Наступило время для завершения цикла статей о новом поколении SMB Check Point (1500 cерия). Мы надеемся, что для вас это был полезный опыт, и вы продолжите быть с нами в блоге TS Solution. Тема для заключительной статьи широко не освещена, но не менее важна - тюнинг производительности SMB. В ней мы обсудим возможности конфигурации аппаратной и программной части работы NGFW, опишем доступные команды и способы взаимодействия.
Все статьи цикла о NGFW для малого бизнеса:
На текущий момент существует не так много источников информации о тюнинге производительности для SMB решений ввиду ограничений внутренней ОС - Gaia 80.20 Embedded. В нашей статье мы будем использовать макет с централизованным управлением ( выделенный Management Server ) - он позволяет применить большее количество инструментов при работе с NGFW.
Прежде чем затрагивать архитектуру Check Point семейства SMB, вы всегда можете обратиться к вашему партнеру, чтобы он использовал утилиту Appliance Sizing Tool, для подбора оптимального решения согласно заданным характеристикам (пропускная способность, ожидаемое количество пользователей и т.д).
NGFW решения семейства SMB не имеют возможности аппаратного апгрейда системных компонентов (CPU, RAM, HDD), в зависимости от модели есть поддержка SD-карт, это позволяет расширить емкость диска, но не значительно.
Работа сетевых интерфейсов требует контроля. В Gaia 80.20 Embedded не так много инструментов для мониторинга, но вы всегда можете использовать общеизвестную команду в CLI через режим Expert
# ifconfig
Обратите внимание на подчеркнутые строки, они позволят вам оценить количество ошибок на интерфейсе. Крайне рекомендуется проверять данные параметры при первичном внедрении вашего NGFW, а также периодически уже в ходе эксплуатации.
Для полноценной Gaia есть команда:
> show diag
С ее помощью возможно получить информацию о температуре аппаратного обеспечения. К сожалению, в 80.20 Embedded данной опции нет, укажем наиболее популярные SNMP-traps:
Название | Описание |
Interface disconnected | Отключение интерфейса |
VLAN removed | Удаление Vlan |
High memory utilization | Высокая утилизация RAM |
Low disk space | Мало место на HDD |
High CPU utilization | Высокая утилизация CPU |
High CPU interrupts rate | Высокая частота прерываний |
High connection rate | Высокий поток новых подключений |
High concurrent connections | Высокий уровень конкурентных сессий |
High Firewall throughput | Высокий уровень пропускной способности Firewall |
High accepted packet rate | Высокий уровень приема пакетов |
Cluster member state changed | Изменение состояния кластера |
Connection with log server error | Потеря связи с Log-Server |
Работа вашего шлюза требует контроля RAM. Для работы Gaia (Linux подобная OC) это нормальная ситуация, когда расход RAM доходит до 70-80% использования.
В архитектуре SMB-решений не предусмотрено использования SWAP-памяти, в отличие от более старших моделей Check Point. Тем не менее, в системных файлах Linux был замечен <vm.swapsiness>, что говорит о теоретической возможности изменять параметр SWAP.
На момент выхода статьи актуальная версии Gaia - 80.20.10. Вам нужно знать, что присутствуют ограничения при работе в CLI: в режиме Expert поддерживаются некоторые Linuх команды. Для оценки работы NGFW требуется оценка работы демонов и служб, более подробно об этом можно узнать в статье моего коллеги. Мы же рассмотрим возможные команды для SMB.
Просмотр шаблонов SecureXL
# fwaccel stat
Просмотр загрузки по ядрам
# fw ctl multik stat
Просмотр количества сессий (соединений).
# fw ctl pstat
*Просмотр состояния кластера
# cphaprob stat
Классическая Linux-команда TOP
Как вы уже знаете, есть три способа работы с логами NGFW (хранение, обработка) : локально, централизованно и в облаке. Последние два варианта подразумевают наличие сущности - Management Server.
Системные сообщения (содержит меньше информации, чем в полноценной Gaia)
# tail -f /var/log/messages2
Cообщения об ошибках в работе блейдов (достаточно полезный файл при поиске проблем)
# tail -f /var/log/log/sfwd.elg
Просмотр сообщений из буфера на уровне ядра системы.
# dmesg
Данный раздел не будет содержать полноценных инструкций по настройке вашего NGFW Сheck Point, он лишь содержит наши рекомендации, подобранные опытным путем.
Рекомендовано избегать в правилах условия ANY, ANY (Source, Destination).
В случае задания кастомного URL-ресурса более действенно будет использовать регулярное выражения типа: (^|..)checkpoint.com
Избегайте чрезмерного использования логирования по правилам и показа страниц блокировки (UserCheck).
Убедитесь, что корректно работает технология “SecureXL”. Большая часть трафика должна проходить через accelerated / medium path. Также не забывайте фильтровать правила по наиболее используемым (поле Hits ).
Ни для кого не секрет, что 70-80% пользовательского трафика приходится на HTTPS-соединения, соответственно, это требует ресурсов от процессора вашего шлюза. Кроме этого, HTTPS-Inspection участвует в работе IPS, Antivirus, Antibot.
Начиная с версии 80.40 появилась возможность работать с HTTPS-правилами без Legacy Dashboard, вот некоторый рекомендуемый порядок правил:
Bypass для группы адресов и сетей (Destination).
Bypass для группы URL-адресов.
Bypass для внутренних IP и cетей с привилегированным доступом (Source).
Inspect для необходимых сетей, пользователей
Bypass для всех остальных.
* Всегда лучше выбирать вручную сервисы HTTPS или HTTPS Proxy, не оставлять Any. Логировать события по правилам Inspect.
Блейд IPS может вызывать ошибку при инсталляции политики на вашем NGFW , если используется слишком много сигнатур. Согласно статье от Check Point, архитектура SMB устройств не рассчитана для запуска полного рекомендуемого профиля настроек IPS.
Чтобы решить или предотвратить проблему, выполните следующие шаги:
Клонируйте Optimized профиль под названием “Optimized SMB” ( либо другим на ваше усмотрение ).
Отредактируйте профиль, перейдите в раздел IPS > Pre R80.Settings и выключите Server Protections.
По вашему усмотрению вы можете деактивировать CVE старше 2010, данные уязвимости могут быть редко обнаружены в малых офисах, но влияют на производительность. Чтобы отключить некоторые из них , перейдите в Profile> IPS> Additional Activation > Protections to deactivate list
В рамках цикла статей о новом поколение NGFW семейства SMB (1500) мы постарались осветить основные возможности решения, продемонстрировали на конкретных примерах настройку важных компонентов безопасности. Будем рады ответить на любые вопросы о продукте в комментариях. Остаемся с вами , спасибо за внимание!
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить новые публикации — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
К сожалению, не доступен сервер mySQL