2. NGFW pienyrityksille. Pakkauksen purkaminen ja asennus
Jatkamme artikkelisarjaa työskentelystä uuden SMB CheckPoint -mallisarjan kanssa, muistutetaan tästä ensimmäinen osa kuvailimme uusien mallien, johtamis- ja hallintomenetelmien ominaisuuksia ja ominaisuuksia. Tänään tarkastelemme sarjan vanhemman mallin käyttöönottoskenaariota: CheckPoint 1590 NGFW. Tässä on yhteenveto tästä osasta:
Pakkauksen purkaminen (komponenttien kuvaus, fyysiset ja verkkoliitännät).
Laitteen alustava alustus.
Alkuasennus.
Suorituskyvyn arviointi.
Laitteen purkaminen pakkauksesta
Laitteisiin tutustuminen alkaa laitteiden poistamisella laatikosta, komponenttien purkamisesta ja osien asentamisesta, klikkaa spoileria, jossa prosessi esitetään lyhyesti
NGFW 1590 toimitus
Lyhyesti komponenteista:
NGFW 1590;
Muuntaja;
2 Wifi-antennia (2.4 Hz ja 5 Hz);
2 LTE-antennia;
Kirjaset ja dokumentaatio (lyhyt opas alkuliitännälle, lisenssisopimus jne.)
Verkkoporteissa ja liitännöissä on kaikki modernit ominaisuudet liikenteen siirtoon ja vuorovaikutukseen, erillinen portti DMZ-vyöhykkeelle, USB 3.0 synkronointia varten tietokoneen kanssa.
Versio 1590 sai päivitetyn suunnittelun, modernit vaihtoehdot langattomaan tiedonsiirtoon ja muistin laajentamiseen: 2 paikkaa Micro/Nano SIM -kortin työskentelyyn LTE-tilassa. (Aiomme kirjoittaa tästä vaihtoehdosta yksityiskohtaisesti yhdessä seuraavista langattomille yhteyksille omistetun sarjan artikkeleistamme); SD-korttipaikka.
Voit lukea lisää 1590 NGFW:n ja muiden uusien mallien ominaisuuksista 1-osat CheckPoint SMB -ratkaisuja käsittelevistä artikkelisarjasta. Jatkamme laitteen alustamiseen.
Ensisijainen alustus
Tavallisten lukijamme pitäisi jo tietää, että 1500-sarjan SMB-sarja käyttää uutta 80.20 Embedded OS -käyttöjärjestelmää, joka sisältää päivitetyn käyttöliittymän ja parannetut ominaisuudet.
Aloita laitteen alustaminen sinun on:
Anna virtaa yhdyskäytävälle.
Liitä verkkokaapeli tietokoneesta yhdyskäytävän LAN -1:een.
Vaihtoehtoisesti voit tarjota laitteelle välittömästi Internet-yhteyden yhdistämällä käyttöliittymän WAN-porttiin.
Jos noudatit aiemmin ilmoitettuja vaiheita, Gaia-portaalisivulle siirtymisen jälkeen sinun on vahvistettava sivun avaaminen epäluotettavalla varmenteella, minkä jälkeen portaalin ohjattu asetustoiminto käynnistyy:
Sinua tervehtii sivu, joka osoittaa laitteesi mallin, sinun on siirryttävä seuraavaan osioon:
Meitä pyydetään luomaan tili valtuutusta varten, järjestelmänvalvojalle on mahdollista määrittää korkeat salasanavaatimukset ja ilmoitamme maan, jossa käytämme yhdyskäytävää.
Seuraava ikkuna koskee päivämäärän ja kellonajan asetuksia, voit asettaa sen manuaalisesti tai käyttää yrityksen NTP-palvelinta.
Seuraavaksi asetetaan laitteelle nimi ja määritetään yrityksen toimialue, jotta yhdyskäytäväpalvelut toimivat oikein Internetissä.
Seuraava vaihe koskee NGFW-ohjaustyypin valintaa, tässä on huomioitava:
Paikallinen hallinta. Tämä on käytettävissä oleva vaihtoehto hallita yhdyskäytävää paikallisesti Gaia-portaalin verkkosivun avulla.
Keskushallinta. Tämäntyyppinen hallinta sisältää synkronoinnin erillisen CheckPoint Management -palvelimen kanssa, synkronoinnin Smart1-Cloud-pilven tai SMP:n (hallintapalvelu SMB:lle) kanssa.
Tässä artikkelissa keskitymme paikalliseen hallintamenetelmään, voit määrittää tarvittavan menetelmän. Suosittelemme perehtymään synkronointiprosessiin erillisen Management Server -palvelimen kanssa linkki TS Solutionin valmistamasta CheckPoint Getting Started -koulutussarjasta.
Seuraavaksi esitetään ikkuna, jossa määritellään yhdyskäytävän liitäntöjen toimintatila:
Vaihtotila tarkoittaa aliverkon saatavuutta yhdestä rajapinnasta toisen liitännän aliverkkoon.
Disable Switch -tila poistaa vastaavasti Switch-tilan käytöstä; jokainen portti reitittää liikenteen kuten erilliselle verkkofragmentille.
On myös ehdotettu, että määritetään joukko DHCP-osoitteita, joita käytetään yhteyden muodostamisessa yhdyskäytävän paikallisiin liitäntöihin.
Seuraava askel on määrittää yhdyskäytävä toimimaan langattomassa tilassa; aiomme käsitellä tätä näkökohtaa yksityiskohtaisemmin yhdessä artikkelissa sarjassa, joten lykkäsimme asetusten määrittämistä. Voit luoda uuden langattoman tukiaseman, asettaa salasanan siihen yhdistämistä varten ja määrittää langattoman kanavan toimintatilan (2.4 Hz tai 5 Hz).
Seuraava vaihe on yhdyskäytävän pääsyn määrittäminen yrityksen järjestelmänvalvojille. Oletuksena käyttöoikeudet ovat sallittuja, jos yhteys tulee:
Yrityksen sisäinen aliverkko
Luotettu langaton verkko
VPN tunneli
Mahdollisuus muodostaa yhteys yhdyskäytävään Internetin kautta on oletusarvoisesti poissa käytöstä, tähän liittyy suuria riskejä ja sisällyttäminen on perusteltava, muuten on suositeltavaa jättää se esimerkissämme.Voidaan myös määrittää, mitkä IP-osoitteet sallitaan muodostaaksesi yhteyden yhdyskäytävään.
Seuraava ikkuna koskee lisenssien aktivointia; laitteen alustamisen yhteydessä sinulle tarjotaan 30 päivän kokeilujakso. Käytettävissä on kaksi aktivointitapaa:
Jos Internet-yhteys on olemassa, lisenssi aktivoituu automaattisesti.
Jos aktivoit lisenssin offline-tilassa, sinun on tehtävä seuraava: lataa lisenssi UserCenteristä, rekisteröi laitteesi erityiseen portaali. Seuraavaksi molemmissa tapauksissa sinun on tuotava manuaalisesti ladattu lisenssi.
Lopuksi ohjatun asetustoiminnon viimeinen ikkuna kehottaa valitsemaan kytkettävät terät; huomaa, että QOS blade kytketään päälle vasta alustavan alustuksen jälkeen. Sinun pitäisi päätyä viimeistelyikkunaan, jossa on yhteenveto asetuksistasi.
Jos lisenssit on aktivoitu, suosittelemme päivittämään välittömästi uusimpaan nykyiseen laiteohjelmistoon; tehdäksesi tämän, siirry "LAITE" → "Järjestelmätoiminnot" -välilehteen:
Järjestelmäpäivitykset sijaitsevat Firmware Upgrade -kohdassa. Meidän tapauksessamme nykyinen ja uusin laiteohjelmistoversio on asennettu.
Seuraavaksi ehdotan puhuvan lyhyesti järjestelmän terien ominaisuuksista ja asetuksista. Loogisesti ne voidaan jakaa pääsy- (palomuuri-, sovellustenhallinta-, URL-suodatus-) ja uhkien ehkäisy- (IPS, virustorjunta, robotin torjunta, uhkien emulointi) -tason käytäntöihin.
Siirrytään Pääsykäytäntö → Blade Control -välilehteen:
Oletusarvoisesti käytössä on STANDARD-tila, joka sallii lähtevän liikenteen Internetiin, liikenteen paikallisverkossa, mutta samalla estää saapuvan liikenteen Internetistä.
Mitä tulee SOVELLUKSET & URL FILTERING -teriin, ne on oletusarvoisesti asetettu estämään sivustot, joilla on korkea vaarataso, estämään vaihtosovellukset (Torrent, tiedostojen tallennus jne.). Voit myös estää sivustoluokkia manuaalisesti.
Tarkastetaan käyttäjäliikenteen vaihtoehto "Rajaa kaistanleveyttä kuluttavia sovelluksia" ja mahdollisuus rajoittaa lähtevän/saapuvan liikenteen nopeutta sovellusryhmille.
Avaa seuraavaksi Käytäntö-alaosio; oletusarvoisesti säännöt luodaan automaattisesti aiemmin kuvattujen asetusten mukaisesti.
NAT-alaosio toimii oletusarvoisesti Global Hide Nat Automatic -tilassa, eli kaikilla sisäisillä isännillä on pääsy Internetiin julkisen IP-osoitteen kautta. On mahdollista määrittää manuaalisesti NAT-säännöt verkkosovellusten tai -palveluiden julkaisemista varten.
Seuraavaksi osiossa, joka koskee käyttäjän todennusta verkossa, on kaksi vaihtoehtoa: Active Directory -kyselyt (integrointi AD:n kanssa), selainpohjainen todennus (käyttäjä syöttää verkkotunnuksen tunnistetiedot portaaliin).
SSL-tarkastus on syytä mainita erikseen, globaalin verkon HTTPS-liikenteen kokonaismäärän osuus kasvaa aktiivisesti. Katsotaanpa, mitä ominaisuuksia CheckPoint tarjoaa SMB-ratkaisuille. Voit tehdä tämän siirtymällä kohtaan SSL-tarkastus → Käytäntö:
Asetuksissa voit tarkastaa HTTPS-liikenteen; sinun on tuotava varmenne ja asennettava se luotettuun varmennekeskukseen loppukäyttäjäkoneissa.
Pidämme BYPASS-tilaa ennalta määritetyille luokille kätevänä vaihtoehtona, mikä säästää huomattavasti aikaa tarkastuksen mahdollistaessa.
Kun olet määrittänyt säännöt palomuuri-/sovellustasolla, siirry suojauskäytäntöjen säätämiseen (Uhkien ehkäisy) ja siirry asianmukaiseen osioon:
Avoimella sivulla näemme käytössä olevien bladejen, allekirjoitusten ja tietokantapäivitysten tilat. Meitä pyydetään myös valitsemaan profiili verkon kehän suojaamiseksi, ja vastaavat asetukset tulevat näkyviin.
Erillisessä osiossa "IPS-suojaukset" voit määrittää toiminnon tietylle suojausallekirjoitukselle.
Ei kauan sitten kirjoitimme blogiimme globaalista haavoittuvuudesta Windows Serverille - SigRed. Tarkistetaan sen läsnäolo Gaia Embedded 80.20:ssa kirjoittamalla kysely "CVE-2020-1350"
Tälle allekirjoitukselle on havaittu tietue, johon voidaan soveltaa jotakin toiminnoista. (oletuksena Estä vaaratasolle on kriittinen). Näin ollen, kun sinulla on SMB-ratkaisu, et jää syrjään päivitysten ja tuen suhteen; tämä on täydellinen NGFW-ratkaisu jopa 200 hengen konttoreille CheckPointista.
Suorituskyvyn arviointi
Artikkelin päätteeksi haluaisin huomauttaa, että on saatavilla työkaluja ongelmien vianmääritystä varten SMB-ratkaisun alustamisen ja määrityksen jälkeen. Voit siirtyä kohtaan "KOTI" → "Työkalut". Mahdolliset vaihtoehdot:
Sisäänrakennetut verkkokomennot ovat myös saatavilla: Ping, Traceroute, Traffic Capture.
Joten tänään tarkastelimme ja tutkimme NGFW 1590:n alkuperäistä kytkentää ja kokoonpanoa, teet samanlaisia toimia koko 1500 SMB Checkpoint -sarjalle. Käytettävissä olevat vaihtoehdot osoittivat meille suurta vaihtelua asetuksissa, tukea nykyaikaisille menetelmille suojata liikennettä verkon kehällä.
Nykyään pienten toimistojen ja konttoreiden (jopa 200 henkilöä) suojaamiseen tarkoitetuissa CheckPoint-ratkaisuissa on laaja valikoima työkaluja ja niissä käytetään uusinta teknologiaa (pilvihallinta, SIM-korttituki, muistin laajentaminen SD-korteilla jne.). Pysy ajan tasalla ja lue TS Solutionin artikkeleita. Suunnittelemme lisää osia SMB-perheen NGFW CheckPointista, nähdään!