Συνεχίζουμε τη σειρά άρθρων για την εργασία με τη νέα σειρά μοντέλων SMB CheckPoint, να σας υπενθυμίσουμε ότι στο περιγράψαμε τα χαρακτηριστικά και τις δυνατότητες των νέων μοντέλων, μεθόδων διαχείρισης και διαχείρισης. Σήμερα θα εξετάσουμε το σενάριο ανάπτυξης για το παλαιότερο μοντέλο της σειράς: CheckPoint 1590 NGFW. Ακολουθεί μια περίληψη αυτού του μέρους:
- Εξοπλισμός αποσυσκευασίας (περιγραφή εξαρτημάτων, φυσικές συνδέσεις και συνδέσεις δικτύου).
- Αρχική προετοιμασία συσκευής.
- Αρχική εγκατάσταση.
- Αξιολόγησης της απόδοσης.
Αποσυσκευασία εξοπλισμού
Η γνωριμία με τον εξοπλισμό ξεκινά με την αφαίρεση του εξοπλισμού από το κουτί, την αποσυναρμολόγηση εξαρτημάτων και την εγκατάσταση εξαρτημάτων· κάντε κλικ στο σπόιλερ, όπου παρουσιάζεται εν συντομία η διαδικασία
Παράδοση NGFW 1590
Συνοπτικά για τα εξαρτήματα:
- NGFW 1590;
- Μετασχηματιστής ρεύματος;
- 2 κεραίες Wi-Fi (2.4 Hz και 5 Hz).
- 2 κεραίες LTE.
- Φυλλάδια με τεκμηρίωση (ένας σύντομος οδηγός για την αρχική σύνδεση, σύμβαση άδειας χρήσης κ.λπ.)
Όσον αφορά τις θύρες και τις διεπαφές δικτύου, υπάρχουν όλες οι σύγχρονες δυνατότητες για μετάδοση κίνησης και αλληλεπίδραση, ξεχωριστή θύρα για τη ζώνη DMZ, USB 3.0 για συγχρονισμό με υπολογιστή.
Η έκδοση 1590 έλαβε ενημερωμένο σχεδιασμό, σύγχρονες επιλογές για ασύρματη επικοινωνία και επέκταση μνήμης: 2 υποδοχές για εργασία με Micro/Nano SIM σε λειτουργία LTE. (σκοπεύουμε να γράψουμε λεπτομερώς για αυτήν την επιλογή σε ένα από τα επόμενα άρθρα μας στη σειρά που είναι αφιερωμένη στις ασύρματες συνδέσεις). Υποδοχή κάρτας SD.
Μπορείτε να διαβάσετε περισσότερα για τις δυνατότητες του 1590 NGFW και άλλων νέων μοντέλων στο από μια σειρά άρθρων σχετικά με τις λύσεις CheckPoint SMB. Θα προχωρήσουμε στην αρχική προετοιμασία της συσκευής.
Πρωτογενής προετοιμασία
Οι τακτικοί αναγνώστες μας θα πρέπει ήδη να γνωρίζουν ότι η σειρά SMB της σειράς 1500 χρησιμοποιεί το νέο ενσωματωμένο λειτουργικό σύστημα 80.20, το οποίο περιλαμβάνει ενημερωμένη διεπαφή και βελτιωμένες δυνατότητες.
Για να ξεκινήσετε την προετοιμασία της συσκευής πρέπει:
- Παρέχετε ρεύμα στην πύλη.
- Συνδέστε το καλώδιο δικτύου από τον υπολογιστή σας στο LAN -1 στην πύλη.
- Προαιρετικά, μπορείτε να παρέχετε αμέσως στη συσκευή πρόσβαση στο Διαδίκτυο συνδέοντας τη διεπαφή στη θύρα WAN.
- Μεταβείτε στην πύλη Gaia Embedded:
Εάν ακολουθήσατε τα βήματα που αναφέρθηκαν προηγουμένως, τότε αφού μεταβείτε στη σελίδα της πύλης Gaia, θα πρέπει να επιβεβαιώσετε το άνοιγμα της σελίδας με ένα μη αξιόπιστο πιστοποιητικό, μετά το οποίο θα ξεκινήσει ο οδηγός ρυθμίσεων πύλης:
Θα σας υποδεχθεί μια σελίδα που υποδεικνύει το μοντέλο της συσκευής σας, πρέπει να μεταβείτε στην επόμενη ενότητα:
Θα μας ζητηθεί να δημιουργήσουμε έναν λογαριασμό για εξουσιοδότηση, είναι δυνατό να ορίσουμε υψηλές απαιτήσεις κωδικού πρόσβασης για τον διαχειριστή και υποδεικνύουμε τη χώρα όπου θα χρησιμοποιήσουμε την πύλη.
Το επόμενο παράθυρο αφορά τις ρυθμίσεις ημερομηνίας και ώρας· μπορείτε να το ρυθμίσετε χειροκίνητα ή να χρησιμοποιήσετε τον διακομιστή NTP της εταιρείας.
Το επόμενο βήμα περιλαμβάνει τον ορισμό ενός ονόματος για τη συσκευή και τον καθορισμό του εταιρικού τομέα, έτσι ώστε οι υπηρεσίες πύλης να λειτουργούν σωστά στο Διαδίκτυο.
Το επόμενο βήμα αφορά την επιλογή του τύπου ελέγχου NGFW, εδώ πρέπει να σημειωθεί:
- Τοπική Διαχείριση. Αυτή είναι μια διαθέσιμη επιλογή για τη διαχείριση της πύλης τοπικά χρησιμοποιώντας την ιστοσελίδα Gaia Portal.
- Κεντρική Διοίκηση. Αυτός ο τύπος διαχείρισης περιλαμβάνει συγχρονισμό με έναν αποκλειστικό διακομιστή CheckPoint Management, συγχρονισμό με το cloud Smart1-Cloud ή με SMP (υπηρεσία διαχείρισης για SMB).
Σε αυτό το άρθρο, θα επικεντρωθούμε στη μέθοδο τοπικής διαχείρισης, μπορείτε να καθορίσετε τη μέθοδο που είναι απαραίτητη. Για να εξοικειωθείτε με τη διαδικασία συγχρονισμού με έναν αποκλειστικό διακομιστή διαχείρισης, προτείνουμε από τη σειρά εκπαίδευσης CheckPoint Getting Started που ετοίμασε η TS Solution.
Στη συνέχεια, θα παρουσιαστεί ένα παράθυρο που ορίζει τον τρόπο λειτουργίας των διεπαφών στην πύλη:
- Η λειτουργία μεταγωγής υποδηλώνει τη διαθεσιμότητα ενός υποδικτύου από μια διεπαφή στο υποδίκτυο μιας άλλης διεπαφής.
- Η λειτουργία Απενεργοποίηση εναλλαγής απενεργοποιεί συνεπώς τη λειτουργία εναλλαγής· κάθε θύρα δρομολογεί την κυκλοφορία όπως για ένα ξεχωριστό τμήμα δικτύου.
Προτείνεται επίσης να καθοριστεί μια ομάδα διευθύνσεων DHCP που θα χρησιμοποιηθούν κατά τη σύνδεση στις τοπικές διεπαφές της πύλης.
Το επόμενο βήμα είναι να διαμορφώσετε την πύλη ώστε να λειτουργεί σε ασύρματη λειτουργία· σκοπεύουμε να συζητήσουμε αυτήν την πτυχή με περισσότερες λεπτομέρειες σε ένα άρθρο της σειράς, επομένως αναβάλαμε τη διαμόρφωση των ρυθμίσεων. Μπορείτε να δημιουργήσετε ένα νέο σημείο ασύρματης πρόσβασης, να ορίσετε έναν κωδικό πρόσβασης για σύνδεση σε αυτό και να προσδιορίσετε τον τρόπο λειτουργίας του ασύρματου καναλιού (2.4 Hz ή 5 Hz).
Το επόμενο βήμα θα είναι η διαμόρφωση της πρόσβασης στην πύλη για τους διαχειριστές της εταιρείας. Από προεπιλογή, τα δικαιώματα πρόσβασης επιτρέπονται εάν η σύνδεση προέρχεται από:
- Εσωτερικό υποδίκτυο εταιρείας
- Αξιόπιστο ασύρματο δίκτυο
- VPN σήραγγα
Η επιλογή σύνδεσης στην πύλη μέσω Διαδικτύου είναι απενεργοποιημένη από προεπιλογή, αυτό εγκυμονεί μεγάλους κινδύνους και πρέπει να δικαιολογείται για συμπερίληψη, διαφορετικά συνιστάται να την αφήσετε όπως στο παράδειγμά μας. Μπορείτε επίσης να καθορίσετε ποιες διευθύνσεις IP θα επιτρέπονται για να συνδεθείτε στην πύλη.
Το επόμενο παράθυρο αφορά την ενεργοποίηση των αδειών χρήσης· κατά την αρχική προετοιμασία της συσκευής, θα εμφανιστεί μια δοκιμαστική περίοδος 30 ημερών. Υπάρχουν δύο διαθέσιμες μέθοδοι ενεργοποίησης:
- Εάν υπάρχει σύνδεση στο Διαδίκτυο, η άδεια ενεργοποιείται αυτόματα.
- Εάν ενεργοποιήσετε μια άδεια εκτός σύνδεσης, πρέπει να κάνετε τα εξής: κατεβάστε την άδεια από το UserCenter, καταχωρήστε τη συσκευή σας σε ειδική . Στη συνέχεια, και για τις δύο περιπτώσεις, θα χρειαστεί να εισαγάγετε την άδεια που έχετε λάβει με μη αυτόματο τρόπο.
Τέλος, το τελευταίο παράθυρο στον οδηγό ρυθμίσεων σάς ζητά να επιλέξετε τις λεπίδες που θα ενεργοποιηθούν· σημειώστε ότι η λεπίδα QOS ενεργοποιείται μόνο μετά την αρχική προετοιμασία. Θα πρέπει να καταλήξετε με ένα παράθυρο ολοκλήρωσης που συνοψίζει τις ρυθμίσεις σας.
Αρχική εγκατάσταση
Πρώτα απ 'όλα, συνιστούμε να ελέγξετε την κατάσταση των αδειών· η περαιτέρω διαμόρφωση θα εξαρτηθεί από αυτό. Μεταβείτε στην καρτέλα "ΑΡΧΙΚΗ" → "Άδεια χρήσης":
Εάν οι άδειες είναι ενεργοποιημένες, συνιστούμε την άμεση ενημέρωση στο πιο πρόσφατο τρέχον υλικολογισμικό· για να το κάνετε αυτό, μεταβείτε στην καρτέλα «ΣΥΣΚΕΥΗ» → «Λειτουργίες συστήματος»:
Οι ενημερώσεις συστήματος βρίσκονται στο στοιχείο Αναβάθμιση υλικολογισμικού. Στην περίπτωσή μας, έχει εγκατασταθεί η τρέχουσα και η πιο πρόσφατη έκδοση υλικολογισμικού.
Στη συνέχεια, προτείνω να μιλήσουμε εν συντομία για τις δυνατότητες και τις ρυθμίσεις των λεπίδων του συστήματος. Λογικά, μπορούν να χωριστούν σε πολιτικές επιπέδου Access (Firewall, Application Control, URL Filtering) και Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).
Ας πάμε στην καρτέλα Access Policy → Blade Control:
Από προεπιλογή, χρησιμοποιείται η λειτουργία STANDARD, επιτρέπει την εξερχόμενη κίνηση στο Διαδίκτυο, την κυκλοφορία εντός του τοπικού δικτύου, αλλά ταυτόχρονα αποκλείει την εισερχόμενη κίνηση από το Διαδίκτυο.
Όσον αφορά τις λεπίδες APPLICATIONS & URL FILTERING, από προεπιλογή είναι ρυθμισμένες να αποκλείουν ιστότοπους με υψηλό επίπεδο κινδύνου, να μπλοκάρουν εφαρμογές ανταλλαγής (Torrent, File Storage κ.λπ.). Μπορείτε επίσης να αποκλείσετε μη αυτόματα κατηγορίες ιστότοπων.
Ας ελέγξουμε την επιλογή για επισκεψιμότητα χρηστών «Περιορισμός εφαρμογών που καταναλώνουν εύρος ζώνης» με δυνατότητα περιορισμού της ταχύτητας εξερχόμενης/εισερχόμενης κίνησης για ομάδες εφαρμογών.
Στη συνέχεια, ανοίξτε την υποενότητα Πολιτική· από προεπιλογή, οι κανόνες δημιουργούνται αυτόματα σύμφωνα με τις ρυθμίσεις που περιγράφηκαν προηγουμένως.
Η υποενότητα NAT από προεπιλογή λειτουργεί στο Global Hide Nat Automatic, δηλαδή όλοι οι εσωτερικοί κεντρικοί υπολογιστές θα έχουν πρόσβαση στο Διαδίκτυο μέσω της δημόσιας διεύθυνσης IP. Είναι δυνατό να ορίσετε μη αυτόματα κανόνες NAT για τη δημοσίευση των εφαρμογών ή των υπηρεσιών Ιστού σας.
Στη συνέχεια, η ενότητα που αφορά τον έλεγχο ταυτότητας χρήστη στο δίκτυο προσφέρει δύο επιλογές: Ερωτήματα Active Directory (ενσωμάτωση με το AD σας), Έλεγχος ταυτότητας βάσει προγράμματος περιήγησης (ο χρήστης εισάγει διαπιστευτήρια τομέα στην πύλη).
Αξίζει να αναφερθεί ξεχωριστά η επιθεώρηση SSL· το μερίδιο της συνολικής επισκεψιμότητας HTTPS στο Παγκόσμιο Δίκτυο αυξάνεται ενεργά. Ας δούμε ποιες δυνατότητες προσφέρει το CheckPoint για λύσεις SMB. Για να το κάνετε αυτό, μεταβείτε στην ενότητα SSL-Inspection → Policy:
Στις ρυθμίσεις μπορείτε να επιθεωρήσετε την κυκλοφορία HTTPS· θα χρειαστεί να εισαγάγετε το πιστοποιητικό και να το εγκαταστήσετε στο κέντρο αξιόπιστων πιστοποιητικών σε μηχανήματα τελικού χρήστη.
Θεωρούμε ότι η λειτουργία BYPASS για προκαθορισμένες κατηγορίες είναι μια βολική επιλογή· αυτό εξοικονομεί σημαντικά χρόνο κατά την ενεργοποίηση της επιθεώρησης.
Αφού διαμορφώσετε τους κανόνες σε επίπεδο Τείχους προστασίας / Εφαρμογής, θα πρέπει να προχωρήσετε στον συντονισμό των πολιτικών ασφαλείας (Αποτροπή απειλών), για να το κάνετε αυτό, μεταβείτε στην κατάλληλη ενότητα:
Στην ανοιχτή σελίδα βλέπουμε ενεργοποιημένες καταστάσεις blades, υπογραφής και ενημέρωσης βάσης δεδομένων. Μας ζητείται επίσης να επιλέξουμε ένα προφίλ για την προστασία της περιμέτρου του δικτύου και εμφανίζονται οι αντίστοιχες ρυθμίσεις.
Μια ξεχωριστή ενότητα "Προστασία IPS" σάς επιτρέπει να διαμορφώσετε την ενέργεια για μια συγκεκριμένη υπογραφή ασφαλείας.
Πριν από λίγο καιρό είχαμε γράψει στο blog μας για Windows Server - SigRed. Ας ελέγξουμε την παρουσία του στο Gaia Embedded 80.20 πληκτρολογώντας το ερώτημα "CVE-2020-1350"
Έχει εντοπιστεί μια εγγραφή για αυτήν την υπογραφή στην οποία μπορεί να εφαρμοστεί μία από τις ενέργειες. (από προεπιλογή Η αποτροπή για το επίπεδο κινδύνου είναι Κρίσιμη). Αντίστοιχα, έχοντας μια λύση SMB, δεν θα μείνετε έξω από την άποψη των ενημερώσεων και της υποστήριξης· αυτή είναι μια ολοκληρωμένη λύση NGFW για υποκαταστήματα έως 200 ατόμων από το CheckPoint.
Αξιολόγησης της απόδοσης
Ολοκληρώνοντας το άρθρο, θα ήθελα να σημειώσω τη διαθεσιμότητα εργαλείων για την αντιμετώπιση προβλημάτων μετά την αρχική προετοιμασία και διαμόρφωση της λύσης SMB. Μπορείτε να μεταβείτε στην ενότητα "ΑΡΧΙΚΗ" → "Εργαλεία". Πιθανές επιλογές:
- παρακολούθηση πόρων του συστήματος?
- πίνακας δρομολόγησης?
- έλεγχος της διαθεσιμότητας των υπηρεσιών cloud του CheckPoint.
- Δημιουργία CPinfo.
Διατίθενται επίσης ενσωματωμένες εντολές δικτύου: Ping, Traceroute, Traffic Capture.
Έτσι, σήμερα εξετάσαμε και μελετήσαμε την αρχική σύνδεση και διαμόρφωση του NGFW 1590, θα εκτελέσετε παρόμοιες ενέργειες για ολόκληρη τη σειρά 1500 SMB Checkpoint. Οι διαθέσιμες επιλογές μας έδειξαν μεγάλη μεταβλητότητα για ρυθμίσεις, υποστήριξη για σύγχρονες μεθόδους προστασίας της κυκλοφορίας στην περίμετρο του δικτύου.
Σήμερα, οι λύσεις CheckPoint για την προστασία μικρών γραφείων και υποκαταστημάτων (έως 200 άτομα) διαθέτουν μεγάλη γκάμα εργαλείων και χρησιμοποιούν τις τελευταίες τεχνολογίες (διαχείριση cloud, υποστήριξη κάρτας SIM, επέκταση μνήμης με χρήση καρτών SD κ.λπ.). Συνεχίστε να ενημερώνεστε και να διαβάζετε άρθρα από την TS Solution, σχεδιάζουμε περαιτέρω εκδόσεις εξαρτημάτων για το NGFW CheckPoint της οικογένειας SMB, τα λέμε!
. Μείνετε συντονισμένοι (, , , , ).
Πηγή: www.habr.com