Поздрави на всички, които продължават да четат поредицата за новото поколение NGFW Check Point от семейството на SMB (серия 1500). IN разгледахме SMP решението (портал за управление на SMB gateways). Днес бих искал да говоря за портала Smart-1 Cloud, той се позиционира като решение, базирано на SaaS Check Point, действа като сървър за управление в облака, така че ще бъде от значение за всяка NGFW Check Point. За тези, които току-що се присъединиха към нас, позволете ми да ви напомня за обсъжданите по-рано теми: , , .
Нека подчертаем основните характеристики на Smart-1 Cloud:
- Единно централизирано решение за управление на цялата ви инфраструктура на Check Point (виртуални и физически шлюзове на различни нива).
- Общ набор от политики за всички Blades ви позволява да опростите процесите на администриране (създаване/редактиране на правила за различни задачи).
- Поддръжка на профилен подход при работа с настройките на шлюза. Отговаря за разделянето на правата за достъп при работа в портала, където мрежови администратори, специалисти по одит и др. могат едновременно да изпълняват различни задачи.
- Мониторинг на заплахи, който предоставя регистрационни файлове и преглед на събития на едно място.
- Поддръжка за взаимодействие чрез API. Потребителят може да внедри процеси на автоматизация, опростявайки рутинните ежедневни задачи.
- Уеб достъп. Премахва ограниченията по отношение на поддръжката за отделни операционни системи и е интуитивен.
За тези, които вече са запознати с решенията на Check Point, представените основни възможности не се различават от наличието на локален локален сървър за управление във вашата инфраструктура. Те ще бъдат отчасти прави, но в случая на Smart-1 Cloud поддръжката на сървъра за управление се осигурява от специалисти на Check Point. Включва: създаване на резервни копия, наблюдение на свободното пространство на носителя, коригиране на грешки, инсталиране на най-новите версии на софтуера. Процесът на мигриране (прехвърляне) на настройки също е опростен.
лицензиране
Преди да се запознаете с функционалността на решението за управление на облак, нека проучим въпросите за лицензиране от официалния .
Управление на един шлюз:
Абонаментът зависи от избраните контролни блейдове; има общо 3 посоки:
- Управление. 50 GB място за съхранение, 1 GB дневно за регистрационни файлове.
- Управление + SmartEvent. 100 GB място за съхранение, 3 GB ежедневни регистрационни файлове, генериране на отчети.
- Управление + Съответствие + SmartEvent. 100 GB място за съхранение, 3 GB ежедневни регистрационни файлове, генериране на отчети, препоръки за настройки въз основа на общи практики за сигурност на информацията.
*Изборът зависи от много фактори: вид на регистрационните файлове, брой потребители, обем на трафика.
Има и абонамент за управление на 5 шлюза. Няма да се спираме на това подробно - винаги можете да получите информация от .
Стартиране на Smart-1 Cloud
Всеки може да изпробва решението, за да направите това, трябва да се регистрирате в Infinity Portal - облачна услуга от Check Point, където можете да получите пробен достъп до следните области:
- Облачна защита (CloudGuard SaaS, CloudGuard Native);
- Мрежова защита (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Защита на крайна точка (, Облачно управление на SandBlast Agent, Sandblast Mobile).
Ние ще влезем в системата с вас (необходима е регистрация за нови потребители) и ще отидем до решението Smart-1 Cloud:
Ще ви бъдат разказани накратко за предимствата на това решение (Управление на инфраструктурата, не е необходима инсталация, актуализира се автоматично).
След като попълните полетата, ще трябва да изчакате, докато акаунтът ви бъде готов за влизане в портала:
Ако операцията е успешна, ще получите информация за регистрация по имейл (посочен при влизане в Infinity Portal), а също така ще бъдете пренасочени към началната страница на Smart-1 Cloud.
Налични раздели на портала:
- Стартирайте SmartConsole. Използване на инсталираното приложение на вашия компютър или използване на уеб интерфейса.
- Синхронизация с обекта на шлюза.
- Работа с трупи.
- Настройки
Синхронизация с шлюза
Нека започнем със синхронизирането на шлюза за сигурност; за да направите това, трябва да го добавите като обект. Отидете в раздела „Свързване на шлюз“
Трябва да въведете уникално име на шлюз; можете да добавите коментар към обекта. След това натиснете "Регистрирам".
Ще се появи обект на шлюз, който ще трябва да се синхронизира със сървъра за управление чрез изпълнение на CLI командите за шлюза:
- Уверете се, че най-новият JHF (Jumbo Hotfix) е инсталиран на шлюза.
- Задайте маркер за връзка: задайте security-gateway maas на auth-token
- Проверете състоянието на тунела за синхронизация:
Състояние на MaaS: Активирано
Състояние на тунела MaaS: Нагоре
MaaS име на домейн:
Service-Identifier.maas.checkpoint.com
IP шлюз за MaaS комуникация: 100.64.0.1
След като услугите за Mass Tunnel бъдат повдигнати, трябва да продължите да установявате SIC връзка между шлюза и Smart-1 Cloud в Smartconsole. Ако операцията е успешна, ще бъде получена топологията на шлюза, нека приложим пример:
По този начин, когато използвате Smart-1 Cloud, шлюзът е свързан към „сивата“ мрежа 10.64.0.1.
Позволете ми да добавя, че в нашето оформление самият шлюз осъществява достъп до интернет чрез NAT, следователно няма публичен IP адрес на неговия интерфейс, но можем да го управляваме отвън. Това е друга интересна функция на Smart-1 Cloud, благодарение на която се създава отделна подмрежа за управление със собствен пул от IP адреси.
Заключение
След като успешно добавите шлюз за управление чрез Smart-1 Cloud, имате пълен достъп, точно както в Smart Console. На нашето оформление стартирахме уеб версията; всъщност това е повдигната виртуална машина с работещ клиент за управление.
Винаги можете да научите повече за възможностите на Smart Console и архитектурата на Check Point в нашия авторски .
Това е всичко за днес, чакаме последната статия от поредицата, в която ще се докоснем до възможностите за настройка на производителността на семейството от сериите SMB 1500 с инсталирана Gaia 80.20 Embedded.
. Останете на линия (, , , , )
Източник: www.habr.com