2. NGFW väikeettevõtetele. Lahtipakkimine ja seadistamine

Jätkame artiklite seeriat uue SMB CheckPointi mudelivalikuga töötamise kohta, tuletame teile seda meelde Esimene osa kirjeldasime uute mudelite omadusi ja võimalusi, juhtimis- ja haldusmeetodeid. Täna vaatame seeria vanema mudeli juurutamise stsenaariumi: CheckPoint 1590 NGFW. Siin on selle osa kokkuvõte:

1. Seadmete lahtipakkimine (komponentide kirjeldus, füüsilised ja võrguühendused).
2. Seadme esialgne lähtestamine.
3. Esialgne seadistus.
4. Tulemuslikkuse hindamine.

Lahtipakkimisseadmed

Seadmetega tutvumine algab varustuse karbist eemaldamise, komponentide lahtivõtmise ja osade paigaldamisega; klõpsake spoileril, kus protsessi lühidalt tutvustatakse

NGFW 1590 kohaletoimetamine

Lühidalt komponentidest:

• NGFW 1590;
• Toiteadapter;
• 2 WiFi antenni (2.4 Hz ja 5 Hz);
• 2 LTE antenni;
• Voldikud koos dokumentatsiooniga (esmaühenduse lühijuhend, litsentsileping jne)

Võrguportide ja liideste osas on kõik kaasaegsed võimalused liikluse edastamiseks ja suhtlemiseks, eraldi port DMZ-tsooni jaoks, USB 3.0 arvutiga sünkroonimiseks.

Versioon 1590 sai uuendatud disaini, kaasaegsed võimalused traadita side ja mälu laiendamiseks: 2 pesa Micro/Nano SIM-iga töötamiseks LTE-režiimis. (sellest võimalusest kavatseme üksikasjalikult kirjutada ühes järgmistest traadita ühendustele pühendatud artiklitest); SD-kaardi pesa.

1590 NGFW ja teiste uute mudelite võimaluste kohta saate lähemalt lugeda 1 osad artiklite sarjast CheckPointi SMB lahenduste kohta. Jätkame seadme esialgse initsialiseerimisega.

Esmane lähtestamine

Meie tavalised lugejad peaksid juba teadma, et 1500. seeria SMB liin kasutab uut 80.20 Embedded OS-i, mis sisaldab uuendatud liidest ja täiustatud võimalusi.

Seadme lähtestamise alustamiseks peate:

1. Andke lüüsile toide.
2. Ühendage arvuti võrgukaabel lüüsi LAN-1-ga.
3. Valikuliselt saate kohe anda seadmele Interneti-juurdepääsu, ühendades liidese WAN-pordiga.
4. Minge Gaia manustatud portaali: https://192.168.1.1:4434/

Kui järgisite eelnevalt kirjeldatud samme, peate pärast Gaia portaali lehele minekut kinnitama lehe avamist ebausaldusväärse sertifikaadiga, mille järel käivitub portaali seadete viisard:

Teid tervitab leht, mis näitab teie seadme mudelit, peate minema järgmisse jaotisesse:

Meil palutakse autoriseerimiseks konto luua, administraatorile on võimalik määrata kõrged paroolinõuded ning märgime ära riigi, kus lüüsi kasutame.

Järgmine aken puudutab kuupäeva ja kellaaja seadistusi, saate seda käsitsi määrata või kasutada ettevõtte NTP-serverit.

Järgmine samm hõlmab seadmele nime määramist ja ettevõtte domeeni määramist, et lüüsiteenused Internetis õigesti töötaksid.

Järgmine samm puudutab NGFW juhtimistüübi valikut, siin tuleb märkida:

1. Kohalik juhtimine. See on saadaval võimalus lüüsi kohalikuks haldamiseks Gaia portaali veebilehe kaudu.
2. Keskjuhtimine. Seda tüüpi haldus hõlmab sünkroonimist spetsiaalse CheckPointi haldusserveriga, sünkroonimist Smart1-Cloud pilvega või SMP-ga (SMB haldusteenus).

Selles artiklis keskendume kohaliku halduse meetodile, saate määrata vajaliku meetodi. Spetsiaalse haldusserveriga sünkroonimise protsessiga tutvumiseks soovitame link TS Solutioni poolt koostatud CheckPoint Getting Started koolitussarjast.

Järgmisena kuvatakse aken, mis määratleb lüüsi liideste töörežiimi:

• Lülitusrežiim tähendab alamvõrgu kättesaadavust ühest liidesest teise liidese alamvõrku.
• Režiim Disable Switch keelab vastavalt lülitusrežiimi; iga port suunab liiklust eraldi võrgufragmendina.

Samuti tehakse ettepanek määrata DHCP-aadresside kogum, mida kasutatakse lüüsi kohalike liidestega ühenduse loomisel.

Järgmine samm on lüüsi konfigureerimine töötama traadita režiimis; plaanime seda aspekti üksikasjalikumalt käsitleda ühes seeria artiklis, mistõttu lükkasime sätete seadistamise edasi. Saate luua uue traadita pääsupunkti, määrata sellega ühenduse loomiseks parooli ja määrata traadita kanali töörežiimi (2.4 Hz või 5 Hz).

Järgmine samm on konfigureerida ettevõtte administraatorite juurdepääs lüüsile. Vaikimisi on juurdepääsuõigused lubatud, kui ühendus pärineb:

1. Ettevõtte sisemine alamvõrk
2. Usaldusväärne traadita võrk
3. VPN tunnel

Interneti kaudu lüüsiga ühenduse loomise võimalus on vaikimisi keelatud, sellega kaasnevad suured riskid ja lisamine peab olema põhjendatud, vastasel juhul on soovitatav jätta see nagu meie näites. Samuti on võimalik määrata, millised IP-aadressid on lubatud lüüsiga ühenduse loomiseks.

Järgmine aken puudutab litsentside aktiveerimist, seadme esmasel initsialiseerimisel antakse teile 30-päevane prooviperiood. Saadaval on kaks aktiveerimismeetodit:

1. Interneti-ühenduse olemasolul aktiveeritakse litsents automaatselt.
2. Kui aktiveerite litsentsi võrguühenduseta, peate tegema järgmist: laadige litsents alla UserCenterist, registreerige oma seade spetsiaalsel portaal. Järgmiseks peate mõlemal juhul importima käsitsi allalaaditud litsentsi.

Lõpuks palub seadistusviisardi viimane aken teil valida sisse lülitatavad labad; pange tähele, et QOS-i tera lülitatakse sisse alles pärast esialgset lähtestamist. Peaksite ilmuma lõpetamisaken, mis võtab teie seaded kokku.

Esialgne seadistus

Kõigepealt soovitame kontrollida litsentside olekut, sellest sõltub edasine seadistamine. Minge vahekaardile "KODU" → "Litsents":

Kui litsentsid on aktiveeritud, soovitame viivitamatult värskendada uusimale püsivarale; selleks minge vahekaardile "SEADME" → "Süsteemitoimingud":

Süsteemivärskendused asuvad üksuses Püsivara uuendus. Meie puhul on installitud praegune ja uusim püsivara versioon.

Järgmisena teen ettepaneku rääkida lühidalt süsteemilabade võimalustest ja seadistustest. Loogiliselt saab need jagada juurdepääsu (tulemüür, rakenduste juhtimine, URL-i filtreerimine) ja ohtude ennetamise (IPS, viirusetõrje, robotitõrje, ohuemuleerimine) taseme poliitikateks.

Läheme vahekaardile Juurdepääsupoliitika → Blade Control:

Vaikimisi kasutatakse režiimi STANDARD, see võimaldab väljaminevat liiklust Internetti, liiklust kohaliku võrgu sees, kuid samal ajal blokeerib sissetuleva liikluse Internetist.

Mis puutub RAKENDUSTE & URL-I FILTERINGI teradesse, siis vaikimisi on need seatud kõrge ohutasemega saite blokeerima, vahetusrakendusi (Torrent, failisalvestus jne). Lisaks saate saidikategooriaid käsitsi blokeerida.

Kontrollime kasutajaliikluse valikut “Piira ribalaiust tarbivaid rakendusi” koos võimalusega piirata rakenduste rühmade väljamineva/sissetuleva liikluse kiirust.

Järgmisena ava Poliitika alajaotis, vaikimisi genereeritakse reeglid automaatselt vastavalt eelnevalt kirjeldatud seadistustele.

NAT-i alamjaotis töötab vaikimisi režiimis Global Hide Nat Automatic, st kõigil sisemistel hostidel on juurdepääs Internetile avaliku IP-aadressi kaudu. Veebirakenduste või -teenuste avaldamiseks on võimalik käsitsi seadistada NAT-reegleid.

Järgmisena pakub jaotis, mis käsitleb kasutaja autentimist võrgus, kahte võimalust: Active Directory päringud (integratsioon teie AD-ga), brauseripõhine autentimine (kasutaja sisestab portaali domeeni mandaadid).

Eraldi tasub mainida SSL-i kontrolli, kogu HTTPS-i liikluse osakaal globaalses võrgus kasvab aktiivselt. Vaatame, milliseid funktsioone CheckPoint SMB lahenduste jaoks pakub. Selleks minge jaotisse SSL-inspektsioon → Poliitika:

Seadetes saate kontrollida HTTPS-i liiklust; peate sertifikaadi importima ja installima lõppkasutajate masinate usaldusväärsesse sertifikaadikeskusesse.

Peame mugavaks valikuks etteantud kategooriate jaoks BYPASS-režiimi, mis säästab kontrolli lubamisel oluliselt aega.

Pärast reeglite konfigureerimist tulemüüri / rakenduse tasemel peaksite jätkama turvapoliitikate häälestamist (ohu ennetamine), selleks minge vastavasse jaotisesse:

Avatud lehel näeme lubatud labade, signatuuri ja andmebaasi värskenduse olekut. Samuti palutakse meil valida võrgu perimeetri kaitsmiseks profiil ja kuvatakse vastavad sätted.

Eraldi jaotis "IPS-kaitsed" võimaldab konfigureerida toimingu konkreetse turvaallkirja jaoks.

Mitte kaua aega tagasi kirjutasime oma blogis globaalse haavatavuse kohta eest Windows Server — SigRed. Kontrollime selle olemasolu Gaia Embedded 80.20-s, sisestades päringu "CVE-2020-1350"

Selle allkirja jaoks on tuvastatud kirje, millele saab rakendada ühte toimingutest. (vaikimisi on Prevent ohutaseme jaoks Kriitiline). Seega ei jää SMB lahenduse olemasolul uuenduste ja toe osas kõrvale, see on NGFW terviklahendus CheckPointi kuni 200 inimesega harukontoritele.

Tulemuslikkuse hindamine

Artiklit lõpetuseks tahaksin märkida probleemide tõrkeotsingu tööriistade kättesaadavust pärast SMB-lahenduse esialgset lähtestamist ja konfigureerimist. Võite minna jaotisse "KODU" → "Tööriistad". Võimalikud valikud:

• seiresüsteemi ressursid;
• marsruutimistabel;
• CheckPointi pilveteenuste saadavuse kontrollimine;
• CPinfo genereerimine;

Saadaval on ka sisseehitatud võrgukäsud: Ping, Traceroute, Traffic Capture.

Seega vaatasime täna üle ja uurisime NGFW 1590 esialgset ühendust ja konfiguratsiooni, teete sarnaseid toiminguid kogu 1500 SMB kontrollpunkti seeria jaoks. Saadaolevad valikud näitasid meile suurt varieeruvust seadete osas, toetasid kaasaegseid meetodeid liikluse kaitsmiseks võrgu perimeetril.

Tänapäeval on väikeste kontorite ja filiaalide (kuni 200 inimest) kaitsmiseks mõeldud CheckPointi lahendused laia valikut tööriistu ja uusimaid tehnoloogiaid (pilvehaldus, SIM-kaardi tugi, mälu laiendamine SD-kaartide abil jne). Olge jätkuvalt kursis ja lugege TS Solutioni artikleid, plaanime SMB perekonna NGFW CheckPoint'i osade täiendavaid väljalaseid, kohtumiseni!

Suur valik materjale Check Pointis TS Solutionilt. Jääge lainel (Telegramm, Facebook, VK, TS lahenduste ajaveeb, Yandex Zen).

Allikas: www.habr.com