ProHoster > Блог > Administrado > kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero
Saluton, karaj legantoj de habr! Ĉi tio estas la kompania blogo de la kompanio TS Solvo. Ni estas sistema integristo kaj ĉefe specialiĝas pri IT-infrastrukturaj sekurecaj solvoj (Kontroli Punkton, Fortinet) kaj maŝinaj datumaj analizsistemoj (Splunk). Ni komencos nian blogon kun mallonga enkonduko al Check Point-teknologioj.

Ni longe pensis ĉu skribi ĉi tiun artikolon, ĉar. estas nenio nova en ĝi, kio ne troveblas en Interreto. Tamen, malgraŭ tia abundo da informoj, kiam ni laboras kun klientoj kaj partneroj, ni ofte aŭdas la samajn demandojn. Tial oni decidis skribi ian enkondukon al la mondo de Check Point-teknologioj kaj malkaŝi la esencon de la arkitekturo de iliaj solvoj. Kaj ĉio ĉi kadre de unu "malgranda" afiŝo, por tiel diri, rapida deturniĝo. Kaj ni provos ne eniri merkatajn militojn, ĉar. ni ne estas vendisto, sed nur sistema integristo (kvankam ni tre amas Check Point) kaj simple trarigardu la ĉefajn punktojn sen kompari ilin kun aliaj fabrikantoj (kiel Palo Alto, Cisco, Fortinet, ktp.). La artikolo montriĝis sufiĉe ampleksa, sed ĝi fortranĉas la plej multajn demandojn en la stadio de konatiĝo kun Check Point. Se vi interesiĝas, do bonvenon sub la kato...

UTM/NGFW

Komencante konversacion pri Check Point, la unua afero por komenci estas klarigo pri kio estas UTM, NGFW kaj kiel ili diferencas. Ni faros tion tre koncize, por ke la afiŝo ne montriĝu tro granda (eble estonte ni konsideros ĉi tiun aferon iom pli detale)

UTM - Unuigita Minaco-Administrado

Resume, la esenco de UTM estas la solidigo de pluraj sekurecaj iloj en unu solvo. Tiuj. ĉio en unu skatolo aŭ iuj ĉio inkluzive. Kion signifas "multoblaj rimedoj"? La plej ofta opcio estas: Fajroŝirmilo, IPS, Proxy (URL-filtrado), Streaming Antivirus, Anti-Spam, VPN ktp. Ĉio ĉi estas kombinita ene de unu UTM-solvo, kiu estas pli facila laŭ integriĝo, agordo, administrado kaj monitorado, kaj ĉi tio, siavice, havas pozitivan efikon sur la ĝenerala sekureco de la reto. Kiam unue aperis UTM-solvoj, ili estis konsiderataj ekskluzive por malgrandaj kompanioj, ĉar. UTM-oj ne povis pritrakti grandajn volumojn de trafiko. Ĉi tio estis pro du kialoj:

  1. Manipulado de pakoj. La unuaj versioj de UTM-solvoj prilaboris pakaĵetojn sinsekve, per ĉiu "modulo". Ekzemplo: unue la pakaĵo estas prilaborita de la fajroŝirmilo, poste de IPS, poste ĝi estas kontrolita de Anti-Virus kaj tiel plu. Nature, tia mekanismo enkondukis gravajn trafikajn malfruojn kaj forte konsumis sistemajn rimedojn (procesoro, memoro).
  2. Malforta aparataro. Kiel menciite supre, sinsekva pakatraktado manĝis resursojn kaj la aparataro de tiuj tempoj (1995-2005) simple ne povis elteni altan trafikon.

Sed progreso ne haltas. Ekde tiam, la aparataro-kapacitoj signife pliiĝis, kaj paka traktado ŝanĝiĝis (oni devas konfesi, ke ne ĉiuj vendistoj havas ĝin) kaj komencis permesi preskaŭ samtempan analizon en pluraj moduloj samtempe (ME, IPS, AntiVirus, ktp.). Modernaj UTM-solvoj povas "digesti" dekojn kaj eĉ centojn da gigabitoj en profunda analiza reĝimo, kio ebligas uzi ilin en la segmento de grandaj entreprenoj aŭ eĉ datumcentroj.

Malsupre estas la fama Magia Kvadranto de Gartner por UTM-solvoj por aŭgusto 2016:

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

Mi ne komentos forte ĉi tiun bildon, mi nur diros, ke estas gvidantoj en la supra dekstra angulo.

NGFW - Venonta Generacia Fajromuro

La nomo parolas por si mem - venontgeneracia fajroŝirmilo. Ĉi tiu koncepto aperis multe pli malfrue ol UTM. La ĉefa ideo de NGFW estas profunda paka inspektado (DPI) uzante enkonstruitan IPS kaj alirkontrolon ĉe la aplika nivelo (Aplika Kontrolo). En ĉi tiu kazo, IPS estas ĝuste tio, kio necesas por identigi ĉi tiun aŭ alian aplikaĵon en la paka fluo, kio permesas vin permesi aŭ nei ĝin. Ekzemplo: Ni povas permesi al Skype funkcii sed malhelpi dosiertranslokigojn. Ni povas malpermesi la uzon de Torento aŭ RDP. Retaj aplikaĵoj ankaŭ estas subtenataj: Vi povas permesi aliron al VK.com, sed malhelpi ludojn, mesaĝojn aŭ spekti videojn. Esence, la kvalito de NGFW dependas de la nombro da aplikoj kiujn ĝi povas difini. Multaj kredas ke la apero de la koncepto de NGFW estis ofta merkatiga ruzo kontraŭ kiu Palo Alto komencis sian rapidan kreskon.

Majo 2016 Gartner Magic Quadrant por NGFW:

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

UTM kontraŭ NGFW

Tre ofta demando, kio estas pli bona? Ne estas ununura respondo ĉi tie kaj ne povas esti. Precipe se vi konsideras la fakton, ke preskaŭ ĉiuj modernaj UTM-solvoj enhavas NGFW-funkciojn kaj la plej multaj NGFW-oj enhavas funkciojn proprajn al UTM (Antivirus, VPN, Anti-Bot, ktp.). Kiel ĉiam, "la diablo estas en la detaloj", do unue vi devas decidi, kion vi bezonas specife, decidi pri la buĝeto. Surbaze de ĉi tiuj decidoj, pluraj opcioj povas esti elektitaj. Kaj ĉio devas esti senambigue provita, ne kredante merkatajn materialojn.

Ni, siavice, en la kadro de pluraj artikoloj, provos rakonti al vi pri Check Point, kiel vi povas provi ĝin kaj kion, principe, vi povas provi (preskaŭ la tutan funkcion).

Tri Kontrolpunktaj Entoj

Laborante kun Check Point, vi certe trovos tri komponantojn de ĉi tiu produkto:

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

  1. Sekureca Enirejo (SG) - la sekureca enirejo mem, kiu kutime estas metita sur la retan perimetron kaj plenumas la funkciojn de fajroŝirmilo, fluanta antiviruso, anti-bot, IPS, ktp.
  2. Servilo pri Administrado de Sekureco (SMS) - pordeja administra servilo. Preskaŭ ĉiuj agordoj sur la enirejo (SG) estas faritaj per ĉi tiu servilo. SMS ankaŭ povas funkcii kiel Registroservilo kaj prilabori ilin per la enkonstruita okazaĵanalizo kaj korelacia sistemo - Smart Event (simila al SIEM por Check Point), sed pli pri tio poste. SMS estas uzata por centre administri plurajn enirejojn (la nombro da enirejoj dependas de la SMS-modelo aŭ permesilo), sed vi devas uzi ĝin eĉ se vi havas nur unu enirejon. Oni devas rimarki ĉi tie, ke Check Point estis unu el la unuaj, kiuj uzis tian centralizitan administradsistemon, kiu estis rekonita kiel la "ora normo" laŭ raportoj de Gartner dum multaj jaroj sinsekve. Estas eĉ ŝerco: "Se Cisco havus normalan kontrolsistemon, tiam Check Point neniam aperus."
  3. Inteligenta Konzolo — klienta konzolo por konektiĝi al la administra servilo (SMS). Kutime instalita sur la komputilo de la administranto. Per ĉi tiu konzolo, ĉiuj ŝanĝoj estas faritaj sur la administra servilo, kaj post tio vi povas apliki la agordojn al la sekurecaj enirejoj (Instala Politiko).

    kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

Check Point operaciumo

Parolante pri la operaciumo Check Point, tri povas esti memoritaj samtempe: IPSO, SPLAT kaj GAIA.

  1. IPSO estas la operaciumo de Ipsilon Networks, kiu estis posedata fare de Nokia. En 2009, Check Point aĉetis tiun komercon. Ne plu evoluinta.
  2. SPLAT - propra evoluo de Check Point, bazita sur la RedHat-kerno. Ne plu evoluinta.
  3. Gaia - la nuna operaciumo de Check Point, kiu aperis kiel rezulto de la kunfandiĝo de IPSO kaj SPLAT, enkorpigante ĉion plej bonan. Aperis en 2012 kaj daŭre disvolviĝas aktive.

Parolante pri Gaia, oni devas diri, ke nuntempe la plej ofta versio estas R77.30. Relative lastatempe aperis la versio R80, kiu signife diferencas de la antaŭa (kaj laŭ funkcieco kaj kontrolo). Ni dediĉos apartan afiŝon al la temo de iliaj diferencoj. Alia grava punkto estas, ke nuntempe nur versio R77.10 havas la FSTEC-atestilon kaj versio R77.30 estas atestita.

Opcioj (Check Point Appliance, Virtuala maŝino, OpenServer)

Estas nenio surpriza ĉi tie, ĉar multaj vendistoj de Check Point havas plurajn produktajn elektojn:

  1. Appliance - aparataro kaj programaro, t.e. propra "ferpeco". Estas multaj modeloj, kiuj diferencas en rendimento, funkcieco kaj dezajno (estas ebloj por industriaj retoj).

    kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

  2. Virtuala Maŝino - Check Point virtuala maŝino kun Gaia OS. Hypervisors ESXi, Hyper-V, KVM estas subtenataj. Licencite laŭ la nombro da procesoraj kernoj.
  3. malferma servilo - Instalado de Gaia rekte sur la servilo kiel la ĉefa operaciumo (la tiel nomata "Nuda metalo"). Nur certa aparataro estas subtenata. Estas rekomendoj por ĉi tiu aparataro, kiuj devas esti sekvitaj, alie povas esti problemoj kun ŝoforoj kaj tiuj. subteno povas rifuzi servon al vi.

Efektivigaj opcioj (Distribuitaj aŭ Sendependaj)

Iom pli alte, ni jam diskutis, kio estas enirejo (SG) kaj administra servilo (SMS). Nun ni diskutu eblojn por ilia efektivigo. Estas du ĉefaj manieroj:

  1. Sendependa (SG+SMS) - opcio kiam kaj la enirejo kaj la administra servilo estas instalitaj ene de la sama aparato (aŭ virtuala maŝino).

    kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

    Ĉi tiu opcio taŭgas kiam vi havas nur unu enirejon, kiu estas malpeze ŝarĝita kun uzanttrafiko. Ĉi tiu opcio estas la plej ekonomia, ĉar. ne necesas aĉeti administradan servilon (SMS). Tamen, se la enirejo estas tre ŝarĝita, vi povas fini kun malrapida kontrolsistemo. Sekve, antaŭ ol elekti Memstanan solvon, plej bone estas konsulti aŭ eĉ testi ĉi tiun opcion.

  2. distribuita — la administra servilo estas instalita aparte de la enirejo.

    kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

    La plej bona elekto laŭ komforto kaj rendimento. Ĝi estas uzata kiam necesas administri plurajn enirejojn samtempe, ekzemple centrajn kaj branĉojn. En ĉi tiu kazo, vi devas aĉeti administradan servilon (SMS), kiu ankaŭ povas esti en formo de aparato (peco de fero) aŭ virtuala maŝino.

Kiel mi diris ĵus supre, Check Point havas sian propran SIEM-sistemon - Smart Event. Vi povas uzi ĝin nur en kazo de Distribuita instalado.

Funkciaj reĝimoj (Bridge, Routed)
La Sekureca Enirejo (SG) povas funkcii en du bazaj reĝimoj:

  • venkita - la plej ofta opcio. En ĉi tiu kazo, la enirejo estas uzata kiel L3-aparato kaj direktas trafikon tra si, t.e. Check Point estas la defaŭlta enirejo por la protektita reto.
  • ponto - travidebla reĝimo. En ĉi tiu kazo, la enirejo estas instalita kiel normala "ponto" kaj pasas trafikon tra ĝi ĉe la dua tavolo (OSI). Ĉi tiu opcio estas kutime uzata kiam ne ekzistas ebleco (aŭ deziro) ŝanĝi la ekzistantan infrastrukturon. Vi praktike ne devas ŝanĝi la retan topologion kaj ne devas pensi pri ŝanĝi IP-adresadon.

Mi ŝatus noti, ke ekzistas iuj funkciaj limigoj en la Bridge-reĝimo, tial, kiel integristo, ni konsilas ĉiujn niajn klientojn uzi la Routed-reĝimon, kompreneble, se eble.

Programaraj Klingoj (Check Point Software Blades)

Ni preskaŭ atingis la plej gravan Check Point-temon, kiu levas la plej multajn demandojn de klientoj. Kio estas ĉi tiuj "programaraj klingoj"? Klingoj rilatas al certaj Check Point-funkcioj.

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

Ĉi tiuj funkcioj povas esti ŝaltitaj aŭ malŝaltitaj laŭ viaj bezonoj. Samtempe ekzistas klingoj, kiuj estas aktivigitaj ekskluzive sur la enirejo (Reto-Sekureco) kaj nur sur la administrada servilo (Administrado). La malsupraj bildoj montras ekzemplojn por ambaŭ kazoj:

1) Por Reta Sekureco (pordeja funkcio)

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

Ni priskribu mallonge, ĉar ĉiu klingo meritas apartan artikolon.

  • Firewall - fajroŝirmilo funkcieco;
  • IPSec VPN - konstrui privatajn virtualajn retojn;
  • Mobile Access - fora aliro de porteblaj aparatoj;
  • IPS - sistemo de prevento de entrudiĝoj;
  • Anti-Bot - protekto kontraŭ botnet-retoj;
  • AntiVirus - fluanta kontraŭviruso;
  • AntiSpam & Email Security - protekto de kompania poŝto;
  • Identity Awareness - integriĝo kun la servo Active Directory;
  • Monitorado - monitorado de preskaŭ ĉiuj enirejo-parametroj (ŝarĝo, bendolarĝo, VPN-stato, ktp.)
  • Application Control - apliknivela fajroŝirmilo (NGFW-funkcio);
  • URL-Filtrado - Reta sekureco (+prokura funkcio);
  • Datumperdo-Preventado - protekto de informa elfluo (DLP);
  • Threat Emulation - sandbox-teknologio (SandBox);
  • Threat Extraction - teknologio de purigado de dosieroj;
  • QoS - prioritato de trafiko.

En nur kelkaj artikoloj, ni rigardos pli detale la klingojn de Emulado de Minaco kaj Eltiro de Minaco, mi certas, ke ĝi estos interesa.

2) Por Administrado (administra servila funkcio)

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

  • Network Policy Management - centralizita politika administrado;
  • Endpoint Policy Management - centralizita administrado de Check Point-agentoj (jes, Check Point produktas solvojn ne nur por reta protekto, sed ankaŭ por protekti laborstaciojn (komputiloj) kaj saĝtelefonojn);
  • Logging & Status - centralizita kolekto kaj prilaborado de ŝtipoj;
  • Management Portal - sekureca administrado de la retumilo;
  • Workflow - kontrolo de politikaj ŝanĝoj, revizio de ŝanĝoj ktp.;
  • Uzanta Adresaro - integriĝo kun LDAP;
  • Provisioning - aŭtomatigo de enirejo-administrado;
  • Smart Reporter - raporta sistemo;
  • Smart Event - analizo kaj korelacio de eventoj (SIEM);
  • Konformeco - aŭtomata kontrolo de agordoj kaj emisio de rekomendoj.

Ni nun ne konsideros licencajn aferojn detale, por ne ŝveligi la artikolon kaj konfuzi la leganton. Plej verŝajne ni elprenos ĝin en aparta afiŝo.

La klinga arkitekturo permesas vin uzi nur la funkciojn, kiujn vi vere bezonas, kio influas la buĝeton de la solvo kaj la ĝeneralan rendimenton de la aparato. Estas logike, ke ju pli da klingoj vi aktivigas, des malpli da trafiko povas esti "forpelita". Tial la sekva agado-tabelo estas alfiksita al ĉiu Check Point-modelo (ekzemple, ni prenis la karakterizaĵojn de la modelo 5400):

kontrolpunkto. Kio ĝi estas, per kio ĝi estas manĝata aŭ mallonge pri la ĉefa afero

Kiel vi povas vidi, ĉi tie estas du kategorioj da testoj: pri sinteza trafiko kaj pri reala - miksita. Ĝenerale, Check Point estas simple devigita eldoni sintezajn testojn, ĉar. iuj vendistoj uzas tiajn testojn kiel komparnormojn sen ekzameni la agadon de siaj solvoj pri reala trafiko (aŭ intence kaŝas tiajn datumojn pro ilia malkontentigo).

En ĉiu tipo de provo, vi povas rimarki plurajn eblojn:

  1. provu nur por Fajromuro;
  2. Fajromuro + IPS-testo;
  3. Fajromuro+IPS+NGFW (Aplika kontrolo) testo;
  4. Fajromuro+Aplika Kontrolo+URL-Filtrado+IPS+Antivirus+Anti-Bot+SandBlast-testo (sablokesto)

Zorge rigardu ĉi tiujn parametrojn elektante vian solvon, aŭ kontaktu por konsulto.

Mi pensas, ke ĉi tio estas la fino de la enkonduka artikolo pri Check Point-teknologioj. Poste, ni rigardos kiel vi povas testi Check Point kaj kiel trakti modernajn informajn sekurecajn minacojn (virusoj, phishing, ransomware, nul-tago).

PS Grava punkto. Malgraŭ la eksterlanda (israela) origino, la solvo estas atestita en la Rusa Federacio de kontrolaj aŭtoritatoj, kiu aŭtomate leĝigas ilian ĉeeston en ŝtataj institucioj (komento de Denyemall).

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Kiajn UTM/NGFW-ilojn vi uzas?

  • Kontroli Punkton

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • gardisto

  • Juniper

  • UserGate

  • trafika inspektoro

  • Rubikono

  • Ideco

  • malfermkoda solvo

  • Aliaj

134 uzantoj voĉdonis. 78 uzantoj sindetenis.

fonto: www.habr.com

Aldoni komenton