SMB CheckPoint modelo sorta berriarekin lan egiteari buruzko artikulu sorta jarraitzen dugu, gogorarazten dizugu eredu, kudeaketa eta administrazio metodo berrien ezaugarriak eta gaitasunak deskribatu ditugu. Gaur serieko modelo zaharragoaren inplementazio eszenatokia ikusiko dugu: CheckPoint 1590 NGFW. Hona hemen zati honen laburpena:
- Despaketatzea ekipoak (osagaien deskribapena, konexio fisikoak eta sareko konexioak).
- Gailuaren hasierako hasiera.
- Hasierako konfigurazioa.
- Errendimenduaren ebaluazioa.
Ekipamendua desegitea
Ekipamendua ezagutzea ekipamendua kutxatik kendu, osagaiak desmuntatu eta piezak instalatzen hasten da; egin klik spoiler gainean, non prozesua laburki aurkezten den.
NGFW 1590 entrega
Osagaiei buruz laburki:
- NGFW 1590;
- Korronte egokitzailea;
- 2 Wifi Antena (2.4 Hz eta 5 Hz);
- 2 LTE antena;
- Dokumentazioa duten liburuxkak (hasierako konexiorako gida laburra, lizentzia-kontratua, etab.)
Sareko portuei eta interfazeei dagokienez, trafikoaren transmisiorako eta interakziorako gaitasun moderno guztiak daude, DMZ gunerako ataka bereizia, PC batekin sinkronizatzeko USB 3.0.
1590 bertsioak diseinu eguneratua jaso zuen, haririk gabeko komunikaziorako eta memoria hedatzeko aukera modernoak: 2 zirrikitu LTE moduan Mikro/Nano SIMarekin lan egiteko. (aukera honi buruz zehatz-mehatz idazteko asmoa dugu hari gabeko konexioei eskainitako serieko hurrengo artikuluetako batean); SD txartelaren zirrikitua.
1590 NGFW-ren eta beste modelo berri batzuen gaitasunei buruz gehiago irakur dezakezu hemen CheckPoint SMB soluzioei buruzko artikulu sorta batetik. Gailuaren hasierako hasierarekin jarraituko dugu.
Hasierako hasierakoa
Gure ohiko irakurleek dagoeneko jakin beharko lukete 1500 Series SMB lineak 80.20 Embedded OS berria erabiltzen duela, interfaze eguneratua eta gaitasun hobeak dituena.
Gailua hasieratzen hasteko:
- Eman energia atebideari.
- Konektatu sareko kablea ordenagailutik atebideko LAN -1era.
- Aukeran, berehala eman diezaiokezu gailuari Interneterako sarbidea, interfazea WAN atakara konektatuz.
- Joan Gaia Embedded atarira:
Aurretik adierazitako pausoak jarraitu badituzu, Gaia atariaren orrira joan ondoren, orria irekitzea baieztatu beharko duzu fidagarria ez den ziurtagiri batekin, eta ondoren atariaren ezarpenen morroia abiaraziko da:
Zure gailuaren modeloa adierazten duen orrialde batek hartuko zaitu harrera, hurrengo atalera joan behar duzu:
Baimendurako kontu bat sortzea eskatuko zaigu, administratzailearentzat pasahitz-eskakizun handiak zehaztea posible da eta atebidea zein herrialdetan erabiliko dugun adierazten dugu.
Hurrengo leihoa data eta orduaren ezarpenei buruzkoa da; eskuz ezar dezakezu edo konpainiaren NTP zerbitzaria erabil dezakezu.
Hurrengo urratsa gailuari izena ezartzea eta enpresaren domeinua zehaztea da, atebide-zerbitzuek Interneten behar bezala funtziona dezaten.
Hurrengo urratsa NGFW kontrol mota aukeratzeari buruzkoa da, hemen kontuan izan behar da:
- Tokiko Zuzendaritza. Gaia Portaleko web orria erabiliz atea lokalean kudeatzeko aukera erabilgarri bat da.
- Zuzendaritza Zentrala. Kudeaketa mota honek CheckPoint Management zerbitzari dedikatu batekin sinkronizatzea, Smart1-Cloud hodeiarekin sinkronizatzea edo SMPrekin (SMBrako kudeaketa zerbitzua) barne hartzen ditu.
Artikulu honetan, Tokiko Kudeaketa metodoan zentratuko gara; beharrezkoa den metodoa zehaztu dezakezu. Kudeaketa zerbitzari dedikatu batekin sinkronizatzeko prozesua ezagutzeko, gomendatzen dizugu TS Solution-k prestatutako CheckPoint Getting Started prestakuntza serietik.
Ondoren, leiho bat aurkeztuko da atebideko interfazeen funtzionamendu-modua definitzen duena:
- Aldaketa moduak azpisare bat interfaze batetik beste interfaze bateko azpisarerako erabilgarritasuna dakar.
- Desgaitu Switch moduak, beraz, Switch modua desgaitzen du; ataka bakoitzak trafikoa bideratzen du sare zati bereizi baten moduan.
Era berean, atebidearen tokiko interfazeetara konektatzean erabiliko den DHCP helbide multzo bat zehaztea proposatzen da.
Hurrengo urratsa atebidea haririk gabeko moduan lan egiteko konfiguratzea da; alderdi hau zehatzago eztabaidatzeko asmoa dugu serieko artikulu batean, beraz, ezarpenen konfigurazioa atzeratu dugu. Hari gabeko sarbide-puntu berri bat sor dezakezu, hari konektatzeko pasahitza ezarri eta hari gabeko kanalaren funtzionamendu-modua zehaztu (2.4 Hz edo 5 Hz).
Hurrengo urratsa enpresako administratzaileentzako atebiderako sarbidea konfiguratzea izango da. Lehenespenez, sarbide-eskubideak onartzen dira konexioa honetatik badator:
- Enpresaren barneko azpisarea
- Haririk gabeko sare fidagarria
- VPN tunela
Internet bidez atebidera konektatzeko aukera lehenespenez desgaituta dago, honek arrisku handiak dakartza eta justifikatu egin behar da sartzea, bestela gure adibidean bezala uztea gomendatzen da.Era berean, zein IP helbide onartuko diren zehaztu daiteke. atebidera konektatzeko.
Hurrengo leihoa lizentzien aktibazioari buruzkoa da; gailua hasierako hasiera batean, 30 eguneko proba-epea aurkeztuko zaizu. Bi aktibazio metodo daude eskuragarri:
- Interneteko konexioa badago, lizentzia automatikoki aktibatzen da.
- Lineaz kanpo lizentzia bat aktibatzen baduzu, honako hau egin behar duzu: deskargatu lizentzia UserCenter-etik, erregistratu zure gailua . Ondoren, bi kasuetarako, eskuz deskargatutako lizentzia inportatu beharko duzu.
Azkenik, ezarpenen morroiaren azken leihoak aktibatu beharreko bladeak hautatzeko eskatzen dizu; kontuan izan QOS blade hasierako hasieraren ondoren bakarrik pizten dela. Zure ezarpenak laburbiltzen dituen osatze-leiho batekin amaitu beharko zenuke.
Hasierako konfigurazioa
Lehenik eta behin, lizentzien egoera egiaztatzea gomendatzen dugu; horren araberakoa izango da konfigurazio gehiago. Joan βHASIERAβ β βLizentziaβ fitxara:
Lizentzia aktibatuta badago, unean uneko azken firmwarera berehala eguneratzea gomendatzen dugu; horretarako, joan βGAILUAβ β βSistemaren eragiketakβ fitxara:
Sistemaren eguneraketak Firmwarearen eguneratzea elementuan daude. Gure kasuan, uneko eta azken firmware bertsioa instalatuta dago.
Jarraian, sistema bladen gaitasun eta ezarpenei buruz laburki hitz egitea proposatzen dut. Logikoki, Sarbide (Suebakia, Aplikazioen Kontrola, URL Iragazkia) eta Mehatxuen Prebentzioa (IPS, Antibirusa, Anti-Bot, Mehatxuen Emulazioa) mailako politiketan banatu daitezke.
Goazen Sarbide-politika β Blade Kontrol fitxara:
Lehenespenez, STANDARD modua erabiltzen da, Interneterako irteerako trafikoa ahalbidetzen du, sare lokaleko trafikoa, baina aldi berean Internetetik sarrerako trafikoa blokeatzen du.
APLIKAZIOEN ETA URL IRAGAZKETA labei dagokienez, lehenespenez, arrisku maila handia duten guneak blokeatzeko, trukatzeko aplikazioak blokeatzeko (Torrent, Fitxategien Biltegiratzea, etab.). Gainera, guneen kategoriak eskuz blokeatu ditzakezu.
Egiaztatu dezagun erabiltzailearen trafikoaren aukera "Mugatu banda-zabalera kontsumitzen duten aplikazioak" aplikazio taldeen irteerako/sarrerako trafikoaren abiadura mugatzeko gaitasunarekin.
Ondoren, ireki Politika azpiatala; lehenespenez, arauak automatikoki sortzen dira aurrez deskribatutako ezarpenen arabera.
NAT azpiatalak lehenespenez Global Hide Nat Automatic-en funtzionatzen du, hau da, barne-ostalari guztiek Interneterako sarbidea izango dute IP helbide publikoaren bidez. NAT arauak eskuz ezar daitezke zure web aplikazioak edo zerbitzuak argitaratzeko.
Ondoren, sareko Erabiltzaileen Autentifikazioari buruzko atalak bi aukera eskaintzen ditu: Active Directory Queries (zure AD-rekin integratzea), Arakatzailean oinarritutako autentifikazioa (erabiltzaileak domeinu-kredentzialak sartzen ditu atarian).
SSL ikuskapena bereizita aipatzea merezi du; Sare Globaleko HTTPS trafiko osoaren kuota aktiboki hazten ari da. Ikus dezagun zer eginbide eskaintzen dituen CheckPoint-ek SMB soluzioetarako. Horretarako, joan SSL-Inspection β Policy atalera:
Ezarpenetan HTTPS trafikoa ikus dezakezu; ziurtagiria inportatu eta azken erabiltzailearen makinetako ziurtagiri-zentro fidagarrian instalatu beharko duzu.
Aurrez definitutako kategorietarako BYPASS modua aukera erosotzat jotzen dugu; honek denbora nabarmen aurrezten du ikuskapena gaitzean.
Firewall / Aplikazio mailan arauak konfiguratu ondoren, segurtasun politikak sintonizatzen jarraitu beharko zenuke (Mehatxuen Prebentzioa), horretarako, joan dagokion atalera:
Irekitako orrialdean gaitutako bladeak, sinadurak eta datu-basearen eguneratze egoerak ikusten ditugu. Sarearen perimetroa babesteko profil bat hautatzeko ere eskatzen zaigu, eta dagozkion ezarpenak bistaratzen dira.
"IPS Babesak" atal bereizi batek segurtasun-sinadura zehatz baterako ekintza konfiguratzeko aukera ematen du.
Duela ez asko gure blogean idatzi genuen Windows Server-erako - SigRed. Egiazta dezagun Gaia Embedded 80.20n duen presentzia "CVE-2020-1350" kontsulta sartuta.
Sinadura honetarako erregistro bat detektatu da, ekintzetako bat aplikatu ahal izateko. (lehenespenez Prebentzioa arrisku mailarako Kritikoa da). Horrenbestez, SMB irtenbide bat edukita, ez zaituzte kanpoan geratuko eguneratzeei eta laguntzari dagokionez; NGFW irtenbide osoa da CheckPoint-en 200 lagun arteko bulegoetarako.
Errendimenduaren ebaluazioa
Artikulua amaitzean, SMB soluzioaren hasierako hasierako eta konfigurazioaren ondoren arazoak konpontzeko tresnen erabilgarritasuna adierazi nahi nuke. βHASIERAβ β βTresnakβ atalera joan zaitezke. Aukera posibleak:
- sistemaren baliabideak kontrolatzea;
- bideratze-taula;
- CheckPoint hodeiko zerbitzuen erabilgarritasuna egiaztatzea;
- CPinfo belaunaldia;
Sareko komandoak ere eskuragarri daude: Ping, Traceroute, Traffic Capture.
Horrela, gaur NGFW 1590-ren hasierako konexioa eta konfigurazioa berrikusi eta aztertu ditugu, antzeko ekintzak egingo dituzu 1500 SMB Checkpoint serie osorako. Eskuragarri dauden aukerek ezarpenen aldakortasun handia erakutsi ziguten, sareko perimetroko trafikoa babesteko metodo modernoen laguntza.
Gaur egun, bulego eta sukurtsal txikiak (200 lagun artekoak) babesteko CheckPoint soluzioek tresna ugari dituzte eta azken teknologiak erabiltzen dituzte (hodei kudeaketa, SIM txartelaren laguntza, memoria hedatzea SD txartelak erabiliz, etab.). Jarraitu informatuta egon eta TS Solution-ko artikuluak irakurtzen, SMB familiako NGFW CheckPoint-i buruzko atalen bertsio gehiago planifikatzen ari gara, arte!
. Egon adi (, , , , ).
Iturria: www.habr.com