许多向我们租用云资源的客户都使用虚拟Check Point。 在他们的帮助下,客户可以解决各种问题:有人控制服务器段对Internet的访问或为我们的设备发布服务。 有人需要通过IPS刀片运行所有流量,而有人需要Check Point作为VPN网关才能从分支机构访问数据中心的内部资源。 有些人需要保护云中的基础结构才能通过FZ-152的认证,但是我将以某种方式单独讨论。
在值班期间,我参与支持和管理检查点。 今天,我将告诉您在虚拟环境中部署Check Point群集时应考虑的事项。 我将介绍虚拟化级别,网络,Check Point本身的设置以及监视的时刻。
我不保证会发现美国-供应商的建议和最佳实践很多。 但没人读过它们),所以他们开车了。
集群模式
我们的集群中有Check Point。 最常见的安装是在主备模式下由两个节点组成的集群。 如果活动节点发生故障,它将变为非活动状态,并且备用节点将打开。 切换到“备用”节点通常是由于群集成员之间的同步问题,接口的状态以及已建立的安全策略而引起的,仅是因为设备的负担很重。
在两节点群集中,我们不使用主动-主动模式。
如果其中一个节点掉了,幸存的节点可能根本无法承受双重负荷,那么我们将失去一切。 如果您确实需要主动-主动,则群集应至少具有3个节点。
网络和虚拟化设置
网络设备上允许群集成员的SYNC接口之间的组播流量。 如果无法进行多播通信,则使用广播的同步协议(CCP)。 Check Point群集中的节点彼此同步。 有关更改的消息通过多播在节点之间传输。 Check Point使用非标准多播实现(使用了非多播IP地址)。 因此,某些设备(例如Cisco Nexus交换机)无法理解这些消息,因此将其阻止。 在这种情况下,请切换到广播。
供应商门户上的Cisco Nexus问题及其解决方案的说明。在虚拟化级别,我们还允许多播流量通过。 如果群集同步(CCP)禁止多播,请使用广播。
在Check Point控制台中,使用cphaprob -a if命令,可以查看CPP设置及其操作模式(多播或广播)。 要更改操作模式,请使用cphaconf set_ccp broadcast命令。
群集节点必须位于不同的ESXi主机上。 一切都清楚了:当物理主机掉落时,第二个节点继续工作。 这可以使用DRS反关联性规则来实现。
将运行Check Point的虚拟机的尺寸。 供应商的建议是2个vCPU和6 GB,但这是用于最小配置的,例如,如果您的防火墙具有最小带宽。 根据我们的实施经验,当使用多个软件刀片时,建议至少使用4个vCPU,8 GB RAM。
在一个节点上,我们平均分配150 GB的磁盘。 部署虚拟Check Point时,磁盘已分区,我们可以调整为系统交换,系统根,日志,备份和升级分配多少空间。
当您增加系统根目录时,还需要增加备份和升级分区,以保持它们之间的比例。 如果不遵守该比例,则下次备份可能不适合该磁盘。
磁盘置备-厚置备延迟置零。 Check Point会生成大量事件和日志,每隔1000个条目就会出现一次。 在他们之下,最好立即保留一个位置。 为此,在创建虚拟机时,我们使用Thin Provisioning技术为其分配磁盘。 在创建磁盘时,我们会在物理存储上保留空间。
在ESXi主机之间迁移期间为Check Point配置了100%的资源预留。 我们建议您保留100%的资源,以便部署Check Point的虚拟机不会与主机上的其他VM竞争资源。
杂项 我们使用R77.30的Check Point版本。 为此,建议将RedHat Enterprise Linux版本5(64位)用作虚拟机上的客户机OS。 从网络驱动程序-VMXNET3或Intel E1000。
检查点设置
最新的Check Point更新安装在网关和管理服务器上。 通过CPUSE检查更新。
使用Verifier,我们验证我们将要安装的Service Pack与系统没有冲突。
验证程序固然是一件好事,但有细微差别。 某些更新与附加组件不兼容,但Verifier不会显示这些冲突,而是允许更新。 在更新结束时,您将得到一个错误,并且只有从中您才能发现阻止更新的原因。 例如,这种情况发生在MABDA_001 Service Pack(移动访问刀片部署代理)上,它解决了在IE以外的浏览器中启动Java插件的问题。
为IPS和其他软件刀片配置的每日自动签名更新。 Check Point释放可用于检测或阻止新漏洞的签名。 系统会自动为漏洞分配关键级别。 根据此级别和设置的过滤器,系统决定是检测还是阻止签名。 在这里重要的是不要对过滤器过度使用,定期检查并进行调整,以防止合法流量被阻塞。
IPS配置文件,我们根据其参数选择有关签名的操作。
根据签名设置的此IPS配置文件的策略设置:严重性级别,性能影响等。Check Point硬件配置了NTP时间同步协议。 根据
建议 ,Check Point应该使用外部NTP服务器来同步设备上的时间。 这可以通过gaia网站门户完成。
时间设置不正确可能会导致群集不同步。 如果时间不正确,那么寻找我们感兴趣的日志条目将非常不便。 事件日志中的每个条目都标有所谓的时间戳。
配置的智能事件,用于发出有关IPS,应用程序控制,防盗等的警报。这是一个具有自己许可证的独立模块。 如果您拥有一个,则使用它可以方便地可视化有关所有软件刀片和设备的操作信息。 例如,攻击,IPS操作数,威胁的严重程度,用户使用的禁止应用程序等。
根据签名的数量和严重程度,这些都是30天的统计数据。
有关每个软件刀片上检测到的签名的更多详细信息。监控方式
监视至少以下参数很重要:
- 集群状态
- 检查点组件的可用性;
- CPU负载
- 剩余磁盘空间;
- 可用内存。
Check Point具有单独的软件刀片-智能监控(单独的许可证)。 在其中,您还可以监视Check Point组件的可用性,单个刀片服务器上的负载以及许可证状态。
赤点荷载图。 飞溅-这是向80万个客户发送推送通知的客户。
在相同情况下防火墙刀片上的负载图。监视也可以通过第三方服务进行配置。 例如,我们还使用Nagios,我们在其中监视:
- 设备的网络可用性;
- 群集地址可用性
- CPU内核加载。 如果下载量超过70%,则会收到一封电子邮件警报。 如此高的负载可能表示特定的流量(例如vpn)。 如果经常重复执行此操作,则可能是资源不足,值得扩展池。
- 可用内存。 如果剩下的不足80%,我们将对其进行查找。
- 在某些分区上加载磁盘,例如var / log。 如果很快发生堵塞,则有必要扩展。
- 裂脑(在群集级别)。 当两个节点都变为活动状态并且它们之间的同步消失时,我们将监视状态。
- 高可用性模式-我们监视群集是否处于活动待机模式。 我们查看节点的状态-活动,备用,关闭。
Nagios中的监视选项。同样值得监视的是部署ESXi主机的物理服务器的状态。
后备
供应商本人建议在安装更新(修补程序)后立即拍摄快照。
根据更改的频率,每周或每月配置一次完整备份。 在我们的实践中,我们每天进行Check Point文件的增量复制和每周一次的完整备份。
仅此而已。 这些是部署虚拟检查点时要考虑的最基本点。 但是即使达到此最低要求也将有助于避免他们的工作出现问题。