ProHoster > blog > Gweinyddiaeth > pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth
Helo, ddarllenwyr annwyl habr! Dyma flog corfforaethol y cwmni Ateb T.S. Rydym yn integreiddiwr system ac yn arbenigo'n bennaf mewn datrysiadau diogelwch seilwaith TG (Gwiriwch Point, Fortinet) a systemau dadansoddi data peiriannau (Splunk). Byddwn yn dechrau ein blog gyda chyflwyniad byr i dechnolegau Check Point.

Buom yn meddwl am amser hir a ddylid ysgrifennu'r erthygl hon, oherwydd. nid oes dim byd newydd ynddo na ellir ei ddarganfod ar y Rhyngrwyd. Fodd bynnag, er gwaethaf cymaint o wybodaeth, wrth weithio gyda chleientiaid a phartneriaid, rydym yn aml yn clywed yr un cwestiynau. Felly, penderfynwyd ysgrifennu rhyw fath o gyflwyniad i fyd technolegau Check Point a datgelu hanfod pensaernïaeth eu datrysiadau. A hyn oll o fewn fframwaith un post “bach”, fel petai, gwyriad cyflym. A byddwn yn ceisio peidio â mynd i ryfeloedd marchnata, oherwydd. nid ydym yn werthwr, ond dim ond integreiddiwr system (er ein bod yn caru Check Point yn fawr iawn) a dim ond mynd dros y prif bwyntiau heb eu cymharu â gweithgynhyrchwyr eraill (fel Palo Alto, Cisco, Fortinet, ac ati). Trodd yr erthygl yn eithaf swmpus, ond mae'n torri i ffwrdd y rhan fwyaf o'r cwestiynau ar y cam ymgyfarwyddo â Check Point. Os oes gennych ddiddordeb, yna croeso o dan y gath…

UTM/NGFW

Wrth ddechrau sgwrs am Check Point, y peth cyntaf i ddechrau yw esboniad o beth yw UTM, NGFW a sut maen nhw'n wahanol. Byddwn yn gwneud hyn yn gryno iawn fel nad yw'r swydd yn troi allan i fod yn rhy fawr (efallai yn y dyfodol byddwn yn ystyried y mater hwn ychydig yn fwy manwl)

UTM - Rheoli Bygythiad Unedig

Yn fyr, hanfod UTM yw cydgrynhoi nifer o offer diogelwch mewn un datrysiad. Y rhai. i gyd mewn un blwch neu rai yn hollgynhwysol. Beth yw ystyr “meddyginiaethau lluosog”? Yr opsiwn mwyaf cyffredin yw: Firewall, IPS, Proxy (hidlo URL), Ffrydio Antivirus, Gwrth-Sbam, VPN ac yn y blaen. Mae hyn i gyd wedi'i gyfuno o fewn un datrysiad UTM, sy'n haws o ran integreiddio, cyfluniad, gweinyddu a monitro, ac mae hyn, yn ei dro, yn cael effaith gadarnhaol ar ddiogelwch cyffredinol y rhwydwaith. Pan ymddangosodd atebion UTM gyntaf, cawsant eu hystyried ar gyfer cwmnïau bach yn unig, oherwydd. Ni allai UTMs ymdopi â llawer iawn o draffig. Roedd hyn am ddau reswm:

  1. Trin pecynnau. Roedd y fersiynau cyntaf o atebion UTM yn prosesu pecynnau yn olynol, fesul “modiwl”. Enghraifft: yn gyntaf mae'r pecyn yn cael ei brosesu gan y wal dân, yna gan IPS, yna caiff ei wirio gan Anti-Virus ac yn y blaen. Yn naturiol, cyflwynodd mecanwaith o'r fath oedi traffig difrifol ac adnoddau system a ddefnyddir yn drwm (prosesydd, cof).
  2. Caledwedd gwan. Fel y soniwyd uchod, roedd prosesu pecynnau dilyniannol yn bwyta adnoddau ac ni allai caledwedd yr amseroedd hynny (1995-2005) ymdopi â thraffig uchel.

Ond nid yw cynnydd yn aros yn ei unfan. Ers hynny, mae gallu caledwedd wedi cynyddu'n sylweddol, ac mae prosesu pecynnau wedi newid (rhaid cyfaddef nad oes gan bob gwerthwr) a dechreuodd ganiatáu dadansoddiad cydamserol bron mewn sawl modiwl ar unwaith (ME, IPS, AntiVirus, ac ati). Gall datrysiadau UTM modern “dreulio” degau a hyd yn oed cannoedd o gigabits mewn modd dadansoddi dwfn, sy'n ei gwneud hi'n bosibl eu defnyddio yn y segment o fusnesau mawr neu hyd yn oed canolfannau data.

Isod mae Cwadrant Hud enwog Gartner ar gyfer atebion UTM ar gyfer Awst 2016:

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

Ni wnaf sylwadau cryf ar y llun hwn, dywedaf fod yna arweinwyr yn y gornel dde uchaf.

NGFW - Mur Tân y Genhedlaeth Nesaf

Mae'r enw'n siarad drosto'i hun - wal dân y genhedlaeth nesaf. Ymddangosodd y cysyniad hwn yn llawer hwyrach nag UTM. Prif syniad NGFW yw archwiliad pecyn dwfn (DPI) gan ddefnyddio IPS adeiledig a rheolaeth mynediad ar lefel y cais (Rheoli Cais). Yn yr achos hwn, IPS yw'r union beth sydd ei angen i nodi hyn neu'r cymhwysiad hwnnw yn y ffrwd pecyn, sy'n caniatáu ichi ei ganiatáu neu ei wadu. Enghraifft: Gallwn ganiatáu i Skype weithio ond atal trosglwyddo ffeiliau. Gallwn wahardd defnyddio Torrent neu RDP. Cefnogir cymwysiadau gwe hefyd: Gallwch ganiatáu mynediad i VK.com, ond atal gemau, negeseuon, neu wylio fideos. Yn y bôn, mae ansawdd NGFW yn dibynnu ar nifer y cymwysiadau y gall eu diffinio. Mae llawer yn credu bod dyfodiad y cysyniad o NGFW yn gam marchnata cyffredin y dechreuodd Palo Alto ei dwf cyflym yn ei erbyn.

Mai 2016 Gartner Magic Quadrant ar gyfer NGFW:

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

UTM yn erbyn NGFW

Cwestiwn cyffredin iawn, pa un sy'n well? Nid oes un ateb yma ac ni all fod. Yn enwedig pan ystyriwch y ffaith bod bron pob datrysiad UTM modern yn cynnwys ymarferoldeb NGFW a bod y mwyafrif o NGFWs yn cynnwys swyddogaethau sy'n gynhenid ​​​​yn UTM (Antivirus, VPN, Anti-Bot, ac ati). Fel bob amser, “mae'r diafol yn y manylion”, felly yn gyntaf oll mae angen i chi benderfynu beth sydd ei angen arnoch chi yn benodol, penderfynu ar y gyllideb. Yn seiliedig ar y penderfyniadau hyn, gellir dewis sawl opsiwn. Ac mae angen profi popeth yn ddiamwys, nid credu deunyddiau marchnata.

Byddwn ni, yn ei dro, o fewn fframwaith nifer o erthyglau, yn ceisio dweud wrthych am Check Point, sut y gallwch chi roi cynnig arno a beth, mewn egwyddor, y gallwch chi roi cynnig arno (bron yr holl ymarferoldeb).

Tri Endid Pwynt Gwirio

Wrth weithio gyda Check Point, byddwch yn bendant yn dod ar draws tair cydran o'r cynnyrch hwn:

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

  1. Porth Diogelwch (SG) - y porth diogelwch ei hun, sydd fel arfer yn cael ei osod ar berimedr y rhwydwaith ac sy'n cyflawni swyddogaethau wal dân, ffrydio gwrthfeirws, gwrth-bot, IPS, ac ati.
  2. Gweinydd Rheoli Diogelwch (SMS) - gweinydd rheoli porth. Mae bron pob gosodiad ar y porth (SG) yn cael ei berfformio gan ddefnyddio'r gweinydd hwn. Gall SMS hefyd weithredu fel Gweinyddwr Log a'u prosesu gyda'r system dadansoddi digwyddiadau a chydberthynas adeiledig - Digwyddiad Clyfar (tebyg i SIEM ar gyfer Check Point), ond mwy am hynny yn nes ymlaen. Defnyddir SMS i reoli pyrth lluosog yn ganolog (mae nifer y pyrth yn dibynnu ar fodel neu drwydded SMS), ond rhaid i chi ei ddefnyddio hyd yn oed os mai dim ond un porth sydd gennych. Dylid nodi yma mai Check Point oedd un o’r rhai cyntaf i ddefnyddio system reoli ganolog o’r fath, sydd wedi’i chydnabod fel y “safon aur” yn ôl adroddiadau Gartner am flynyddoedd lawer yn olynol. Mae hyd yn oed jôc: “Pe bai gan Cisco system reoli arferol, yna ni fyddai Check Point byth wedi ymddangos.”
  3. Consol Smart - consol cleient ar gyfer cysylltu â'r gweinydd rheoli (SMS). Wedi'i osod yn nodweddiadol ar gyfrifiadur y gweinyddwr. Trwy'r consol hwn, gwneir yr holl newidiadau ar y gweinydd rheoli, ac ar ôl hynny gallwch gymhwyso'r gosodiadau i'r pyrth diogelwch (Gosod Polisi).

    pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

System weithredu Check Point

Wrth siarad am system weithredu Check Point, gellir galw tri yn ôl ar unwaith: IPSO, SPLAT a GAIA.

  1. IPSO yw system weithredu Ipsilon Networks, a oedd yn eiddo i Nokia. Yn 2009, prynodd Check Point y busnes hwn. Heb ei ddatblygu mwyach.
  2. SPLAT - datblygiad eich hun o Check Point, yn seiliedig ar y cnewyllyn RedHat. Heb ei ddatblygu mwyach.
  3. Gaia - y system weithredu gyfredol o Check Point, a ymddangosodd o ganlyniad i uno IPSO a SPLAT, gan ymgorffori'r goreuon i gyd. Ymddangosodd yn 2012 ac mae'n parhau i ddatblygu'n weithredol.

Wrth siarad am Gaia, dylid dweud mai'r fersiwn mwyaf cyffredin ar hyn o bryd yw R77.30. Yn gymharol ddiweddar, mae'r fersiwn R80 wedi ymddangos, sy'n wahanol iawn i'r un blaenorol (o ran ymarferoldeb a rheolaeth). Byddwn yn neilltuo post ar wahân i bwnc eu gwahaniaethau. Pwynt pwysig arall yw mai dim ond fersiwn R77.10 sydd â'r dystysgrif FSTEC ar hyn o bryd ac mae fersiwn R77.30 yn cael ei hardystio.

Opsiynau (Offer Pwynt Gwirio, Peiriant Rhithwir, OpenServer)

Nid oes dim syndod yma, gan fod gan lawer o werthwyr Check Point sawl opsiwn cynnyrch:

  1. offer - dyfais caledwedd a meddalwedd, h.y. berchen "darn o haearn". Mae yna lawer o fodelau sy'n amrywio o ran perfformiad, ymarferoldeb a dyluniad (mae yna opsiynau ar gyfer rhwydweithiau diwydiannol).

    pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

  2. Peiriant Rhithwir - Peiriant rhithwir Check Point gyda Gaia OS. Cefnogir Hypervisors ESXi, Hyper-V, KVM. Wedi'i drwyddedu gan nifer y creiddiau prosesydd.
  3. gweinydd agored - Gosod Gaia yn uniongyrchol ar y gweinydd fel y brif system weithredu (yr hyn a elwir yn "Metel noeth"). Dim ond caledwedd penodol sy'n cael ei gefnogi. Mae yna argymhellion ar gyfer y caledwedd hwn y mae'n rhaid eu dilyn, fel arall efallai y bydd problemau gyda gyrwyr a'r rheini. gall cefnogaeth wrthod gwasanaeth i chi.

Opsiynau gweithredu (Dosbarthedig neu Annibynnol)

Ychydig yn uwch, rydym eisoes wedi trafod beth yw porth (SG) a gweinydd rheoli (SMS). Nawr, gadewch i ni drafod opsiynau ar gyfer eu gweithredu. Mae dwy brif ffordd:

  1. Arunig (SG+SMS) - opsiwn pan fydd y porth a'r gweinydd rheoli wedi'u gosod o fewn yr un ddyfais (neu beiriant rhithwir).

    pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

    Mae'r opsiwn hwn yn addas pan mai dim ond un porth sydd gennych, sydd wedi'i lwytho'n ysgafn â thraffig defnyddwyr. Yr opsiwn hwn yw'r mwyaf darbodus, oherwydd. dim angen prynu gweinydd rheoli (SMS). Fodd bynnag, os yw'r porth wedi'i lwytho'n drwm, efallai y bydd gennych system reoli araf yn y pen draw. Felly, cyn dewis ateb Standalone, mae'n well ymgynghori neu hyd yn oed brofi'r opsiwn hwn.

  2. Dosbarthwyd — mae'r gweinydd rheoli wedi'i osod ar wahân i'r porth.

    pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

    Yr opsiwn gorau o ran cyfleustra a pherfformiad. Fe'i defnyddir pan fo angen rheoli sawl porth ar unwaith, er enghraifft, rhai canolog a changen. Yn yr achos hwn, mae angen i chi brynu gweinydd rheoli (SMS), a all hefyd fod ar ffurf teclyn (darn o haearn) neu beiriant rhithwir.

Fel y dywedais ychydig uchod, mae gan Check Point ei system SIEM ei hun - Digwyddiad Clyfar. Dim ond rhag ofn gosod Distributed y gallwch ei ddefnyddio.

Dulliau gweithredu (Pont, Llwybr)
Gall y Porth Diogelwch (SG) weithredu mewn dau ddull sylfaenol:

  • Wedi'i lwybro - yr opsiwn mwyaf cyffredin. Yn yr achos hwn, defnyddir y porth fel dyfais L3 ac mae’n llywio traffig drwyddo’i hun, h.y. Check Point yw'r porth rhagosodedig ar gyfer y rhwydwaith gwarchodedig.
  • Bridge - modd tryloyw. Yn yr achos hwn, mae'r porth wedi'i osod fel “pont” arferol ac yn mynd heibio traffig drwyddo yn yr ail haen (OSI). Defnyddir yr opsiwn hwn fel arfer pan nad oes posibilrwydd (neu awydd) i newid y seilwaith presennol. Yn ymarferol, nid oes rhaid i chi newid topoleg y rhwydwaith ac nid oes rhaid i chi feddwl am newid cyfeiriad IP.

Hoffwn nodi bod rhai cyfyngiadau swyddogaethol yn y modd Bridge, felly, fel integreiddiwr, rydym yn cynghori ein holl gleientiaid i ddefnyddio'r modd Llwybro, wrth gwrs, os yn bosibl.

Llafnau Meddalwedd (Llafnau Meddalwedd Pwynt Gwirio)

Fe gyrhaeddon ni bron y pwnc Pwyntiau Gwirio pwysicaf, sy'n codi'r nifer fwyaf o gwestiynau gan gwsmeriaid. Beth yw'r “llafnau meddalwedd” hyn? Mae llafnau'n cyfeirio at rai swyddogaethau Pwynt Gwirio.

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

Gellir troi'r nodweddion hyn ymlaen neu i ffwrdd yn dibynnu ar eich anghenion. Ar yr un pryd, mae llafnau sy'n cael eu gweithredu yn gyfan gwbl ar y porth (Diogelwch Rhwydwaith) a dim ond ar y gweinydd rheoli (Rheolaeth). Mae'r lluniau isod yn dangos enghreifftiau ar gyfer y ddau achos:

1) Ar gyfer Diogelwch Rhwydwaith (swyddogaeth porth)

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

Gadewch inni ddisgrifio'n fyr, oherwydd mae pob llafn yn haeddu erthygl ar wahân.

  • Mur gwarchod - swyddogaeth wal dân;
  • IPSec VPN - adeiladu rhwydweithiau rhithwir preifat;
  • Mynediad Symudol - mynediad o bell o ddyfeisiau symudol;
  • IPS - system atal ymyrraeth;
  • Anti-Bot - amddiffyniad rhag rhwydweithiau botnet;
  • AntiVirus - ffrydio gwrthfeirws;
  • Diogelwch AntiSpam ac E-bost - diogelu post corfforaethol;
  • Ymwybyddiaeth o Hunaniaeth - integreiddio â gwasanaeth Active Directory;
  • Monitro - monitro bron pob paramedr porth (llwyth, lled band, statws VPN, ac ati)
  • Rheoli Cymhwysiad - wal dân lefel cais (ymarferoldeb NGFW);
  • Hidlo URL - Diogelwch gwe (+ swyddogaeth dirprwy);
  • Atal Colli Data - diogelu gollyngiadau gwybodaeth (DLP);
  • Emulation Bygythiad - technoleg blwch tywod (SandBox);
  • Echdynnu Bygythiad - technoleg glanhau ffeiliau;
  • QoS - blaenoriaethu traffig.

Mewn dim ond ychydig o erthyglau, byddwn yn edrych yn agosach ar y llafnau Emulation Bygythiad a Bygythiad Echdynnu, rwy'n siŵr y bydd yn ddiddorol.

2) Ar gyfer Rheoli (swyddogaeth gweinyddwr rheoli)

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

  • Rheoli Polisi Rhwydwaith - rheoli polisi canolog;
  • Rheoli Polisi Endpoint - rheolaeth ganolog o asiantau Check Point (ie, mae Check Point yn cynhyrchu atebion nid yn unig ar gyfer diogelu rhwydwaith, ond hefyd ar gyfer diogelu gweithfannau (PCs) a ffonau smart);
  • Logio a Statws - casglu a phrosesu boncyffion yn ganolog;
  • Porth Rheoli - rheoli diogelwch o'r porwr;
  • Llif gwaith - rheolaeth dros newidiadau polisi, archwilio newidiadau, ac ati;
  • Cyfeiriadur Defnyddwyr - integreiddio â LDAP;
  • Darpariaeth - awtomeiddio rheolaeth porth;
  • Gohebydd Clyfar - system adrodd;
  • Digwyddiad Clyfar - dadansoddi a chydberthynas o ddigwyddiadau (SIEM);
  • Cydymffurfiaeth - gwiriad awtomatig o'r gosodiadau a chyhoeddi argymhellion.

Ni fyddwn yn awr yn ystyried materion trwyddedu yn fanwl, rhag i ni chwyddo'r erthygl a drysu'r darllenydd. Yn fwyaf tebygol, byddwn yn ei dynnu allan mewn post ar wahân.

Mae pensaernïaeth y llafn yn caniatáu ichi ddefnyddio'r swyddogaethau sydd eu hangen arnoch chi mewn gwirionedd, sy'n effeithio ar gyllideb yr ateb a pherfformiad cyffredinol y ddyfais. Mae'n rhesymegol po fwyaf o lafnau y byddwch chi'n eu hysgogi, y lleiaf o draffig y gellir ei “yrru i ffwrdd”. Dyna pam mae'r tabl perfformiad canlynol ynghlwm wrth bob model Pwynt Gwirio (er enghraifft, fe wnaethom gymryd nodweddion y model 5400):

pwynt gwirio. Beth ydyw, beth y mae yn cael ei fwyta gyda, neu yn fyr am y prif beth

Fel y gwelwch, mae dau gategori o brofion yma: ar draffig synthetig ac ar go iawn - cymysg. A siarad yn gyffredinol, yn syml, gorfodir Check Point i gyhoeddi profion synthetig, oherwydd. mae rhai gwerthwyr yn defnyddio profion o'r fath fel meincnodau heb archwilio perfformiad eu datrysiadau ar draffig go iawn (neu guddio data o'r fath yn fwriadol oherwydd eu hanfoddhaol).

Ym mhob math o brawf, gallwch sylwi ar sawl opsiwn:

  1. prawf ar gyfer Firewall yn unig;
  2. Firewall + prawf IPS;
  3. Prawf Firewall+IPS+NGFW (Rheoli cymhwysiad);
  4. Firewall+Rheoli Cymhwysiad+Hidlo URL+IPS+Antivirus+Anti-Bot+Prawf SandBlast (blwch tywod)

Edrychwch yn ofalus ar y paramedrau hyn wrth ddewis eich datrysiad, neu cysylltwch ar ei gyfer ymgynghoriad.

Rwy'n meddwl mai dyma ddiwedd yr erthygl ragarweiniol ar dechnolegau Check Point. Nesaf, byddwn yn edrych ar sut y gallwch chi brofi Check Point a sut i ddelio â bygythiadau diogelwch gwybodaeth modern (firysau, gwe-rwydo, ransomware, dim-diwrnod).

ON Pwynt pwysig. Er gwaethaf y tarddiad tramor (Israel), mae'r datrysiad wedi'i ardystio yn Ffederasiwn Rwsia gan awdurdodau goruchwylio, sy'n cyfreithloni eu presenoldeb yn awtomatig yn sefydliadau'r wladwriaeth (sylw gan Denyemall).

Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. Mewngofnodios gwelwch yn dda.

Pa offer UTM/NGFW ydych chi'n eu defnyddio?

  • Gwiriwch Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • GwylioGuard

  • Juniper

  • UserGate

  • arolygydd traffig

  • Rubicon

  • Ideco

  • datrysiad ffynhonnell agored

  • eraill

Pleidleisiodd 134 o ddefnyddwyr. Ymataliodd 78 o ddefnyddwyr.

Ffynhonnell: hab.com

Ychwanegu sylw