2. NGFW برای مشاغل کوچک. جعبه گشایی و راه اندازی

ما مجموعه مقالات کار با محدوده مدل جدید SMB CheckPoint را ادامه می دهیم، به شما یادآوری می کنیم که در بخش اول ویژگی‌ها و قابلیت‌های مدل‌های جدید، روش‌های مدیریت و مدیریت را شرح دادیم. امروز ما به سناریوی استقرار مدل قدیمی این سری نگاه خواهیم کرد: CheckPoint 1590 NGFW. در اینجا خلاصه ای از این بخش آورده شده است:

1. باز کردن تجهیزات (توضیحات اجزاء، اتصالات فیزیکی و شبکه).
2. مقداردهی اولیه دستگاه
3. راه اندازی اولیه
4. ارزیابی عملکرد.

باز کردن تجهیزات

آشنایی با تجهیزات با برداشتن تجهیزات از جعبه، جداسازی قطعات و نصب قطعات آغاز می شود؛ روی اسپویلر کلیک کنید، جایی که روند به طور خلاصه ارائه می شود.

تحویل NGFW 1590

مختصری در مورد اجزاء:

• NGFW 1590;
• آداپتور برق؛
• 2 آنتن Wifi (2.4 هرتز و 5 هرتز)؛
• 2 آنتن LTE؛
• دفترچه هایی با مستندات (راهنمای کوتاهی برای اتصال اولیه، موافقت نامه مجوز و غیره)

در مورد پورت ها و رابط های شبکه، تمام قابلیت های مدرن برای انتقال ترافیک و تعامل، یک پورت جداگانه برای منطقه DMZ، USB 3.0 برای همگام سازی با رایانه شخصی وجود دارد.

نسخه 1590 طراحی به روز شده، گزینه های مدرن برای ارتباطات بی سیم و گسترش حافظه دریافت کرد: 2 اسلات برای کار با سیم کارت میکرو/نانو در حالت LTE. (ما قصد داریم در یکی از مقالات بعدی خود در سری اختصاص داده شده به اتصالات بی سیم در مورد این گزینه به تفصیل بنویسیم). اسلات کارت SD.

می توانید در مورد قابلیت های 1590 NGFW و سایر مدل های جدید بیشتر بخوانید قطعات 1 از مجموعه مقالاتی در مورد راهکارهای CheckPoint SMB. ما به شروع اولیه دستگاه ادامه خواهیم داد.

مقداردهی اولیه

خوانندگان معمولی ما از قبل باید بدانند که خط SMB سری 1500 از سیستم عامل جدید 80.20 Embedded استفاده می کند که شامل یک رابط به روز شده و قابلیت های بهبود یافته است.

برای شروع اولیه سازی دستگاه باید:

1. برق درگاه را تامین کنید.
2. کابل شبکه را از رایانه شخصی خود به LAN -1 در دروازه وصل کنید.
3. به صورت اختیاری، می توانید بلافاصله با اتصال رابط به پورت WAN، دسترسی به اینترنت را برای دستگاه فراهم کنید.
4. به پورتال Gaia Embedded بروید: https://192.168.1.1:4434/

اگر مراحل ذکر شده قبلی را دنبال کردید، پس از رفتن به صفحه پورتال Gaia، باید باز کردن صفحه را با یک گواهی نامعتبر تأیید کنید، پس از آن جادوگر تنظیمات پورتال راه اندازی می شود:

با صفحه ای روبرو می شوید که مدل دستگاه شما را نشان می دهد، باید به بخش بعدی بروید:

از ما خواسته می شود که یک حساب کاربری برای مجوز ایجاد کنیم، امکان تعیین رمز عبور بالا برای سرپرست وجود دارد و کشوری را که از دروازه استفاده خواهیم کرد را مشخص می کنیم.

پنجره بعدی مربوط به تنظیمات تاریخ و زمان است؛ می توانید آن را به صورت دستی تنظیم کنید یا از سرور NTP شرکت استفاده کنید.

مرحله بعدی شامل تعیین نام برای دستگاه و تعیین دامنه شرکت است تا سرویس های دروازه به درستی در اینترنت کار کنند.

مرحله بعدی مربوط به انتخاب نوع کنترل NGFW است، در اینجا باید توجه داشت:

1. مدیریت محلی این یک گزینه در دسترس برای مدیریت دروازه به صورت محلی با استفاده از صفحه وب گایا پورتال است.
2. مدیریت مرکزی. این نوع مدیریت شامل همگام سازی با سرور اختصاصی مدیریت CheckPoint، همگام سازی با ابر Smart1-Cloud یا با SMP (سرویس مدیریت برای SMB) است.

در این مقاله به روش Local Management می پردازیم؛ روشی که لازم است را می توانید مشخص کنید. برای آشنایی با فرآیند همگام سازی با یک مدیریت سرور اختصاصی پیشنهاد می کنیم پیوند از مجموعه آموزشی CheckPoint Getting Started تهیه شده توسط TS Solution.

در مرحله بعد، پنجره ای نمایش داده می شود که حالت عملکرد رابط ها را در دروازه تعریف می کند:

• حالت سوئیچ به معنای در دسترس بودن یک زیرشبکه از یک رابط به زیر شبکه یک رابط دیگر است.
• حالت غیرفعال کردن سوئیچ بر این اساس حالت سوئیچ را غیرفعال می کند؛ هر پورت ترافیک را مانند یک قطعه شبکه جداگانه هدایت می کند.

همچنین پیشنهاد شده است که مجموعه ای از آدرس های DHCP را مشخص کنید که هنگام اتصال به رابط های محلی دروازه استفاده می شود.

گام بعدی پیکربندی دروازه برای کار در حالت بی سیم است؛ ما قصد داریم در یکی از مقاله های این مجموعه در مورد این جنبه با جزئیات بیشتر صحبت کنیم، بنابراین پیکربندی تنظیمات را به تعویق انداختیم. می توانید یک نقطه دسترسی بی سیم جدید ایجاد کنید، یک رمز عبور برای اتصال به آن تعیین کنید و حالت عملکرد کانال بی سیم (2.4 هرتز یا 5 هرتز) را تعیین کنید.

مرحله بعدی پیکربندی دسترسی به دروازه برای مدیران شرکت خواهد بود. به‌طور پیش‌فرض، اگر اتصال از طریق زیر باشد، حقوق دسترسی مجاز است:

1. زیرشبکه داخلی شرکت
2. شبکه بی سیم قابل اعتماد
3. تونل VPN

گزینه اتصال به گیت وی از طریق اینترنت به طور پیش فرض غیرفعال است، این امر خطرات زیادی را به همراه دارد و باید برای گنجاندن آن توجیه شود، در غیر این صورت توصیه می شود آن را مانند مثال ما رها کنید. همچنین می توان مشخص کرد که کدام آدرس IP مجاز خواهد بود. برای اتصال به دروازه

پنجره بعدی مربوط به فعال سازی مجوزها است؛ پس از راه اندازی اولیه دستگاه، یک دوره آزمایشی 30 روزه به شما ارائه می شود. دو روش فعال سازی موجود است:

1. اگر اتصال به اینترنت وجود داشته باشد، مجوز به طور خودکار فعال می شود.
2. اگر مجوز را به صورت آفلاین فعال کنید، باید موارد زیر را انجام دهید: مجوز را از UserCenter دانلود کنید، دستگاه خود را در یک ویژه ثبت کنید. پورتال. در مرحله بعد، برای هر دو مورد، باید مجوز دانلود دستی را وارد کنید.

در نهایت، آخرین پنجره در جادوگر تنظیمات از شما می‌خواهد تیغه‌هایی را که باید روشن شوند انتخاب کنید؛ توجه داشته باشید که تیغه QOS تنها پس از شروع اولیه روشن می‌شود. در نهایت باید با یک پنجره تکمیلی مواجه شوید که تنظیمات شما را خلاصه می کند.

راه اندازی اولیه

اول از همه، ما توصیه می کنیم وضعیت مجوزها را بررسی کنید؛ پیکربندی بیشتر به این بستگی دارد. به برگه "HOME" → "License" بروید:

اگر مجوزها فعال شده اند، توصیه می کنیم فوراً به آخرین سیستم عامل فعلی به روز رسانی کنید؛ برای انجام این کار، به تب "DEVICE" → "System Operations" بروید:

به روز رسانی های سیستم در مورد ارتقاء سیستم عامل قرار دارند. در مورد ما، نسخه فعلی و آخرین سیستم عامل نصب شده است.

در مرحله بعد، من پیشنهاد می کنم به طور خلاصه در مورد قابلیت ها و تنظیمات تیغه های سیستم صحبت کنیم. به طور منطقی، آنها را می توان به خط مشی های سطح دسترسی (دیوار آتش، کنترل برنامه، فیلتر URL) و پیشگیری از تهدید (IPS، آنتی ویروس، آنتی ربات، شبیه سازی تهدید) تقسیم کرد.

بیایید به برگه Access Policy → Blade Control برویم:

به طور پیش فرض، حالت STANDARD استفاده می شود، اجازه می دهد تا ترافیک خروجی به اینترنت، ترافیک داخل شبکه محلی، اما در عین حال ترافیک ورودی از اینترنت را مسدود کند.

در مورد تیغه‌های APPLICATIONS & URL FILTERING، به طور پیش‌فرض آن‌ها برای مسدود کردن سایت‌های با سطح خطر بالا، مسدود کردن برنامه‌های تبادل (تورنت، ذخیره‌سازی فایل و غیره) تنظیم شده‌اند. همچنین می توانید دسته بندی سایت ها را به صورت دستی مسدود کنید.

بیایید گزینه ترافیک کاربر "محدود کردن برنامه های مصرف کننده پهنای باند" را با قابلیت محدود کردن سرعت ترافیک خروجی/ورودی برای گروه های برنامه بررسی کنیم.

در مرحله بعد، زیربخش Policy را باز کنید؛ به طور پیش فرض، قوانین به طور خودکار مطابق با تنظیماتی که قبلا توضیح داده شد، تولید می شوند.

زیربخش NAT به طور پیش فرض در Global Hide Nat Automatic کار می کند، یعنی همه میزبان های داخلی از طریق آدرس IP عمومی به اینترنت دسترسی خواهند داشت. این امکان وجود دارد که به صورت دستی قوانین NAT را برای انتشار برنامه ها یا خدمات وب خود تنظیم کنید.

در مرحله بعد، بخشی که به احراز هویت کاربر در شبکه مربوط می شود، دو گزینه ارائه می دهد: پرس و جوهای Active Directory (ادغام با AD شما)، احراز هویت مبتنی بر مرورگر (کاربر اعتبار دامنه را در پورتال وارد می کند).

شایان ذکر است بازرسی SSL به طور جداگانه، سهم کل ترافیک HTTPS در شبکه جهانی به طور فعال در حال رشد است. بیایید ببینیم که CheckPoint چه ویژگی هایی را برای راه حل های SMB ارائه می دهد. برای انجام این کار، به بخش SSL-Inspection → Policy بروید:

در تنظیمات می‌توانید ترافیک HTTPS را بررسی کنید؛ باید گواهی را وارد کنید و آن را در مرکز گواهی مطمئن در ماشین‌های کاربر نهایی نصب کنید.

ما حالت BYPASS را برای دسته‌های از پیش تعریف‌شده گزینه مناسبی در نظر می‌گیریم؛ این به طور قابل توجهی در زمان فعال کردن بازرسی صرفه‌جویی می‌کند.

پس از پیکربندی قوانین در سطح فایروال / برنامه، باید به تنظیم سیاست های امنیتی (پیشگیری از تهدید) اقدام کنید، برای انجام این کار، به بخش مربوطه بروید:

در صفحه باز ما تیغه های فعال، امضا و وضعیت به روز رسانی پایگاه داده را مشاهده می کنیم. همچنین از ما خواسته می شود که یک پروفایل برای محافظت از محیط شبکه انتخاب کنیم و تنظیمات مربوطه نمایش داده می شود.

یک بخش جداگانه "محافظت های IPS" به شما امکان می دهد عمل را برای یک امضای امنیتی خاص پیکربندی کنید.

چندی پیش در وبلاگمان نوشتیم در مورد آسیب پذیری جهانی برای سرور ویندوز - SigRed. بیایید با وارد کردن عبارت "CVE-80.20-2020" حضور آن را در Gaia Embedded 1350 بررسی کنیم.

رکوردی برای این امضا شناسایی شده است که می توان یکی از اقدامات را روی آن اعمال کرد. (به طور پیش فرض Prevent برای سطح خطر بحرانی است). بر این اساس، با داشتن یک راه حل SMB، از نظر به روز رسانی و پشتیبانی از شما غافل نخواهید شد؛ این یک راه حل کامل NGFW برای دفاتر شعب تا 200 نفر از CheckPoint است.

ارزیابی عملکرد

در پایان مقاله، می خواهم به در دسترس بودن ابزارهایی برای عیب یابی مشکلات پس از اولیه سازی اولیه و پیکربندی راه حل SMB اشاره کنم. می توانید به بخش "HOME" → "ابزار" بروید. گزینه های ممکن:

• نظارت بر منابع سیستم؛
• جدول مسیریابی؛
• بررسی در دسترس بودن خدمات ابری CheckPoint؛
• تولید CPinfo;

دستورات شبکه داخلی نیز در دسترس هستند: Ping، Traceroute، Traffic Capture.

بنابراین، امروز اتصال و پیکربندی اولیه NGFW 1590 را بررسی و مطالعه کردیم، شما اقدامات مشابهی را برای کل سری 1500 SMB Checkpoint انجام خواهید داد. گزینه های موجود تنوع بالایی را برای تنظیمات، پشتیبانی از روش های مدرن محافظت از ترافیک در محیط شبکه به ما نشان دادند.

امروزه راهکارهای CheckPoint برای حفاظت از دفاتر و شعب کوچک (حداکثر 200 نفر) دارای طیف گسترده ای از ابزارها و استفاده از آخرین فناوری ها (مدیریت ابری، پشتیبانی از سیم کارت، افزایش حافظه با استفاده از کارت های SD و ...) می باشد. به اطلاع رسانی ادامه دهید و مقالاتی از TS Solution را بخوانید، ما در حال برنامه ریزی برای انتشار بیشتر قطعات در مورد NGFW CheckPoint خانواده SMB هستیم، شما را می بینیم!

انتخاب بزرگی از مواد در Check Point از TS Solution. گوش به زنگ باشید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS, Yandex Zen).

منبع: www.habr.com