2. NGFW for små virksomheder. Udpakning og opsætning

Vi fortsætter serien af ​​artikler om at arbejde med den nye SMB CheckPoint-modelserie, lad os minde dig om, at i den første del vi beskrev egenskaberne og mulighederne ved de nye modeller, ledelses- og administrationsmetoder. I dag vil vi se på implementeringsscenariet for den ældre model i serien: CheckPoint 1590 NGFW. Her er et resumé af denne del:

1. Udpakning af udstyr (beskrivelse af komponenter, fysiske og netværksforbindelser).
2. Indledende enhedsinitialisering.
3. Indledende opsætning.
4. Præstationsvurdering.

Udpakning af udstyr

At lære udstyret at kende begynder med at tage udstyret ud af kassen, skille komponenter ad og montere dele; klik på spoileren, hvor processen kort præsenteres

Levering af NGFW 1590

Kort om komponenterne:

• NGFW 1590;
• Strømadapter;
• 2 Wifi-antenner (2.4 Hz og 5 Hz);
• 2 LTE-antenner;
• Hæfter med dokumentation (en kort guide til indledende tilslutning, licensaftale osv.)

Hvad angår netværksporte og grænseflader, er der alle moderne muligheder for trafiktransmission og interaktion, en separat port til DMZ-zonen, USB 3.0 til synkronisering med en pc.

Version 1590 modtog et opdateret design, moderne muligheder for trådløs kommunikation og hukommelsesudvidelse: 2 slots til at arbejde med Micro/Nano SIM i LTE-tilstand. (vi planlægger at skrive om denne mulighed i detaljer i en af ​​vores næste artikler i serien dedikeret til trådløse forbindelser); SD-kortslot.

Du kan læse mere om mulighederne for 1590 NGFW og andre nye modeller i 1 dele fra en række artikler om CheckPoint SMB-løsninger. Vi fortsætter til den indledende initialisering af enheden.

Primær initialisering

Vores faste læsere burde allerede være opmærksomme på, at 1500 Series SMB-linjen bruger det nye 80.20 Embedded OS, som inkluderer en opdateret grænseflade og forbedrede muligheder.

For at begynde at initialisere enheden skal du:

1. Giv strøm til gatewayen.
2. Tilslut netværkskablet fra din pc til LAN -1 på gatewayen.
3. Eventuelt kan du straks give enheden internetadgang ved at forbinde grænsefladen til WAN-porten.
4. Gå til Gaia Embedded-portalen: https://192.168.1.1:4434/

Hvis du fulgte de tidligere angivne trin, skal du, efter at have gået til Gaia-portalsiden, bekræfte åbningen af ​​siden med et ikke-pålideligt certifikat, hvorefter guiden til portalindstillinger starter:

Du vil blive mødt af en side, der angiver din enheds model, du skal gå til næste afsnit:

Vi bliver bedt om at oprette en konto for godkendelse, det er muligt at angive høje adgangskodekrav til administratoren, og vi angiver det land, hvor vi vil bruge gatewayen.

Det næste vindue handler om indstilling af dato og klokkeslæt; du kan indstille det manuelt eller bruge virksomhedens NTP-server.

Det næste trin involverer at angive et navn til enheden og angive firmaets domæne, så gateway-tjenesterne fungerer korrekt på internettet.

Det næste trin vedrører valget af NGFW kontroltype, her skal det bemærkes:

1. Lokal ledelse. Dette er en tilgængelig mulighed for at administrere gatewayen lokalt ved hjælp af Gaia Portal-websiden.
2. Central ledelse. Denne form for administration omfatter synkronisering med en dedikeret CheckPoint Management-server, synkronisering med Smart1-Cloud-skyen eller med SMP (administrationstjeneste for SMB).

I denne artikel vil vi fokusere på den lokale styringsmetode; du kan angive den metode, der er nødvendig. For at gøre dig bekendt med processen med synkronisering med en dedikeret Management Server, foreslår vi link fra CheckPoint Getting Started træningsserien udarbejdet af TS Solution.

Dernæst vil et vindue blive præsenteret, der definerer driftstilstanden for interfaces på gatewayen:

• Skifttilstand indebærer tilgængeligheden af ​​et undernet fra et interface til undernet af et andet interface.
• Deaktiver Switch-tilstanden deaktiverer derfor Switch-tilstanden; hver port dirigerer trafik som for et separat netværksfragment.

Det foreslås også at specificere en pulje af DHCP-adresser, der vil blive brugt, når der oprettes forbindelse til gatewayens lokale grænseflader.

Det næste trin er at konfigurere gatewayen til at fungere i trådløs tilstand; vi planlægger at diskutere dette aspekt mere detaljeret i en artikel i serien, så vi udsatte konfigurationen af ​​indstillingerne. Du kan oprette et nyt trådløst adgangspunkt, indstille en adgangskode til at oprette forbindelse til det og bestemme driftstilstanden for den trådløse kanal (2.4 Hz eller 5 Hz).

Det næste trin vil være at konfigurere adgang til gatewayen for virksomhedsadministratorer. Som standard er adgangsrettigheder tilladt, hvis forbindelsen kommer fra:

1. Internt virksomhedsundernet
2. Pålideligt trådløst netværk
3. VPN-tunnel

Muligheden for at oprette forbindelse til gatewayen via internettet er deaktiveret som standard, dette indebærer store risici og skal begrundes for medtagelse, ellers anbefales det at lade det være som i vores eksempel Det er også muligt at angive hvilke IP-adresser der vil være tilladt for at oprette forbindelse til gatewayen.

Det næste vindue omhandler aktivering af licenser; ved initialisering af enheden vil du blive præsenteret for en 30-dages prøveperiode. Der er to tilgængelige aktiveringsmetoder:

1. Hvis der er en internetforbindelse, aktiveres licensen automatisk.
2. Hvis du aktiverer en licens offline, skal du gøre følgende: download licensen fra UserCenter, registrer din enhed på en speciel portalen. Dernæst skal du i begge tilfælde importere den manuelt downloadede licens.

Endelig beder det sidste vindue i indstillingsguiden dig vælge de blade, der skal tændes; bemærk, at QOS-bladet først tændes efter initialisering. Du bør ende med et færdiggørelsesvindue, der opsummerer dine indstillinger.

Indledende opsætning

Først og fremmest anbefaler vi at kontrollere status for licenser; yderligere konfiguration vil afhænge af dette. Gå til fanen "HJEM" → "Licens":

Hvis licenserne er aktiveret, anbefaler vi straks at opdatere til den seneste aktuelle firmware; for at gøre dette skal du gå til fanen "ENHED" → "Systemdrift":

Systemopdateringer findes i punktet Firmware Upgrade. I vores tilfælde er den aktuelle og seneste firmwareversion installeret.

Dernæst foreslår jeg kort at tale om systembladenes muligheder og indstillinger. Logisk set kan de opdeles i politikker på niveauet Access (Firewall, Application Control, URL-filtrering) og Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).

Lad os gå til fanen Adgangspolitik → Bladekontrol:

Som standard bruges STANDARD-tilstanden, den tillader udgående trafik til internettet, trafik inden for det lokale netværk, men blokerer samtidig indgående trafik fra internettet.

Hvad angår APPLICATIONS & URL FILTERING-bladene, er de som standard indstillet til at blokere websteder med et højt niveau af fare, blokere udvekslingsapplikationer (Torrent, File Storage, osv.). Du kan også blokere kategorier af websteder manuelt.

Lad os tjekke muligheden for brugertrafik "Begræns båndbreddeforbrugende applikationer" med muligheden for at begrænse hastigheden af ​​udgående/indgående trafik for grupper af applikationer.

Åbn derefter underafsnittet Politik; som standard genereres reglerne automatisk i henhold til de tidligere beskrevne indstillinger.

NAT-underafsnittet fungerer som standard i Global Hide Nat Automatic, dvs. alle interne værter vil have adgang til internettet via den offentlige IP-adresse. Det er muligt manuelt at indstille NAT-regler for udgivelse af dine webapplikationer eller tjenester.

Dernæst byder afsnittet, der omhandler brugergodkendelse på netværket, to muligheder: Active Directory-forespørgsler (integration med din AD), browserbaseret godkendelse (brugeren indtaster domænelegitimationsoplysninger i portalen).

Det er værd at nævne SSL-inspektion separat; andelen af ​​den samlede HTTPS-trafik på det globale netværk vokser aktivt. Lad os se på, hvilke funktioner CheckPoint tilbyder til SMB-løsninger. For at gøre dette skal du gå til SSL-inspektion → Politik sektion:

I indstillingerne kan du inspicere HTTPS-trafik; du skal importere certifikatet og installere det i det betroede certifikatcenter på slutbrugermaskiner.

Vi anser BYPASS-tilstanden for foruddefinerede kategorier for at være en praktisk mulighed; dette sparer betydeligt tid, når inspektionen aktiveres.

Efter opsætning af regler på firewall-/applikationsniveau, skal du gå videre til at justere sikkerhedspolitikker (trusselsforebyggelse), for at gøre dette skal du gå til det relevante afsnit:

På den åbne side ser vi aktiverede blade, signatur- og databaseopdateringsstatusser. Vi bliver også bedt om at vælge en profil til beskyttelse af netværkets perimeter, og de tilsvarende indstillinger vises.

Et separat afsnit "IPS-beskyttelser" giver dig mulighed for at konfigurere handlingen for en specifik sikkerhedssignatur.

For ikke længe siden skrev vi på vores blog om global sårbarhed til Windows Server - SigRed. Lad os tjekke for dets tilstedeværelse i Gaia Embedded 80.20 ved at indtaste forespørgslen "CVE-2020-1350"

Der er fundet en post for denne signatur, som en af ​​handlingerne kan anvendes på. (Forhindre som standard for fareniveauet er Kritisk). Med en SMB-løsning vil du derfor ikke blive udeladt med hensyn til opdateringer og support; dette er en komplet NGFW-løsning til afdelingskontorer på op til 200 personer fra CheckPoint.

Præstationsvurdering

Som afslutning på artiklen vil jeg gerne bemærke tilgængeligheden af ​​værktøjer til fejlfinding af problemer efter den indledende initialisering og konfiguration af SMB-løsningen. Du kan gå til sektionen "HJEM" → "Værktøjer". Mulige muligheder:

• overvågningssystemressourcer;
• routing tabel;
• kontrol af tilgængeligheden af ​​CheckPoint-skytjenester;
• CPinfo generation;

Indbyggede netværkskommandoer er også tilgængelige: Ping, Traceroute, Traffic Capture.

Derfor har vi i dag gennemgået og studeret den indledende forbindelse og konfiguration af NGFW 1590, du vil udføre lignende handlinger for hele 1500 SMB Checkpoint-serien. De tilgængelige muligheder viste os høj variation for indstillinger, understøttelse af moderne metoder til at beskytte trafik på netværkets perimeter.

I dag har CheckPoint-løsninger til beskyttelse af små kontorer og filialer (op til 200 personer) en bred vifte af værktøjer og bruger de nyeste teknologier (cloud management, SIM-kort support, hukommelsesudvidelse ved hjælp af SD-kort osv.). Fortsæt med at holde dig informeret og læse artikler fra TS Solution, vi planlægger yderligere udgivelser af dele om NGFW CheckPoint fra SMB-familien, vi ses!

Stort udvalg af materialer på Check Point fra TS Solution. Bliv hængende (Telegram, Facebook, VK, TS Solution Blog, Yandex Zen).

Kilde: www.habr.com