
Rydym yn parhau â'r gyfres o erthyglau ar weithio gyda'r ystod model CheckPoint SMB newydd, gadewch inni eich atgoffa hynny yn disgrifiasom nodweddion a galluoedd y modelau, y dulliau rheoli a gweinyddu newydd. Heddiw, byddwn yn edrych ar y senario defnyddio ar gyfer y model hŷn yn y gyfres: CheckPoint 1590 NGFW. Dyma grynodeb o’r rhan hon:
- Offer dadbacio (disgrifiad o gydrannau, cysylltiadau ffisegol a rhwydwaith).
- Cychwyn dyfais cychwynnol.
- Gosodiad cychwynnol.
- Asesu perfformiad.
Dadbacio Offer
Mae dod i adnabod yr offer yn dechrau gyda thynnu'r offer o'r blwch, dadosod cydrannau a gosod rhannau; cliciwch ar y sbwyliwr, lle cyflwynir y broses yn fyr
Dosbarthu NGFW 1590

Yn fyr am y cydrannau:
- NGFW 1590;
- Addasydd pŵer;
- 2 Antena Wifi (2.4 Hz a 5 Hz);
- 2 antena LTE;
- Llyfrynnau gyda dogfennaeth (canllaw byr i gysylltiad cychwynnol, cytundeb trwydded, ac ati)
Fel ar gyfer porthladdoedd rhwydwaith a rhyngwynebau, mae yna holl alluoedd modern ar gyfer trosglwyddo a rhyngweithio traffig, porthladd ar wahân ar gyfer y parth DMZ, USB 3.0 ar gyfer cydamseru â PC.

Derbyniodd Fersiwn 1590 ddyluniad wedi'i ddiweddaru, opsiynau modern ar gyfer cyfathrebu diwifr ac ehangu cof: 2 slot ar gyfer gweithio gyda Micro / Nano SIM yn y modd LTE. (rydym yn bwriadu ysgrifennu am yr opsiwn hwn yn fanwl yn un o'n herthyglau nesaf yn y gyfres sy'n ymroddedig i gysylltiadau diwifr); Slot cerdyn SD.
Gallwch ddarllen mwy am alluoedd y 1590 NGFW a modelau newydd eraill yn o gyfres o erthyglau am atebion CheckPoint SMB. Byddwn yn symud ymlaen i gychwyniad cychwynnol y ddyfais.
Cychwyniad cynradd
Dylai ein darllenwyr rheolaidd fod yn ymwybodol eisoes bod llinell SMB Cyfres 1500 yn defnyddio'r OS Embedded 80.20 newydd, sy'n cynnwys rhyngwyneb wedi'i ddiweddaru a galluoedd gwell.
I ddechrau cychwyn y ddyfais mae angen i chi:
- Darparu pŵer i'r porth.
- Cysylltwch y cebl rhwydwaith o'ch cyfrifiadur personol â LAN -1 ar y porth.
- Yn ddewisol, gallwch chi ddarparu mynediad Rhyngrwyd i'r ddyfais ar unwaith trwy gysylltu'r rhyngwyneb â'r porthladd WAN.
- Ewch i borth Gaia Embedded:
Os gwnaethoch ddilyn y camau a nodwyd yn flaenorol, yna ar ôl mynd i dudalen porth Gaia, bydd angen i chi gadarnhau agor y dudalen gyda thystysgrif anymddiried, ac ar ôl hynny bydd y dewin gosodiadau porth yn lansio:

Fe'ch cyfarchir gan dudalen sy'n nodi model eich dyfais, mae angen i chi fynd i'r adran nesaf:

Bydd gofyn i ni greu cyfrif ar gyfer awdurdodi, mae'n bosibl nodi gofynion cyfrinair uchel ar gyfer y gweinyddwr, ac rydym yn nodi'r wlad lle byddwn yn defnyddio'r porth.

Mae'r ffenestr nesaf yn ymwneud â gosodiadau dyddiad ac amser; gallwch ei osod â llaw neu ddefnyddio gweinydd NTP y cwmni.

Mae'r cam nesaf yn cynnwys gosod enw ar gyfer y ddyfais a nodi parth y cwmni fel bod y gwasanaethau porth yn gweithio'n gywir ar y Rhyngrwyd.

Mae'r cam nesaf yn ymwneud â dewis math o reolaeth NGFW, yma dylid nodi:
- Rheolaeth Leol. Mae hwn yn opsiwn sydd ar gael i reoli'r porth yn lleol gan ddefnyddio tudalen we Porth Gaia.
- Rheolaeth Ganolog. Mae'r math hwn o reolaeth yn cynnwys cydamseru â gweinydd Rheoli CheckPoint pwrpasol, cydamseru â'r cwmwl Smart1-Cloud neu â SMP (gwasanaeth rheoli ar gyfer SMB).
Yn yr erthygl hon, byddwn yn canolbwyntio ar y dull Rheoli Lleol; gallwch nodi'r dull sy'n angenrheidiol. Er mwyn ymgyfarwyddo â'r broses o gydamseru â Gweinyddwr Rheoli pwrpasol, rydym yn awgrymu o'r gyfres hyfforddi CheckPoint Getting Started a baratowyd gan TS Solution.

Nesaf, cyflwynir ffenestr yn diffinio dull gweithredu'r rhyngwynebau ar y porth:
- Mae modd switsh yn awgrymu bod is-rwydwaith ar gael o un rhyngwyneb i is-rwydwaith rhyngwyneb arall.
- Mae'r modd Disable Switch felly yn analluogi'r modd Switch; mae pob porthladd yn cyfeirio traffig fel ar gyfer darn rhwydwaith ar wahân.
Cynigir hefyd nodi cronfa o gyfeiriadau DHCP a ddefnyddir wrth gysylltu â rhyngwynebau lleol y porth.

Y cam nesaf yw ffurfweddu'r porth i weithio yn y modd diwifr; rydym yn bwriadu trafod yr agwedd hon yn fanylach mewn un erthygl yn y gyfres, felly fe wnaethom ohirio cyfluniad y gosodiadau. Gallwch greu pwynt mynediad diwifr newydd, gosod cyfrinair ar gyfer cysylltu ag ef a phennu dull gweithredu'r sianel ddiwifr (2.4 Hz neu 5 Hz).

Y cam nesaf fydd ffurfweddu mynediad i'r porth ar gyfer gweinyddwyr cwmni. Yn ddiofyn, caniateir hawliau mynediad os yw'r cysylltiad yn dod o:
- Is-rwydwaith cwmni mewnol
- Rhwydwaith diwifr dibynadwy
- Twnnel VPN
Mae'r opsiwn i gysylltu â'r porth trwy'r Rhyngrwyd wedi'i analluogi yn ddiofyn, mae hyn yn peri risgiau mawr a rhaid ei gyfiawnhau i'w gynnwys, fel arall argymhellir ei adael fel yn ein hesiampl. Mae hefyd yn bosibl nodi pa gyfeiriadau IP a ganiateir i gysylltu â'r porth.

Mae'r ffenestr nesaf yn ymwneud ag actifadu trwyddedau; ar ôl cychwyn y ddyfais i ddechrau, cyflwynir cyfnod prawf o 30 diwrnod i chi. Mae dau ddull actifadu ar gael:
- Os oes cysylltiad Rhyngrwyd, mae'r drwydded yn cael ei actifadu'n awtomatig.
- Os byddwch yn actifadu trwydded all-lein, mae angen i chi wneud y canlynol: lawrlwythwch y drwydded o UserCenter, cofrestrwch eich dyfais ar raglen arbennig . Nesaf, ar gyfer y ddau achos, bydd angen i chi fewnforio'r drwydded wedi'i lawrlwytho â llaw.

Yn olaf, mae'r ffenestr olaf yn y dewin gosodiadau yn eich annog i ddewis y llafnau i'w troi ymlaen; sylwch mai dim ond ar ôl cychwyn cychwynnol y caiff y llafn QOS ei droi ymlaen. Dylech orffen gyda ffenestr gwblhau sy'n crynhoi eich gosodiadau.
Setup cychwynnol
Yn gyntaf oll, rydym yn argymell gwirio statws trwyddedau; bydd ffurfweddiad pellach yn dibynnu ar hyn. Ewch i'r tab “HOME” → “Trwydded”:

Os yw'r trwyddedau'n cael eu gweithredu, rydym yn argymell diweddaru ar unwaith i'r cadarnwedd cyfredol diweddaraf; i wneud hyn, ewch i'r tab "DYFAIS" → "Gweithrediadau System":

Mae diweddariadau system wedi'u lleoli yn yr eitem Uwchraddio Firmware. Yn ein hachos ni, mae'r fersiwn firmware cyfredol a diweddaraf wedi'i osod.
Nesaf, cynigiaf siarad yn fyr am alluoedd a gosodiadau llafnau'r system. Yn rhesymegol, gellir eu rhannu'n bolisïau lefel Mynediad (Mur Tân, Rheoli Cymhwysiad, Hidlo URL) ac Atal Bygythiad (IPS, Antivirus, Gwrth-Bot, Efelychu Bygythiad).
Gadewch i ni fynd i'r Polisi Mynediad → Blade Control tab:

Yn ddiofyn, defnyddir y modd SAFONOL, mae'n caniatáu traffig sy'n mynd allan i'r Rhyngrwyd, traffig o fewn y rhwydwaith lleol, ond ar yr un pryd yn rhwystro traffig sy'n dod i mewn o'r Rhyngrwyd.
O ran y llafnau CEISIADAU & hidlo URL, yn ddiofyn fe'u gosodir i rwystro safleoedd â lefel uchel o berygl, blocio cymwysiadau cyfnewid (Torrent, Storio Ffeil, ac ati). Gallwch hefyd rwystro categorïau o wefannau â llaw.
Gadewch i ni wirio'r opsiwn ar gyfer traffig defnyddwyr “Cyfyngu ar gymwysiadau sy'n cymryd llawer o led band” gyda'r gallu i gyfyngu ar gyflymder traffig sy'n mynd allan / sy'n dod i mewn ar gyfer grwpiau o gymwysiadau.
Nesaf, agorwch yr is-adran Polisi; yn ddiofyn, mae'r rheolau'n cael eu cynhyrchu'n awtomatig yn ôl y gosodiadau a ddisgrifiwyd yn flaenorol.
Mae’r is-adran NAT yn ddiofyn yn gweithio yn Global Hide Nat Automatic, h.y. bydd gan bob gwesteiwr mewnol fynediad i’r Rhyngrwyd drwy’r cyfeiriad IP cyhoeddus. Mae'n bosibl gosod rheolau NAT â llaw ar gyfer cyhoeddi eich rhaglenni gwe neu wasanaethau.

Nesaf, mae'r adran sy'n ymwneud â Dilysu Defnyddiwr ar y rhwydwaith yn cynnig dau opsiwn: Ymholiadau Active Directory (integreiddio â'ch AD), Dilysiad ar Sail Porwr (mae'r defnyddiwr yn nodi manylion parth yn y porth).

Mae'n werth sôn am arolygiad SSL ar wahân; mae'r gyfran o gyfanswm traffig HTTPS ar y Rhwydwaith Byd-eang yn tyfu'n weithredol. Edrychwn ar ba nodweddion y mae CheckPoint yn eu cynnig ar gyfer datrysiadau SMB. I wneud hyn, ewch i'r adran SSL-Inspection → Policy:

Yn y gosodiadau gallwch chi archwilio traffig HTTPS; bydd angen i chi fewnforio'r dystysgrif a'i gosod yn y ganolfan dystysgrifau dibynadwy ar beiriannau defnyddiwr terfynol.
Rydym o'r farn bod y modd FFYRCHU ar gyfer categorïau a ddiffiniwyd ymlaen llaw yn opsiwn cyfleus; mae hyn yn arbed amser yn sylweddol wrth alluogi arolygiad.
Ar ôl ffurfweddu'r rheolau ar lefel Firewall / Application, dylech symud ymlaen i diwnio polisïau diogelwch (Atal Bygythiad), i wneud hyn, ewch i'r adran briodol:

Ar y dudalen agored gwelwn lafnau wedi'u galluogi, llofnod a statws diweddaru cronfa ddata. Gofynnir i ni hefyd ddewis proffil ar gyfer diogelu perimedr y rhwydwaith, a dangosir y gosodiadau cyfatebol.
Mae adran ar wahân “IPS Protections” yn caniatáu ichi ffurfweddu'r weithred ar gyfer llofnod diogelwch penodol.

Ddim yn bell yn ôl fe wnaethon ni ysgrifennu ar ein blog gyfer Windows Server — SigRed. Gadewch i ni wirio am ei bresenoldeb yn Gaia Embedded 80.20 trwy nodi'r ymholiad "CVE-2020-1350"

Mae cofnod wedi'i ganfod ar gyfer y llofnod hwn y gellir cymhwyso un o'r camau gweithredu iddo. (yn ddiofyn Mae Atal ar gyfer y lefel perygl yn Hanfodol). Yn unol â hynny, gyda datrysiad SMB, ni fyddwch yn cael eich gadael allan o ran diweddariadau a chefnogaeth; mae hwn yn ddatrysiad NGFW llawn ar gyfer swyddfeydd cangen o hyd at 200 o bobl o CheckPoint.
Asesu perfformiad
Wrth gloi'r erthygl, hoffwn nodi argaeledd offer ar gyfer datrys problemau ar ôl cychwyn a chyfluniad cychwynnol datrysiad SMB. Gallwch fynd i'r adran “HOME” → “Tools”. Opsiynau posib:
- monitro adnoddau systemau;
- bwrdd llwybro;
- gwirio argaeledd gwasanaethau cwmwl CheckPoint;
- cynhyrchu CPinfo;
Mae gorchmynion rhwydwaith adeiledig hefyd ar gael: Ping, Traceroute, Traffic Capture.

Felly, heddiw fe wnaethom adolygu ac astudio cysylltiad a chyfluniad cychwynnol y NGFW 1590, byddwch yn perfformio gweithredoedd tebyg ar gyfer y gyfres Checkpoint 1500 SMB gyfan. Roedd yr opsiynau sydd ar gael yn dangos amrywiaeth uchel i ni ar gyfer gosodiadau, cefnogaeth i ddulliau modern o amddiffyn traffig ar berimedr y rhwydwaith.
Heddiw, mae gan atebion CheckPoint ar gyfer amddiffyn swyddfeydd bach a changhennau (hyd at 200 o bobl) ystod eang o offer ac maent yn defnyddio'r technolegau diweddaraf (rheoli cwmwl, cefnogaeth cerdyn SIM, ehangu cof gan ddefnyddio cardiau SD, ac ati). Parhewch i gael y wybodaeth ddiweddaraf a darllen erthyglau gan TS Solution, rydym yn cynllunio datganiadau pellach o rannau am NGFW CheckPoint o deulu SMB, welwn ni chi!
. Aros diwnio (, , , , ).
Ffynhonnell: hab.com
