Guia de Práticas para melhora do desempenho nos Firewalls da Sonicwall
Observação:
Este artigo fornece uma lista de possíveis razões causando problemas de rendimento e desempenho no aparelho UTM SonicWALL. A lista não está completa, mas apenas uma enumeração de algumas das soluções comuns possíveis.
Cada série SonicWALL UTM aparelho tem capacidades de desempenho diferentes, dependendo de especificações de hardware, como a CPU, a RAM ou a memória Flash. É recomendável verificar as capacidades do dispositivo, antes de decidir que os problema de desempenho com o dispositivo é devido a outros fatores.
Os outros fatores que podem afetar o desempenho do dispositivo são os serviços de segurança, como IPS, GAV e GAS. Além disso, fatores como o número de ativos túneis VPN, NAT políticas e regras de acesso também pode fazer uma diferença no desempenho do dispositivo.
Resolução ou solução alternativa:
As seguintes configurações podem determinar a causa do rendimento eo desempenho assuntos relacionados.
1. Maximum Transmission Unit (MTU) da interface WAN do SonicWALL: É o tamanho da unidade máxima de transmissão é o tamanho máximo de um frame Ethernet sendo enviado através de um dispositivo de rede. Por padrão, esse valor é de 1500 bytes, mas em conexões xDSL e cabo este valor é muitas vezes reduzida para conseguir uma conexão mais estável e / ou melhor desempenho. Os valores comuns são: 1492 SDSL / 1460 ADSL / Cabo 1404. O valor MTU é alterado com incrementos de 8 bytes. Na interface WAN SonicWALL este valor é, por padrão 1500 bytes.
Recomendações: Alterar o tamanho da MTU depois de determinar o tamanho da MTU ideal. Consulte o seguinte artigo para determinar o valor MTU ideal: Determinar o valor MTU para sua conexão de Internet. Você também pode usar o mturoute (http://www.softpedia.com/get/Network-Tools/IP-Tools/mturoute.shtml) ferramenta para realizar o mesmo.
2. Fragment non-VPN outbound packets larger than this Interface’s MTU: Esta configuração checkbox funciona em conjunto com MTU, e é ativado por padrão no Gen5 Firmware UTM para o WAN primário e é considerada uma prática recomendada para tê-lo ativado. Não é provável habilitado em Gen4 produtos UTM ou em migrações de Gen4 para Gen5 modelos UTM. Você deve ligá-lo até mesmo em modelos Gen5 (firmware 5.X.X.X)UTM em qualquer interfaces adicionais WAN.
Recomendações: Ative essa opção
3. Ignore Don’t Fragment (DF) Bit: Habilitar esta opção seria fragmentar pacotes com o bit DF definido. Por padrão esta opção está desmarcada nas configurações avançadas da interface WAN e é recomendável mantê-la desmarcada.
Recomendações: Mantenha-o desativado.
4. The interface speed settings of WAN and other interfaces: Por padrão, todas as interfaces no SonicWALL são definidas para detectar automaticamente a velocidade do link. No entanto, em questões de transferência certa, as configurações de velocidade do link deve ser definido manualmente de acordo com o dispositivo conectado à interface. Uma configuração incorreta de Full duplex de sua WAN, por exemplo, teria os seguintes efeitos:
· Impossível negociar uma conexão com ISP (Provedor).
· Travando conexão com à Internet.
· Dropando pacotes.
· Lentidão no link.
5. Bandwidth Management: Você pode aplicar gerenciamento de banda para tráfego de entrada e de saída nas interfaces na zona de WAN. Permitindo que implica introduzir os valores de largura de banda (em Kbps) disponíveis para a interface. Gerenciamento de banda pode causar degradação do rendimento, se mal configurado. Por exemplo, se BWM está sendo ativado em uma interface sem especificar os valores de largura de banda, o tráfego de entrada e saída atravessando que apontam serão limitados aos valores padrão (384Kbps), mesmo que nenhum regras de acesso são configurados com as definições BWM.
Recomendações: Desativar Gerenciamento de Banda se não for necessário.
6. Enable Fragmented Packet Handling in VPN Advanced settings: : Ativando fragmentação ajudaria SonicWALL manipular pacotes fragmentados IPsec.
Recomendações: É recomendável ativar esta opção e deixar a opção Ignorar Bit DF desmarcada.
7. Allow Fragmented Packets in Access Rules: Essa opção é ativada por padrão e as melhores práticas seria mantê-lo ativado.
8. Checar em Connections Monitor para determinar aonde se encontra o host na rede que esta abrindo grande numero de conexões: Se um host na rede foi infectado por malware, ele vai abrir, ao acaso, centenas ou milhares de conexões com a internet, e para outras redes internas. O Monitor Conexões exibe visualizações em tempo real de todas as conexões para e através do dispositivo de segurança SonicWALL. Recomendações: Tente isolar o host e desligue-o da rede até que o malware foi removido.
9. Failover & LB: Quando observado que há uma baixa no desempenho da WAN após a opção de balanceamento tipo Round-Robin esta ativada, É necessário definir um Probe com um endereço IP para o monitoramento. Em tais casos, o tráfego seria enviar para uma ligação WAN, mesmo se essa conexão esta desconectado, resultando em perda de pacotes e deterioração geral na taxa de transferência.
Recomendações: Configurar endereços IP probe de monitoramento.
10. Conexões: Verifique do monitor de conexões para determinar quais os hosts da rede estão fazendo grandes downloads.
11. Regras de acesso e Politicas de NAT: Deletar Access Rules e Politicas de NAT incorretas ou desnecessárias. Se possível tente agrupar diferentes access rules juntas usando o service groups.
12. Configurar Name Resolution Method em Log > Name Resolution para None.
13. IP Re-assembly: Esta opção esta presenta nos dispositivos Gen4, em Security Services > IPS > Configure. Ativando essa opção seria garantir que os pacotes fragmentados seriam remontados antes de pesquisá-los. Na linha NSA esta opção foi alterada para o “Enable IP fragment reassembly in DPI” na página de diagnóstico. Habilitar ou desabilitar esta opção afetaria todo o motor DPI.
Recomendações: Recomenda-se manter as configurações padrão.
14. Configuração de Maximum Security ou Performance Optimized em Security Services settings: Essas são as configurações globais para o Security Services. Segurança máxima é ativado por padrão e é a configuração recomendada. No entanto, para melhoria no desempenho, configurações de segurança, pode ser configurado paraPerformance Optimized. Ao ativar esta opção, o SonicWALL iria inspecionar todo o conteúdo com uma probabilidade de ameaça alta ou média. Esta opção é ideal para implementações de gateway com grande largura de banda ou intensivo da CPU.
15. Definições na https://x.x.x.x/diag.html relativos à DPI e tamanho da janela TCP:
1. Em diag.html, habilite o checkbox “Enable enforcement of a limit on maximum allowed advertised TCP window with any DPI-based service enabled”
2. Configure o valor no campo abaixo para 256.
16. Otimizando IPS para um melhor desempenho: O Serviço de Prevenção de Intrusão (IPS) da SonicWALL consome uma grande parte da utilização da CPU e largura de banda. Por isso, é aconselhável configurar IPS para que a rede fique bem protegida sem prejudicar o desempenho.
· As assinaturas do IPS são divididas em três Grupos de assinatura ou níveis – Ataques Prioridade Alta, Média e Baixa.
· Ataques de alta prioridade e médias empresas são o tráfego que quase sempre pode ser visto como hostil.
· Por outro lado, ataques de baixa prioridade podem não ser, por vezes, os ataques em si, mas ações do usuário em um ambiente de rede que um administrador de rede julgue indesejados. Uso de Peer-to-Peer ou aplicações de mensagens instantâneas são exemplos deste tipo.
Recomendações: A seguinte configuração é recomendada para IPS:
· Use a configuração do IPS Global para ativar a opção de Detect All os para todos os três grupos de Assinatura do IPS.
· Use a configuração de IPS Global para ativar a opção Prevent All para os Grupos do IPS com assinatura Prioridade High e Medium apenas.
· Desativar Prevenção de Ataques de prioridade baixa. Esta definição não irá impedir o tráfego de baixa prioridade.
No entanto as seguintes assinaturas da categoria de baixa prioridade pode ser individualmente habilitada para a prevenção:
<![if !supportLists]>· <![endif]>Attack-Responses
<![if !supportLists]>· <![endif]>Backdoor
<![if !supportLists]>· <![endif]>Bad-Traffic
<![if !supportLists]>· <![endif]>DDOS
<![if !supportLists]>· <![endif]>DNS
<![if !supportLists]>· <![endif]>DOS
<![if !supportLists]>· <![endif]>Exploit
<![if !supportLists]>· <![endif]>Finger
<![if !supportLists]>· <![endif]>FTP
<![if !supportLists]>· <![endif]>IMAP
<![if !supportLists]>· <![endif]>MS-SQL
<![if !supportLists]>· <![endif]>20
<![if !supportLists]>· <![endif]>MS-SQL/SMB
<![if !supportLists]>· <![endif]>P2P
<![if !supportLists]>· <![endif]>Proxy-Access
<![if !supportLists]>· <![endif]>Scan
<![if !supportLists]>· <![endif]>SMTP
<![if !supportLists]>· <![endif]>SNMP
<![if !supportLists]>· <![endif]>Virus (not to be confused with the Gateway Antivirus)
<![if !supportLists]>· <![endif]>Web-attacks
<![if !supportLists]>· <![endif]>Web-CGI
<![if !supportLists]>· <![endif]>Web-Coldfusion
<![if !supportLists]>· <![endif]>Web-Frontpage
<![if !supportLists]>· <![endif]>Web-IIS
<![if !supportLists]>· <![endif]>Web-Misc
<![if !supportLists]>· <![endif]>Web-PHP
16. Otimizando o Anti-spyware para uma melhor performance: A configuração recomendada para SonicWALL Anti-Spyware Service sao:
<![if !supportLists]>· <![endif]>Use o Anti-Spyware Global Settings para ativar a opção de detectar todos os três grupos de assinaturas para Anti-Spyware . High Danger Medium Danger e Low Danger.
<![if !supportLists]>· <![endif]>Use o Anti-Spyware Global Settings para ativar a opção que impede que todas as assinaturas Spyware high e medium Danger entre na rede.
<![if !supportLists]>· <![endif]>Desativar Prevenção de Perigo Spyware Low Level. Esta definição não irá impedir o tráfego Low Danger Spyware Level.
<![if !supportLists]>· <![endif]>Permitir a inspeção de entrada para todos os protocolos listados.
<![if !supportLists]>· <![endif]>Permitir a inspeção do Spyware Comunicação Outbound.
Fonte: Fuzeqna.
