Hilsen alle, der fortsætter med at læse serien om den nye generation af NGFW Check Point fra SMB-familien (1500-serien). I vi så på SMP-løsningen (styringsportal for SMB-gateways). I dag vil jeg gerne tale om Smart-1 Cloud-portalen, den positionerer sig som en løsning baseret på SaaS Check Point, fungerer som en Management Server i skyen, så den vil være relevant for ethvert NGFW Check Point. For dem, der lige har sluttet sig til os, lad mig minde dig om de tidligere diskuterede emner: , , .
Lad os fremhæve hovedfunktionerne i Smart-1 Cloud:
- En enkelt centraliseret løsning til styring af hele din Check Point-infrastruktur (virtuelle og fysiske gateways på forskellige niveauer).
- Et fælles sæt politikker for alle Blades giver dig mulighed for at forenkle administrationsprocesser (oprettelse/redigering af regler for forskellige opgaver).
- Understøttelse af en profiltilgang, når du arbejder med gateway-indstillinger. Ansvarlig for adskillelse af adgangsrettigheder ved arbejde i portalen, hvor netværksadministratorer, revisionsspecialister etc. samtidigt kan udføre forskellige opgaver.
- Trusselovervågning, som giver logfiler og hændelsesvisning på ét sted.
- Support til interaktion via API. Brugeren kan implementere automatiseringsprocesser, hvilket forenkler rutinemæssige daglige opgaver.
- Web adgang. Fjerner begrænsninger vedrørende understøttelse af individuelle OS'er og er intuitiv.
For dem, der allerede er bekendt med Check Point-løsninger, er de præsenterede kernefunktioner ikke anderledes end at have en dedikeret Management Server on-premises i din infrastruktur. De vil til dels have ret, men i tilfælde af Smart-1 Cloud er vedligeholdelse af administrationsserveren leveret af Check Point-specialister. Det omfatter: at lave sikkerhedskopier, overvåge ledig plads på medier, rette fejl, installere de nyeste softwareversioner. Processen med at migrere (overføre) indstillinger er også forenklet.
Licensering
Inden vi stifter bekendtskab med funktionaliteten af cloud management-løsningen, lad os studere licensproblemer fra embedsmanden .
Håndtering af én gateway:
Abonnementet afhænger af de valgte kontrolblade; der er 3 retninger i alt:
- Ledelse. 50 GB lagerplads, 1 GB dagligt til logfiler.
- Management + SmartEvent. 100 GB lagerplads, 3 GB daglige logfiler, rapportgenerering.
- Management + Compliance + SmartEvent. 100 GB lagerplads, 3 GB daglige logfiler, rapportgenerering, anbefalinger til indstillinger baseret på generel informationssikkerhedspraksis.
*Valget afhænger af mange faktorer: type logfiler, antal brugere, trafikmængder.
Der er også et abonnement til at administrere 5 gateways. Det vil vi ikke dvæle i detaljer ved – du kan altid få information fra .
Lancering af Smart-1 Cloud
Alle kan prøve løsningen; for at gøre dette skal du registrere dig i Infinity Portal - en cloud-tjeneste fra Check Point, hvor du kan få prøveadgang til følgende områder:
- Skybeskyttelse (CloudGuard SaaS, CloudGuard Native);
- Netværksbeskyttelse (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Endpoint Protection (, SandBlast Agent Cloud Management, Sandblast Mobile).
Vi logger ind på systemet med dig (registrering er påkrævet for nye brugere) og går til Smart-1 Cloud-løsningen:
Du vil kort blive fortalt om fordelene ved denne løsning (Infrastrukturstyring, ingen installation nødvendig, opdateringer automatisk).
Når du har udfyldt felterne, skal du vente, indtil din konto er klar til at logge ind på portalen:
Hvis handlingen lykkes, vil du modtage registreringsoplysninger via e-mail (angivet ved login på Infinity Portal), og du vil også blive omdirigeret til Smart-1 Cloud-hjemmesiden.
Tilgængelige portalfaner:
- Start SmartConsole. Brug det installerede program på din pc, eller brug webgrænsefladen.
- Synkronisering med gateway-objektet.
- Arbejde med logs.
- Indstillinger.
Synkronisering med gatewayen
Lad os starte med at synkronisere Security Gateway; for at gøre dette skal du tilføje den som et objekt. Gå til fanen "Forbind gateway"
Du skal indtaste et unikt gatewaynavn; du kan tilføje en kommentar til objektet. Tryk derefter på "Tilmeld".
Der vises et gateway-objekt, som skal synkroniseres med Management Server ved at udføre CLI-kommandoerne for gatewayen:
- Sørg for, at den nyeste JHF (Jumbo Hotfix) er installeret på gatewayen.
- Indstil forbindelsestoken: sæt sikkerhedsgateway-maas på godkendelsestoken
- Tjek status for synkroniseringstunnelen:
MaaS Status: Aktiveret
MaaS-tunneltilstand: Op
MaaS domænenavn:
Service-Identifier.maas.checkpoint.com
Gateway IP til MaaS-kommunikation: 100.64.0.1
Når tjenester til Mass Tunnel er blevet rejst, skal du fortsætte med at etablere en SIC-forbindelse mellem gatewayen og Smart-1 Cloud i Smartconsole. Hvis operationen lykkes, opnås gateway-topologien, lad os vedhæfte et eksempel:
Ved brug af Smart-1 Cloud er gatewayen således forbundet med det "grå" netværk 10.64.0.1.
Lad mig tilføje, at i vores layout får gatewayen selv adgang til internettet ved hjælp af NAT, derfor er der ingen offentlig IP-adresse på dens grænseflade, men vi kan administrere den udefra. Dette er en anden interessant funktion ved Smart-1 Cloud, takket være hvilken der oprettes et separat administrationsundernet med sin egen pulje af IP-adresser.
Konklusion
Når du har tilføjet en gateway til administration via Smart-1 Cloud, har du fuld adgang, ligesom i Smart Console. På vores layout lancerede vi webversionen; faktisk er det en hævet virtuel maskine med en kørende administrationsklient.
Du kan altid lære mere om funktionerne i Smart Console og Check Point-arkitekturen i vores forfatters .
Det er alt for i dag, vi venter på den sidste artikel i serien, hvor vi vil komme ind på ydelsesindstillingsmulighederne i SMB 1500-serien med Gaia 80.20 Embedded installeret.
. Bliv hængende (, , , , )
Kilde: www.habr.com