ProHoster > Blog > Bestjoer > Check Point Gaia R80.40. Wat is nij?

Check Point Gaia R80.40. Wat is nij?

Check Point Gaia R80.40. Wat is nij?

De folgjende release fan it bestjoeringssysteem komt oan Gaia R80.40. In pear wike lyn Early Access programma begûn, wêr't jo tagong kinne om de distribúsje te testen. As gewoanlik publisearje wy ynformaasje oer wat nij is, en markearje ek de punten dy't it meast ynteressant binne út ús eachpunt. Foarútsjen kin ik sizze dat de ynnovaasjes wirklik wichtich binne. Dêrom is it de muoite wurdich tariede op in betide update proseduere. Earder hawwe wy al publisearre in artikel oer hoe't jo dit dwaan (foar mear ynformaasje kinne jo besykje kontakt hjir). Litte wy nei it ûnderwerp komme ...

Wat is nij

Litte wy hjir nei de offisjeel oankundige ynnovaasjes sjen. Ynformaasje nommen fan de side Kontrolearje Mates (offisjele Check Point-mienskip). Mei jo tastimming sil ik dizze tekst net oersette, gelokkich lit it Habr-publyk it ta. Ynstee dêrfan lit ik myn opmerkingen foar it folgjende haadstik.

1. IoT Feiligens. Nije funksjes yn ferbân mei it Internet of Things

  • Sammelje IoT-apparaten en ferkearsattributen fan sertifisearre IoT-ûntdekkingsmotoren (stipe op it stuit Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM en Armis).
  • Konfigurearje in nije IoT tawijd beliedslaach yn beliedsbehear.
  • Konfigurearje en beheare feiligensregels dy't basearre binne op 'e attributen fan IoT-apparaten.

2.TLS YnspeksjeHTTP/2:

  • HTTP/2 is in update foar it HTTP-protokol. De fernijing leveret ferbetteringen oan snelheid, effisjinsje en feiligens en resultaten mei in bettere brûkersûnderfining.
  • Check Point's Security Gateway stipet no HTTP/2 en profiteart fan bettere snelheid en effisjinsje, wylst se folsleine feiligens krije, mei alle blêden fan Threat Prevention en Access Control, lykas ek nije beskermingen foar it HTTP/2-protokol.
  • Stipe is foar sawol dúdlik as SSL-fersifere ferkear en is folslein yntegreare mei HTTPS / TLS
  • Ynspeksje mooglikheden.

TLS-ynspeksjelaach. Ynnovaasjes oangeande HTTPS-ynspeksje:

  • In nije beliedslaach yn SmartConsole wijd oan TLS-ynspeksje.
  • Ferskillende TLS-ynspeksjelagen kinne brûkt wurde yn ferskate beliedspakketten.
  • Diele fan in TLS-ynspeksjelaach oer meardere beliedspakketten.
  • API foar TLS operaasjes.

3. Threat Previnsje

  • Algemiene effisjinsjeferbettering foar prosessen en updates foar bedrigingsprevinsje.
  • Automatyske updates foar Threat Extraction Engine.
  • Dynamyske, domein en bywurkbere objekten kinne no brûkt wurde yn belied foar bedrigingsprevinsje en TLS-ynspeksje. Bywurkbere objekten binne netwurkobjekten dy't in eksterne tsjinst fertsjintwurdigje as in bekende dynamyske list fan IP-adressen, bygelyks - Office365 / Google / Azure / AWS IP-adressen en Geo-objekten.
  • Anti-Virus brûkt no SHA-1 en SHA-256 bedrigingsindikaasjes om bestannen te blokkearjen op basis fan har hashes. Ymportearje de nije yndikatoaren út de SmartConsole Threat Indicators werjefte of de Custom Intelligence Feed CLI.
  • Anti-Virus en SandBlast Threat Emulation stypje no ynspeksje fan e-postferkear oer it POP3-protokol, lykas ek ferbettere ynspeksje fan e-postferkear oer it IMAP-protokol.
  • Anti-Virus en SandBlast Threat Emulation brûke no de nij yntrodusearre SSH-ynspeksjefunksje om bestannen te ynspektearjen dy't oerbrocht binne oer de SCP- en SFTP-protokollen.
  • Anti-Virus en SandBlast Threat Emulation jouwe no in ferbettere stipe foar SMBv3-ynspeksje (3.0, 3.0.2, 3.1.1), dy't ynspeksje fan mearkanaalferbiningen omfettet. Check Point is no de ienige ferkeaper dy't ynspeksje fan in triemferfier stipet fia meardere kanalen (in funksje dy't standert is yn alle Windows-omjouwings). Hjirmei kinne klanten feilich bliuwe by it wurkjen mei dizze prestaasjesferbetterjende funksje.

4. Identiteit Awareness

  • Stipe foar Captive Portal-yntegraasje mei SAML 2.0 en identiteitsproviders fan tredden.
  • Stipe foar Identity Broker foar scalable en korrelige dielen fan identiteit ynformaasje tusken PDPs, likegoed as cross-domein dielen.
  • Ferbetterings oan Terminal Servers Agent foar bettere skaalfergrutting en kompatibiliteit.

5. IPsec VPN

  • Konfigurearje ferskate VPN-fersiferingsdomeinen op in Security Gateway dy't lid is fan meardere VPN-mienskippen. Dit soarget foar:
  • Ferbettere privacy - Ynterne netwurken wurde net iepenbiere yn IKE-protokolûnderhannelingen.
  • Ferbettere feiligens en granulariteit - Spesifisearje hokker netwurken tagonklik binne yn in spesifisearre VPN-mienskip.
  • Ferbettere ynteroperabiliteit - ferienfâldige rûte-basearre VPN-definysjes (oanrikkemandearre as jo wurkje mei in leech VPN-fersiferingsdomein).
  • Meitsje en wurkje naadloos mei in Large Scale VPN (LSV) omjouwing mei help fan LSV-profilen.

6. URL Filtering

  • Ferbettere skalberens en fearkrêft.
  • Utwreide mooglikheden foar probleemoplossing.

7.NAT

  • Ferbettere NAT-poarte-allokaasjemeganisme - op Feiligenspoarten mei 6 of mear CoreXL Firewall-eksimplaren, brûke alle eksimplaren deselde pool fan NAT-poarten, dy't it gebrûk fan havens en werbrûk optimisearje.
  • Monitoring fan NAT-poartebenutting yn CPView en mei SNMP.

8. Voice over IP (VoIP)Meardere CoreXL Firewall-eksimplaren behannelje it SIP-protokol om prestaasjes te ferbetterjen.

9.Remote Access VPNBrûk masine-sertifikaat om ûnderskied te meitsjen tusken bedriuws- en net-bedriuwsaktiva en om in belied yn te stellen dat allinich it gebrûk fan bedriuwsaktiva hanthavenet. Hanthavenjen kin foarôf oanmeld wêze (allinich apparaatferifikaasje) of post-oanmelding (apparaat- en brûkersautentikaasje).

10. Mobile Access Portal AgentFerbettere einpuntbefeiliging op fraach binnen de Mobile Access Portal Agent om alle grutte webbrowsers te stypjen. Foar mear ynformaasje, sjoch sk113410.

11.CoreXL en Multi-Queue

  • Stipe foar automatyske tawizing fan CoreXL SND's en Firewall-eksimplaren dy't gjin Security Gateway opnij opstarte.
  • Ferbettere út 'e doaze ûnderfining - Feiligens Gateway feroaret automatysk it oantal CoreXL SND's en Firewall-eksimplaren en de Multi-Wachtrige-konfiguraasje basearre op de hjoeddeistige ferkearslading.

12. Clustering

  • Stipe foar Cluster Control Protocol yn Unicast-modus dy't de needsaak foar CCP elimineert

Broadcast- of Multicast-modi:

  • Cluster Control Protocol fersifering is no standert ynskeakele.
  • Nije ClusterXL-modus -Aktyf / Aktyf, dy't klusterleden stipet op ferskate geografyske lokaasjes dy't lizze op ferskate subnetten en hawwe ferskate IP-adressen.
  • Stipe foar ClusterXL Cluster Members dy't rinne ferskate software ferzjes.
  • Eliminearre de needsaak foar MAC Magic konfiguraasje as ferskate klusters binne ferbûn mei deselde subnet.

13. VSX

  • Stipe foar VSX-upgrade mei CPUSE yn Gaia Portal.
  • Stipe foar Active Up-modus yn VSLS.
  • Stipe foar CPView statistyske rapporten foar elk firtueel systeem

14. Nul TouchIn ienfâldich Plug & Play-ynstellingsproses foar it ynstallearjen fan in apparaat - elimineert de needsaak foar technyske saakkundigens en moat ferbine mei it apparaat foar inisjele konfiguraasje.

15. Gaia REST APIGaia REST API biedt in nije manier om ynformaasje te lêzen en te stjoeren nei servers dy't Gaia bestjoeringssysteem útfiere. Sjoch sk143612.

16. Avansearre Routing

  • Ferbetterings oan OSPF en BGP tastean OSPF oanbuorjende reset en opnij starte foar eltse CoreXL Firewall eksimplaar sûnder de needsaak om opnij starte de router daemon.
  • Ferbetterjen fan rûteferfarsking foar ferbettere ôfhanneling fan BGP-routing-ynkonsistinsjes.

17. Nije kernel mooglikheden

  • Opwurdearre Linux kernel
  • Nij partitioneringssysteem (gpt):
  • Unterstützt mear dan 2TB fysike / logyske skiven
  • Faster triemsysteem (xfs)
  • Stypje gruttere systeemopslach (oant 48TB hifke)
  • I / O-relatearre prestaasjesferbetterings
  • Multi-wachtrige:
  • Folsleine Gaia Clish-stipe foar kommando's foar meardere wachtrige
  • Automatyske "standert" konfiguraasje
  • SMB v2/3 mount stipe yn Mobile Access blade
  • NFSv4 (kliïnt)-stipe tafoege (NFS v4.2 is de standert brûkte NFS-ferzje)
  • Stipe fan nije systeem ark foar debuggen, tafersjoch en konfiguraasje fan it systeem

18. CloudGuard Controller

  • Prestaasjeferbetterings foar ferbiningen mei eksterne datasintra.
  • Yntegraasje mei VMware NSX-T.
  • Stipe foar ekstra API-kommando's foar it meitsjen en bewurkjen fan Data Center Server-objekten.

19. Multi-Domain Server

  • Reservekopy en weromsette in yndividuele Domain Management Server op in Multi-Domain Server.
  • Migrearje in Domain Management Server op ien Multi-Domain Server nei in oare Multi-Domain Security Management.
  • Migrearje in Security Management Server om in Domain Management Server te wurden op in Multi-Domain Server.
  • Migrearje in Domain Management Server om in Security Management Server te wurden.
  • Weromsette in domein op in Multi-Domain Server, of in Security Management Server nei in eardere ferzje foar fierdere bewurking.

20. SmartTasks en API

  • Nije Management API-ferifikaasjemetoade dy't in automatysk oanmakke API-kaai brûkt.
  • Nije Management API-kommando's om klusterobjekten te meitsjen.
  • Sintrale ynset fan Jumbo Hotfix-akkumulator en hotfixes fan SmartConsole of mei in API makket it mooglik om te ynstallearjen of opwurdearje meardere Feiligens Gateways en klusters parallel.
  • SmartTasks - Konfigurearje automatyske skripts as HTTPS-oanfragen dy't trigger wurde troch administratortaken, lykas it publisearjen fan in sesje of it ynstallearjen fan in belied.

21. YnsetSintrale ynset fan Jumbo Hotfix-akkumulator en hotfixes fan SmartConsole of mei in API makket it mooglik om te ynstallearjen of opwurdearje meardere Feiligens Gateways en klusters parallel.

22. SmartEventDiel SmartView werjeften en rapporten mei oare behearders.

23.Log eksporteurEksportearje logs filtere neffens fjildwearden.

24. Einpunt Feiligens

  • Stipe foar BitLocker-fersifering foar folsleine skiiffersifering.
  • Stipe foar eksterne Certificate Authority-sertifikaten foar Endpoint Security-kliïnt
  • autentikaasje en kommunikaasje mei de Endpoint Security Management Server.
  • Stipe foar dynamyske grutte fan Endpoint Security Client-pakketten basearre op de selekteare
  • funksjes foar ynset.
  • Belied kin no it nivo fan notifikaasjes kontrolearje oan ein brûkers.
  • Stipe foar persistente VDI-omjouwing yn Endpoint Policy Management.

Wat wy it meast leuk fine (basearre op klanttaken)

Sa't jo sjen kinne, binne d'r in protte ynnovaasjes. Mar foar ús, as foar systeemintegrator, der binne ferskate tige nijsgjirrige punten (dy't ek nijsgjirrich binne foar ús kliïnten). Us Top 10:

  1. Uteinlik is folsleine stipe foar IoT-apparaten ferskynd. It is al frij lestich om in bedriuw te finen dat sokke apparaten net hat.
  2. TLS-ynspeksje wurdt no pleatst yn in aparte laach (Laach). It is folle handiger dan no (om 80.30). Net mear rinne it âlde Legasy Dashboard. Plus, no kinne jo bywurke objekten brûke yn it HTTPS-ynspeksjebelied, lykas Office365, Google, Azure, AWS, ensfh. Dit is heul handich as jo útsûnderingen moatte ynstelle. D'r is lykwols noch gjin stipe foar tls 1.3. Blykber sille se "ynhelje" mei de folgjende hotfix.
  3. Wichtige feroarings foar Anti-Virus en SandBlast. No kinne jo protokollen kontrolearje lykas SCP, SFTP en SMBv3 (troch de manier, gjinien kin dit mearkanaalprotokol mear kontrolearje).
  4. D'r binne in protte ferbetteringen oangeande Site-to-Site VPN. No kinne jo ferskate VPN-domeinen ynstelle op in gateway dy't diel útmakket fan ferskate VPN-mienskippen. It is heul handich en folle feiliger. Dêrneist ûnthâlde Check Point úteinlik Route Based VPN en ferbettere syn stabiliteit / kompatibiliteit in bytsje.
  5. In heul populêre funksje foar brûkers op ôfstân is ferskynd. No kinne jo net allinich de brûker ferifiearje, mar ek it apparaat wêrfan hy ferbynt. Wy wolle bygelyks VPN-ferbiningen allinich tastean fan bedriuwsapparaten. Dit wurdt dien fansels mei help fan sertifikaten. It is ek mooglik om automatysk mount (SMB v2/3) triem oandielen foar remote brûkers mei in VPN client.
  6. Der binne in soad feroarings yn de wurking fan it kluster. Mar faaks ien fan de meast nijsgjirrige is de mooglikheid fan it operearjen fan in kluster dêr't de poarten hawwe ferskillende ferzjes fan Gaia. Dit is handich by it plannen fan in update.
  7. Ferbettere Zero Touch-mooglikheden. In nuttich ding foar dyjingen dy't faak "lytse" poarten ynstallearje (bygelyks foar ATM's).
  8. Foar logs wurdt opslach oant 48TB no stipe.
  9. Jo kinne jo SmartEvent-dashboards diele mei oare behearders.
  10. Log Eksporter lit jo no ferstjoerde berjochten foarfilterje mei de fereaske fjilden. Dy. Allinich de nedige logs en eveneminten sille wurde oerbrocht nei jo SIEM-systemen

Update

Miskien tinke in protte al oan bywurkjen. D'r is gjin need om te haasten. Om te begjinnen moat ferzje 80.40 ferhúzje nei Algemiene Beskikberens. Mar ek dêrnei moatte jo net daliks bywurkje. It is better om te wachtsjen op op syn minst de earste hotfix.
Miskien binne in protte "sitte" op âldere ferzjes. Ik kin sizze dat it op syn minst al mooglik (en sels nedich) is om te aktualisearjen nei 80.30. Dit is al in stabyl en bewezen systeem!

Jo kinne ek abonnearje op ús iepenbiere siden (Telegram, facebook, VK, TS Solution Blog), wêr't jo it ûntstean fan nije materialen kinne folgje op Check Point en oare feiligensprodukten.

Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. Ynlogge, asjebleaft.

Hokker ferzje fan Gaia brûke jo?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Oar

13 brûkers stimden. 6 brûkers ûntholden har.

Boarne: www.habr.com

Add a comment