Tha sinn a’ leantainn air adhart leis an t-sreath de artaigilean mu bhith ag obair leis an raon mhodail ùr CheckPoint SMB, leig dhuinn sin a chuir nad chuimhne thug sinn cunntas air feartan agus comasan nam modalan ùra, dòighean riaghlaidh agus rianachd. An-diugh bheir sinn sùil air an t-suidheachadh cleachdadh airson a’ mhodail as sine san t-sreath: CheckPoint 1590 NGFW. Seo geàrr-chunntas den phàirt seo:
- Uidheam dì-phapadh (tuairisgeul air co-phàirtean, ceanglaichean corporra agus lìonra).
- Toiseach tòiseachaidh inneal.
- Suidheachadh tùsail.
- Measadh coileanaidh.
Uidheam neo-phacaidh
Bidh eòlas air an uidheamachd a ’tòiseachadh le bhith a’ toirt air falbh an uidheamachd bhon bhogsa, a ’cuir às do cho-phàirtean agus a’ stàladh phàirtean; cliog air an spoiler, far a bheil am pròiseas air a thaisbeanadh goirid
Lìbhrigeadh NGFW 1590
Beagan mu na co-phàirtean:
- NGFW 1590;
- Adaptor cumhachd;
- 2 antennas Wifi (2.4 Hz agus 5 Hz);
- 2 antennas LTE;
- Leabhrain le sgrìobhainnean (stiùireadh goirid air a’ chiad cheangal, aonta ceadachais, msaa.)
A thaobh puirt lìonra agus eadar-aghaidh, tha comasan ùr-nodha ann airson sgaoileadh trafaic agus eadar-obrachadh, port air leth airson sòn DMZ, USB 3.0 airson sioncronadh le PC.
Fhuair dreach 1590 dealbhadh ùraichte, roghainnean ùr-nodha airson conaltradh gun uèir agus leudachadh cuimhne: sliotan 2 airson a bhith ag obair le Micro / Nano SIM ann am modh LTE. (tha sinn an dùil sgrìobhadh mun roghainn seo gu mionaideach ann an aon de na h-ath artaigilean againn san t-sreath a tha coisrigte do cheanglaichean gun uèir); Sliotan cairt SD.
Faodaidh tu barrachd a leughadh mu chomasan an 1590 NGFW agus modalan ùra eile ann an bho shreath artaigilean mu fhuasglaidhean CheckPoint SMB. Leanaidh sinn air adhart gu toiseach tòiseachaidh an inneal.
Tòiseachadh bun-sgoile
Bu chòir don luchd-leughaidh cunbhalach againn a bhith mothachail mu thràth gu bheil loidhne 1500 Series SMB a’ cleachdadh an 80.20 Embedded OS ùr, a tha a’ toirt a-steach eadar-aghaidh ùraichte agus comasan leasaichte.
Gus tòiseachadh air an inneal a thòiseachadh feumaidh tu:
- Thoir seachad cumhachd don gheata.
- Ceangail an càball lìonra bhon PC agad gu LAN -1 air a’ gheata.
- Gu roghnach, faodaidh tu ruigsinneachd eadar-lìn a thoirt don inneal sa bhad le bhith a ’ceangal an eadar-aghaidh ris a’ phort WAN.
- Rach gu portal Gaia Embedded:
Ma lean thu na ceumannan a chaidh ainmeachadh roimhe, an uairsin às deidh dhut a dhol gu duilleag portal Gaia, feumaidh tu dearbhadh gu bheil thu air an duilleag fhosgladh le teisteanas gun earbsa, às deidh sin cuiridh an draoidh roghainnean portal air bhog:
Thèid fàilte a chuir ort le duilleag a’ sealltainn modail an uidheim agad, feumaidh tu a dhol chun ath roinn:
Thèid iarraidh oirnn cunntas a chruthachadh airson cead, tha e comasach riatanasan facal-faire àrd a shònrachadh airson an rianadair, agus bidh sinn a’ comharrachadh na dùthcha far am bi sinn a’ cleachdadh a’ gheata.
Tha an ath uinneag a’ buntainn ri roghainnean ceann-latha is ùine; faodaidh tu a shuidheachadh le làimh no cleachd frithealaiche NTP a’ chompanaidh.
Tha an ath cheum a 'toirt a-steach a bhith a' suidheachadh ainm airson an inneal agus a 'sònrachadh àrainn a' chompanaidh gus am bi na seirbheisean geata ag obair gu ceart air an eadar-lìon.
Tha an ath cheum a’ buntainn ris an roghainn de sheòrsa smachd NGFW, an seo bu chòir a thoirt fa-near:
- Riaghladh Ionadail. Is e seo roghainn a tha ri fhaighinn gus an geata a riaghladh gu h-ionadail a’ cleachdadh duilleag-lìn Gaia Portal.
- Riaghladh Meadhanach. Tha an seòrsa riaghlaidh seo a’ toirt a-steach sioncronadh le frithealaiche sònraichte CheckPoint Management, sioncronadh leis an sgòth Smart1-Cloud no le SMP (seirbheis riaghlaidh airson SMB).
San artaigil seo, cuiridh sinn fòcas air an dòigh Riaghlaidh Ionadail; faodaidh tu an dòigh a tha riatanach a shònrachadh. Gus eòlas fhaighinn air a ’phròiseas sioncronaidh le frithealaiche riaghlaidh sònraichte, tha sinn a’ moladh bhon t-sreath trèanaidh CheckPoint Getting Started air ullachadh le TS Solution.
An ath rud, thèid uinneag a thaisbeanadh a ’mìneachadh modh obrachaidh an eadar-aghaidh air a’ gheata:
- Tha modh suidse a’ ciallachadh gu bheil subnet ri fhaighinn bho aon eadar-aghaidh gu subnet eadar-aghaidh eile.
- Mar sin tha am modh Disable Switch a’ cuir à comas am modh Switch; bidh gach port a’ ruith trafaic mar a tha criomag lìonra air leth.
Thathas cuideachd a’ moladh cruinneachadh de sheòlaidhean DHCP a shònrachadh a thèid a chleachdadh nuair a thathar a’ ceangal ri eadar-aghaidh ionadail a’ gheata.
Is e an ath cheum an geata a rèiteachadh gu obair ann am modh gun uèir; tha sinn an dùil beachdachadh air an taobh seo nas mionaidiche ann an aon artaigil san t-sreath, agus mar sin chuir sinn dheth rèiteachadh nan roghainnean. Faodaidh tu àite inntrigidh gun uèir ùr a chruthachadh, facal-faire a shuidheachadh airson ceangal ris agus modh obrachaidh an t-seanail gun uèir (2.4 Hz no 5 Hz) a dhearbhadh.
Is e an ath cheum a bhith a’ rèiteachadh ruigsinneachd don gheata airson luchd-rianachd chompanaidhean. Gu gnàthach, tha còraichean-slighe ceadaichte ma thig an ceangal bho:
- Subnet companaidh a-staigh
- Lìonra uèirleas earbsach
- Tunail VPN
Tha an roghainn ceangal ris a’ gheata tron eadar-lìn ciorramach gu bunaiteach, tha cunnartan mòra ann agus feumar a bhith air fhìreanachadh airson a thoirt a-steach, air neo thathas a’ moladh a fàgail mar a tha san eisimpleir againn. Tha e comasach cuideachd sònrachadh dè na seòlaidhean IP a bhios ceadaichte gus ceangal a dhèanamh ris an doras.
Tha an ath uinneag co-cheangailte ri gnìomhachadh ceadan; nuair a thèid an inneal a thòiseachadh an toiseach, gheibh thu ùine deuchainn 30-latha. Tha dà dhòigh gnìomhachaidh rim faighinn:
- Ma tha ceangal eadar-lìn ann, thèid an cead a chuir an gnìomh gu fèin-ghluasadach.
- Ma chuireas tu cead an gnìomh far-loidhne, feumaidh tu na leanas a dhèanamh: luchdaich sìos an cead bho UserCenter, clàraich an inneal agad air inneal sònraichte . An uairsin, airson an dà chùis, feumaidh tu an cead a chaidh a luchdachadh sìos le làimh a thoirt a-steach.
Mu dheireadh, tha an uinneag mu dheireadh ann an draoidh nan roghainnean gad bhrosnachadh gus na lannan a thaghadh airson an tionndadh air; thoir an aire gu bheil an lann QOS air a thionndadh air dìreach às deidh tòiseachadh tùsail. Bu chòir dhut uinneag crìochnachaidh a thoirt gu crìch a bheir geàrr-chunntas air na roghainnean agad.
A ’chiad shuidheachadh
An toiseach, tha sinn a’ moladh sgrùdadh a dhèanamh air inbhe ceadan; bidh tuilleadh rèiteachaidh an urra ri seo. Rach don tab “HOME” → “Ceadachas”:
Ma thèid na ceadan a chuir an gnìomh, tha sinn a’ moladh ùrachadh sa bhad chun firmware gnàthach as ùire; gus seo a dhèanamh, rachaibh chun tab “DEVICE” → “System Operations”:
Tha ùrachaidhean siostaim suidhichte anns an nì Ùrachadh Firmware. Anns a ’chùis againn, tha an dreach firmware gnàthach agus as ùire air a chuir a-steach.
An ath rud, tha mi a 'moladh a bhith a' bruidhinn gu h-aithghearr mu chomasan agus shuidheachaidhean nan lannan siostam. Gu loidsigeach, faodar an roinn ann am poileasaidhean ìre Ruigsinneachd (Balla-teine, Smachd Iarrtas, sìoladh URL) agus Bacadh Cunnart (IPS, Antivirus, Anti-Bot, Emulation Bagairt).
Rachamaid chun Phoileasaidh Ruigsinneachd → tab Smachd Blade:
Gu gnàthach, tha am modh STANDARD air a chleachdadh, leigidh e le trafaic a-mach chun eadar-lìn, trafaic taobh a-staigh an lìonra ionadail, ach aig an aon àm a ’blocadh trafaic a tha a’ tighinn a-steach bhon eadar-lìn.
A thaobh na lannan IARRTAS & URL FILTERING, gu bunaiteach tha iad air an suidheachadh gus làraich le ìre àrd de chunnart a bhacadh, casg a chuir air tagraidhean iomlaid (Torrent, Stòradh faidhle, msaa). Faodaidh tu cuideachd roinnean de làraich a bhacadh le làimh.
Feuch an toir sinn sùil air an roghainn airson trafaic luchd-cleachdaidh “Cuir crìoch air tagraidhean caitheamh leud-bann” leis a’ chomas casg a chuir air astar trafaic a-mach / a-steach airson buidhnean de thagraidhean.
An uairsin, fosgail am fo-earrann Poileasaidh; gu bunaiteach, thèid na riaghailtean a chruthachadh gu fèin-ghluasadach a rèir nan roghainnean a chaidh a mhìneachadh roimhe.
Bidh fo-earrann NAT gu bunaiteach ag obair ann an Global Hide Nat Automatic, ie bidh cothrom aig a h-uile neach-aoigheachd a-staigh air an eadar-lìn tron t-seòladh IP poblach. Tha e comasach riaghailtean NAT a shuidheachadh le làimh airson na h-aplacaidean no seirbheisean lìn agad fhoillseachadh.
An ath rud, tha an roinn a tha a’ buntainn ri Dearbhadh Cleachdaiche air an lìonra a’ tabhann dà roghainn: Ceistean Active Directory (aonachadh leis an AD agad), Dearbhadh Brabhsair-stèidhichte (bidh an neach-cleachdaidh a’ dol a-steach do theisteanasan fearainn anns a’ phort).
Is fhiach iomradh a thoirt air sgrùdadh SSL air leth; tha an roinn de thrafaig HTTPS iomlan air an Lìonra Cruinneil a’ fàs gu gnìomhach. Bheir sinn sùil air na feartan a tha CheckPoint a’ tabhann airson fuasglaidhean SMB. Gus seo a dhèanamh, rachaibh chun roinn SSL-Inspection → Poileasaidh:
Anns na roghainnean faodaidh tu trafaic HTTPS a sgrùdadh; feumaidh tu an teisteanas a thoirt a-steach agus a stàladh san ionad teisteanais earbsach air innealan cleachdaiche deireannach.
Tha sinn den bheachd gu bheil am modh BYPASS airson roinnean ro-mhìnichte na roghainn goireasach; bidh seo gu mòr a’ sàbhaladh ùine nuair a cheadaicheas e sgrùdadh.
Às deidh dhut na riaghailtean a rèiteachadh aig ìre Firewall / Application, bu chòir dhut a dhol air adhart gu gleusadh poileasaidhean tèarainteachd (Bacadh Cunnart), gus seo a dhèanamh, rachaibh chun roinn iomchaidh:
Air an duilleag fhosgailte chì sinn lannan comasach, ainmean-sgrìobhte agus inbhe ùrachadh stòr-dàta. Thathas ag iarraidh oirnn cuideachd pròifil a thaghadh airson a bhith a’ dìon iomall an lìonraidh, agus tha na roghainnean co-fhreagarrach air an taisbeanadh.
Leigidh earrann air leth “Dìon IPS” leat an gnìomh a rèiteachadh airson ainm-sgrìobhte tèarainteachd sònraichte.
Chan eil fada air ais sgrìobh sinn air ar blog airson Windows Server - SigRed. Nach toir sinn sùil airson a làthaireachd ann an Gaia Embedded 80.20 le bhith a’ dol a-steach don cheist “CVE-2020-1350”
Chaidh clàr a lorg airson an ainm-sgrìobhte seo agus faodar aon de na gnìomhan a chur an sàs. (gu gnàthach tha Prevent airson an ìre cunnart deatamach). Mar sin, le fuasgladh SMB, cha bhith thu air do fàgail a-mach a thaobh ùrachaidhean agus taic; is e fuasgladh NGFW iomlan a tha seo airson oifisean meur de suas ri 200 neach bho CheckPoint.
Measadh coileanaidh
A’ crìochnachadh an artaigil, bu mhath leam a thoirt fa-near gu bheil innealan rim faighinn airson duilgheadasan fhuasgladh às deidh tòiseachadh agus rèiteachadh fuasgladh SMB. Faodaidh tu a dhol chun roinn “HOME” → “Innealan”. Roghainnean comasach:
- goireasan siostam sgrùdaidh;
- bòrd slighe;
- a’ dèanamh cinnteach gu bheil seirbheisean sgòth CheckPoint rim faighinn;
- gineadh CPinfo;
Tha òrdughan lìonra togte rim faighinn cuideachd: Ping, Traceroute, Traffic Capture.
Mar sin, an-diugh rinn sinn ath-sgrùdadh agus sgrùdadh air a’ chiad cheangal agus rèiteachadh an NGFW 1590, nì thu gnìomhan coltach ris airson an t-sreath Checkpoint 1500 SMB gu lèir. Sheall na roghainnean a bha rim faighinn dhuinn caochlaidheachd àrd airson suidheachaidhean, taic do dhòighean ùr-nodha airson trafaic a dhìon air iomall an lìonraidh.
An-diugh, tha raon farsaing de dh’ innealan aig fuasglaidhean CheckPoint airson oifisean agus meuran beaga a dhìon (suas ri daoine 200) agus cleachdaidh iad na teicneòlasan as ùire (riaghladh sgòthan, taic cairt SIM, leudachadh cuimhne a ’cleachdadh cairtean SD, msaa). Lean air adhart a’ cumail fiosraichte agus a’ leughadh artaigilean bho TS Solution, tha sinn an dùil tuilleadh sgaoilidhean de phàirtean mu NGFW CheckPoint den teaghlach SMB, chì sinn thu!
. Cum an aire (, , , , ).
Source: www.habr.com