Працягваем цыкл артыкулаў па працы з новым мадэльным побач SMB CheckPoint, нагадаем што ў мы апісалі характарыстыкі і магчымасці новых мадэляў, спосабы кіравання і адміністраванні. Сёння разгледзім сцэнар разгортвання старэйшай мадэлі серыі: CheckPoint 1590 NGFW. Прыкладзем кароткі змест дадзенай часткі:
- Распакоўка абсталявання (апісанне камплектуючых, фізічнае і сеткавае падключэнне).
- Першасная ініцыялізацыя прылады.
- Першасная настройка.
- Ацэнка працаздольнасці.
распакаванне абсталявання
Знаёмства з абсталяваннем пачынаецца з вымання абсталявання са скрынкі, разбору камплектавалых і ўсталёўкі дэталяў, цісніце на спойлер, дзе коратка прадстаўлены працэс
Пастаўка NGFW 1590
Коратка аб камплектуючых:
- NGFW 1590;
- Адаптар харчавання;
- 2 Wifi-Антэны (2.4 ГЦ і 5 ГЦ);
- 2 LTE-антэны;
- Буклеты з дакументацыяй (кароткі гайд па першасным падключэнні, ліцэнзійнае пагадненне і да т.п.)
Што тычыцца сеткавых партоў і інтэрфейсаў, то тут ёсць усе сучасныя магчымасці для перадачы трафіку і ўзаемадзеяння, асобна выдзелены порт для DMZ-зоны, USB 3.0 для сінхранізацыі з ПК.
Версія 1590 атрымала абноўлены дызайн, сучасныя опцыі для бесправадной сувязі і пашырэнні памяці: 2 слота для працы з Micro/Nano SIM у рэжыме LTE. (аб гэтай опцыі мы плануем падрабязна напісаць у адной з наступных нашых артыкулаў цыклу, прысвечанай бесправадным падлучэнням); слот для SD-карты.
Падрабязна аб магчымасцях 1590 NGFW і аб іншых новых мадэлях можна прачытаць у з цыклу артыкулаў аб рашэннях SMB CheckPoint. Мы ж прыступім да першаснай ініцыялізацыі прылады.
Першасная ініцыялізацыя
Пастаянныя нашы чытачы павінны ўжо быць у курсе, што ў лінейцы 1500 серыі SMB выкарыстоўваецца новая АС 80.20 Embedded, яна ўключае ў сябе абноўлены інтэрфейс і ўдасканаленыя магчымасці.
Для таго каб пачаць ініцыялізацыю прылады неабходна:
- Забяспечыць электрасілкаванне для шлюза.
- Падлучыць сеткавы кабель ад вашага пк у LAN-1 на шлюзе.
- Апцыянальна можна адразу забяспечыць прыладзе выйсце ў інтэрнэт, падлучыўшы інтэрфейс у порт WAN.
- Перайсці на партал Gaia Embedded:
Калі былі выкананы раней агучаныя крокі, то пасля пераходу на старонку партала Gaia, вам неабходна будзе пацвердзіць адкрыццё старонкі з недавераным сертыфікатам, пасля чаго запусціцца майстар налад партала:
Вас будзе вітаць старонка з указаннем мадэлі вашага прылады, неабходна перайсці ў наступны раздзел:
Нам прапануюць стварыць уліковы запіс для аўтарызацыі, ёсць магчымасць указаць высокія патрабаванні да пароля для адміністратара, паказваем краіну, дзе будзем выкарыстоўваць шлюз.
Наступнае акно дакранаецца налад даты і часу, ёсць магчымасць задаць уручную ці выкарыстоўваць NTP-сервер кампаніі.
Наступны крок мае на ўвазе заданне імя для прылады і ўказанне дамена кампаніі для карэктнай працы службаў шлюза ў Інтэрнэце.
Наступны крок тычыцца выбару віду кіравання NGFW, тут варта адзначыць:
- Local Management. Гэты даступны варыянт для лакальнага кіравання шлюзам з дапамогай вэб-старонкі Gaia Portal.
- Central Management. Дадзены від кіравання ўключае ў сябе сінхранізацыю з выдзеленым Management серверам CheckPoint, сінхранізацыю з воблакам Smart1-Cloud або c SMP (сэрвіс кіравання для SMB).
Мы ў рамках дадзенага артыкула спынімся на спосабе кіравання Local Management, вы можаце пазначыць спосаб, які неабходзен. Для азнаямлення з працэсам па сінхранізацыі з выдзеленым Management Server, прапануецца з навучальнага цыклу CheckPoint Getting Started, падрыхтаванага кампаніяй TS Solution.
Далей будзе прадстаўлена акно з вызначэннем рэжыму працы інтэрфейсаў на шлюзе:
- Рэжым Switch мае на ўвазе даступнасць падсеткі ад аднаго інтэрфейсу да падсеткі іншага інтэрфейсу.
- Рэжым Disable Switch адпаведна адключае рэжым Switch, кожны порт маршрутызуе трафік, як для асобнага фрагмент сеткі.
Таксама прапануецца задаць пул DHCP адрасоў, якія будуць выкарыстоўвацца пры падлучэнні да лакальных інтэрфейсаў шлюза.
Наступны крок гэта настройка працы шлюза ў бесправадным рэжыме, мы плануем разабраць гэты аспект больш падрабязна ў адной артыкулаў цыклу, таму адклалі канфігурацыю налад. Вы ж можаце стварыць новую бесправадную кропку доступу, задаць пароль для падлучэння да яе і вызначыць рэжым працы бесправаднога канала (2.4 Гц ці 5 Гц).
Далей будзе прапанаваны крок па наладзе доступу да шлюза для адміністратараў кампаніі. Па змаўчанні правы доступу дазволеныя, калі падлучэнне ідзе ад:
- Унутраная падсетка кампаніі
- Давераная бесправадная сетка
- VPN тунэль
Опцыя для падлучэння да шлюза праз Інтэрнэт па змаўчанні адключаная, гэта нясе за сабой вялікія рызыкі і павінна быць абгрунтавана для ўключэння, у адваротным выпадку рэкамендуецца пакінуць як у нашым прыкладзе. Таксама ёсць магчымасць паказаць якія менавіта IP-адрасы будуць дазволеныя для падлучэння да шлюза.
Наступнае акно дакранаецца актывацыі ліцэнзій, пры першаснай ініцыялізацыі прылады вам будзе прадстаўлены 30-дзённы трыяльны перыяд. Існуе два даступных спосабу актывацыі:
- Калі ёсць падключэнне ў Інтэрнет, то ліцэнзія актывуецца аўтаматычна.
- Калі вы актывуеце ліцэнзію афлайн, тое трэба выканаць наступнае: спампаваць ліцэнзію з UserCenter, зарэгістраваць вашу прыладу на адмысловым . Далей для абодвух выпадкаў вам трэба будзе імпартаваць уручную загружаную ліцэнзію.
Нарэшце апошняе акно ў майстры налад прапануе абраць уключаныя блейды, адзначым што блейд QOS уключаецца толькі пасля першаснай ініцыялізацыі. У выніку вы павінны атрымаць акно завяршэння, якое сумуе вашыя наладкі.
Першасная настройка
Перш за ўсё рэкамендуем праверыць стан ліцэнзій, ад гэтага будзе залежаць наступная налада. Перайдзіце ва ўкладку "HOME" → "License" :
Калі ліцэнзіі актываваныя, то рэкамендуемы адразу абнавіцца да апошняй актуальнай прашыўкі, для гэтага перайдзіце ва ўкладку “DEVICE” → “System Operations”:
Абнаўленні сістэмы знаходзяцца ў пункце Firmware Upgrade. У нашым выпадку ўсталявана актуальная і апошняя версія прашыўкі.
Далей прапаную коратка распавесці аб магчымасцях і наладах блейдаў сістэмы. Лагічна можна падзяліць на палітыкі ўзроўню Access (Firewall, Application Control, URL Filtering) і Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).
Пяройдзем ва ўкладку Access Policy → Blade Control:
Па змаўчанні выкарыстоўваецца рэжым STANDARD, ён дазваляе: выходны трафік у Інтэрнэт, трафік усярэдзіне лакальнай сеткі, але пры гэтым блакуе ўваходны трафік з Інтэрнэту.
Што да блейдаў APPLICATIONS & URL FILTERING, то для іх па змаўчанні ўсталявана блакіроўка сайтаў з высокім узроўнем небяспекі, блакіроўка прыкладанняў абмену (Torrent, File Storage і г.д.). Таксама дадаткова можна блакаваць катэгорыі сайтаў уручную.
Адзначым опцыю для карыстацкага трафіку "Limit bandwidth consuming applications" з магчымасцю абмежаваць хуткасць выходнага/ўваходнага трафіку для груп прыкладанняў.
Далей адкрыем падраздзел Policy, па змаўчанні правілы згенераваны аўтаматычна паводле раней апісаных налад.
Падраздзел NAT па змаўчанні працуе ў Global Hide Nat Automatic г.зн. усе ўнутраныя хасты будуць мець доступ у Інтэрнэт праз публічны IP-адрас. Ёсць магчымасць задаць правілы NAT ўручную для публікацыі вашых вэб-прыкладанняў або сэрвісаў.
Далей частка, які дакранаецца Аўтэнтыфікацыі карыстачоў у сетцы, прапануецца два варыянты: Active Directory Queries (інтэграцыя з вашым AD), Browser-Based-Authentication (карыстальнік уводзіць даменныя ўліковыя дадзеныя ў партале).
Асобна варта закрануць SSL-інспекцыі, доля агульнага HTTPS-трафіка ў Глабальнай сетцы актыўна расце. Давайце разгледзім, якія магчымасці прапануе CheckPoint для рашэнняў SMB, для гэтага трэба перайсці ў падзел SSL-Inspection → Policy:
У наладах ёсць магчымасць інспектаваць HTTPS-трафік, запатрабуецца імпартаваць сертыфікат і ўсталяваць яго ў цэнтр давераных сертыфікатаў на канчатковыя карыстацкія машыны.
Зручнай опцыяй лічым рэжым BYPASS для прадусталяваных катэгорый, гэта значна эканоміць час пры ўключэнні інспекцыі.
Пасля налады правіл на ўзроўні Firewall / Application варта перайсці да цюнінгу палітык бяспекі (Threat Prevention), для гэтага заходзім у адпаведную частку:
На адкрытай старонцы мы бачым уключаныя блейды, статусы абнаўленняў сігнатур і баз. Таксама нам прапануецца абраць профіль для абароны перыметра сеткі, адлюстроўваюцца адпаведныя наладкі.
Асобны раздзел "IPS Protections" дазваляе канфігураваць дзеянне на пэўную сігнатуру бяспекі.
Не так даўно мы ў сваім блогу пісалі для Windows Server - SigRed. Праверым яе наяўнасць у Gaia Embedded 80.20, увёўшы запыт "CVE-2020-1350"
На дадзеную сігнатуру выяўлены запіс, да якога можна прымяніць адно з дзеянняў. (па змаўчанні Prevent для ўзроўня небяспекі - Critical). Адпаведна маючы SMB рашэнне, вы не будзеце абдзеленым у плане абнаўленняў і падтрымкі, гэта паўнавартаснае рашэнне NGFW для філіяльных офісаў да 200 чалавек ад СheckPoint.
Ацэнка працаздольнасці
Завяршаючы артыкул, жадалася б адзначыць наяўнасць прылад для траблшутинга праблем пасля першаснай ініцыялізацыі і налады SMB рашэння. Вы можаце перайсці ў раздзел "HOME" → "Tools". Магчымыя опцыі:
- маніторынг сістэмных рэсурсаў;
- табліца маршрутызацыі;
- праверка даступнасці хмарных сэрвісаў CheckPoint;
- генерацыя CPinfo;
Таксама даступныя ўбудаваныя сеткавыя каманды: Ping, Traceroute, Traffic Capture.
Такім чынам, сёння мы разгледзелі і вывучылі першаснае падлучэнне і наладу NGFW 1590, аналагічныя дзеянні вы будзеце вырабляць для ўсяго шэрагу серыі 1500 SMB Checkpoint. Даступныя опцыі паказалі нам высокую варыятыўнасць для налад, падтрымку сучасных метадаў абароны трафіку на перыметры сеткі.
На сённяшні дзень рашэнні СheckPoint для абароны малых офісаў і філіялаў (да 200 чалавек) валодаюць шырокім наборам сродкаў і выкарыстоўваюць самыя апошнія тэхналогіі (хмарнае кіраванне, падтрымка сімкарт, пашырэнне памяці з дапамогай SD-карт і г.д). Працягвайце быць у курсе і чытаць артыкулы ад TS Solution, мы плануем далейшы выпуск частак пра NGFW СheckPoint сямейства SMB, да сустрэчы!
. Сачыце за абнаўленнямі (, , , , ).
Крыніца: habr.com