Συνεχίζουμε τη σειρά άρθρων σχετικά με την εργασία με τη νέα σειρά μοντέλων SMB CheckPoint, ας σας υπενθυμίσουμε ότι στο Περιγράψαμε τα χαρακτηριστικά και τις δυνατότητες των νέων μοντέλων, τις μεθόδους διαχείρισης και διοίκησης. Σήμερα θα εξετάσουμε το σενάριο ανάπτυξης του ανώτερου μοντέλου της σειράς: CheckPoint 1590 NGFW. Θα επισυνάψουμε μια σύντομη περίληψη αυτού του μέρους:
- Αποσυσκευασία του εξοπλισμού (περιγραφή των εξαρτημάτων, φυσική και δικτυακή σύνδεση).
- Αρχική αρχικοποίηση της συσκευής.
- Αρχική ρύθμιση.
- Αξιολόγηση απόδοσης.
Αποσυσκευασία του εξοπλισμού
Η γνωριμία με τον εξοπλισμό ξεκινά με την αφαίρεση του εξοπλισμού από το κουτί, την αποσυναρμολόγηση των εξαρτημάτων και την εγκατάσταση των εξαρτημάτων, κάνοντας κλικ στο spoiler, όπου παρουσιάζεται σύντομα η διαδικασία.
Παράδοση του NGFW 1590
Εν συντομία για τα συστατικά:
- NGFW 1590;
- Προσαρμογέας ρεύματος;
- 2 κεραίες Wifi (2.4 GHz και 5 GHz).
- 2 κεραίες LTE;
- Φυλλάδια με τεκμηρίωση (σύντομος οδηγός για την αρχική σύνδεση, άδεια χρήσης κ.λπ.)
Όσον αφορά τις θύρες και τις διεπαφές δικτύου, υπάρχουν όλες οι σύγχρονες δυνατότητες μετάδοσης κίνησης και αλληλεπίδρασης, μια ξεχωριστή θύρα για τη ζώνη DMZ, USB 3.0 για συγχρονισμό με υπολογιστή.
Η έκδοση 1590 διαθέτει ανανεωμένο σχεδιασμό, σύγχρονες επιλογές για ασύρματη επικοινωνία και επέκταση μνήμης: 2 υποδοχές για εργασία με Micro/Nano SIM σε λειτουργία LTE. (Σχεδιάζουμε να γράψουμε λεπτομερώς για αυτήν την επιλογή σε ένα από τα επόμενα άρθρα μας στη σειρά που είναι αφιερωμένη στις ασύρματες συνδέσεις). Υποδοχή κάρτας SD.
Μπορείτε να διαβάσετε περισσότερα για τις δυνατότητες του 1590 NGFW και άλλων νέων μοντέλων στο από τη σειρά άρθρων σχετικά με τις λύσεις SMB CheckPoint. Θα προχωρήσουμε στην αρχική αρχικοποίηση της συσκευής.
Πρωτεύουσα αρχικοποίηση
Οι τακτικοί αναγνώστες μας θα πρέπει ήδη να γνωρίζουν ότι η σειρά SMB 1500 χρησιμοποιεί το νέο ενσωματωμένο λειτουργικό σύστημα 80.20, το οποίο περιλαμβάνει ενημερωμένη διεπαφή και βελτιωμένες δυνατότητες.
Για να ξεκινήσετε την αρχικοποίηση της συσκευής, πρέπει:
- Παροχή ρεύματος στην πύλη.
- Συνδέστε το καλώδιο δικτύου από τον υπολογιστή σας στο LAN -1 στην πύλη.
- Προαιρετικά, μπορείτε να παρέχετε άμεσα στη συσκευή πρόσβαση στο Διαδίκτυο συνδέοντας τη διεπαφή στη θύρα WAN.
- Μεταβείτε στην ενσωματωμένη πύλη Gaia:
Εάν έχουν ολοκληρωθεί τα προαναφερθέντα βήματα, τότε αφού μεταβείτε στη σελίδα της πύλης Gaia, θα πρέπει να επιβεβαιώσετε το άνοιγμα της σελίδας με ένα μη αξιόπιστο πιστοποιητικό, μετά το οποίο θα ξεκινήσει ο οδηγός ρυθμίσεων πύλης:
Θα σας υποδεχτεί μια σελίδα που υποδεικνύει το μοντέλο της συσκευής σας, πρέπει να μεταβείτε στην επόμενη ενότητα:
Θα μας ζητηθεί να δημιουργήσουμε έναν λογαριασμό για εξουσιοδότηση, υπάρχει η επιλογή να καθορίσουμε υψηλές απαιτήσεις κωδικού πρόσβασης για τον διαχειριστή, υποδεικνύουμε τη χώρα όπου θα χρησιμοποιήσουμε την πύλη.
Το επόμενο παράθυρο αφορά τις ρυθμίσεις ημερομηνίας και ώρας. Μπορείτε να τις ορίσετε χειροκίνητα ή να χρησιμοποιήσετε τον διακομιστή NTP της εταιρείας.
Το επόμενο βήμα περιλαμβάνει τον ορισμό ενός ονόματος για τη συσκευή και τον καθορισμό του τομέα της εταιρείας, ώστε οι υπηρεσίες πύλης να λειτουργούν σωστά στο Διαδίκτυο.
Το επόμενο βήμα αφορά την επιλογή του τύπου διαχείρισης NGFW, εδώ αξίζει να σημειωθεί:
- Τοπική Διαχείριση - Αυτή είναι μια διαθέσιμη επιλογή για τοπική διαχείριση της πύλης χρησιμοποιώντας την ιστοσελίδα Gaia Portal.
- Κεντρική Διαχείριση. Αυτός ο τύπος διαχείρισης περιλαμβάνει συγχρονισμό με έναν αποκλειστικό διακομιστή CheckPoint Management, συγχρονισμό με το cloud Smart1-Cloud ή με SMP (υπηρεσία διαχείρισης για SMB).
Σε αυτό το άρθρο θα επικεντρωθούμε στη μέθοδο διαχείρισης Τοπικής Διαχείρισης, μπορείτε να καθορίσετε την απαραίτητη μέθοδο. Για να εξοικειωθείτε με τη διαδικασία συγχρονισμού με έναν αποκλειστικό Διακομιστή Διαχείρισης, προτείνεται από τον κύκλο εκπαίδευσης CheckPoint Getting Started που εκπονήθηκε από την TS Solution.
Στη συνέχεια, θα εμφανιστεί ένα παράθυρο με τον ορισμό της λειτουργίας των διεπαφών στην πύλη:
- Η λειτουργία εναλλαγής υποδηλώνει την προσβασιμότητα του υποδικτύου από μια διεπαφή στο υποδίκτυο μιας άλλης διεπαφής.
- Η λειτουργία Απενεργοποίησης Διακόπτη απενεργοποιεί αντίστοιχα τη λειτουργία Διακόπτη, με κάθε θύρα να δρομολογεί την κυκλοφορία όπως για ένα ξεχωριστό τμήμα δικτύου.
Προτείνεται επίσης να καθορίσετε μια ομάδα διευθύνσεων DHCP που θα χρησιμοποιούνται κατά τη σύνδεση στις τοπικές διεπαφές της πύλης.
Το επόμενο βήμα είναι να ρυθμίσετε την πύλη ώστε να λειτουργεί σε ασύρματη λειτουργία, σκοπεύουμε να εξετάσουμε αυτήν την πτυχή με περισσότερες λεπτομέρειες σε ένα από τα άρθρα της σειράς, επομένως έχουμε αναβάλει τη ρύθμιση των ρυθμίσεων. Μπορείτε να δημιουργήσετε ένα νέο σημείο ασύρματης πρόσβασης, να ορίσετε έναν κωδικό πρόσβασης για τη σύνδεσή του και να καθορίσετε τον τρόπο λειτουργίας του ασύρματου καναλιού (2.4 Hz ή 5 Hz).
Στη συνέχεια, θα σας δοθεί ένα βήμα για να ρυθμίσετε την πρόσβαση στην πύλη για τους διαχειριστές της εταιρείας. Από προεπιλογή, τα δικαιώματα πρόσβασης επιτρέπονται εάν η σύνδεση προέρχεται από:
- Εσωτερικό υποδίκτυο εταιρείας
- Αξιόπιστο ασύρματο δίκτυο
- Σήραγγα VPN
Η επιλογή σύνδεσης στην πύλη μέσω Διαδικτύου είναι απενεργοποιημένη από προεπιλογή, κάτι που ενέχει μεγάλους κινδύνους και πρέπει να δικαιολογείται για να συμπεριληφθεί, διαφορετικά συνιστάται να παραμείνει όπως στο παράδειγμά μας. Είναι επίσης δυνατό να καθορίσετε ποιες διευθύνσεις IP θα επιτρέπεται να συνδεθούν στην πύλη.
Το επόμενο παράθυρο αφορά την ενεργοποίηση των αδειών χρήσης. Όταν αρχικοποιήσετε τη συσκευή για πρώτη φορά, θα σας παρουσιαστεί μια δοκιμαστική περίοδος 30 ημερών. Υπάρχουν δύο διαθέσιμες μέθοδοι ενεργοποίησης:
- Εάν υπάρχει σύνδεση στο Διαδίκτυο, η άδεια χρήσης ενεργοποιείται αυτόματα.
- Εάν ενεργοποιήσετε την άδεια χρήσης εκτός σύνδεσης, πρέπει να κάνετε τα εξής: κατεβάστε την άδεια χρήσης από το UserCenter, καταχωρίστε τη συσκευή σας σε ειδικό Στη συνέχεια, και στις δύο περιπτώσεις, θα χρειαστεί να εισαγάγετε χειροκίνητα την άδεια χρήσης που λάβατε.
Τέλος, το τελευταίο παράθυρο στον οδηγό εγκατάστασης προσφέρει την επιλογή των blade που θα ενεργοποιηθούν. Σημειώστε ότι το QOS blade ενεργοποιείται μόνο μετά την αρχική αρχικοποίηση. Ως αποτέλεσμα, θα πρέπει να εμφανιστεί ένα παράθυρο ολοκλήρωσης που συνοψίζει τις ρυθμίσεις σας.
Αρχική εγκατάσταση
Καταρχάς, συνιστούμε να ελέγξετε την κατάσταση των αδειών χρήσης, καθώς περαιτέρω ρυθμίσεις θα εξαρτηθούν από αυτό. Μεταβείτε στην καρτέλα "ΑΡΧΙΚΗ" → "Άδεια χρήσης":
Εάν οι άδειες χρήσης είναι ενεργοποιημένες, συνιστούμε να κάνετε αμέσως ενημέρωση στο πιο πρόσφατο υλικολογισμικό. Για να το κάνετε αυτό, μεταβείτε στην καρτέλα «ΣΥΣΚΕΥΗ» → «Λειτουργίες συστήματος»:
Οι ενημερώσεις συστήματος βρίσκονται στην ενότητα Αναβάθμιση υλικολογισμικού. Στην περίπτωσή μας, εγκαθίσταται η τρέχουσα και η πιο πρόσφατη έκδοση υλικολογισμικού.
Στη συνέχεια, προτείνω να αναφερθώ σύντομα στις δυνατότητες και τις ρυθμίσεις των blade του συστήματος. Λογικά, μπορούν να χωριστούν σε πολιτικές επιπέδου πρόσβασης (Τείχος προστασίας, Έλεγχος εφαρμογών, Φιλτράρισμα URL) και Πρόληψη απειλών (IPS, Antivirus, Anti-Bot, Εξομοίωση απειλών).
Ας πάμε στην καρτέλα Πολιτική πρόσβασης → Έλεγχος λεπίδας:
Από προεπιλογή, χρησιμοποιείται η λειτουργία STANDARD, η οποία επιτρέπει: εξερχόμενη κίνηση στο Διαδίκτυο, κίνηση εντός του τοπικού δικτύου, αλλά αποκλείει την εισερχόμενη κίνηση από το Διαδίκτυο.
Όσον αφορά τα blade ΕΦΑΡΜΟΓΩΝ & ΦΙΛΤΡΑΡΙΣΜΑΤΟΣ URL, από προεπιλογή έχουν ρυθμιστεί να αποκλείουν ιστότοπους με υψηλό επίπεδο κινδύνου, να αποκλείουν εφαρμογές ανταλλαγής (Torrent, Αποθήκευση αρχείων κ.λπ.). Μπορείτε επίσης να αποκλείσετε κατηγορίες ιστότοπων χειροκίνητα.
Ας ελέγξουμε την επιλογή για την κίνηση χρηστών "Περιορισμός εφαρμογών που καταναλώνουν εύρος ζώνης" με τη δυνατότητα περιορισμού της ταχύτητας της εξερχόμενης/εισερχόμενης κίνησης για ομάδες εφαρμογών.
Στη συνέχεια, ανοίξτε την υποενότητα Πολιτική. Από προεπιλογή, οι κανόνες δημιουργούνται αυτόματα σύμφωνα με τις ρυθμίσεις που περιγράφηκαν προηγουμένως.
Η υποενότητα NAT λειτουργεί από προεπιλογή στο Global Hide Nat Automatic, δηλαδή όλοι οι εσωτερικοί κεντρικοί υπολογιστές θα έχουν πρόσβαση στο Διαδίκτυο μέσω μιας δημόσιας διεύθυνσης IP. Είναι δυνατό να ορίσετε κανόνες NAT χειροκίνητα για να δημοσιεύσετε τις εφαρμογές ή τις υπηρεσίες ιστού σας.
Στη συνέχεια, η ενότητα που αφορά τον Έλεγχο ταυτότητας χρηστών στο δίκτυο προσφέρει δύο επιλογές: Ερωτήματα Active Directory (ενσωμάτωση με το AD σας), Έλεγχος ταυτότητας βάσει προγράμματος περιήγησης (ο χρήστης εισάγει διαπιστευτήρια τομέα στην πύλη).
Αξίζει να αναφερθεί ξεχωριστά η επιθεώρηση SSL, καθώς το μερίδιο της συνολικής κίνησης HTTPS στο Παγκόσμιο Δίκτυο αυξάνεται ενεργά. Ας δούμε ποιες δυνατότητες προσφέρει η CheckPoint για λύσεις SMB, για αυτό πρέπει να μεταβείτε στην ενότητα Επιθεώρηση SSL → Πολιτική:
Οι ρυθμίσεις σάς επιτρέπουν να ελέγχετε την κίνηση HTTPS, θα χρειαστεί να εισαγάγετε το πιστοποιητικό και να το εγκαταστήσετε στην αξιόπιστη αρχή έκδοσης πιστοποιητικών στους υπολογιστές των τελικών χρηστών.
Θεωρούμε τη λειτουργία ΠΑΡΑΚΑΜΨΗΣ για τις προκαθορισμένες κατηγορίες ως μια βολική επιλογή· εξοικονομεί σημαντικά χρόνο κατά την ενεργοποίηση της επιθεώρησης.
Αφού ορίσετε τους κανόνες σε επίπεδο Τείχους Προστασίας/Εφαρμογής, θα πρέπει να προχωρήσετε στη ρύθμιση των πολιτικών ασφαλείας (Πρόληψη Απειλών). Για να το κάνετε αυτό, μεταβείτε στην αντίστοιχη ενότητα:
Στην ανοιχτή σελίδα βλέπουμε τις ενεργοποιημένες καταστάσεις ενημέρωσης blade, υπογραφής και βάσης δεδομένων. Μας προσφέρεται επίσης να επιλέξουμε ένα προφίλ για την προστασία της περιμέτρου του δικτύου, εμφανίζονται οι αντίστοιχες ρυθμίσεις.
Μια ξεχωριστή ενότητα με τίτλο «Προστασίες IPS» σάς επιτρέπει να διαμορφώσετε την ενέργεια για μια συγκεκριμένη υπογραφή ασφαλείας.
Πριν από λίγο καιρό γράψαμε στο ιστολόγιό μας για Windows Server — SigRed. Ας ελέγξουμε για την παρουσία του στο Gaia Embedded 80.20 εισάγοντας το ερώτημα "CVE-2020-1350"
Έχει βρεθεί μια εγγραφή για αυτήν την υπογραφή, στην οποία μπορεί να εφαρμοστεί μία από τις ενέργειες. (από προεπιλογή, η Αποτροπή για το επίπεδο σοβαρότητας είναι Κρίσιμη). Συνεπώς, έχοντας μια λύση SMB, δεν θα στερηθείτε ενημερώσεις και υποστήριξη, καθώς πρόκειται για μια ολοκληρωμένη λύση NGFW για υποκαταστήματα έως και 200 ατόμων από την CheckPoint.
Αξιολόγηση απόδοσης
Συμπερασματικά, θα ήθελα να σημειώσω την παρουσία εργαλείων για την αντιμετώπιση προβλημάτων μετά την αρχική αρχικοποίηση και διαμόρφωση της λύσης SMB. Μπορείτε να μεταβείτε στην ενότητα "ΑΡΧΙΚΗ" → "Εργαλεία". Πιθανές επιλογές:
- πόροι συστήματος παρακολούθησης·
- πίνακας δρομολόγησης;
- Έλεγχος διαθεσιμότητας υπηρεσιών cloud της CheckPoint.
- Δημιουργία CPinfo;
Διατίθενται επίσης ενσωματωμένες εντολές δικτύου: Ping, Traceroute, Traffic Capture.
Έτσι, σήμερα εξετάσαμε και μελετήσαμε την αρχική σύνδεση και διαμόρφωση του NGFW 1590, παρόμοιες ενέργειες που θα εκτελέσετε για ολόκληρη τη σειρά 1500 SMB Checkpoint. Οι διαθέσιμες επιλογές μας έδειξαν υψηλή μεταβλητότητα στις ρυθμίσεις, υποστήριξη για σύγχρονες μεθόδους προστασίας της κυκλοφορίας στην περίμετρο του δικτύου.
Σήμερα, οι λύσεις της CheckPoint για την προστασία μικρών γραφείων και υποκαταστημάτων (έως 200 άτομα) διαθέτουν ένα ευρύ φάσμα εργαλείων και χρησιμοποιούν τις πιο σύγχρονες τεχνολογίες (διαχείριση cloud, υποστήριξη καρτών SIM, επέκταση μνήμης με χρήση καρτών SD κ.λπ.). Συνεχίστε να ενημερώνεστε και να διαβάζετε άρθρα από την TS Solution, σχεδιάζουμε περαιτέρω κυκλοφορίες εξαρτημάτων σχετικά με την οικογένεια NGFW CheckPoint SMB, τα λέμε εκεί!
. Μείνετε συντονισμένοι (, , , , ).
Πηγή: www.habr.com
