7. 適用於小型企業的 NGFW。 性能和一般建議

是時候完成一系列關於新一代 SMB Check Point（1500 系列）的文章了。 我們希望這對您來說是一次有益的體驗，並且您將繼續在 TS 解決方案部落格上與我們在一起。 最後一篇文章的主題沒有被廣泛討論，但同樣重要 - SMB 效能調整。 在其中我們將討論 NGFW 硬體和軟體的配置選項，描述可用的命令和互動方法。

有關小型企業 NGFW 的系列所有文章：

1. 全新 CheckPoint 1500 安全網關係列

2. 拆箱和設置

3. 無線數據傳輸：WiFi和LTE

4. VPN

5. 雲SMP管理

6. 智能1雲

目前，由於以下原因，有關 SMB 解決方案效能調優的資訊來源並不多： 限制 內部作業系統 - Gaia 80.20 嵌入式。 在我們的文章中，我們將使用集中管理的佈局（專用管理伺服器）—它允許您在使用 NGFW 時使用更多工具。

硬件部分

在接觸 Check Point SMB 系列架構之前，您可以隨時要求您的合作夥伴使用該實用程式 電器選用工具，根據指定的特徵（吞吐量、預期用戶數等）選擇最優解決方案。

與 NGFW 硬體互動時的重要注意事項

1. SMB 系列的 NGFW 解決方案不具備硬體升級系統組件（CPU、RAM、HDD）的能力；根據型號，支援 SD 卡，這允許您擴展磁碟容量，但幅度不大。

2. 網路介面的操作需要控制。 Gaia 80.20 Embedded沒有很多監控工具，但您始終可以透過專家模式在CLI中使用眾所周知的命令 

   ＃ 我配置文件

   

   請注意下劃線的線，它們將允許您估計介面上的錯誤數量。 強烈建議在 NGFW 的初始實施期間以及在運行期間定期檢查這些參數。

3. 對於成熟的蓋亞有一個命令：

   >顯示診斷

   借助它的幫助，可以獲得有關硬體溫度的資訊。 不幸的是，此選項在 80.20 Embedded 中不可用；我們將指出最受歡迎的 SNMP 陷阱：

   名稱  

   描述

   介面斷開

   禁用介面

   VLAN 已刪除

   刪除 VLAN

   記憶體利用率高

   高記憶體利用率

   磁盤空間不足

   硬碟空間不足

   CPU利用率高

   CPU利用率高

   CPU中斷率高

   高中斷率

   連接率高

   新連線流量高

   高並發連接數

   高水準的競技環節

   高防火牆吞吐量

   高吞吐量防火牆

   高接受包率

   高資料包接收率

   叢集成員狀態發生變化

   更改集群狀態

   連線日誌伺服器錯誤

   與日誌伺服器失去連接

4. 網關的運作需要 RAM 監控。 為了讓 Gaia（類似 Linux 的作業系統）運作，這是 正常狀況當 RAM 消耗達到使用量的 70-80% 時。

   與舊的 Check Point 型號不同，SMB 解決方案的架構不提供 SWAP 記憶體的使用。 然而，在Linux系統檔案中註意到，這顯示理論上改變SWAP參數的可能性。

軟體部分

文章發表時 最新 蓋亞版本 - 80.20.10。 您需要知道在 CLI 中工作時存在一些限制：專家模式支援某些 Linux 命令。 評估NGFW的效能需要評估守護程序和服務的效能，更多詳細資訊可以在 文章 我的同事。 我們將研究 SMB 的可能命令。

使用 Gaia 作業系統

1. 瀏覽 SecureXL 模板

   #fwaccelstat

   

2. 按核心查看啟動

   # fw ctl multik stat

   

3. 查看會話（連線）數量。

   #fw ctl pstat

   

4. *查看集群狀態

   #cphaprob 統計數據

   

5. 經典Linux TOP指令

記錄

如您所知，可以透過三種方式處理 NGFW 日誌（儲存、處理）：本地、集中和雲端。 最後兩個選項意味著存在一個實體 - 管理伺服器。

可能的NGFW控制方案

最有價值的日誌文件

1. 系統訊息（包含的資訊少於完整的 Gaia）

   # tail -f /var/log/messages2

   

2. 刀片操作中的錯誤訊息（在排除問題時非常有用的文件）

   # tail -f /var/log/log/sfwd.elg

   

3. 在系統內核層級查看緩衝區中的消息。

   #dmesg

   

刀片配置

本節不包含設定 NGFW 檢查點的完整說明；它僅包含我們根據經驗選擇的建議。

應用程式控制/網址過濾

• 建議避免規則中的 ANY、ANY（來源、目的地）條件。

• 指定自訂 URL 資源時，使用正規表示式會更有效，例如： (^|..)checkpoint.com

• 避免過度使用規則日誌記錄和顯示封鎖頁面 (UserCheck)。

• 確保技術正常運作 “安全XL”。 大多數流量應該經過 加速/中等路徑。 另外，不要忘記按最常用的規則（字段 點擊 ).

HTTPS-檢查

眾所周知，70-80% 的用戶流量來自 HTTPS 連接，這意味著這需要網關處理器的資源。 此外，HTTPS-Inspection也參與IPS、Antivirus、Antibot的工作。

從版本 80.40 開始有 機會 要在沒有舊版儀表板的情況下使用 HTTPS 規則，以下是一些建議的規則順序：

• 繞過一組位址和網路（目標）。

• 繞過一組 URL。

• 繞過具有特權存取的內部 IP 和網路（來源）。

• 檢查所需的網路、用戶

• 為其他人繞行。

* 最好手動選擇 HTTPS 或 HTTPS 代理服務並保留「任意」。 根據檢查規則記錄事件。

IPS

如果使用太多簽名，IPS 刀片可能無法在 NGFW 上安裝策略。 根據 文章 根據 Check Point 的說法，SMB 設備架構並非設計用於運行完整建議的 IPS 設定檔。

若要解決或防止該問題，請依照下列步驟操作：

1. 複製名為「Optimized SMB」的最佳化設定檔（或您選擇的其他設定檔）。

2. 編輯設定文件，前往 IPS → Pre R80.Settings 部分並關閉伺服器保護。

   

3. 您可以自行決定停用 2010 年之前的 CVE，這些漏洞在小型辦公室中可能很少發現，但會影響效能。 若要停用其中一些，請前往設定檔→IPS→其他啟用→要停用的保護列表

   

取而代之的是結論

作為新一代SMB系列NGFW（1500）系列文章的一部分，我們試圖突出此解決方案的主要功能，並使用具體範例來示範重要安全組件的配置。 我們很樂意在評論中回答有關該產品的任何問題。 我們與您同在，感謝您的關注！

Check Point 上有來自 TS Solution 的大量精選材料。 為了不錯過新出版物，請關注我們社交網路上的更新（Telegram, Facebook, VK, TS 解決方案博客, Yandex Zen).

來源： www.habr.com