2. NGFW foar lytse bedriuwen. Unboxing en opset

Wy geane troch mei de searje artikels oer wurkjen mei it nije SMB CheckPoint-modelberik, lit ús jo herinnerje dat yn earste diel wy beskreaun de skaaimerken en mooglikheden fan de nije modellen, behear en administraasje metoaden. Hjoed sille wy sjen nei it ynsetsenario foar it âldere model yn 'e searje: CheckPoint 1590 NGFW. Hjir is in gearfetting fan dit diel:

1. Apparatuer útpakke (beskriuwing fan komponinten, fysike en netwurkferbiningen).
2. Initial apparaat inisjalisaasje.
3. Inisjele opset.
4. Performance beoardieling.

Utpakke apparatuer

Learje mei de apparatuer begjint mei it fuortsmiten fan de apparatuer út 'e doaze, it demontearjen fan komponinten en it ynstallearjen fan dielen; klikje op de spoiler, wêr't it proses koart wurdt presintearre

Levering fan NGFW 1590

Koartsein oer de komponinten:

• NGFW 1590;
• Stromadapter;
• 2 Wifi-antennes (2.4 Hz en 5 Hz);
• 2 LTE antennes;
• Boekjes mei dokumintaasje (in koarte hantlieding foar earste ferbining, lisinsje-oerienkomst, ensfh.)

Wat netwurkhavens en ynterfaces oanbelanget, binne d'r alle moderne mooglikheden foar ferkear oerdracht en ynteraksje, in aparte poarte foar de DMZ-sône, USB 3.0 foar syngronisaasje mei in PC.

Ferzje 1590 krige in bywurke ûntwerp, moderne opsjes foar draadloze kommunikaasje en ûnthâld útwreiding: 2 slots foar wurkjen mei Micro / Nano SIM yn LTE modus. (wy binne fan plan om yn detail oer dizze opsje te skriuwen yn ien fan ús folgjende artikels yn 'e searje wijd oan draadloze ferbiningen); SD card slot.

Jo kinne mear lêze oer de mooglikheden fan 'e 1590 NGFW en oare nije modellen yn 1-dielen út in searje artikels oer CheckPoint SMB-oplossingen. Wy sille trochgean nei de inisjele inisjalisaasje fan it apparaat.

Primêre inisjalisaasje

Us reguliere lêzers moatte al bewust wêze dat de 1500 Series SMB-line it nije 80.20 Embedded OS brûkt, dy't in bywurke ynterface en ferbettere mooglikheden omfettet.

Om te begjinnen mei it inisjalisearjen fan it apparaat moatte jo:

1. Jou macht oan de poarte.
2. Ferbine de netwurkkabel fan jo PC nei LAN -1 op 'e gateway.
3. Opsjoneel kinne jo it apparaat daliks ynternet tagong jaan troch de ynterface te ferbinen mei de WAN-poarte.
4. Gean nei it Gaia Embedded portal: https://192.168.1.1:4434/

As jo ​​​​de earder neamde stappen hawwe folge, dan moatte jo, nei't jo nei de Gaia-portaalside gean, it iepenjen fan 'e side befêstigje mei in net-fertroud sertifikaat, wêrnei't de portalynstellingswizard sil starte:

Jo wurde begroete troch in side dy't it model fan jo apparaat oanjout, jo moatte nei de folgjende seksje gean:

Wy wurde frege om in akkount te meitsjen foar autorisaasje, it is mooglik om hege wachtwurdeasken oan te jaan foar de behearder, en wy jouwe it lân oan wêr't wy de poarte sille brûke.

It folgjende finster giet oer datum- en tiidynstellingen; jo kinne it manuell ynstelle of de NTP-tsjinner fan it bedriuw brûke.

De folgjende stap omfettet it ynstellen fan in namme foar it apparaat en it opjaan fan it bedriuwsdomein sadat de gateway-tsjinsten goed wurkje op it ynternet.

De folgjende stap giet oer de kar fan NGFW-kontrôletype, hjir moat opmurken wurde:

1. Lokaal behear. Dit is in beskikbere opsje om de gateway lokaal te behearjen mei de Gaia Portal-webside.
2. Sintraal Bestjoer. Dit soarte fan behear omfettet syngronisaasje mei in tawijd CheckPoint Management-tsjinner, syngronisaasje mei de Smart1-Cloud-wolk of mei SMP (beheartsjinst foar SMB).

Yn dit artikel sille wy rjochtsje op 'e metoade foar lokaal behear; jo kinne de metoade opjaan dy't nedich is. Om josels bekend te meitsjen mei it proses fan syngronisaasje mei in tawijd Management Server, stelle wy foar link fan 'e CheckPoint Getting Started trainingssearje taret troch TS Solution.

Folgjende sil in finster wurde presintearre dat de bestjoeringsmodus definiearret fan 'e ynterfaces op' e gateway:

• Switch modus ymplisearret de beskikberens fan in subnet fan ien ynterface nei it subnet fan in oare ynterface.
• De Switch-modus útskeakelje skeakelet dêrmei de Switch-modus út; elke poarte rûtes ferkear as foar in apart netwurkfragmint.

It wurdt ek foarsteld om in pool fan DHCP-adressen oan te jaan dy't brûkt wurde by it ferbinen mei de lokale ynterfaces fan 'e gateway.

De folgjende stap is om de poarte te konfigurearjen om yn draadloze modus te wurkjen; wy binne fan plan dit aspekt yn mear detail te besprekken yn ien artikel yn 'e searje, dus wy hawwe de konfiguraasje fan' e ynstellings útsteld. Jo kinne in nij draadloze tagongspunt oanmeitsje, in wachtwurd ynstelle foar it ferbinen mei it en bepale de bestjoeringsmodus fan it draadloze kanaal (2.4 Hz of 5 Hz).

De folgjende stap sil wêze om tagong ta de poarte te konfigurearjen foar bedriuwsbehearders. Standert binne tagongsrjochten tastien as de ferbining komt fan:

1. Ynterne bedriuw subnet
2. Fertroud draadloos netwurk
3. VPN tunnel

De opsje om te ferbinen mei de poarte fia it ynternet is standert útskeakele, dit draacht grutte risiko's en moat rjochtfeardige wurde foar opname, oars is it oan te rieden om it te litten lykas yn ús foarbyld. It is ek mooglik om oan te jaan hokker IP-adressen tastien wurde om te ferbinen mei de poarte.

It folgjende finster giet oer de aktivearring fan lisinsjes; By inisjalisaasje fan it apparaat sille jo in proefperioade fan 30 dagen wurde presintearre. D'r binne twa beskikbere aktivearringsmetoaden:

1. As d'r in ynternetferbining is, wurdt de lisinsje automatysk aktivearre.
2. As jo ​​in lisinsje offline aktivearje, moatte jo it folgjende dwaan: download de lisinsje fan UserCenter, registrearje jo apparaat op in spesjale it portaal. Folgjende, foar beide gefallen, moatte jo de mei de hân ynladen lisinsje ymportearje.

Uteinlik freget it lêste finster yn 'e ynstellingswizard jo om de blêden te selektearjen dy't moatte wurde ynskeakele; Tink derom dat it QOS-blêd allinich is ynskeakele nei inisjele inisjalisaasje. Jo moatte einigje mei in foltôgingsfinster dat jo ynstellingen gearfettet.

Inisjele opset

Alderearst riede wy oan om de status fan lisinsjes te kontrolearjen; fierdere konfiguraasje sil hjirfan ôfhingje. Gean nei de "HOME" → "License" ljepper:

As de lisinsjes binne aktivearre, riede wy oan om daliks te aktualisearjen nei de lêste aktuele firmware; Gean dan nei it ljepblêd "DEVICE" → "Systeemoperaasjes" om dit te dwaan:

Systeemupdates lizze yn it item Firmware Upgrade. Yn ús gefal is de aktuele en lêste firmwareferzje ynstalleare.

Dêrnei stel ik foar om koart te praten oer de mooglikheden en ynstellingen fan 'e systeemblêden. Logysk kinne se ferdield wurde yn tagong (brânmuorre, applikaasjekontrôle, URL-filtering) en bedrigingsprevinsje (IPS, antivirus, anty-bot, bedrigingsemulaasje) nivo-belied.

Litte wy nei it Tagongsbelied → Blade Control ljepper gean:

Standert wurdt de STANDARD-modus brûkt, it jout útgeande ferkear nei it ynternet, ferkear binnen it lokale netwurk, mar blokkeart tagelyk ynkommende ferkear fan it ynternet.

Wat de APPLICATIONS & URL FILTERING-blêden oanbelanget, binne se standert ynsteld om siden mei in heech nivo fan gefaar te blokkearjen, útwikselingsapplikaasjes te blokkearjen (Torrent, File Storage, ensfh.). Jo kinne ek kategoryen fan siden manuell blokkearje.

Litte wy de opsje foar brûkersferkear kontrolearje "Bânbreedte-konsumearjende applikaasjes beheine" mei de mooglikheid om de snelheid fan útgeand / ynkommende ferkear te beheinen foar groepen applikaasjes.

Iepenje dan de ûnderseksje Belied; standert wurde de regels automatysk oanmakke neffens de earder beskreaune ynstellingen.

De NAT-subseksje wurket standert yn Global Hide Nat Automatic, d.w.s. alle ynterne hosts sille tagong hawwe ta it ynternet fia it iepenbiere IP-adres. It is mooglik om NAT-regels manuell yn te stellen foar it publisearjen fan jo webapplikaasjes of tsjinsten.

Folgjende biedt de seksje dy't brûkersferifikaasje oanbelanget op it netwurk twa opsjes: Active Directory Queries (yntegraasje mei jo AD), Browser-Based-Authentication (de brûker fiert domeinbewiis yn it portaal yn).

It is it wurdich om SSL-ynspeksje apart te neamen; it oandiel fan it totale HTTPS-ferkear op it Global Network groeit aktyf. Litte wy sjen hokker funksjes CheckPoint biedt foar SMB-oplossingen. Om dit te dwaan, gean nei de seksje SSL-ynspeksje → Belied:

Yn 'e ynstellings kinne jo HTTPS-ferkear ynspektearje; jo moatte it sertifikaat ymportearje en ynstallearje yn it fertroude sertifikaatsintrum op masines foar einbrûkers.

Wy beskôgje de BYPASS-modus foar foarôf definieare kategoryen as in handige opsje; dit besparret signifikant tiid by it ynskeakeljen fan ynspeksje.

Nei it konfigurearjen fan de regels op Firewall / Applikaasjenivo, moatte jo trochgean mei it ôfstimmen fan befeiligingsbelied (Threat Prevention), om dit te dwaan, gean nei de passende seksje:

Op de iepen side wy sjogge ynskeakele blêden, hantekening en database update statuses. Wy wurde ek frege om in profyl te selektearjen foar it beskermjen fan de netwurkperimeter, en de oerienkommende ynstellings wurde werjûn.

In aparte seksje "IPS-beskermings" lit jo de aksje konfigurearje foar in spesifike befeiligingshântekening.

Net lang lyn skreaunen wy op ús blog oer globale kwetsberens foar Windows Server - SigRed. Litte wy kontrolearje op syn oanwêzigens yn Gaia Embedded 80.20 troch de query "CVE-2020-1350" yn te fieren

Foar dizze hantekening is in record ûntdutsen wêrop ien fan 'e aksjes kin wurde tapast. (standert Prevent foar it gefaar nivo is Kritysk). Sadwaande, mei in SMB-oplossing, sille jo net wurde ferlitten yn termen fan updates en stipe; dit is in folsleine NGFW-oplossing foar filialen fan maksimaal 200 minsken fan CheckPoint.

Performance beoardieling

By it sluten fan it artikel wol ik de beskikberens fan ark foar it oplossen fan problemen nei de earste inisjalisaasje en konfiguraasje fan 'e SMB-oplossing opmerke. Jo kinne nei de seksje "HOME" → "Tools" gean. Mooglike opsjes:

• monitoaring systeem boarnen;
• routing tafel;
• kontrolearje de beskikberens fan CheckPoint-wolktsjinsten;
• CPinfo generaasje;

Ynboude netwurkkommando's binne ek beskikber: Ping, Traceroute, Traffic Capture.

Sa hawwe wy hjoed de earste ferbining en konfiguraasje fan 'e NGFW 1590 besjoen en studearre, jo sille ferlykbere aksjes útfiere foar de heule 1500 SMB Checkpoint-searje. De beskikbere opsjes lieten ús hege fariabiliteit sjen foar ynstellings, stipe foar moderne metoaden foar it beskermjen fan ferkear op 'e netwurkperimeter.

Tsjintwurdich hawwe CheckPoint-oplossingen foar it beskermjen fan lytse kantoaren en tûken (oant 200 minsken) in breed oanbod fan ark en brûke de lêste technologyen (wolkbehear, SIM-kaartstipe, ûnthâldútwreiding mei SD-kaarten, ensfh.). Trochgean op 'e hichte te bliuwen en artikels te lêzen fan TS Solution, wy plannen fierdere releases fan dielen oer NGFW CheckPoint fan' e SMB-famylje, oant sjen!

Grutte seleksje fan materialen op Check Point út TS Solution. Bliuw op 'e hichte (Telegram, facebook, VK, TS Solution Blog, Yandex Zen).

Boarne: www.habr.com