Banyak pelanggan yang menyewa sumber daya cloud dari kami menggunakan Poin Periksa virtual. Dengan bantuan mereka, klien memecahkan berbagai masalah: seseorang mengontrol akses segmen server ke Internet atau menerbitkan layanan mereka untuk peralatan kami. Seseorang harus menjalankan semua lalu lintas melalui IPS blade, sementara seseorang membutuhkan Titik Periksa sebagai gateway VPN untuk mengakses sumber daya internal di pusat data dari cabang. Ada orang-orang yang perlu melindungi infrastruktur mereka di cloud untuk lulus sertifikasi menurut FZ-152, tetapi saya akan memberi tahu Anda tentang ini secara terpisah.
Saat bertugas, saya terlibat dalam mendukung dan mengelola Poin Pemeriksaan. Hari ini saya akan memberi tahu Anda apa yang harus dipertimbangkan ketika mengerahkan sekelompok Poin Periksa di lingkungan virtual. Saya akan menyentuh saat-saat dari tingkat virtualisasi, jaringan, pengaturan Titik Periksa itu sendiri dan pemantauan.
Saya tidak berjanji untuk menemukan Amerika - banyak yang ada dalam rekomendasi dan praktik terbaik vendor. Tapi tidak ada yang membacanya), jadi mereka menyetir.
Mode klaster
Kami memiliki Poin Periksa hidup dalam kelompok. Instalasi yang paling umum adalah sekelompok dua node dalam mode siaga aktif. Jika sesuatu terjadi pada node aktif, itu menjadi tidak aktif, dan node siaga dihidupkan. Beralih ke node βcadanganβ biasanya terjadi karena masalah dalam sinkronisasi antara anggota cluster, keadaan antarmuka, kebijakan keamanan yang ditetapkan, hanya karena beban berat pada peralatan.
Dalam klaster dua-simpul, kami tidak menggunakan mode aktif-aktif.
Jika salah satu node jatuh, node yang bertahan mungkin tidak dapat menahan beban ganda, dan kemudian kita akan kehilangan segalanya. Jika Anda benar-benar ingin aktif-aktif, maka cluster harus memiliki minimal 3 node.
Pengaturan Jaringan dan Virtualisasi
Lalu lintas multicast antara antarmuka SYNC anggota cluster diizinkan pada peralatan jaringan. Jika lalu lintas multicast tidak memungkinkan, maka protokol sinkronisasi (CCP) digunakan siaran. Node di gugus Check Point bersinkronisasi satu sama lain. Pesan tentang perubahan ditransmisikan dari node ke node melalui multicast. Check Point menggunakan implementasi multicast non-standar (alamat IP non-multicast digunakan). Karena itu, beberapa peralatan, seperti sakelar Cisco Nexus, tidak memahami pesan-pesan ini dan karenanya memblokirnya. Dalam hal ini, beralihlah ke siaran.
Deskripsi masalah dengan Cisco Nexus dan solusinya di portal vendor.Pada tingkat virtualisasi, kami juga mengizinkan berlalunya lalu lintas multicast. Jika multicast dilarang untuk sinkronisasi klaster (CCP), maka gunakan siaran.
Di konsol Titik Periksa, menggunakan perintah cphaprob -a jika, Anda dapat melihat pengaturan CPP dan mode operasinya (multicast atau siaran). Untuk mengubah mode pengoperasian, gunakan perintah broadcast cphaconf set_ccp.
Node cluster harus pada host ESXi yang berbeda. Semuanya jelas di sini: ketika host fisik jatuh, simpul kedua terus bekerja. Ini dapat dicapai dengan menggunakan aturan anti-afinitas DRS.
Dimensi mesin virtual tempat Check Point akan dijalankan. Rekomendasi vendor adalah 2 vCPU dan 6 GB, tetapi ini adalah untuk konfigurasi minimal, misalnya, jika Anda memiliki firewall dengan bandwidth minimal. Dalam pengalaman implementasi kami, saat menggunakan beberapa bilah perangkat lunak, disarankan untuk menggunakan setidaknya 4 vCPU, 8 GB RAM.
Pada sebuah node, kami mengalokasikan rata-rata 150 GB disk. Saat menggunakan Titik Pemeriksaan virtual, disk dipartisi, dan kami dapat menyesuaikan berapa banyak ruang yang dialokasikan untuk Tukar Sistem, Rooting Sistem, Log, Cadangan, dan Peningkatan.
Saat Anda meningkatkan Root Sistem, partisi Cadangan dan Upgrade juga perlu ditingkatkan untuk menjaga proporsi di antara mereka. Jika proporsinya tidak dihormati, maka cadangan berikutnya mungkin tidak sesuai dengan disk.
Disk Provisioning - Provisi Tebal Malas Nol. Check Point menghasilkan banyak peristiwa dan log, setiap 1000 entri muncul. Di bawah mereka, lebih baik segera memesan tempat. Untuk melakukan ini, saat membuat mesin virtual, kami mengalokasikan disk menggunakan teknologi Thick Provisioning, mis. kami menyediakan ruang pada penyimpanan fisik pada saat pembuatan disk.
Reservasi sumber daya 100% yang dikonfigurasi untuk Titik Periksa selama migrasi antara host ESXi. Kami menyarankan Anda memesan 100% sumber daya sehingga mesin virtual tempat Titik Periksa digunakan tidak bersaing untuk sumber daya dengan VM lain di host.
Lain-lain Kami menggunakan versi Check Point R77.30. Untuk itu, disarankan menggunakan RedHat Enterprise Linux versi 5 (64-bit) sebagai OS tamu di mesin virtual. Dari driver jaringan - VMXNET3 atau Intel E1000.
Periksa Pengaturan Titik
Pembaruan Poin Pemeriksaan terbaru diinstal pada gateway dan server manajemen. Periksa pembaruan melalui CPUSE.
Menggunakan Verifier, kami memverifikasi bahwa paket layanan yang akan kami instal tidak bertentangan dengan sistem.
Verifier, tentu saja, adalah hal yang baik, tetapi ada nuansa. Beberapa pembaruan tidak kompatibel dengan add-on, tetapi Verifier tidak akan menampilkan konflik ini dan akan memungkinkan pembaruan. Pada akhir pembaruan, Anda akan mendapatkan kesalahan, dan hanya dari itu Anda akan menemukan apa yang mencegah pembaruan. Misalnya, situasi ini terjadi dengan paket layanan MABDA_001 (Agen Penyebaran Blade Akses Seluler), yang memecahkan masalah meluncurkan Plugin Java di browser selain IE.
Pembaruan tanda tangan otomatis harian yang dikonfigurasi untuk IPS dan bilah perangkat lunak lainnya. Check Point melepaskan tanda tangan yang dapat digunakan untuk mendeteksi atau memblokir kerentanan baru. Kerentanan secara otomatis ditetapkan tingkat kritisnya. Sesuai dengan level ini dan filter yang ditetapkan, sistem memutuskan apakah akan mendeteksi atau memblokir tanda tangan. Penting di sini untuk tidak berlebihan dengan filter, periksa dan sesuaikan secara berkala agar lalu lintas yang sah tidak diblokir.
Profil IPS, tempat kami memilih tindakan sehubungan dengan tanda tangan sesuai dengan parameternya.
Pengaturan kebijakan untuk profil IPS ini sesuai dengan pengaturan tanda tangan: tingkat keparahan, dampak kinerja, dll.Perangkat keras Titik Periksa dikonfigurasi dengan protokol sinkronisasi waktu NTP. Berdasarkan
rekomendasi , Titik Periksa harus menggunakan server NTP eksternal untuk menyinkronkan waktu pada peralatan. Ini bisa dilakukan melalui portal web gaia.
Pengaturan waktu yang tidak tepat dapat menyebabkan cluster tidak sinkron. Jika waktunya salah, maka sangat tidak nyaman untuk mencari entri log yang menarik minat kami. Setiap entri dalam log peristiwa ditandai dengan stempel waktu yang disebut.
Acara Cerdas yang Dikonfigurasi untuk peringatan tentang IPS, Kontrol Aplikasi, Anti-Bot, dll. Ini adalah modul terpisah dengan lisensi sendiri. Jika Anda memilikinya, maka akan lebih mudah untuk memvisualisasikan informasi tentang pengoperasian semua bilah dan perangkat lunak. Misalnya, serangan, jumlah operasi IPS, tingkat kekritisan ancaman, yang melarang aplikasi digunakan oleh pengguna, dll.
Ini adalah statistik selama 30 hari sesuai dengan jumlah tanda tangan dan tingkat kekritisannya.
Informasi lebih rinci tentang tanda tangan yang terdeteksi pada setiap blade perangkat lunak.Pemantauan
Penting untuk memantau setidaknya parameter berikut:
- negara gugus;
- ketersediaan komponen Titik Periksa;
- Beban CPU
- sisa ruang disk;
- memori bebas.
Check Point memiliki bilah perangkat lunak yang terpisah - Pemantauan Cerdas (lisensi terpisah). Di dalamnya, Anda juga dapat memantau ketersediaan komponen Titik Periksa, memuat pada blade individual, dan status lisensi.
Grafik memuat Chek Point. Splash - ini adalah pelanggan yang mengirim pemberitahuan push ke 800 ribu pelanggan.
Grafik beban pada bilah Firewall dalam situasi yang sama.Pemantauan juga dapat dikonfigurasi melalui layanan pihak ketiga. Misalnya, kami juga menggunakan Nagios, tempat kami memantau:
- ketersediaan peralatan jaringan;
- Ketersediaan alamat cluster
- Pemuatan CPU oleh core. Saat mengunduh lebih dari 70%, peringatan email tiba. Beban tinggi seperti itu dapat menunjukkan lalu lintas tertentu (misalnya, VPN). Jika ini sering diulang, maka mungkin tidak ada sumber daya yang cukup dan perlu memperluas kolam.
- RAM gratis. Jika kurang dari 80% tetap, maka kita akan mengetahuinya.
- disk memuat pada partisi tertentu, misalnya var / log. Jika segera buntu, maka perlu untuk berkembang.
- Split Brain (pada level cluster). Kami memantau keadaan saat kedua node menjadi aktif dan sinkronisasi di antara keduanya menghilang.
- Mode ketersediaan tinggi - kami memantau bahwa cluster berada dalam mode siaga aktif. Kami melihat status node - aktif, siaga, turun.
Opsi pemantauan di Nagios.Penting juga memantau status server fisik tempat host ESXi digunakan.
Cadangkan
Vendor sendiri merekomendasikan untuk mengambil snapshot segera setelah menginstal pembaruan (Perbaikan terbaru).
Bergantung pada frekuensi perubahan, cadangan penuh dikonfigurasikan seminggu sekali atau sebulan. Dalam praktik kami, kami melakukan penyalinan harian file-file Poin Periksa dan cadangan penuh seminggu sekali.
Itu saja. Ini adalah poin paling dasar yang perlu dipertimbangkan ketika menggunakan Poin Pemeriksaan virtual. Tetapi bahkan memenuhi minimum ini akan membantu untuk menghindari masalah dengan pekerjaan mereka.