Gipadayon namo ang serye sa mga artikulo sa pagtrabaho kauban ang bag-ong SMB CheckPoint model range, pahinumdoman ka namo nga sa among gihulagway ang mga kinaiya ug kapabilidad sa bag-ong mga modelo, pagdumala ug mga pamaagi sa pagdumala. Karon atong tan-awon ang senaryo sa pag-deploy para sa mas karaan nga modelo sa serye: CheckPoint 1590 NGFW. Ania ang usa ka summary niini nga bahin:
- Mga kagamitan sa pag-unpack (paghulagway sa mga sangkap, pisikal ug koneksyon sa network).
- Inisyal nga pag-initialize sa device.
- Inisyal nga setup.
- Pagtimbang-timbang sa performance.
Unpacking Equipment
Ang pag-ila sa mga ekipo nagsugod sa pagtangtang sa mga ekipo gikan sa kahon, pag-disassembling sa mga sangkap ug pag-instalar sa mga bahin; pag-klik sa spoiler, diin ang proseso gipresentar sa makadiyot
Paghatud sa NGFW 1590
Sa mubo bahin sa mga sangkap:
- NGFW 1590;
- Power adapter;
- 2 Wifi Antenna (2.4 Hz ug 5 Hz);
- 2 LTE antenna;
- Mga booklet nga adunay dokumentasyon (usa ka mubo nga giya sa inisyal nga koneksyon, kasabutan sa lisensya, ug uban pa)
Sama sa alang sa mga pantalan sa network ug mga interface, adunay tanan nga mga modernong kapabilidad alang sa transmission ug interaksyon sa trapiko, usa ka bulag nga pantalan alang sa DMZ zone, USB 3.0 alang sa pag-synchronize sa usa ka PC.
Ang Bersyon 1590 nakadawat og bag-ong disenyo, modernong mga opsyon alang sa wireless nga komunikasyon ug pagpalapad sa memorya: 2 ka mga slots alang sa pagtrabaho sa Micro/Nano SIM sa LTE mode. (nagplano kami nga isulat kini nga kapilian sa detalye sa usa sa among sunod nga mga artikulo sa serye nga gipahinungod sa mga wireless nga koneksyon); SD card slot.
Makabasa ka og dugang mahitungod sa mga kapabilidad sa 1590 NGFW ug uban pang bag-ong mga modelo sa gikan sa serye sa mga artikulo bahin sa CheckPoint SMB nga mga solusyon. Magpadayon kami sa inisyal nga pagsugod sa aparato.
Panguna nga pagsugod
Ang among regular nga mga magbabasa kinahanglan nga nahibal-an na nga ang 1500 Series SMB nga linya naggamit sa bag-ong 80.20 Embedded OS, nga naglakip sa usa ka updated nga interface ug gipaayo nga mga kapabilidad.
Aron masugdan ang pagsugod sa aparato kinahanglan nimo:
- Paghatag og gahum sa ganghaan.
- Ikonektar ang network cable gikan sa imong PC ngadto sa LAN -1 sa gateway.
- Opsyonal, mahimo nimong mahatagan dayon ang aparato sa pag-access sa Internet pinaagi sa pagkonektar sa interface sa WAN port.
- Adto sa Gaia Embedded portal:
Kung gisunod nimo ang nauna nga gipahayag nga mga lakang, pagkahuman sa pag-adto sa Gaia portal nga panid, kinahanglan nimo nga kumpirmahon ang pag-abli sa panid gamit ang usa ka dili kasaligan nga sertipiko, pagkahuman ang wizard sa mga setting sa portal maglansad:
Maabiabihon ka sa usa ka panid nga nagpakita sa modelo sa imong aparato, kinahanglan nimo nga moadto sa sunod nga seksyon:
Gihangyo kami nga maghimo usa ka account alang sa pagtugot, posible nga ipiho ang taas nga mga kinahanglanon sa password alang sa tagdumala, ug gipakita namon ang nasud diin among gamiton ang ganghaan.
Ang sunod nga bintana may kalabotan sa mga setting sa petsa ug oras; mahimo nimo kini i-set sa mano-mano o gamiton ang NTP server sa kompanya.
Ang sunod nga lakang naglakip sa pagbutang sa usa ka ngalan alang sa aparato ug pagtino sa domain sa kompanya aron ang mga serbisyo sa gateway molihok sa husto sa Internet.
Ang sunod nga lakang may kalabotan sa pagpili sa NGFW control type, dinhi kini kinahanglan nga matikdan:
- Lokal nga Pagdumala. Kini usa ka magamit nga kapilian sa pagdumala sa ganghaan sa lokal gamit ang Gaia Portal web page.
- Pagdumala sa Sentral. Kini nga matang sa pagdumala naglakip sa pag-synchronize sa usa ka dedikado nga CheckPoint Management server, pag-synchronize sa Smart1-Cloud cloud o sa SMP (management service para sa SMB).
Niini nga artikulo, magpunting kami sa pamaagi sa Lokal nga Pagdumala; mahimo nimong ipiho ang pamaagi nga kinahanglan. Aron mapamilyar ang imong kaugalingon sa proseso sa pag-synchronize sa usa ka dedikado nga Management Server, among gisugyot gikan sa CheckPoint Pagsugod nga serye sa pagbansay nga giandam sa TS Solution.
Sunod, usa ka bintana ang ipresentar nga nagpatin-aw sa operating mode sa mga interface sa ganghaan:
- Ang switch mode nagpasabot sa pagkaanaa sa usa ka subnet gikan sa usa ka interface ngadto sa subnet sa laing interface.
- Ang Disable Switch mode sumala niana nag-disable sa Switch mode; ang matag pantalan nagtultol sa trapiko sama sa usa ka bulag nga tipik sa network.
Gisugyot usab nga ipiho ang usa ka hugpong sa mga adres sa DHCP nga gamiton kung magkonektar sa mga lokal nga interface sa ganghaan.
Ang sunod nga lakang mao ang pag-configure sa gateway aron magtrabaho sa wireless mode; plano namon nga hisgutan kini nga aspeto sa mas detalyado sa usa ka artikulo sa serye, mao nga gi-postpone namon ang pag-configure sa mga setting. Makahimo ka og bag-ong wireless access point, magbutang usa ka password alang sa pagkonektar niini ug mahibal-an ang operating mode sa wireless channel (2.4 Hz o 5 Hz).
Ang sunod nga lakang mao ang pag-configure sa pag-access sa gateway alang sa mga administrador sa kompanya. Sa default, ang mga katungod sa pag-access gitugotan kung ang koneksyon gikan sa:
- Subnet sa internal nga kompanya
- Gisaligan nga wireless network
- VPN tunnel
Ang kapilian sa pagkonektar sa gateway pinaagi sa Internet gi-disable pinaagi sa default, kini adunay daghang mga peligro ug kinahanglan nga makatarunganon alang sa paglakip, kung dili girekomenda nga ibilin kini sama sa among panig-ingnan. Posible usab nga mahibal-an kung unsang mga IP address ang gitugotan aron makonektar sa ganghaan.
Ang sunod nga bintana may kalabotan sa pagpaaktibo sa mga lisensya; sa inisyal nga pagsugod sa aparato, ipakita kanimo ang usa ka 30-adlaw nga panahon sa pagsulay. Adunay duha ka magamit nga pamaagi sa pagpaaktibo:
- Kung adunay koneksyon sa Internet, ang lisensya awtomatiko nga gi-aktibo.
- Kung gi-aktibo nimo ang usa ka lisensya sa offline, kinahanglan nimo nga buhaton ang mosunud: i-download ang lisensya gikan sa UserCenter, irehistro ang imong aparato sa usa ka espesyal . Sunod, alang sa duha nga mga kaso, kinahanglan nimo nga i-import ang manual nga gi-download nga lisensya.
Sa katapusan, ang katapusan nga bintana sa setting wizard nag-aghat kanimo sa pagpili sa mga blades nga i-on; timan-i nga ang QOS blade gi-on lamang pagkahuman sa inisyal nga pagsugod. Kinahanglan nga adunay usa ka window sa pagkompleto nga nag-summarize sa imong mga setting.
Inisyal nga setup
Una sa tanan, girekomenda namon nga susihon ang kahimtang sa mga lisensya; ang dugang nga pag-configure magdepende niini. Adto sa βHOMEβ β βLisensyaβ tab:
Kung gi-aktibo ang mga lisensya, girekomenda namon ang pag-update dayon sa labing bag-o nga firmware; aron mahimo kini, adto sa tab nga "DEVICE" β "System Operations" tab:
Ang mga pag-update sa sistema nahimutang sa butang nga Pag-upgrade sa Firmware. Sa among kaso, ang kasamtangan ug pinakabag-o nga bersyon sa firmware gi-install.
Sunod, gisugyot ko nga hisgutan ang kadali bahin sa mga kapabilidad ug mga setting sa mga blades sa sistema. Sa lohikal nga paagi, mahimo silang bahinon sa mga palisiya sa lebel sa Access (Firewall, Application Control, URL Filtering) ug Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).
Adto ta sa Access Policy β Blade Control tab:
Sa kasagaran, gigamit ang STANDARD mode, gitugotan niini ang paggawas nga trapiko sa Internet, trapiko sa sulod sa lokal nga network, apan sa samang higayon gibabagan ang umaabot nga trapiko gikan sa Internet.
Sama sa alang sa APPLICATIONS & URL FILTERING blades, pinaagi sa default gitakda sila nga babagan ang mga site nga adunay taas nga lebel sa peligro, block exchange application (Torrent, File Storage, ug uban pa). Mahimo usab nimo nga i-block ang mga kategorya sa mga site nga mano-mano.
Atong susihon ang kapilian alang sa trapiko sa gumagamit nga "Limit ang mga aplikasyon sa pagkonsumo sa bandwidth" nga adunay katakus nga limitahan ang katulin sa paggawas / umaabot nga trapiko alang sa mga grupo sa mga aplikasyon.
Sunod, ablihi ang subseksyon sa Patakaran; pinaagi sa default, ang mga lagda awtomatiko nga gihimo sumala sa nauna nga gihulagway nga mga setting.
Ang subsection sa NAT pinaagi sa default nagtrabaho sa Global Hide Nat Automatic, i.e. ang tanan nga internal nga host adunay access sa Internet pinaagi sa publiko nga IP address. Posible nga mano-mano ang pagtakda sa mga lagda sa NAT alang sa pagmantala sa imong mga aplikasyon sa web o serbisyo.
Sunod, ang seksyon nga may kalabotan sa User Authentication sa network nagtanyag ug duha ka kapilian: Active Directory Queries (integration with your AD), Browser-Based-Authentication (ang user mosulod sa domain credentials sa portal).
Angayan nga hisgutan nga gilain ang pag-inspeksyon sa SSL; ang bahin sa kinatibuk-ang trapiko sa HTTPS sa Global Network aktibo nga nagtubo. Atong tan-awon kon unsa nga mga bahin ang gitanyag sa CheckPoint alang sa mga solusyon sa SMB. Aron mahimo kini, adto sa SSL-Inspection β Policy section:
Sa mga setting mahimo nimong susihon ang trapiko sa HTTPS; kinahanglan nimo nga i-import ang sertipiko ug i-install kini sa kasaligan nga sentro sa sertipiko sa mga makina sa end user.
Among gikonsiderar nga ang BYPASS mode para sa mga predefined nga mga kategorya maoy usa ka kombenyente nga kapilian; kini makadaginot ug panahon sa dihang makapahimo sa inspeksyon.
Human ma-configure ang mga lagda sa lebel sa Firewall / Application, kinahanglan nimo nga ipadayon ang pag-tune sa mga palisiya sa seguridad (Paglikay sa Panghulga), aron mahimo kini, adto sa angay nga seksyon:
Sa bukas nga panid atong makita ang mga naka-enable nga blades, pirma ug mga status sa pag-update sa database. Gihangyo usab kami nga magpili usa ka profile alang sa pagpanalipod sa perimeter sa network, ug gipakita ang katugbang nga mga setting.
Ang usa ka bulag nga seksyon nga "Mga Proteksyon sa IPS" nagtugot kanimo sa pag-configure sa aksyon alang sa usa ka piho nga pirma sa seguridad.
Dili pa lang dugay nagsulat kami sa among blog alang sa Windows Server - SigRed. Atong susihon ang presensya niini sa Gaia Embedded 80.20 pinaagi sa pagsulod sa pangutana nga "CVE-2020-1350"
Usa ka rekord ang nakit-an alang niini nga pirma diin ang usa sa mga aksyon mahimong magamit. (pinaagi sa default Paglikay alang sa lebel sa peligro kay Kritikal). Tungod niini, nga adunay solusyon sa SMB, dili ka mabiyaan sa mga termino sa mga update ug suporta; kini usa ka kompleto nga solusyon sa NGFW alang sa mga sangang buhatan nga hangtod sa 200 ka tawo gikan sa CheckPoint.
Pagtimbang-timbang sa performance
Sa pagtapos sa artikulo, gusto nakong timan-an ang pagkaanaa sa mga himan alang sa pag-troubleshoot sa mga problema human sa inisyal nga pagsugod ug pag-configure sa solusyon sa SMB. Mahimo kang moadto sa seksyon nga "BALAY" β "Mga Himan". Posible nga mga kapilian:
- mga kapanguhaan sa sistema sa pagmonitor;
- routing table;
- pagsusi sa pagkaanaa sa CheckPoint cloud services;
- henerasyon sa CPinfo;
Ang mga built-in nga network command magamit usab: Ping, Traceroute, Traffic Capture.
Mao nga, karon among gisusi ug gitun-an ang inisyal nga koneksyon ug pag-configure sa NGFW 1590, maghimo ka og parehas nga mga aksyon alang sa tibuuk nga serye sa 1500 SMB Checkpoint. Ang magamit nga mga kapilian nagpakita kanamo taas nga pagkalainlain alang sa mga setting, suporta alang sa mga modernong pamaagi sa pagpanalipod sa trapiko sa perimeter sa network.
Karon, ang mga solusyon sa CheckPoint alang sa pagpanalipod sa gagmay nga mga opisina ug mga sanga (hangtod sa 200 ka tawo) adunay daghang mga himan ug gigamit ang labing bag-ong mga teknolohiya (pagdumala sa panganod, suporta sa SIM card, pagpalapad sa memorya gamit ang mga SD card, ug uban pa). Padayon nga magpabilin nga nahibal-an ug basaha ang mga artikulo gikan sa TS Solution, nagplano kami nga dugang nga pagpagawas sa mga bahin bahin sa NGFW CheckPoint sa pamilyang SMB, magkita ta!
. Pagbantay (, , , , ).
Source: www.habr.com