ProHoster > Blog > İdarə > yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca
Salam, əziz habr oxucuları! Bu, şirkətin korporativ bloqudur T.S Həll. Biz sistem inteqratoruyuq və əsasən İT infrastrukturunun təhlükəsizlik həllərində ixtisaslaşırıq (Point yoxlayın, Fortinet) və maşın məlumatlarının təhlili sistemləri (Boşalmaq). Biz bloqumuza Check Point texnologiyalarına qısa girişlə başlayacağıq.

Bu yazını yazıb-yazmamaq barədə uzun müddət düşündük, çünki. internetdə tapılmayan yeni heç nə yoxdur. Bununla belə, bu qədər məlumat bolluğuna baxmayaraq, müştərilər və tərəfdaşlarla işləyərkən tez-tez eyni sualları eşidirik. Buna görə də, Check Point texnologiyaları dünyasına bir növ giriş yazmaq və onların həllərinin arxitekturasının mahiyyətini açmaq qərara alındı. Və bütün bunlar bir "kiçik" yazı çərçivəsində, belə demək mümkünsə, sürətli bir sapma. Və marketinq müharibələrinə getməməyə çalışacağıq, çünki. biz satıcı deyilik, sadəcə bir sistem inteqratoruyuq (baxmayaraq ki, biz Check Point-i çox sevirik) və sadəcə əsas məqamları digər istehsalçılarla (məsələn, Palo Alto, Cisco, Fortinet və s.) müqayisə etmədən keçirik. Məqalə kifayət qədər həcmli oldu, lakin Check Point ilə tanışlıq mərhələsindəki sualların çoxunu kəsdi. Əgər maraqlanırsınızsa, o zaman pişik altında xoş gəlmisiniz...

UTM/NGFW

Check Point haqqında söhbətə başladıqda, başlamaq üçün ilk şey UTM, NGFW-nin nə olduğunu və onların necə fərqləndiyini izah etməkdir. Yazının çox böyük olmaması üçün bunu çox qısa şəkildə edəcəyik (bəlkə də gələcəkdə bu məsələni bir az daha ətraflı nəzərdən keçirəcəyik)

UTM - Vahid Təhdid İdarəetmə

Bir sözlə, UTM-in mahiyyəti bir neçə təhlükəsizlik alətinin bir həlldə birləşdirilməsidir. Bunlar. hamısı bir qutuda və ya bəziləri hər şey daxil. “Çoxlu vasitələr” dedikdə nə nəzərdə tutulur? Ən çox yayılmış seçim: Firewall, IPS, Proxy (URL filtrləmə), Streaming Antivirus, Anti-Spam, VPN və s. Bütün bunlar inteqrasiya, konfiqurasiya, idarəetmə və monitorinq baxımından daha asan olan bir UTM həlli çərçivəsində birləşdirilir və bu da öz növbəsində şəbəkənin ümumi təhlükəsizliyinə müsbət təsir göstərir. UTM həlləri ilk dəfə ortaya çıxdıqda, onlar yalnız kiçik şirkətlər üçün nəzərdə tutulmuşdu, çünki. UTM-lər böyük həcmdə trafikin öhdəsindən gələ bilmirdi. Bunun iki səbəbi var idi:

  1. Paketlərin işlənməsi üsulu. UTM həllərinin ilk versiyaları paketləri ardıcıl olaraq hər bir “modul” tərəfindən işlənirdi. Nümunə: əvvəlcə paket firewall, sonra IPS tərəfindən işlənir, sonra Anti-Virus tərəfindən yoxlanılır və s. Təbii ki, belə bir mexanizm ciddi trafik gecikmələri və çox istehlak edilən sistem resursları (prosessor, yaddaş) təqdim etdi.
  2. Zəif aparat. Yuxarıda qeyd edildiyi kimi, ardıcıl paket emalı resursları yeyirdi və o dövrlərin aparatları (1995-2005) sadəcə olaraq yüksək trafikin öhdəsindən gələ bilmirdi.

Lakin tərəqqi hələ də dayanmır. O vaxtdan bəri, aparat imkanları əhəmiyyətli dərəcədə artdı və paketlərin işlənməsi dəyişdi (etiraf etmək lazımdır ki, bütün satıcılarda buna malik deyil) və eyni anda bir neçə modulda (ME, IPS, AntiVirus və s.) Demək olar ki, eyni vaxtda təhlil etməyə imkan verməyə başladı. Müasir UTM həlləri dərin analiz rejimində onlarla və hətta yüzlərlə giqabiti “həzm edə” bilər ki, bu da onlardan böyük biznes seqmentində və ya hətta məlumat mərkəzlərində istifadə etməyə imkan verir.

Aşağıda Gartner-in 2016-cı ilin avqust ayı üçün UTM həlləri üçün məşhur Magic Quadrant təqdim olunur:

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

Bu şəklə sərt şərh verməyəcəyəm, sadəcə deyəcəyəm ki, yuxarı sağ küncdə liderlər var.

NGFW - Next Generation Firewall

Ad özü üçün danışır - yeni nəsil firewall. Bu konsepsiya UTM-dən çox sonra ortaya çıxdı. NGFW-nin əsas ideyası daxili IPS və tətbiq səviyyəsində giriş nəzarətindən (Application Control) istifadə edərək dərin paket yoxlamasıdır (DPI). Bu halda, IPS, paket axınında bu və ya digər tətbiqi müəyyən etmək üçün lazım olan şeydir ki, bu da sizə icazə verməyə və ya rədd etməyə imkan verir. Misal: Biz Skype-ın işləməsinə icazə verə bilərik, lakin fayl köçürmələrinin qarşısını ala bilərik. Torrent və ya RDP istifadəsini qadağan edə bilərik. Veb proqramları da dəstəklənir: Siz VK.com-a girişə icazə verə bilərsiniz, lakin oyunların, mesajların və ya videoların baxılmasının qarşısını ala bilərsiniz. Əsasən, NGFW-nin keyfiyyəti onun təyin edə biləcəyi tətbiqlərin sayından asılıdır. Çoxları hesab edir ki, NGFW konsepsiyasının yaranması Palo Alto-nun sürətli böyüməsinə başladığı ümumi marketinq hiyləsi idi.

NGFW üçün May 2016 Gartner Magic Quadrant:

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

UTM və NGFW

Çox yayılmış bir sual, hansı daha yaxşıdır? Burada tək cavab yoxdur və ola da bilməz. Xüsusilə demək olar ki, bütün müasir UTM həllərinin NGFW funksionallığını və əksər NGFW-lərin UTM-ə xas olan funksiyaları (Antivirus, VPN, Anti-Bot və s.) ehtiva etdiyini nəzərə aldıqda. Həmişə olduğu kimi, "şeytan təfərrüatlardadır", buna görə ilk növbədə nəyə ehtiyacınız olduğuna qərar verməli, büdcəyə qərar verməlisiniz. Bu qərarlara əsasən bir neçə variant seçilə bilər. Və hər şey marketinq materiallarına inanmadan, birmənalı şəkildə sınaqdan keçirilməlidir.

Biz, öz növbəsində, bir neçə məqalə çərçivəsində, Check Point haqqında sizə məlumat verməyə çalışacağıq, onu necə sınaya bilərsiniz və prinsipcə nəyi sınaya bilərsiniz (demək olar ki, bütün funksionallıq).

Üç Yoxlama Nöqtəsi Müəssisəsi

Check Point ilə işləyərkən bu məhsulun üç komponenti ilə mütləq rastlaşacaqsınız:

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

  1. Təhlükəsizlik Gateway (SG) - adətən şəbəkə perimetrində yerləşdirilən və təhlükəsizlik duvarı, axın antivirus, anti-bot, IPS və s. funksiyalarını yerinə yetirən təhlükəsizlik şlüzünün özü.
  2. Təhlükəsizlik İdarəetmə Serveri (SMS) - şlüz idarəetmə serveri. Şlüzdə (SG) demək olar ki, bütün parametrlər bu server vasitəsilə həyata keçirilir. SMS həmçinin Log Server kimi çıxış edə və onları daxili hadisələrin təhlili və korrelyasiya sistemi - Smart Event (Check Point üçün SIEM-ə bənzər) ilə emal edə bilər, lakin bu barədə daha sonra. SMS çoxlu şlüzləri mərkəzləşdirilmiş şəkildə idarə etmək üçün istifadə olunur (şluzların sayı SMS modelindən və ya lisenziyasından asılıdır), lakin yalnız bir şlüzünüz olsa belə, ondan istifadə etməlisiniz. Burada qeyd etmək lazımdır ki, Gartner hesabatlarına görə uzun illər ardıcıl olaraq “qızıl standart” kimi tanınan belə mərkəzləşdirilmiş idarəetmə sistemindən ilk istifadə edənlərdən biri Check Point olmuşdur. Hətta bir zarafat da var: "Əgər Cisco-nun normal idarəetmə sistemi olsaydı, Check Point heç vaxt görünməzdi."
  3. Ağıllı Konsol — idarəetmə serverinə (SMS) qoşulmaq üçün müştəri konsolu. Adətən administratorun kompüterində quraşdırılır. Bu konsol vasitəsilə idarəetmə serverində bütün dəyişikliklər edilir və bundan sonra siz parametrləri təhlükəsizlik şlüzlərinə tətbiq edə bilərsiniz (Quraşdırma Siyasəti).

    yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

Check Point əməliyyat sistemi

Check Point əməliyyat sistemi haqqında danışarkən, üçü bir anda geri çağırmaq olar: IPSO, SPLAT və GAIA.

  1. IPSO Nokia-ya məxsus olan Ipsilon Networks əməliyyat sistemidir. 2009-cu ildə Check Point bu biznesi satın aldı. Artıq inkişaf etməyib.
  2. SPLAT - RedHat nüvəsinə əsaslanan Check Point-in öz inkişafı. Artıq inkişaf etməyib.
  3. Gaia - IPSO və SPLAT-ın birləşməsi nəticəsində ortaya çıxan və ən yaxşısını özündə birləşdirən Check Point-dən mövcud əməliyyat sistemi. 2012-ci ildə ortaya çıxdı və aktiv şəkildə inkişaf etməyə davam edir.

Gaia haqqında danışarkən, hazırda ən çox yayılmış versiyanın R77.30 olduğunu söyləmək lazımdır. Nisbətən yaxınlarda, əvvəlkindən (həm funksionallıq, həm də idarəetmə baxımından) əhəmiyyətli dərəcədə fərqlənən R80 versiyası ortaya çıxdı. Onların fərqləri mövzusuna ayrıca bir yazı həsr edəcəyik. Digər vacib məqam odur ki, hazırda yalnız R77.10 versiyası FSTEC sertifikatına malikdir və R77.30 versiyası sertifikatlaşdırılır.

Seçimlər (Check Point Appliance, Virtual Machine, OpenServer)

Burada təəccüblü heç nə yoxdur, çünki bir çox Check Point satıcılarının bir neçə məhsul variantı var:

  1. cihaz - aparat və proqram təminatı cihazı, yəni. öz "dəmir parçası". Performans, funksionallıq və dizaynda fərqlənən bir çox model var (sənaye şəbəkələri üçün seçimlər var).

    yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

  2. Virtual maşın - Gaia OS ilə Check Point virtual maşını. ESXi, Hyper-V, KVM hipervizorları dəstəklənir. Prosessor nüvələrinin sayına görə lisenziyalaşdırılır.
  3. açıq server - Gaia-nın birbaşa serverə əsas əməliyyat sistemi kimi quraşdırılması ("Çılpaq metal" adlanır). Yalnız müəyyən hardware dəstəklənir. Bu aparat üçün tövsiyələr var ki, onlara əməl edilməlidir, əks halda sürücülər və bunlarla bağlı problemlər ola bilər. dəstək sizə xidmətdən imtina edə bilər.

İcra variantları (paylanmış və ya müstəqil)

Bir az yuxarıda, şlüz (SG) və idarəetmə serverinin (SMS) nə olduğunu artıq müzakirə etdik. İndi onların həyata keçirilməsi variantlarını müzakirə edək. İki əsas yol var:

  1. Bağımsız (SG+SMS) - həm şluz, həm də idarəetmə serveri eyni cihaz (və ya virtual maşın) daxilində quraşdırıldıqda seçimdir.

    yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

    Bu seçim istifadəçi trafiki ilə yüngül yüklənmiş yalnız bir şlüzünüz olduqda uyğundur. Bu seçim ən qənaətcildir, çünki. idarəetmə serveri (SMS) almağa ehtiyac yoxdur. Bununla belə, şlüz çox yüklənirsə, yavaş bir idarəetmə sistemi ilə nəticələnə bilərsiniz. Buna görə də, müstəqil bir həll seçməzdən əvvəl, bu seçimi məsləhətləşmək və ya hətta sınaqdan keçirmək yaxşıdır.

  2. Distributed — idarəetmə serveri şlüzdən ayrıca quraşdırılır.

    yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

    Rahatlıq və performans baxımından ən yaxşı seçimdir. Bir anda bir neçə şlüz, məsələn, mərkəzi və filialı idarə etmək lazım olduqda istifadə olunur. Bu halda, idarəetmə serverini (SMS) satın almalısınız, bu da cihaz (dəmir parçası) və ya virtual maşın şəklində ola bilər.

Yuxarıda dediyim kimi, Check Point-in öz SIEM sistemi var - Smart Event. Siz onu yalnız Paylanmış quraşdırma vəziyyətində istifadə edə bilərsiniz.

İş rejimləri (Körpü, Marşrutlu)
Təhlükəsizlik Gateway (SG) iki əsas rejimdə işləyə bilər:

  • Marşrutlu - ən ümumi seçim. Bu halda, şlüz L3 cihazı kimi istifadə olunur və trafiki özü vasitəsilə yönləndirir, yəni. Check Point qorunan şəbəkə üçün standart şluzdur.
  • Körpü - şəffaf rejim. Bu halda şlüz adi “körpü” kimi quraşdırılır və onun vasitəsilə ikinci qatda (OSI) trafik keçir. Bu seçim adətən mövcud infrastrukturu dəyişdirmək imkanı (və ya arzu) olmadıqda istifadə olunur. Siz praktiki olaraq şəbəkə topologiyasını dəyişdirmək məcburiyyətində deyilsiniz və IP ünvanını dəyişdirmək barədə düşünmək məcburiyyətində deyilsiniz.

Qeyd etmək istərdim ki, Körpü rejimində bəzi funksional məhdudiyyətlər var, ona görə də inteqrator olaraq biz bütün müştərilərimizə, əlbəttə ki, mümkünsə, Routed rejimindən istifadə etməyi tövsiyə edirik.

Proqram Bıçaqları (Yoxlama Nöqtəsi Proqram Bıçaqları)

Demək olar ki, müştərilərin ən çox sualını doğuran ən vacib Check Point mövzusuna gəldik. Bu “proqram ləpələri” nədir? Bıçaqlar müəyyən Check Point funksiyalarına istinad edir.

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

Bu funksiyalar ehtiyaclarınızdan asılı olaraq yandırıla və ya söndürülə bilər. Eyni zamanda, yalnız şlüzdə (Şəbəkə Təhlükəsizliyi) və yalnız idarəetmə serverində (İdarəetmə) aktivləşdirilən bıçaqlar var. Aşağıdakı şəkillər hər iki hal üçün nümunələri göstərir:

1) Şəbəkə Təhlükəsizliyi üçün (şluz funksionallığı)

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

Qısaca təsvir edək, çünki hər bıçaq ayrı bir məqaləyə layiqdir.

  • Firewall - firewall funksionallığı;
  • IPSec VPN - özəl virtual şəbəkələrin qurulması;
  • Mobile Access - mobil cihazlardan uzaqdan giriş;
  • IPS - müdaxilənin qarşısının alınması sistemi;
  • Anti-Bot - botnet şəbəkələrinə qarşı qorunma;
  • AntiVirus - axın antivirusu;
  • AntiSpam & Email Security - korporativ poçtun qorunması;
  • Identity Awareness - Active Directory xidməti ilə inteqrasiya;
  • Monitorinq - demək olar ki, bütün şlüz parametrlərinin monitorinqi (yük, bant genişliyi, VPN statusu və s.)
  • Tətbiqlərə Nəzarət - proqram səviyyəsində firewall (NGFW funksionallığı);
  • URL Filtrləmə - Veb təhlükəsizliyi (+proksi funksionallığı);
  • Data Loss Prevention - məlumat sızmasının qorunması (DLP);
  • Təhdid Emulyasiyası - sandbox texnologiyası (SandBox);
  • Threat Extraction - faylların təmizlənməsi texnologiyası;
  • QoS - trafikin prioritetləşdirilməsi.

Cəmi bir neçə məqalədə biz Təhdid Emulyasiyası və Təhdid Çıxarma bıçaqlarına daha yaxından nəzər salacağıq, əminəm ki, maraqlı olacaq.

2) İdarəetmə üçün (idarəetmə serverinin funksionallığı)

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

  • Network Policy Management - mərkəzləşdirilmiş siyasət idarəsi;
  • Endpoint Policy Management - Check Point agentlərinin mərkəzləşdirilmiş idarə edilməsi (bəli, Check Point təkcə şəbəkənin mühafizəsi üçün deyil, həm də iş stansiyalarının (PC) və smartfonların qorunması üçün həllər istehsal edir);
  • Logging & Status - logların mərkəzləşdirilmiş şəkildə toplanması və emalı;
  • İdarəetmə Portalı - brauzerdən təhlükəsizliyin idarə edilməsi;
  • İş axını - siyasət dəyişikliklərinə nəzarət, dəyişikliklərin auditi və s.;
  • İstifadəçi kataloqu - LDAP ilə inteqrasiya;
  • Təminat - şlüzlərin idarə edilməsinin avtomatlaşdırılması;
  • Smart Reporter - hesabat sistemi;
  • Smart Event - hadisələrin təhlili və korrelyasiyası (SIEM);
  • Uyğunluq - parametrlərin avtomatik yoxlanılması və tövsiyələrin verilməsi.

Məqaləni şişirtməmək və oxucunu çaşdırmamaq üçün indi lisenziya məsələlərini ətraflı nəzərdən keçirməyəcəyik. Çox güman ki, ayrı bir yazıda çıxaracağıq.

Bıçaq arxitekturası yalnız həqiqətən ehtiyac duyduğunuz funksiyalardan istifadə etməyə imkan verir ki, bu da həllin büdcəsinə və cihazın ümumi performansına təsir göstərir. Məntiqlidir ki, nə qədər çox bıçaq aktivləşdirsəniz, bir o qədər az trafik “qovulacaq”. Buna görə hər bir Check Point modelinə aşağıdakı performans cədvəli əlavə olunur (məsələn, 5400 modelinin xüsusiyyətlərini götürdük):

yoxlama nöqtəsi. Bu nədir, nə ilə yeyilir və ya əsas şey haqqında qısaca

Gördüyünüz kimi, burada testlərin iki kateqoriyası var: sintetik trafik üzrə və real - qarışıq. Ümumiyyətlə, Check Point sintetik testləri dərc etməyə məcburdur, çünki. bəzi satıcılar real trafik üzrə həllərinin performansını yoxlamadan (yaxud qeyri-qənaətbəxş olduqlarına görə belə məlumatları qəsdən gizlətmədən) bu cür testlərdən etalon kimi istifadə edirlər.

Hər bir test növündə bir neçə variant görə bilərsiniz:

  1. yalnız Firewall üçün test;
  2. Firewall + IPS testi;
  3. Firewall+IPS+NGFW (Tətbiq nəzarəti) testi;
  4. Firewall+Tətbiqə Nəzarət+URL Filtrləmə+IPS+Antivirus+Anti-Bot+SandBlast testi (sandbox)

Həllinizi seçərkən bu parametrlərə diqqətlə baxın və ya əlaqə saxlayın məsləhətləşmə.

Hesab edirəm ki, bu, Check Point texnologiyalarına dair giriş məqaləsinin sonudur. Sonra, Check Point-i necə sınaqdan keçirə biləcəyinizi və müasir informasiya təhlükəsizliyi təhdidləri (viruslar, fişinq, ransomware, sıfır gün) ilə necə mübarizə aparacağınıza baxacağıq.

PS Əhəmiyyətli bir məqam. Xarici (İsrail) mənşəli olmasına baxmayaraq, həll Rusiya Federasiyasında nəzarət orqanları tərəfindən təsdiqlənir, bu da onların dövlət qurumlarında mövcudluğunu avtomatik olaraq qanuniləşdirir (şərh tərəfindən Denyemall).

Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. Daxil olunxahiş edirəm.

Hansı UTM/NGFW alətlərindən istifadə edirsiniz?

  • Point yoxlayın

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Gözətçi

  • Ardıc

  • UserGate

  • yol müfəttişi

  • Rubicon

  • İdeko

  • açıq mənbə həlli

  • Digər

134 istifadəçi səs verib. 78 istifadəçi bitərəf qalıb.

Mənbə: www.habr.com

Добавить комментарий