是時候完成一系列關於新一代 SMB Check Point(1500 系列)的文章了。 我們希望這對您來說是一次有益的體驗,並且您將繼續在 TS 解決方案部落格上與我們在一起。 最後一篇文章的主題沒有被廣泛討論,但同樣重要 - SMB 效能調整。 在其中我們將討論 NGFW 硬體和軟體的配置選項,描述可用的命令和互動方法。
有關小型企業 NGFW 的系列所有文章:
目前,由於以下原因,有關 SMB 解決方案效能調優的資訊來源並不多:
硬件部分
在接觸 Check Point SMB 系列架構之前,您可以隨時要求您的合作夥伴使用該實用程式 電器選用工具,根據指定的特徵(吞吐量、預期用戶數等)選擇最優解決方案。
與 NGFW 硬體互動時的重要注意事項
-
SMB 系列的 NGFW 解決方案不具備硬體升級系統組件(CPU、RAM、HDD)的能力;根據型號,支援 SD 卡,這允許您擴展磁碟容量,但幅度不大。
-
網路介面的操作需要控制。 Gaia 80.20 Embedded沒有很多監控工具,但您始終可以透過專家模式在CLI中使用眾所周知的命令
# 我配置文件
請注意下劃線的線,它們將允許您估計介面上的錯誤數量。 強烈建議在 NGFW 的初始實施期間以及在運行期間定期檢查這些參數。
-
對於成熟的蓋亞有一個命令:
>顯示診斷
借助它的幫助,可以獲得有關硬體溫度的資訊。 不幸的是,此選項在 80.20 Embedded 中不可用;我們將指出最受歡迎的 SNMP 陷阱:
名稱
描述
介面斷開
禁用介面
VLAN 已刪除
刪除 VLAN
記憶體利用率高
高記憶體利用率
磁盤空間不足
硬碟空間不足
CPU利用率高
CPU利用率高
CPU中斷率高
高中斷率
連接率高
新連線流量高
高並發連接數
高水準的競技環節
高防火牆吞吐量
高吞吐量防火牆
高接受包率
高資料包接收率
叢集成員狀態發生變化
更改集群狀態
連線日誌伺服器錯誤
與日誌伺服器失去連接
-
網關的運作需要 RAM 監控。 為了讓 Gaia(類似 Linux 的作業系統)運作,這是
正常狀況 當 RAM 消耗達到使用量的 70-80% 時。與舊的 Check Point 型號不同,SMB 解決方案的架構不提供 SWAP 記憶體的使用。 然而,在Linux系統檔案中註意到,這顯示理論上改變SWAP參數的可能性。
軟體部分
文章發表時
使用 Gaia 作業系統
-
瀏覽 SecureXL 模板
#fwaccelstat
-
按核心查看啟動
# fw ctl multik stat
-
查看會話(連線)數量。
#fw ctl pstat
-
*查看集群狀態
#cphaprob 統計數據
-
經典Linux TOP指令
記錄
如您所知,可以透過三種方式處理 NGFW 日誌(儲存、處理):本地、集中和雲端。 最後兩個選項意味著存在一個實體 - 管理伺服器。
可能的NGFW控制方案
最有價值的日誌文件
-
系統訊息(包含的資訊少於完整的 Gaia)
# tail -f /var/log/messages2
-
刀片操作中的錯誤訊息(在排除問題時非常有用的文件)
# tail -f /var/log/log/sfwd.elg
-
在系統內核層級查看緩衝區中的消息。
#dmesg
刀片配置
本節不包含設定 NGFW 檢查點的完整說明;它僅包含我們根據經驗選擇的建議。
應用程式控制/網址過濾
-
建議避免規則中的 ANY、ANY(來源、目的地)條件。
-
指定自訂 URL 資源時,使用正規表示式會更有效,例如: (^|..)checkpoint.com
-
避免過度使用規則日誌記錄和顯示封鎖頁面 (UserCheck)。
-
確保技術正常運作 “安全XL”。 大多數流量應該經過 加速/中等路徑。 另外,不要忘記按最常用的規則(字段 點擊 ).
HTTPS-檢查
眾所周知,70-80% 的用戶流量來自 HTTPS 連接,這意味著這需要網關處理器的資源。 此外,HTTPS-Inspection也參與IPS、Antivirus、Antibot的工作。
從版本 80.40 開始有
-
繞過一組位址和網路(目標)。
-
繞過一組 URL。
-
繞過具有特權存取的內部 IP 和網路(來源)。
-
檢查所需的網路、用戶
-
為其他人繞行。
* 最好手動選擇 HTTPS 或 HTTPS 代理服務並保留「任意」。 根據檢查規則記錄事件。
IPS
如果使用太多簽名,IPS 刀片可能無法在 NGFW 上安裝策略。 根據
若要解決或防止該問題,請依照下列步驟操作:
-
複製名為「Optimized SMB」的最佳化設定檔(或您選擇的其他設定檔)。
-
編輯設定文件,前往 IPS → Pre R80.Settings 部分並關閉伺服器保護。
-
您可以自行決定停用 2010 年之前的 CVE,這些漏洞在小型辦公室中可能很少發現,但會影響效能。 若要停用其中一些,請前往設定檔→IPS→其他啟用→要停用的保護列表
取而代之的是結論
作為新一代SMB系列NGFW(1500)系列文章的一部分,我們試圖突出此解決方案的主要功能,並使用具體範例來示範重要安全組件的配置。 我們很樂意在評論中回答有關該產品的任何問題。 我們與您同在,感謝您的關注!
來源: www.habr.com