2. NGFW للشركات الصغيرة. التفريغ والإعداد

نواصل سلسلة المقالات حول العمل مع مجموعة طرازات SMB CheckPoint الجديدة، ونذكر ذلك في الجزء الأول وصفنا خصائص وقدرات النماذج الجديدة وطرق الإدارة والإدارة. سننظر اليوم في سيناريو النشر للنموذج الأقدم من السلسلة: CheckPoint 1590 NGFW. وفيما يلي ملخص لهذا الجزء:

1. تفريغ المعدات (وصف المكونات والاتصال الفعلي والشبكة).
2. التهيئة الأولية للجهاز.
3. الإعداد الأساسي.
4. تقييم الأداء.

معدات التفريغ

التعرف على الجهاز يبدأ بإخراج الجهاز من العلبة وتفكيك المكونات وتركيب الأجزاء، الضغط على المفسد حيث يتم عرض العملية بشكل مختصر

تسليم NGFW 1590

باختصار عن الملحقات:

• نجفو 1590؛
• محول الطاقة؛
• 2 هوائيات واي فاي (2.4 هرتز و5 هرتز)؛
• 2 هوائيات LTE؛
• كتيبات مع الوثائق (دليل قصير عن الاتصال الأولي، واتفاقية الترخيص، وما إلى ذلك)

أما بالنسبة لمنافذ وواجهات الشبكة، فهناك جميع الميزات الحديثة لنقل حركة المرور والتفاعل، ومنفذ منفصل لمنطقة DMZ، ومنفذ USB 3.0 للمزامنة مع جهاز الكمبيوتر.

تلقى الإصدار 1590 تصميمًا محدثًا وخيارات حديثة للاتصالات اللاسلكية وتوسيع الذاكرة: فتحتان للعمل مع بطاقة Micro/Nano SIM في وضع LTE. (نخطط للكتابة عن هذا الخيار بالتفصيل في إحدى مقالاتنا التالية في السلسلة المخصصة للاتصالات اللاسلكية)؛ فتحة لبطاقة SD.

يمكن العثور على تفاصيل حول قدرات 1590 NGFW والنماذج الجديدة الأخرى في أجزاء 1 من سلسلة من المقالات حول حلول SMB CheckPoint. سننتقل إلى التهيئة الأولية للجهاز.

التهيئة

يجب أن يدرك القراء العاديون بالفعل أن سلسلة 1500 SMB تستخدم نظام التشغيل المضمن الجديد 80.20، والذي يتضمن واجهة محدثة وميزات محسنة.

للبدء في تهيئة الجهاز، يجب عليك:

1. توفير الطاقة إلى البوابة.
2. قم بتوصيل كابل الشبكة من جهاز الكمبيوتر الخاص بك إلى شبكة LAN -1 الموجودة على البوابة.
3. اختياريًا، يمكنك تزويد الجهاز فورًا بإمكانية الوصول إلى الإنترنت عن طريق توصيل الواجهة بمنفذ WAN.
4. انتقل إلى بوابة غايا المدمجة: https://192.168.1.1:4434/

إذا تم اتباع الخطوات المعلن عنها مسبقًا، فبعد الانتقال إلى صفحة بوابة Gaia، ستحتاج إلى تأكيد فتح الصفحة بشهادة غير موثوقة، وبعد ذلك سيبدأ معالج إعدادات البوابة:

سيتم استقبالك بصفحة تشير إلى موديل جهازك، عليك الذهاب إلى القسم التالي:

سيُطلب منا إنشاء حساب للحصول على الترخيص، ومن الممكن تحديد متطلبات كلمة مرور عالية للمسؤول، ونشير إلى البلد الذي سنستخدم فيه البوابة.

النافذة التالية تخص إعدادات التاريخ والوقت، من الممكن ضبطها يدويا أو استخدام خادم NTP الخاص بالشركة.

تتضمن الخطوة التالية تعيين اسم للجهاز وتحديد مجال الشركة لكي تعمل خدمات البوابة بشكل صحيح على الإنترنت.

تتعلق الخطوة التالية باختيار نوع إدارة NGFW، وهنا تجدر الإشارة إلى:

1. إدارة المحلية. يعد هذا خيارًا ميسور التكلفة لإدارة البوابة محليًا باستخدام صفحة ويب Gaia Portal.
2. الإدارة المركزية. يتضمن هذا النوع من الإدارة المزامنة مع خادم CheckPoint Management Server المخصص، والمزامنة مع Smart1-Cloud أو مع SMP (خدمة إدارة الشركات الصغيرة والمتوسطة).

وفي إطار هذه المقالة سوف نركز على طريقة إدارة الإدارة المحلية، يمكنك تحديد الطريقة المطلوبة. للتعرف على عملية المزامنة مع خادم إدارة مخصص، يُقترح ذلك رابط من البرنامج التعليمي لبدء استخدام CheckPoint بواسطة TS Solution.

بعد ذلك، سيتم عرض نافذة تتضمن تعريف وضع تشغيل الواجهات الموجودة على البوابة:

• يتضمن وضع التبديل توفر شبكة فرعية من واجهة واحدة إلى الشبكة الفرعية لواجهة أخرى.
• يؤدي وضع تعطيل التبديل إلى تعطيل وضع التبديل، حيث يقوم كل منفذ بتوجيه حركة المرور لجزء منفصل من الشبكة.

يُقترح أيضًا تعيين مجموعة من عناوين DHCP التي سيتم استخدامها عند الاتصال بالواجهات المحلية للبوابة.

الخطوة التالية هي تكوين البوابة في الوضع اللاسلكي، ونحن نخطط لتحليل هذا الجانب بمزيد من التفصيل في مقال واحد من الدورة، لذلك قمنا بتأجيل تكوين الإعدادات. يمكنك أيضًا إنشاء نقطة وصول لاسلكية جديدة وتعيين كلمة مرور للاتصال بها وتحديد وضع تشغيل القناة اللاسلكية (2.4 هرتز أو 5 هرتز).

الخطوة التالية هي تكوين الوصول إلى البوابة لمسؤولي الشركة. افتراضيًا، يتم السماح بالأذونات إذا كان الاتصال يأتي من:

1. الشبكة الفرعية الداخلية للشركة
2. شبكة لاسلكية موثوقة
3. نفق VPN

خيار الاتصال بالبوابة عبر الإنترنت معطل بشكل افتراضي، وهذا يحمل مخاطر كبيرة ويجب تبرير تفعيله، وإلا فمن المستحسن تركه كما في مثالنا، ومن الممكن أيضًا تحديد عناوين IP التي سيتم ربطها يسمح للاتصال بالبوابة.

تتعلق النافذة التالية بتنشيط الترخيص، فعند تهيئة الجهاز لأول مرة، سيتم تقديم فترة تجريبية مدتها 30 يومًا. هناك طريقتان متاحتان للتنشيط:

1. إذا كان هناك اتصال بالإنترنت، فسيتم تنشيط الترخيص تلقائيًا.
2. إذا قمت بتنشيط الترخيص دون الاتصال بالإنترنت، فأنت بحاجة إلى القيام بما يلي: تنزيل الترخيص من UserCenter، وتسجيل جهازك في مركز خاص البوابة. بعد ذلك، في كلتا الحالتين، ستحتاج إلى استيراد الترخيص الذي تم تنزيله يدويًا.

أخيرًا، تعرض النافذة الأخيرة في معالج الإعداد تحديد الشفرات التي سيتم تمكينها، لاحظ أن شفرة QOS يتم تمكينها فقط بعد التهيئة الأولية. يجب أن ينتهي بك الأمر مع نافذة إكمال تلخص إعداداتك.

الإعداد الأولي

بادئ ذي بدء، نوصي بالتحقق من حالة التراخيص، وسيعتمد المزيد من التكوين على هذا. انتقل إلى علامة التبويب "الصفحة الرئيسية" → "الترخيص" :

إذا تم تنشيط التراخيص، نوصي بالتحديث الفوري إلى أحدث البرامج الثابتة الحالية، للقيام بذلك، انتقل إلى علامة التبويب "الجهاز" → "عمليات النظام":

توجد تحديثات النظام في عنصر ترقية البرامج الثابتة. في حالتنا، تم تثبيت الإصدار الحالي والأحدث من البرنامج الثابت.

بعد ذلك، أقترح التحدث بإيجاز عن إمكانيات وإعدادات شفرات النظام. منطقيًا، يمكن تقسيمها إلى سياسات مستوى الوصول (جدار الحماية، التحكم في التطبيقات، تصفية عناوين URL) ومنع التهديدات (IPS، برامج مكافحة الفيروسات، برامج مكافحة الروبوتات، محاكاة التهديدات).

دعنا نذهب إلى سياسة الوصول → علامة التبويب التحكم في الشفرة:

بشكل افتراضي، يتم استخدام الوضع القياسي، فهو يسمح بما يلي: حركة المرور الصادرة إلى الإنترنت، وحركة المرور داخل الشبكة المحلية، ولكن في نفس الوقت يمنع حركة المرور الواردة من الإنترنت.

أما بالنسبة لشفرات تصفية التطبيقات وعناوين URL، فقد تم ضبطها افتراضيًا لحظر المواقع ذات المستوى العالي من الخطورة، وحظر تطبيقات التبادل (Torrent، وتخزين الملفات، وما إلى ذلك). بالإضافة إلى ذلك، يمكنك حظر فئات الموقع يدويًا.

لاحظ خيار حركة مرور المستخدم "الحد من التطبيقات التي تستهلك النطاق الترددي" مع إمكانية تحديد معدل حركة المرور الصادرة/الواردة لمجموعات من التطبيقات.

بعد ذلك، افتح القسم الفرعي "السياسة"، افتراضيًا، يتم إنشاء القواعد تلقائيًا وفقًا للإعدادات الموضحة مسبقًا.

يعمل مفتاح NAT الفرعي الافتراضي في Global Hide Nat Automatic، أي أن جميع المضيفين الداخليين سيكونون قادرين على الوصول إلى الإنترنت من خلال عنوان IP العام. من الممكن تعيين قواعد NAT يدويًا لنشر تطبيقات أو خدمات الويب الخاصة بك.

يقدم القسم التالي، الذي يتعامل مع مصادقة المستخدم على الشبكة، خيارين: استعلامات الدليل النشط (التكامل مع إعلانك)، والمصادقة المستندة إلى المتصفح (يقوم المستخدم بإدخال بيانات اعتماد المجال في البوابة).

بشكل منفصل، يستحق لمس فحص SSL، وحصة إجمالي حركة مرور HTTPS في الشبكة العالمية تنمو بنشاط. دعونا نلقي نظرة على الميزات التي تقدمها CheckPoint لحلول الشركات الصغيرة والمتوسطة، ولهذا عليك الذهاب إلى قسم SSL-Inspection → قسم السياسة:

في الإعدادات، من الممكن فحص حركة مرور HTTPS، وسوف تحتاج إلى استيراد الشهادة وتثبيتها في المرجع المصدق الموثوق به على أجهزة المستخدم النهائي.

نحن نعتبر وضع BYPASS للفئات المحددة مسبقًا خيارًا مناسبًا، فهو يوفر الكثير من الوقت عند تشغيل الفحص.

بعد تكوين القواعد على مستوى جدار الحماية / التطبيق، يجب عليك المتابعة إلى ضبط سياسات الأمان (منع التهديدات)، ولهذا نذهب إلى القسم المناسب:

في الصفحة المفتوحة، نرى الشفرات الممكّنة وحالات التوقيع وتحديثات قاعدة البيانات. يُطلب منا أيضًا تحديد ملف تعريف لحماية محيط الشبكة، ويتم عرض الإعدادات المقابلة.

يسمح لك قسم منفصل "حماية IPS" بتكوين الإجراء على توقيع أمان محدد.

منذ وقت ليس ببعيد كتبنا على مدونتنا حول الضعف العالمي لنظام التشغيل Windows Server - SigRed. تحقق من ذلك في Gaia Embedded 80.20 عن طريق إدخال الاستعلام "CVE-2020-1350"

تم العثور على إدخال لهذا التوقيع، والذي يمكن تطبيق أحد الإجراءات عليه. (المنع الافتراضي لمستوى الخطورة هو أمر بالغ الأهمية). وفقًا لذلك، بوجود حل الشركات الصغيرة والمتوسطة، لن يتم حرمانك من التحديثات والدعم، فهذا حل NGFW كامل للمكاتب الفرعية التي يصل عددها إلى 200 شخص من CheckPoint.

التقييم الصحي

في ختام المقالة، أود أن أشير إلى توفر الأدوات اللازمة لاستكشاف المشكلات وإصلاحها بعد التهيئة الأولية وتكوين حل الشركات الصغيرة والمتوسطة. يمكنك الذهاب إلى قسم "الصفحة الرئيسية" ← "الأدوات". الخيارات الممكنة:

• مراقبة موارد النظام؛
• جدول التوجيه؛
• التحقق من توفر خدمات CheckPoint السحابية؛
• جيل CPinfo؛

تتوفر أيضًا أوامر الشبكة المضمنة: Ping، Traceroute، Traffic Capture.

وبالتالي، قمنا اليوم بمراجعة ودراسة الاتصال والتكوين الأولي لـ NGFW 1590، وسوف تقوم بإجراءات مماثلة لسلسلة كاملة من سلسلة 1500 SMB Checkpoint. أظهرت لنا الخيارات المتاحة تباينًا كبيرًا في الإعدادات ودعم الأساليب الحديثة لحماية حركة المرور على محيط الشبكة.

حتى الآن، تتمتع حلول CheckPoint لحماية المكاتب والفروع الصغيرة (ما يصل إلى 200 شخص) بمجموعة واسعة من الأدوات وتستخدم أحدث التقنيات (إدارة السحابة، ودعم بطاقات SIM، وتوسيع الذاكرة باستخدام بطاقات SD، وما إلى ذلك). ابق على اطلاع دائم واقرأ المقالات من TS Solution، ونحن نخطط لإصدار المزيد من الأجزاء حول NGFW CheckPoint لعائلة SMB، نراكم قريبًا!

مجموعة كبيرة من المواد على Check Point من TS Solution. ابقوا متابعين (تیلیجرام, فيسبوك, VK, مدونة حل TS, ياندكس زين).

المصدر: www.habr.com