Ni daŭrigas la serion de artikoloj pri laborado kun la nova SMB CheckPoint modela gamo, ni memorigu vin, ke en ni priskribis la karakterizaĵojn kaj kapablojn de la novaj modeloj, administrado- kaj administradmetodoj. Hodiaŭ ni rigardos la deplojan scenaron por la pli malnova modelo en la serio: CheckPoint 1590 NGFW. Jen resumo de ĉi tiu parto:
- Malpakado de ekipaĵoj (priskribo de komponantoj, fizikaj kaj retaj konektoj).
- Komenca aparato inicialigo.
- Komenca aranĝo.
- Takso de rendimento.
Malpakado de Ekipaĵo
Koni la ekipaĵon komenciĝas per forigo de la ekipaĵo el la skatolo, malmuntado de komponantoj kaj instalado de partoj; alklaku la spoileron, kie la procezo estas mallonge prezentita.
Livero de NGFW 1590
Mallonge pri la komponantoj:
- NGFW 1590;
- Potenca adaptilo;
- 2 Wifi Antenoj (2.4 Hz kaj 5 Hz);
- 2 LTE-antenoj;
- Broŝuroj kun dokumentado (mallonga gvidilo al komenca konekto, licencinterkonsento, ktp.)
Koncerne al retaj havenoj kaj interfacoj, ekzistas ĉiuj modernaj kapabloj por trafika transdono kaj interago, aparta haveno por la DMZ-zono, USB 3.0 por sinkronigado kun komputilo.
Versio 1590 ricevis ĝisdatigitan dezajnon, modernajn opciojn por sendrata komunikado kaj memor-vastigo: 2 fendoj por labori kun Micro/Nano SIM en LTE-reĝimo. (ni planas skribi pri ĉi tiu opcio detale en unu el niaj sekvaj artikoloj en la serio dediĉita al sendrataj konektoj); Fendo por kartoj SD.
Vi povas legi pli pri la kapabloj de la 1590 NGFW kaj aliaj novaj modeloj en el serio de artikoloj pri CheckPoint SMB-solvoj. Ni procedos al la komenca inicialigo de la aparato.
Primara inicialigo
Niaj kutimaj legantoj jam devas konscii, ke la 1500 Series SMB-linio uzas la novan 80.20 Enigitan OS, kiu inkluzivas ĝisdatigitan interfacon kaj plibonigitajn kapablojn.
Por komenci pravalorigi la aparaton, vi devas:
- Provizu potencon al la enirejo.
- Konektu la retan kablon de via komputilo al LAN -1 sur la enirejo.
- Laŭvole, vi povas tuj provizi la aparaton per Interreta aliro konektante la interfacon al la WAN-haveno.
- Iru al la Gaia Embedded portalo:
Se vi sekvis la antaŭe deklaritajn paŝojn, tiam post iri al la paĝo de la portalo Gaia, vi devos konfirmi malfermi la paĝon per nefidinda atestilo, post kio lanĉos la sorĉisto pri portala agordo:
Vi estos salutita de paĝo indikanta la modelon de via aparato, vi devas iri al la sekva sekcio:
Oni petos nin krei konton por rajtigo, eblas specifi altajn pasvortajn postulojn por la administranto, kaj ni indikas la landon, kie ni uzos la enirejon.
La sekva fenestro koncernas agordojn de dato kaj horo; vi povas agordi ĝin permane aŭ uzi la NTP-servilon de la kompanio.
La sekva paŝo implikas agordi nomon por la aparato kaj specifi la firmaan domajnon por ke la enirejo-servoj funkciu ĝuste en Interreto.
La sekva paŝo koncernas la elekton de NGFW-kontrola tipo, ĉi tie oni devas rimarki:
- Loka Administrado. Ĉi tio estas disponebla opcio por administri la enirejon loke uzante la retpaĝon de Gaia Portal.
- Centra Administrado. Ĉi tiu tipo de administrado inkluzivas sinkronigon kun dediĉita CheckPoint Management-servilo, sinkronigon kun la Smart1-Cloud-nubo aŭ kun SMP (administra servo por SMB).
En ĉi tiu artikolo, ni koncentriĝos pri la Loka Administra metodo; vi povas specifi la necesan metodon. Por konatiĝi kun la procezo de sinkronigo kun dediĉita Administra Servilo, ni sugestas de la Trejnadserio CheckPoint Getting Started preparita de TS Solution.
Poste, fenestro estos prezentita difinanta la operacian reĝimon de la interfacoj sur la enirejo:
- Ŝaltreĝimo implicas la haveblecon de subreto de unu interfaco ĝis la subreto de alia interfaco.
- La Ŝaltila reĝimo sekve malfunkciigas la Ŝaltilo-reĝimon; ĉiu haveno direktas trafikon kiel por aparta retfragmento.
Estas ankaŭ proponite specifi aron da DHCP-adresoj, kiuj estos uzataj kiam oni konektos al la lokaj interfacoj de la enirejo.
La sekva paŝo estas agordi la enirejon por labori en sendrata reĝimo; ni planas diskuti ĉi tiun aspekton pli detale en unu artikolo en la serio, do ni prokrastis la agordon de la agordoj. Vi povas krei novan sendratan alirpunkton, agordi pasvorton por konekti al ĝi kaj determini la operacian reĝimon de la sendrata kanalo (2.4 Hz aŭ 5 Hz).
La sekva paŝo estos agordi aliron al la enirejo por administrantoj de la kompanio. Defaŭlte, alirrajtoj estas permesitaj se la konekto venas de:
- Subreto de interna kompanio
- Fidinda sendrata reto
- VPN-tunelo
La opcio por konekti al la enirejo per la Interreto estas malebligita defaŭlte, tio kunportas grandajn riskojn kaj devas esti pravigita por inkludo, alie oni rekomendas lasi ĝin kiel en nia ekzemplo.Eblas ankaŭ specifi kiuj IP-adresoj estos permesitaj. por konekti al la enirejo.
La sekva fenestro koncernas la aktivigon de permesiloj; post komenca inicialigo de la aparato, vi estos prezentita kun 30-taga provperiodo. Estas du disponeblaj aktivigaj metodoj:
- Se ekzistas interreta konekto, la permesilo estas aktivigita aŭtomate.
- Se vi aktivigas permesilon eksterrete, vi devas fari la jenon: elŝuti la permesilon de UserCenter, registri vian aparaton en speciala . Poste, por ambaŭ kazoj, vi devos importi la mane elŝutitan permesilon.
Fine, la lasta fenestro en la agorda sorĉisto instigas vin elekti la klingojn por ŝalti; notu, ke la QOS-klingo estas ŝaltita nur post komenca inicialigo. Vi devus fini kun kompletiga fenestro kiu resumas viajn agordojn.
Komenca aranĝo
Antaŭ ĉio, ni rekomendas kontroli la staton de permesiloj; plia agordo dependos de tio. Iru al la langeto "HEJMO" → "Licenco":
Se la permesiloj estas aktivigitaj, ni rekomendas tuj ĝisdatigi al la plej nova nuna firmvaro; por fari tion, iru al la langeto "APARATO" → "Sistema Operacioj":
Sistemaj ĝisdatigoj troviĝas en la elemento Firmware Upgrade. En nia kazo, la aktuala kaj lasta firmware versio estas instalita.
Poste, mi proponas mallonge paroli pri la kapabloj kaj agordoj de la sistemaj klingoj. Logike, ili povas esti dividitaj en politikojn al nivelo de Aliro (Fajromuro, Aplika Kontrolo, URL-Filtrado) kaj Minaco-Preventado (IPS, Antivirus, Anti-Bot, Threat Emulation).
Ni iru al la aliro-politiko → langeto Klingo-Kontrolo:
Defaŭlte, la NORMA reĝimo estas uzata, ĝi permesas elirantan trafikon al la Interreto, trafikon ene de la loka reto, sed samtempe blokas alvenantan trafikon de la Interreto.
Koncerne al la klingoj de APLIKAĴOJ & URL FILTRADO, defaŭlte ili estas agordita por bloki retejojn kun alta nivelo de danĝero, bloki interŝanĝajn aplikojn (Torento, Dosiera Stokado, ktp.). Vi ankaŭ povas aldone bloki kategoriojn de retejoj permane.
Ni kontrolu la opcion por uzanttrafiko "Limigi bendolarĝon konsumantajn aplikojn" kun la kapablo limigi la rapidecon de eliranta/envenanta trafiko por grupoj de aplikoj.
Poste, malfermu la subsekcion Politiko; defaŭlte, la reguloj estas generitaj aŭtomate laŭ la antaŭe priskribitaj agordoj.
La NAT-subsekcio defaŭlte funkcias en Global Hide Nat Automatic, t.e. ĉiuj internaj gastigantoj havos aliron al Interreto per la publika IP-adreso. Eblas mane agordi NAT-regulojn por publikigi viajn TTT-aplikaĵojn aŭ servojn.
Poste, la sekcio, kiu koncernas Uzantan Aŭtentigon en la reto, ofertas du eblojn: Aktivaj Dosierujoj (integriĝo kun via AD), Retumilo-Bazita-Aŭtentikigo (la uzanto enigas domajnajn akreditaĵojn en la portalo).
Indas mencii SSL-inspektadon aparte; la parto de totala HTTPS-trafiko sur la Tutmonda Reto aktive kreskas. Ni rigardu kiajn funkciojn proponas CheckPoint por SMB-solvoj.Por fari tion, iru al la sekcio SSL-Inspektado → Politiko:
En la agordoj vi povas inspekti HTTPS-trafikon; vi devos importi la atestilon kaj instali ĝin en la fidinda atestilcentro sur finuzantaj maŝinoj.
Ni konsideras, ke la BYPASS-reĝimo por antaŭfiksitaj kategorioj estas oportuna opcio; tio signife ŝparas tempon ebligante inspektadon.
Post agordo de la reguloj ĉe la Fajroŝirmilo / Aplika nivelo, vi devas agordi sekurecajn politikojn (Preventado de Minacoj), por fari tion, iru al la taŭga sekcio:
Sur la malfermita paĝo ni vidas ebligitajn klingojn, subskribajn kaj datumbazajn ĝisdatigajn statusojn. Ni ankaŭ petas elekti profilon por protekti la retan perimetron, kaj la respondaj agordoj montriĝas.
Aparta sekcio "IPS-Protektoj" permesas al vi agordi la agon por specifa sekureca subskribo.
Antaŭ nelonge ni skribis en nia blogo por Windows Server - SigRed. Ni kontrolu ĝian ĉeeston en Gaia Embedded 80.20 enmetante la demandon "CVE-2020-1350"
Rekordo estis detektita por ĉi tiu subskribo al kiu unu el la agoj povas esti aplikita. (defaŭlte Malhelpi por la danĝernivelo estas Kritika). Sekve, havante SMB-solvon, vi ne estos forlasita koncerne ĝisdatigojn kaj subtenon; ĉi tio estas kompleta NGFW-solvo por filioj de ĝis 200 homoj de CheckPoint.
Takso de rendimento
Finante la artikolon, mi ŝatus noti la haveblecon de iloj por solvi problemojn post la komenca inicialigo kaj agordo de la SMB-solvo. Vi povas iri al la sekcio "HEJMO" → "Iloj". Eblaj opcioj:
- monitorado de sistemaj rimedoj;
- vojtabelo;
- kontrolante la haveblecon de CheckPoint-nubaj servoj;
- CPinfo-generacio;
Enkonstruitaj retaj komandoj ankaŭ haveblas: Ping, Traceroute, Traffic Capture.
Tiel, hodiaŭ ni reviziis kaj studis la komencan konekton kaj agordon de la NGFW 1590, vi faros similajn agojn por la tuta 1500 SMB Checkpoint-serio. La disponeblaj opcioj montris al ni altan ŝanĝeblecon por agordoj, subtenon por modernaj metodoj por protekti trafikon sur la reto-perimetro.
Hodiaŭ, CheckPoint-solvoj por protekti malgrandajn oficejojn kaj filiojn (ĝis 200 homoj) havas ampleksan gamon da iloj kaj uzas la plej novajn teknologiojn (nuba administrado, SIM-karto subteno, memor-vastigo per SD-kartoj, ktp.). Daŭre restu informita kaj legu artikolojn de TS Solution, ni planas pliajn eldonojn de partoj pri NGFW CheckPoint de la SMB-familio, ĝis revido!
. Restu agordita (, , , , ).
fonto: www.habr.com