

   高中断率

   连接率高

   新连接流量高

   高并发连接数

   高水平的竞技环节

   高防火墙吞吐量

   高吞吐量防火墙

   高接受包率

   高数据包接收率

   集群成员状态发生变化

   更改集群状态

   连接日志服务器错误

   与日志服务器失去连接

4. 网关的运行需要 RAM 监控。 为了让 Gaia（类似 Linux 的操作系统）工作，这是 正常情况当 RAM 消耗达到使用量的 70-80% 时。

   与旧的 Check Point 型号不同，SMB 解决方案的架构不提供 SWAP 内存的使用。 然而，在Linux系统文件中注意到，这表明理论上改变SWAP参数的可能性。

软件部分

文章发表时 相关的 盖亚版本 - 80.20.10。 您需要知道在 CLI 中工作时存在一些限制：专家模式支持某些 Linux 命令。 评估NGFW的性能需要评估守护进程和服务的性能，更多详细信息可以在 文章 我的同事。 我们将研究 SMB 的可能命令。

使用 Gaia 操作系统

1. 浏览 SecureXL 模板

   #fwaccelstat

   

2. 按核心查看启动

   # fw ctl multik stat

   

3. 查看会话（连接）数量。

   #fw ctl pstat

   

4. *查看集群状态

   #cphaprob 统计数据

   

5. 经典Linux TOP命令

记录

如您所知，可以通过三种方式处理 NGFW 日志（存储、处理）：本地、集中和云端。 最后两个选项意味着存在一个实体 - 管理服务器。

可能的NGFW控制方案

最有价值的日志文件

1. 系统消息（包含的信息少于完整的 Gaia）

   # tail -f /var/log/messages2

   

2. 刀片操作中的错误消息（在排除问题时非常有用的文件）

   # tail -f /var/log/log/sfwd.elg

   

3. 在系统内核级别查看缓冲区中的消息。

   #dmesg

   

刀片配置

本节不包含设置 NGFW 检查点的完整说明；它仅包含我们根据经验选择的建议。

应用程序控制/URL过滤

• 建议避免规则中的 ANY、ANY（源、目的地）条件。

• 指定自定义 URL 资源时，使用正则表达式会更有效，例如： (^|..)checkpoint.com

• 避免过度使用规则日志记录和显示阻止页面 (UserCheck)。

• 确保技术正常工作 “安全XL”。 大多数流量应该经过 加速/中等路径。 另外，不要忘记按最常用的规则（字段 点击 ).

HTTPS-检查

众所周知，70-80% 的用户流量来自 HTTPS 连接，这意味着这需要网关处理器的资源。 此外，HTTPS-Inspection还参与IPS、Antivirus、Antibot的工作。

从版本 80.40 开始有 机会 要在没有旧版仪表板的情况下使用 HTTPS 规则，以下是一些推荐的规则顺序：

• 绕过一组地址和网络（目的地）。

• 绕过一组 URL。

• 绕过具有特权访问的内部 IP 和网络（源）。

• 检查所需的网络、用户

• 为其他人绕行。

* 最好手动选择 HTTPS 或 HTTPS 代理服务并保留“任意”。 根据检查规则记录事件。

IPS

如果使用太多签名，IPS 刀片可能无法在 NGFW 上安装策略。 根据 文章 根据 Check Point 的说法，SMB 设备架构并非旨在运行完整推荐的 IPS 配置文件。

要解决或防止该问题，请按照下列步骤操作：

1. 克隆名为“Optimized SMB”的优化配置文件（或您选择的其他配置文件）。

2. 编辑配置文件，转至 IPS → Pre R80.Settings 部分并关闭服务器保护。

   

3. 您可以自行决定禁用 2010 年之前的 CVE，这些漏洞在小型办公室中可能很少发现，但会影响性能。 要禁用其中一些，请转至配置文件→IPS→其他激活→要停用的保护列表

   

取而代之的是结论

作为新一代SMB系列NGFW（1500）系列文章的一部分，我们试图突出该解决方案的主要功能，并使用具体示例演示重要安全组件的配置。 我们很乐意在评论中回答有关该产品的任何问题。 我们与您同在，感谢您的关注！

Check Point 上有来自 TS Solution 的大量精选材料。 为了不错过新出版物，请关注我们社交网络上的更新（Telegram, Facebook, VK, TS 解决方案博客, Yandeks.Dzen).

来源： habr.com