Wir setzen die Artikelserie zum Arbeiten mit der neuen SMB CheckPoint-Modellreihe fort und erinnern Sie daran Wir haben die Eigenschaften und Fähigkeiten der neuen Modelle, Management- und Verwaltungsmethoden beschrieben. Heute schauen wir uns das Einsatzszenario für das ältere Modell der Serie an: CheckPoint 1590 NGFW. Hier ist eine Zusammenfassung dieses Teils:
- Auspacken der Ausrüstung (Beschreibung der Komponenten, physischen und Netzwerkverbindungen).
- Erstinitialisierung des Geräts.
- Ersteinrichtung.
- Leistungsbewertung.
Ausrüstung auspacken
Das Kennenlernen der Ausrüstung beginnt mit der Entnahme der Ausrüstung aus der Verpackung, dem Zerlegen von Komponenten und dem Einbau von Teilen; klicken Sie auf den Spoiler, wo der Vorgang kurz vorgestellt wird
Lieferung von NGFW 1590
Kurz zu den Komponenten:
- NGFW 1590;
- Netzteil;
- 2 WLAN-Antennen (2.4 Hz und 5 Hz);
- 2 LTE-Antennen;
- Broschüren mit Dokumentation (Kurzanleitung zum Erstanschluss, Lizenzvereinbarung etc.)
Was Netzwerkports und -schnittstellen betrifft, gibt es alle modernen Möglichkeiten zur Verkehrsübertragung und Interaktion, einen separaten Port für die DMZ-Zone, USB 3.0 zur Synchronisierung mit einem PC.
Version 1590 erhielt ein aktualisiertes Design, moderne Optionen für drahtlose Kommunikation und Speichererweiterung: 2 Steckplätze für die Arbeit mit Micro/Nano-SIM im LTE-Modus. (Wir planen, in einem unserer nächsten Artikel in der Serie über drahtlose Verbindungen ausführlich über diese Option zu schreiben.) SD-Kartensteckplatz.
Weitere Informationen zu den Fähigkeiten des 1590 NGFW und anderer neuer Modelle finden Sie unter aus einer Artikelreihe über CheckPoint SMB-Lösungen. Wir werden mit der Erstinitialisierung des Geräts fortfahren.
Primäre Initialisierung
Unsere regelmäßigen Leser werden bereits wissen, dass die SMB-Reihe der 1500-Serie das neue 80.20 Embedded OS verwendet, das eine aktualisierte Schnittstelle und verbesserte Funktionen umfasst.
Um mit der Initialisierung des Geräts zu beginnen, müssen Sie:
- Versorgen Sie das Gateway mit Strom.
- Verbinden Sie das Netzwerkkabel von Ihrem PC mit LAN -1 am Gateway.
- Optional können Sie dem Gerät sofort einen Internetzugang ermöglichen, indem Sie die Schnittstelle an den WAN-Port anschließen.
- Gehen Sie zum Gaia Embedded-Portal:
Wenn Sie die zuvor genannten Schritte befolgt haben, müssen Sie nach dem Aufrufen der Gaia-Portalseite das Öffnen der Seite mit einem nicht vertrauenswürdigen Zertifikat bestätigen. Anschließend wird der Assistent für die Portaleinstellungen gestartet:
Sie werden von einer Seite mit dem Modell Ihres Geräts begrüßt. Sie müssen mit dem nächsten Abschnitt fortfahren:
Wir werden aufgefordert, ein Konto zur Autorisierung zu erstellen, es ist möglich, hohe Passwortanforderungen für den Administrator festzulegen und wir geben das Land an, in dem wir das Gateway verwenden werden.
Das nächste Fenster betrifft die Datums- und Uhrzeiteinstellungen; Sie können diese manuell festlegen oder den NTP-Server des Unternehmens verwenden.
Im nächsten Schritt erfolgt die Festlegung eines Namens für das Gerät und die Angabe der Firmendomäne für den korrekten Betrieb der Gateway-Dienste im Internet.
Der nächste Schritt betrifft die Wahl des NGFW-Steuerungstyps, hier ist zu beachten:
- Lokales Management. Dies ist eine verfügbare Option, um das Gateway lokal über die Gaia-Portal-Webseite zu verwalten.
- Zentrales Management. Diese Art der Verwaltung umfasst die Synchronisierung mit einem dedizierten CheckPoint Management-Server, die Synchronisierung mit der Smart1-Cloud-Cloud oder mit SMP (Verwaltungsdienst für SMB).
In diesem Artikel konzentrieren wir uns auf die lokale Verwaltungsmethode. Sie können die erforderliche Methode angeben. Wir empfehlen Ihnen, sich mit dem Synchronisierungsprozess mit einem dedizierten Verwaltungsserver vertraut zu machen aus der CheckPoint Getting Started-Schulungsreihe von TS Solution.
Als nächstes wird ein Fenster angezeigt, das den Betriebsmodus der Schnittstellen am Gateway definiert:
- Der Switch-Modus impliziert die Verfügbarkeit eines Subnetzes von einer Schnittstelle zum Subnetz einer anderen Schnittstelle.
- Der Disable Switch-Modus deaktiviert entsprechend den Switch-Modus; jeder Port leitet den Datenverkehr wie für ein separates Netzwerkfragment weiter.
Es wird außerdem vorgeschlagen, einen Pool von DHCP-Adressen anzugeben, die beim Herstellen einer Verbindung zu den lokalen Schnittstellen des Gateways verwendet werden.
Der nächste Schritt besteht darin, das Gateway so zu konfigurieren, dass es im drahtlosen Modus funktioniert. Wir planen, diesen Aspekt in einem Artikel der Serie ausführlicher zu besprechen, daher haben wir die Konfiguration der Einstellungen verschoben. Sie können einen neuen WLAN-Zugangspunkt erstellen, ein Passwort für die Verbindung festlegen und den Betriebsmodus des WLAN-Kanals (2.4 Hz oder 5 Hz) festlegen.
Im nächsten Schritt wird der Zugriff auf das Gateway für Unternehmensadministratoren konfiguriert. Standardmäßig sind Zugriffsrechte zulässig, wenn die Verbindung kommt von:
- Internes Firmensubnetz
- Vertrauenswürdiges drahtloses Netzwerk
- VPN-Tunnel
Die Option, sich über das Internet mit dem Gateway zu verbinden, ist standardmäßig deaktiviert, dies birgt große Risiken und muss für die Aufnahme begründet werden, ansonsten empfiehlt es sich, es wie in unserem Beispiel zu belassen. Es besteht auch die Möglichkeit festzulegen, welche IP-Adressen zugelassen werden um eine Verbindung zum Gateway herzustellen.
Das nächste Fenster betrifft die Aktivierung von Lizenzen; bei der Erstinitialisierung des Geräts wird Ihnen eine 30-tägige Testphase angezeigt. Es stehen zwei Aktivierungsmethoden zur Verfügung:
- Bei bestehender Internetverbindung wird die Lizenz automatisch aktiviert.
- Wenn Sie eine Lizenz offline aktivieren, müssen Sie Folgendes tun: Laden Sie die Lizenz vom UserCenter herunter und registrieren Sie Ihr Gerät bei einem speziellen . Als nächstes müssen Sie in beiden Fällen die manuell heruntergeladene Lizenz importieren.
Schließlich werden Sie im letzten Fenster des Einstellungsassistenten aufgefordert, die einzuschaltenden Blades auszuwählen. Beachten Sie, dass das QOS-Blade erst nach der Erstinitialisierung eingeschaltet wird. Am Ende sollte ein Abschlussfenster angezeigt werden, in dem Ihre Einstellungen zusammengefasst sind.
Ersteinrichtung
Wir empfehlen zunächst, den Status der Lizenzen zu prüfen; die weitere Konfiguration hängt davon ab. Gehen Sie zur Registerkarte „HOME“ → „Lizenz“:
Bei aktivierten Lizenzen empfehlen wir ein sofortiges Update auf die aktuellste aktuelle Firmware; gehen Sie dazu auf den Reiter „GERÄT“ → „Systembetrieb“:
Systemaktualisierungen finden Sie im Element „Firmware-Upgrade“. In unserem Fall ist die aktuelle und neueste Firmware-Version installiert.
Als nächstes schlage ich vor, kurz auf die Fähigkeiten und Einstellungen der System-Blades einzugehen. Logischerweise können sie in Richtlinien auf Zugriffsebene (Firewall, Anwendungskontrolle, URL-Filterung) und Bedrohungsprävention (IPS, Antivirus, Anti-Bot, Bedrohungsemulation) unterteilt werden.
Gehen wir zur Registerkarte Zugriffsrichtlinie → Blade-Steuerung:
Standardmäßig wird der STANDARD-Modus verwendet, er lässt ausgehenden Datenverkehr ins Internet und innerhalb des lokalen Netzwerks zu, blockiert aber gleichzeitig eingehenden Datenverkehr aus dem Internet.
Die Blätter ANWENDUNGEN & URL-FILTERUNG sind standardmäßig so eingestellt, dass sie Websites mit einem hohen Gefahrengrad und Austauschanwendungen (Torrent, Dateispeicher usw.) blockieren. Sie können Kategorien von Websites auch zusätzlich manuell blockieren.
Lassen Sie uns die Option für den Benutzerverkehr „Bandbreite verbrauchende Anwendungen begrenzen“ mit der Möglichkeit prüfen, die Geschwindigkeit des ausgehenden/eingehenden Datenverkehrs für Gruppen von Anwendungen zu begrenzen.
Öffnen Sie anschließend den Unterabschnitt „Richtlinie“. Standardmäßig werden die Regeln automatisch gemäß den zuvor beschriebenen Einstellungen generiert.
Der NAT-Unterabschnitt funktioniert standardmäßig im Global Hide Nat Automatic, d. h. alle internen Hosts haben über die öffentliche IP-Adresse Zugriff auf das Internet. Es ist möglich, NAT-Regeln für die Veröffentlichung Ihrer Webanwendungen oder -dienste manuell festzulegen.
Als nächstes bietet der Abschnitt, der sich mit der Benutzerauthentifizierung im Netzwerk befasst, zwei Optionen: Active Directory-Abfragen (Integration mit Ihrem AD), browserbasierte Authentifizierung (der Benutzer gibt Domänenanmeldeinformationen im Portal ein).
Es lohnt sich, die SSL-Inspektion gesondert zu erwähnen, da der Anteil des gesamten HTTPS-Verkehrs im globalen Netzwerk aktiv wächst. Schauen wir uns an, welche Funktionen CheckPoint für SMB-Lösungen bietet. Gehen Sie dazu in den Bereich SSL-Inspektion → Richtlinien:
In den Einstellungen können Sie den HTTPS-Verkehr überprüfen. Sie müssen das Zertifikat importieren und im vertrauenswürdigen Zertifikatszentrum auf den Endbenutzercomputern installieren.
Als praktische Option halten wir den BYPASS-Modus für vordefinierte Kategorien, der bei der Aktivierung der Inspektion deutlich Zeit spart.
Nachdem Sie die Regeln auf Firewall-/Anwendungsebene konfiguriert haben, sollten Sie mit der Optimierung der Sicherheitsrichtlinien (Bedrohungsprävention) fortfahren. Gehen Sie dazu zum entsprechenden Abschnitt:
Auf der geöffneten Seite sehen wir aktivierte Blades, Signatur- und Datenbankaktualisierungsstatus. Außerdem werden wir aufgefordert, ein Profil zum Schutz des Netzwerkperimeters auszuwählen und die entsprechenden Einstellungen werden angezeigt.
In einem separaten Abschnitt „IPS-Schutz“ können Sie die Aktion für eine bestimmte Sicherheitssignatur konfigurieren.
Vor nicht allzu langer Zeit haben wir in unserem Blog geschrieben für Windows Server – SigRed. Überprüfen wir, ob es in Gaia Embedded 80.20 vorhanden ist, indem wir die Abfrage „CVE-2020-1350“ eingeben.
Für diese Signatur wurde ein Datensatz erkannt, auf den eine der Aktionen angewendet werden kann. (Standardmäßig ist „Verhindern“ für die Gefahrenstufe „Kritisch“). Dementsprechend werden Sie mit einer SMB-Lösung nicht auf Updates und Support verzichten müssen; es handelt sich um eine komplette NGFW-Lösung für Zweigstellen mit bis zu 200 Personen von CheckPoint.
Leistungsbewertung
Zum Abschluss des Artikels möchte ich auf die Verfügbarkeit von Tools zur Fehlerbehebung nach der Erstinitialisierung und Konfiguration der SMB-Lösung hinweisen. Sie können zum Abschnitt „HOME“ → „Tools“ gehen. Möglichkeiten:
- Überwachung der Systemressourcen;
- Routing-Tabelle;
- Überprüfen der Verfügbarkeit von CheckPoint-Cloud-Diensten;
- CPinfo-Generierung;
Es stehen auch integrierte Netzwerkbefehle zur Verfügung: Ping, Traceroute, Traffic Capture.
Daher haben wir heute die anfängliche Verbindung und Konfiguration des NGFW 1590 überprüft und untersucht. Sie werden ähnliche Aktionen für die gesamte 1500 SMB Checkpoint-Serie durchführen. Die verfügbaren Optionen zeigten uns eine hohe Variabilität der Einstellungen und Unterstützung moderner Methoden zum Schutz des Datenverkehrs im Netzwerkperimeter.
CheckPoint-Lösungen zum Schutz kleiner Büros und Filialen (bis zu 200 Personen) verfügen heute über eine breite Palette an Tools und nutzen modernste Technologien (Cloud-Management, SIM-Karten-Unterstützung, Speichererweiterung mittels SD-Karten etc.). Bleiben Sie weiterhin informiert und lesen Sie Artikel von TS Solution. Wir planen weitere Veröffentlichungen von Teilen über NGFW CheckPoint der SMB-Familie. Wir sehen uns!
. Bleiben Sie dran (, , , , ).
Source: habr.com