Pokračujeme v sérii článků o práci s novou modelovou řadou SMB CheckPoint, připomeňme, že v popsali jsme vlastnosti a možnosti nových modelů, způsoby řízení a správy. Dnes se podíváme na scénář nasazení pro starší model v řadě: CheckPoint 1590 NGFW. Zde je shrnutí této části:
- Vybalení zařízení (popis komponent, fyzické a síťové připojení).
- Počáteční inicializace zařízení.
- Počáteční nastavení.
- Analýza výkonů.
Rozbalovací zařízení
Seznámení s vybavením začíná vyjmutím zařízení z krabice, demontáží komponentů a instalací dílů; klikněte na spoiler, kde je stručně představen proces
Dodávka 1590 NGFW
Krátce o komponentách:
- NGFW 1590;
- Napájecí adaptér;
- 2 Wifi antény (2.4 Hz a 5 Hz);
- 2 LTE antény;
- Brožury s dokumentací (krátký návod k prvnímu připojení, licenční ujednání atd.)
Co se týče síťových portů a rozhraní, jsou zde všechny moderní možnosti pro přenos a interakci provozu, samostatný port pro zónu DMZ, USB 3.0 pro synchronizaci s PC.
Verze 1590 dostala aktualizovaný design, moderní možnosti bezdrátové komunikace a rozšíření paměti: 2 sloty pro práci s Micro/Nano SIM v LTE režimu. (o této možnosti plánujeme podrobně psát v některém z našich dalších článků ze série věnované bezdrátovým připojením); slot pro SD kartu.
Více o možnostech 1590 NGFW a dalších nových modelech si můžete přečíst v ze série článků o řešeních CheckPoint SMB. Přistoupíme k úvodní inicializaci zařízení.
Primární inicializace
Naši pravidelní čtenáři by si již měli být vědomi, že řada 1500 SMB používá nový 80.20 Embedded OS, který obsahuje aktualizované rozhraní a vylepšené možnosti.
Chcete-li zahájit inicializaci zařízení, musíte:
- Zajistěte napájení brány.
- Připojte síťový kabel z vašeho PC do LAN -1 na bráně.
- Volitelně můžete zařízení okamžitě poskytnout přístup k internetu připojením rozhraní k portu WAN.
- Přejděte na portál Gaia Embedded:
Pokud jste postupovali podle výše uvedených kroků, pak po přechodu na stránku portálu Gaia budete muset potvrdit otevření stránky pomocí nedůvěryhodného certifikátu, po kterém se spustí průvodce nastavením portálu:
Uvítá vás stránka s uvedením modelu vašeho zařízení, musíte přejít na další sekci:
Budeme požádáni o vytvoření účtu pro autorizaci, je možné zadat vysoké požadavky na heslo pro administrátora a uvedeme zemi, kde budeme bránu používat.
Další okno se týká nastavení data a času, můžete jej nastavit ručně nebo použít firemní NTP server.
Dalším krokem je nastavení názvu zařízení a určení firemní domény, aby služby brány fungovaly správně na internetu.
Další krok se týká výběru typu ovládání NGFW, zde je třeba poznamenat:
- Místní správa. Toto je dostupná možnost pro místní správu brány pomocí webové stránky portálu Gaia.
- Centrální správa. Tento typ správy zahrnuje synchronizaci s vyhrazeným serverem CheckPoint Management, synchronizaci s cloudem Smart1-Cloud nebo s SMP (služba správy pro SMB).
V tomto článku se zaměříme na metodu Local Management, metodu, která je nezbytná, můžete specifikovat. Doporučujeme, abyste se seznámili s procesem synchronizace s vyhrazeným serverem pro správu ze série školení CheckPoint Getting Started připravené společností TS Solution.
Dále se zobrazí okno definující provozní režim rozhraní na bráně:
- Režim přepínání znamená dostupnost podsítě z jednoho rozhraní do podsítě jiného rozhraní.
- Režim Disable Switch odpovídajícím způsobem deaktivuje režim Switch; každý port směruje provoz jako samostatný síťový fragment.
Navrhuje se také specifikovat skupinu adres DHCP, která bude použita při připojování k místním rozhraním brány.
Dalším krokem je konfigurace brány pro práci v bezdrátovém režimu, tento aspekt plánujeme podrobněji probrat v jednom článku ze série, proto jsme konfiguraci nastavení odložili. Můžete vytvořit nový bezdrátový přístupový bod, nastavit heslo pro připojení k němu a určit provozní režim bezdrátového kanálu (2.4 Hz nebo 5 Hz).
Dalším krokem bude konfigurace přístupu k bráně pro firemní administrátory. Ve výchozím nastavení jsou přístupová práva povolena, pokud připojení pochází z:
- Vnitropodniková podsíť
- Důvěryhodná bezdrátová síť
- VPN tunel
Možnost připojení k bráně přes internet je ve výchozím nastavení zakázána, to s sebou nese velká rizika a musí být zdůvodněno pro zařazení, jinak se doporučuje ponechat jako v našem příkladu.Je také možné určit, které IP adresy budou povoleny pro připojení k bráně.
Další okno se týká aktivace licencí, po úvodní inicializaci zařízení vám bude nabídnuta 30denní zkušební doba. K dispozici jsou dva způsoby aktivace:
- Pokud je k dispozici připojení k internetu, licence se aktivuje automaticky.
- Pokud licenci aktivujete offline, musíte provést následující: stáhnout licenci z UserCenter, zaregistrovat své zařízení na speciálním . Dále v obou případech budete muset importovat ručně staženou licenci.
Nakonec vás poslední okno v průvodci nastavením vyzve k výběru blade serverů, které se mají zapnout; všimněte si, že blade QOS se zapne pouze po počáteční inicializaci. Měli byste skončit s oknem dokončení, které shrnuje vaše nastavení.
Počáteční nastavení
Nejprve doporučujeme zkontrolovat stav licencí, od toho se bude odvíjet další konfigurace. Přejděte na kartu „HOME“ → „Licence“:
Pokud jsou licence aktivovány, doporučujeme okamžitou aktualizaci na nejnovější aktuální firmware; k tomu přejděte na záložku „ZAŘÍZENÍ“ → „Operace systému“:
Aktualizace systému se nacházejí v položce Firmware Upgrade. V našem případě je nainstalována aktuální a nejnovější verze firmwaru.
Dále navrhuji krátce pohovořit o možnostech a nastavení lopatek systému. Logicky je lze rozdělit na zásady úrovně Přístup (Firewall, Kontrola aplikací, Filtrování URL) a Prevence hrozeb (IPS, Antivirus, Anti-Bot, Emulace hrozeb).
Pojďme na záložku Zásady přístupu → Kontrola čepele:
Standardně je použit režim STANDARD, umožňuje odchozí provoz do Internetu, provoz v rámci lokální sítě, ale zároveň blokuje příchozí provoz z Internetu.
Co se týče blade APPLICATIONS & URL FILTERING, ve výchozím nastavení jsou nastaveny tak, aby blokovaly stránky s vysokou úrovní nebezpečí, blokovaly výměnné aplikace (torrent, úložiště souborů atd.). Kategorie webů můžete také zablokovat ručně.
Zaškrtneme volbu pro uživatelský provoz „Omezit aplikace náročné na šířku pásma“ s možností omezit rychlost odchozího/příchozího provozu pro skupiny aplikací.
Dále otevřete podsekci Zásady, ve výchozím nastavení se pravidla generují automaticky podle výše popsaného nastavení.
Podsekce NAT ve výchozím nastavení funguje v Global Hide Nat Automatic, tj. všichni interní hostitelé budou mít přístup k internetu prostřednictvím veřejné IP adresy. Je možné ručně nastavit pravidla NAT pro publikování vašich webových aplikací nebo služeb.
Dále část, která se týká Ověření uživatele v síti, nabízí dvě možnosti: Dotazy Active Directory (integrace s vaší AD), Ověření podle prohlížeče (uživatel zadá do portálu přihlašovací údaje domény).
Samostatně stojí za zmínku SSL kontrola, podíl celkového HTTPS provozu na Global Network aktivně roste. Podívejme se, jaké funkce nabízí CheckPoint pro SMB řešení. Chcete-li to provést, přejděte do sekce SSL-Inspection → Policy:
V nastavení můžete zkontrolovat HTTPS provoz, budete muset importovat certifikát a nainstalovat jej do důvěryhodného certifikačního centra na počítačích koncových uživatelů.
Za pohodlnou možnost považujeme režim BYPASS pro předdefinované kategorie, který výrazně šetří čas při povolení kontroly.
Po konfiguraci pravidel na úrovni brány firewall / aplikace byste měli přistoupit k vyladění zásad zabezpečení (prevence hrozeb), přejděte do příslušné části:
Na otevřené stránce vidíme povolené blade servery, signaturu a stavy aktualizace databáze. Dále jsme vyzváni k výběru profilu pro ochranu perimetru sítě a zobrazí se příslušná nastavení.
Samostatná sekce „IPS Protections“ umožňuje konfigurovat akci pro konkrétní bezpečnostní podpis.
Není to tak dávno, co jsme psali na našem blogu pro Windows Server - SigRed. Pojďme zkontrolovat jeho přítomnost v Gaia Embedded 80.20 zadáním dotazu „CVE-2020-1350“
Pro tento podpis byl zjištěn záznam, na který lze použít jednu z akcí. (standardně Prevence pro úroveň nebezpečí je Kritická). V souladu s tím, s řešením pro malé a střední podniky, nebudete opomenuti, pokud jde o aktualizace a podporu; jedná se o kompletní řešení NGFW pro pobočky až do 200 lidí od společnosti CheckPoint.
Analýza výkonů
Na závěr článku bych rád poznamenal dostupnost nástrojů pro odstraňování problémů po úvodní inicializaci a konfiguraci řešení SMB. Můžete přejít do sekce „DOMŮ“ → „Nástroje“. Možné možnosti:
- zdroje monitorovacího systému;
- směrovací tabulka;
- kontrola dostupnosti cloudových služeb CheckPoint;
- generování CPinfo;
K dispozici jsou také vestavěné síťové příkazy: Ping, Traceroute, Traffic Capture.
Dnes jsme tedy zkontrolovali a prostudovali počáteční připojení a konfiguraci NGFW 1590, budete provádět podobné akce pro celou řadu 1500 SMB Checkpoint. Dostupné možnosti nám ukázaly vysokou variabilitu nastavení, podporu moderních metod ochrany provozu na perimetru sítě.
Řešení CheckPoint pro ochranu malých kanceláří a poboček (do 200 lidí) dnes disponují širokou škálou nástrojů a využívají nejmodernější technologie (cloud management, podpora SIM karet, rozšíření paměti pomocí SD karet atd.). Zůstaňte informováni a čtěte články z TS Solution, plánujeme další vydání částí o NGFW CheckPoint z rodiny SMB, uvidíme se!
. Zůstaňte naladěni (, , , , ).
Zdroj: www.habr.com