2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Rydym yn parhau â'r gyfres o erthyglau ar weithio gyda'r ystod model CheckPoint SMB newydd, gadewch inni eich atgoffa hynny yn y rhan gyntaf disgrifiasom nodweddion a galluoedd y modelau, y dulliau rheoli a gweinyddu newydd. Heddiw, byddwn yn edrych ar y senario defnyddio ar gyfer y model hŷn yn y gyfres: CheckPoint 1590 NGFW. Dyma grynodeb o’r rhan hon:

  1. Offer dadbacio (disgrifiad o gydrannau, cysylltiadau ffisegol a rhwydwaith).
  2. Cychwyn dyfais cychwynnol.
  3. Gosodiad cychwynnol.
  4. Asesu perfformiad.

Dadbacio Offer

Mae dod i adnabod yr offer yn dechrau gyda thynnu'r offer o'r blwch, dadosod cydrannau a gosod rhannau; cliciwch ar y sbwyliwr, lle cyflwynir y broses yn fyr

Dosbarthu NGFW 1590
2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Yn fyr am y cydrannau:

  • NGFW 1590;
  • Addasydd pŵer;
  • 2 Antena Wifi (2.4 Hz a 5 Hz);
  • 2 antena LTE;
  • Llyfrynnau gyda dogfennaeth (canllaw byr i gysylltiad cychwynnol, cytundeb trwydded, ac ati)

Fel ar gyfer porthladdoedd rhwydwaith a rhyngwynebau, mae yna holl alluoedd modern ar gyfer trosglwyddo a rhyngweithio traffig, porthladd ar wahân ar gyfer y parth DMZ, USB 3.0 ar gyfer cydamseru â PC.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Derbyniodd Fersiwn 1590 ddyluniad wedi'i ddiweddaru, opsiynau modern ar gyfer cyfathrebu diwifr ac ehangu cof: 2 slot ar gyfer gweithio gyda Micro / Nano SIM yn y modd LTE. (rydym yn bwriadu ysgrifennu am yr opsiwn hwn yn fanwl yn un o'n herthyglau nesaf yn y gyfres sy'n ymroddedig i gysylltiadau diwifr); Slot cerdyn SD.

Gallwch ddarllen mwy am alluoedd y 1590 NGFW a modelau newydd eraill yn 1 rhan o gyfres o erthyglau am atebion CheckPoint SMB. Byddwn yn symud ymlaen i gychwyniad cychwynnol y ddyfais.

Cychwyniad cynradd

Dylai ein darllenwyr rheolaidd fod yn ymwybodol eisoes bod llinell SMB Cyfres 1500 yn defnyddio'r OS Embedded 80.20 newydd, sy'n cynnwys rhyngwyneb wedi'i ddiweddaru a galluoedd gwell.

I ddechrau cychwyn y ddyfais mae angen i chi:

  1. Darparu pŵer i'r porth.
  2. Cysylltwch y cebl rhwydwaith o'ch cyfrifiadur personol â LAN -1 ar y porth.
  3. Yn ddewisol, gallwch chi ddarparu mynediad Rhyngrwyd i'r ddyfais ar unwaith trwy gysylltu'r rhyngwyneb â'r porthladd WAN.
  4. Ewch i borth Gaia Embedded: https://192.168.1.1:4434/

Os gwnaethoch ddilyn y camau a nodwyd yn flaenorol, yna ar ôl mynd i dudalen porth Gaia, bydd angen i chi gadarnhau agor y dudalen gyda thystysgrif anymddiried, ac ar ôl hynny bydd y dewin gosodiadau porth yn lansio:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Fe'ch cyfarchir gan dudalen sy'n nodi model eich dyfais, mae angen i chi fynd i'r adran nesaf:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Bydd gofyn i ni greu cyfrif ar gyfer awdurdodi, mae'n bosibl nodi gofynion cyfrinair uchel ar gyfer y gweinyddwr, ac rydym yn nodi'r wlad lle byddwn yn defnyddio'r porth.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae'r ffenestr nesaf yn ymwneud â gosodiadau dyddiad ac amser; gallwch ei osod â llaw neu ddefnyddio gweinydd NTP y cwmni.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae'r cam nesaf yn cynnwys gosod enw ar gyfer y ddyfais a nodi parth y cwmni fel bod y gwasanaethau porth yn gweithio'n gywir ar y Rhyngrwyd.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae'r cam nesaf yn ymwneud â dewis math o reolaeth NGFW, yma dylid nodi:

  1. Rheolaeth Leol. Mae hwn yn opsiwn sydd ar gael i reoli'r porth yn lleol gan ddefnyddio tudalen we Porth Gaia.
  2. Rheolaeth Ganolog. Mae'r math hwn o reolaeth yn cynnwys cydamseru â gweinydd Rheoli CheckPoint pwrpasol, cydamseru â'r cwmwl Smart1-Cloud neu â SMP (gwasanaeth rheoli ar gyfer SMB).

Yn yr erthygl hon, byddwn yn canolbwyntio ar y dull Rheoli Lleol; gallwch nodi'r dull sy'n angenrheidiol. Er mwyn ymgyfarwyddo â'r broses o gydamseru â Gweinyddwr Rheoli pwrpasol, rydym yn awgrymu cyswllt o'r gyfres hyfforddi CheckPoint Getting Started a baratowyd gan TS Solution.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Nesaf, cyflwynir ffenestr yn diffinio dull gweithredu'r rhyngwynebau ar y porth:

  • Mae modd switsh yn awgrymu bod is-rwydwaith ar gael o un rhyngwyneb i is-rwydwaith rhyngwyneb arall.
  • Mae'r modd Disable Switch felly yn analluogi'r modd Switch; mae pob porthladd yn cyfeirio traffig fel ar gyfer darn rhwydwaith ar wahân.

Cynigir hefyd nodi cronfa o gyfeiriadau DHCP a ddefnyddir wrth gysylltu â rhyngwynebau lleol y porth.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Y cam nesaf yw ffurfweddu'r porth i weithio yn y modd diwifr; rydym yn bwriadu trafod yr agwedd hon yn fanylach mewn un erthygl yn y gyfres, felly fe wnaethom ohirio cyfluniad y gosodiadau. Gallwch greu pwynt mynediad diwifr newydd, gosod cyfrinair ar gyfer cysylltu ag ef a phennu dull gweithredu'r sianel ddiwifr (2.4 Hz neu 5 Hz).

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Y cam nesaf fydd ffurfweddu mynediad i'r porth ar gyfer gweinyddwyr cwmni. Yn ddiofyn, caniateir hawliau mynediad os yw'r cysylltiad yn dod o:

  1. Is-rwydwaith cwmni mewnol
  2. Rhwydwaith diwifr dibynadwy
  3. Twnnel VPN

Mae'r opsiwn i gysylltu â'r porth trwy'r Rhyngrwyd wedi'i analluogi yn ddiofyn, mae hyn yn peri risgiau mawr a rhaid ei gyfiawnhau i'w gynnwys, fel arall argymhellir ei adael fel yn ein hesiampl. Mae hefyd yn bosibl nodi pa gyfeiriadau IP a ganiateir i gysylltu â'r porth.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae'r ffenestr nesaf yn ymwneud ag actifadu trwyddedau; ar ôl cychwyn y ddyfais i ddechrau, cyflwynir cyfnod prawf o 30 diwrnod i chi. Mae dau ddull actifadu ar gael:

  1. Os oes cysylltiad Rhyngrwyd, mae'r drwydded yn cael ei actifadu'n awtomatig.
  2. Os byddwch yn actifadu trwydded all-lein, mae angen i chi wneud y canlynol: lawrlwythwch y drwydded o UserCenter, cofrestrwch eich dyfais ar raglen arbennig y porth. Nesaf, ar gyfer y ddau achos, bydd angen i chi fewnforio'r drwydded wedi'i lawrlwytho â llaw.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Yn olaf, mae'r ffenestr olaf yn y dewin gosodiadau yn eich annog i ddewis y llafnau i'w troi ymlaen; sylwch mai dim ond ar ôl cychwyn cychwynnol y caiff y llafn QOS ei droi ymlaen. Dylech orffen gyda ffenestr gwblhau sy'n crynhoi eich gosodiadau.

Setup cychwynnol

Yn gyntaf oll, rydym yn argymell gwirio statws trwyddedau; bydd ffurfweddiad pellach yn dibynnu ar hyn. Ewch i'r tab “HOME” → “Trwydded”:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Os yw'r trwyddedau'n cael eu gweithredu, rydym yn argymell diweddaru ar unwaith i'r cadarnwedd cyfredol diweddaraf; i wneud hyn, ewch i'r tab "DYFAIS" → "Gweithrediadau System":

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae diweddariadau system wedi'u lleoli yn yr eitem Uwchraddio Firmware. Yn ein hachos ni, mae'r fersiwn firmware cyfredol a diweddaraf wedi'i osod.

Nesaf, cynigiaf siarad yn fyr am alluoedd a gosodiadau llafnau'r system. Yn rhesymegol, gellir eu rhannu'n bolisïau lefel Mynediad (Mur Tân, Rheoli Cymhwysiad, Hidlo URL) ac Atal Bygythiad (IPS, Antivirus, Gwrth-Bot, Efelychu Bygythiad).

Gadewch i ni fynd i'r Polisi Mynediad → Blade Control tab:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Yn ddiofyn, defnyddir y modd SAFONOL, mae'n caniatáu traffig sy'n mynd allan i'r Rhyngrwyd, traffig o fewn y rhwydwaith lleol, ond ar yr un pryd yn rhwystro traffig sy'n dod i mewn o'r Rhyngrwyd.

O ran y llafnau CEISIADAU & hidlo URL, yn ddiofyn fe'u gosodir i rwystro safleoedd â lefel uchel o berygl, blocio cymwysiadau cyfnewid (Torrent, Storio Ffeil, ac ati). Gallwch hefyd rwystro categorïau o wefannau â llaw.

Gadewch i ni wirio'r opsiwn ar gyfer traffig defnyddwyr “Cyfyngu ar gymwysiadau sy'n cymryd llawer o led band” gyda'r gallu i gyfyngu ar gyflymder traffig sy'n mynd allan / sy'n dod i mewn ar gyfer grwpiau o gymwysiadau.

Nesaf, agorwch yr is-adran Polisi; yn ddiofyn, mae'r rheolau'n cael eu cynhyrchu'n awtomatig yn ôl y gosodiadau a ddisgrifiwyd yn flaenorol.

Mae’r is-adran NAT yn ddiofyn yn gweithio yn Global Hide Nat Automatic, h.y. bydd gan bob gwesteiwr mewnol fynediad i’r Rhyngrwyd drwy’r cyfeiriad IP cyhoeddus. Mae'n bosibl gosod rheolau NAT â llaw ar gyfer cyhoeddi eich rhaglenni gwe neu wasanaethau.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Nesaf, mae'r adran sy'n ymwneud â Dilysu Defnyddiwr ar y rhwydwaith yn cynnig dau opsiwn: Ymholiadau Active Directory (integreiddio â'ch AD), Dilysiad ar Sail Porwr (mae'r defnyddiwr yn nodi manylion parth yn y porth).

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae'n werth sôn am arolygiad SSL ar wahân; mae'r gyfran o gyfanswm traffig HTTPS ar y Rhwydwaith Byd-eang yn tyfu'n weithredol. Edrychwn ar ba nodweddion y mae CheckPoint yn eu cynnig ar gyfer datrysiadau SMB. I wneud hyn, ewch i'r adran SSL-Inspection → Policy:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Yn y gosodiadau gallwch chi archwilio traffig HTTPS; bydd angen i chi fewnforio'r dystysgrif a'i gosod yn y ganolfan dystysgrifau dibynadwy ar beiriannau defnyddiwr terfynol.

Rydym o'r farn bod y modd FFYRCHU ar gyfer categorïau a ddiffiniwyd ymlaen llaw yn opsiwn cyfleus; mae hyn yn arbed amser yn sylweddol wrth alluogi arolygiad.

Ar ôl ffurfweddu'r rheolau ar lefel Firewall / Application, dylech symud ymlaen i diwnio polisïau diogelwch (Atal Bygythiad), i wneud hyn, ewch i'r adran briodol:

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Ar y dudalen agored gwelwn lafnau wedi'u galluogi, llofnod a statws diweddaru cronfa ddata. Gofynnir i ni hefyd ddewis proffil ar gyfer diogelu perimedr y rhwydwaith, a dangosir y gosodiadau cyfatebol.

Mae adran ar wahân “IPS Protections” yn caniatáu ichi ffurfweddu'r weithred ar gyfer llofnod diogelwch penodol.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Ddim yn bell yn ôl fe wnaethon ni ysgrifennu ar ein blog am fregusrwydd byd-eang gyfer Windows Server — SigRed. Gadewch i ni wirio am ei bresenoldeb yn Gaia Embedded 80.20 trwy nodi'r ymholiad "CVE-2020-1350"

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Mae cofnod wedi'i ganfod ar gyfer y llofnod hwn y gellir cymhwyso un o'r camau gweithredu iddo. (yn ddiofyn Mae Atal ar gyfer y lefel perygl yn Hanfodol). Yn unol â hynny, gyda datrysiad SMB, ni fyddwch yn cael eich gadael allan o ran diweddariadau a chefnogaeth; mae hwn yn ddatrysiad NGFW llawn ar gyfer swyddfeydd cangen o hyd at 200 o bobl o CheckPoint.

Asesu perfformiad

Wrth gloi'r erthygl, hoffwn nodi argaeledd offer ar gyfer datrys problemau ar ôl cychwyn a chyfluniad cychwynnol datrysiad SMB. Gallwch fynd i'r adran “HOME” → “Tools”. Opsiynau posib:

  • monitro adnoddau systemau;
  • bwrdd llwybro;
  • gwirio argaeledd gwasanaethau cwmwl CheckPoint;
  • cynhyrchu CPinfo;

Mae gorchmynion rhwydwaith adeiledig hefyd ar gael: Ping, Traceroute, Traffic Capture.

2. NGFW ar gyfer busnesau bach. Dadbacio a gosod

Felly, heddiw fe wnaethom adolygu ac astudio cysylltiad a chyfluniad cychwynnol y NGFW 1590, byddwch yn perfformio gweithredoedd tebyg ar gyfer y gyfres Checkpoint 1500 SMB gyfan. Roedd yr opsiynau sydd ar gael yn dangos amrywiaeth uchel i ni ar gyfer gosodiadau, cefnogaeth i ddulliau modern o amddiffyn traffig ar berimedr y rhwydwaith.

Heddiw, mae gan atebion CheckPoint ar gyfer amddiffyn swyddfeydd bach a changhennau (hyd at 200 o bobl) ystod eang o offer ac maent yn defnyddio'r technolegau diweddaraf (rheoli cwmwl, cefnogaeth cerdyn SIM, ehangu cof gan ddefnyddio cardiau SD, ac ati). Parhewch i gael y wybodaeth ddiweddaraf a darllen erthyglau gan TS Solution, rydym yn cynllunio datganiadau pellach o rannau am NGFW CheckPoint o deulu SMB, welwn ni chi!

Detholiad mawr o ddeunyddiau ar Check Point o TS Solution. Aros diwnio (Telegram, Facebook, VK, Blog Ateb TS, Yandex Zen).

Ffynhonnell: hab.com

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster