Halo, a leughadairean gràdhach habr! Is e seo blog corporra na companaidh
Bha sinn a 'smaoineachadh airson ùine mhòr mu dheidhinn am bu chòir dhuinn an artaigil seo a sgrìobhadh, oir. chan eil dad ùr ann nach fhaighear air an eadar-lìon. Ach, a dh'aindeoin cho pailt de dh'fhiosrachadh, nuair a bhios sinn ag obair le luchd-dèiligidh agus com-pàirtichean, bidh sinn tric a 'cluinntinn na h-aon cheistean. Mar sin, chaidh co-dhùnadh seòrsa de ro-ràdh a sgrìobhadh mu shaoghal theicneòlasan Check Point agus a bhith a’ nochdadh brìgh ailtireachd nam fuasglaidhean aca. Agus seo uile taobh a-staigh frèam aon phost “beag”, mar sin a bhruidhinn, astar luath. Agus feuchaidh sinn gun a dhol a-steach do chogaidhean margaidheachd, oir. chan e reiceadair a th’ annainn, ach dìreach integrator siostam (ged a tha sinn gu mòr dèidheil air Check Point) agus dìreach a dhol thairis air na prìomh phuingean gun a bhith gan coimeas le luchd-saothrachaidh eile (leithid Palo Alto, Cisco, Fortinet, msaa). Thionndaidh a-mach gu robh an artaigil gu math voluminous, ach tha e a’ gearradh dheth a’ mhòr-chuid de na ceistean aig an ìre de eòlas air Check Point. Ma tha ùidh agad, cuir fàilte air fon chat…
UTM/NGFW
Nuair a thòisicheas tu air còmhradh mu Check Point, is e a’ chiad rud a thòisicheas tu mìneachadh air dè a th’ ann an UTM, NGFW agus mar a tha iad eadar-dhealaichte. Nì sinn seo gu math pongail gus nach bi am post ro mhòr (is dòcha san àm ri teachd beachdaichidh sinn air a’ chùis seo ann am beagan nas mionaidiche)
UTM - Riaghladh Cunnart Aonaichte
Ann an ùine ghoirid, is e brìgh UTM grunn innealan tèarainteachd a dhaingneachadh ann an aon fhuasgladh. An fheadhainn sin. uile ann an aon bhogsa no cuid uile in-ghabhalach. Dè tha “iomadh leigheas” a’ ciallachadh? Is e an roghainn as cumanta: Firewall, IPS, Proxy (sìoladh URL), Streaming Antivirus, Anti-Spam, VPN agus mar sin air adhart. Tha seo uile air a chur còmhla taobh a-staigh aon fhuasgladh UTM, a tha nas fhasa a thaobh amalachadh, rèiteachadh, rianachd agus sgrùdadh, agus tha seo, an uair sin, a 'toirt buaidh mhath air tèarainteachd iomlan an lìonra. Nuair a nochd fuasglaidhean UTM an toiseach, chaidh beachdachadh orra a-mhàin airson companaidhean beaga, oir. Cha b' urrainn do UTM mòran trafaig a làimhseachadh. Bha seo airson dà adhbhar:
- An dòigh anns a bheil pacaidean air an giullachd. Bha a’ chiad dreachan de fhuasglaidhean UTM a’ giullachd phasganan ann an òrdugh, a rèir gach “modal”. Eisimpleir: an toiseach tha am pasgan air a phròiseasadh leis a’ bhalla-teine, an uairsin le IPS, an uairsin thèid a sgrùdadh le Anti-Virus agus mar sin air adhart. Gu nàdarra, thug inneal mar seo a-steach fìor dàil trafaic agus goireasan siostam air an caitheamh gu mòr (pròiseasaran, cuimhne).
- Bathar-cruaidh lag. Mar a chaidh ainmeachadh gu h-àrd, dh’ ith giollachd pacaid sreathach suas goireasan agus cha b’ urrainn do bhathar-cruaidh na h-amannan sin (1995-2005) dèiligeadh ri trafaic àrd.
Ach chan eil adhartas a’ seasamh fhathast. Bhon uairsin, tha comasan bathar-cruaidh air a dhol suas gu mòr, agus tha giullachd pacaidean air atharrachadh (feumar aideachadh nach eil e aig a h-uile neach-reic) agus thòisich iad a’ ceadachadh mion-sgrùdadh cha mhòr aig an aon àm ann an grunn mhodalan aig an aon àm (ME, IPS, AntiVirus, msaa). Faodaidh fuasglaidhean UTM ùr-nodha “cladhach” deichean agus eadhon ceudan de gigabits ann am modh mion-sgrùdadh domhainn, a leigeas leotha an cleachdadh ann an roinn ghnìomhachasan mòra no eadhon ionadan dàta.
Gu h-ìosal tha an Magic Quadrant ainmeil aig Gartner airson fuasglaidhean UTM airson Lùnastal 2016:
Cha toir mi beachd làidir air an dealbh seo, canaidh mi gu bheil stiùirichean anns an oisean gu h-àrd air an làimh dheis.
NGFW - Balla-teine an ath ghinealach
Tha an t-ainm a 'bruidhinn air a shon fhèin - balla-teine an ath ghinealach. Nochd am bun-bheachd seo fada nas fhaide na UTM. Is e am prìomh bheachd aig NGFW sgrùdadh pacaid domhainn (DPI) a’ cleachdadh IPS togte agus smachd ruigsinneachd aig ìre tagraidh (Smachd Iarrtais). Anns a 'chùis seo, is e IPS dìreach na tha a dhìth gus seo no an tagradh sin a chomharrachadh anns an t-sruth pacaid, a leigeas leat a cheadachadh no a dhiùltadh. Eisimpleir: Is urrainn dhuinn leigeil le Skype obrachadh ach casg a chuir air gluasad fhaidhlichean. Faodaidh sinn casg a chuir air cleachdadh Torrent no RDP. Thathas cuideachd a’ toirt taic do thagraidhean lìn: Faodaidh tu faighinn gu VK.com, ach casg a chuir air geamannan, teachdaireachdan no coimhead bhideothan. Gu bunaiteach, tha càileachd NGFW an urra ris an àireamh de thagraidhean as urrainn dha a mhìneachadh. Tha mòran den bheachd gu robh nochdadh bun-bheachd NGFW na chleachdadh margaidheachd cumanta air an do thòisich Palo Alto air fàs gu luath.
Cèitean 2016 Gartner Magic Quadrant airson NGFW:
UTM vs NGFW
Ceist gu math cumanta, a tha nas fheàrr? Chan eil aon fhreagairt an seo agus chan urrainn a bhith. Gu sònraichte nuair a smaoinicheas tu gu bheil gnìomhachd NGFW anns cha mhòr a h-uile fuasgladh UTM ùr-nodha agus gu bheil gnìomhan aig a’ mhòr-chuid de NGFWn a tha dualach do UTM (Antivirus, VPN, Anti-Bot, msaa). Mar as àbhaist, “tha an diabhal anns a’ mhion-fhiosrachadh”, agus mar sin an toiseach feumaidh tu co-dhùnadh dè a dh’ fheumas tu gu sònraichte, co-dhùnadh mun bhuidseit. Stèidhichte air na co-dhùnaidhean sin, faodar grunn roghainnean a thaghadh. Agus feumaidh a h-uile dad a bhith air a dhearbhadh gun teagamh, gun a bhith a 'creidsinn stuthan margaidheachd.
Feuchaidh sinn, an uair sin, taobh a-staigh frèam grunn artaigilean, ri innse dhut mu Check Point, mar as urrainn dhut feuchainn air agus dè, ann am prionnsapal, as urrainn dhut feuchainn (cha mhòr a h-uile gnìomh).
Trì aonadan puing-seic
Nuair a bhios tu ag obair le Check Point, bidh thu gu cinnteach a’ tighinn tarsainn air trì pàirtean den toradh seo:
- Geata Tèarainteachd (SG) - an geata tèarainteachd fhèin, a bhios mar as trice air a chuir air iomall an lìonraidh agus a ’coileanadh gnìomhan balla-teine, sruthadh antivirus, anti-bot, IPS, msaa.
- Frithealaiche rianachd tèarainteachd (SMS) - frithealaiche riaghlaidh geata. Tha cha mhòr a h-uile suidheachadh air a' gheata (SG) air a choileanadh leis an fhrithealaiche seo. Faodaidh SMS cuideachd a bhith na fhrithealaiche Log agus an làimhseachadh leis an t-siostam mion-sgrùdadh tachartais agus co-dhàimh - Smart Event (coltach ri SIEM airson Check Point), ach barrachd air sin nas fhaide air adhart. Tha SMS air a chleachdadh gus grunn gheataichean a riaghladh sa mheadhan (tha an àireamh de gheataichean an urra ri modal SMS no cead), ach feumaidh tu a chleachdadh eadhon ged nach eil agad ach aon gheata. Bu chòir a thoirt fa-near an seo gur e Check Point aon den chiad fheadhainn a chleachd siostam riaghlaidh meadhanach, a tha air aithneachadh mar an “inbhe òir” a rèir aithisgean Gartner airson grunn bhliadhnaichean ann an sreath. Tha eadhon fealla-dhà ann: “Nam biodh siostam smachd àbhaisteach aig Cisco, cha bhiodh Check Point air nochdadh a-riamh.”
- Console Smart - consol teachdaiche airson ceangal ris an t-seirbheisiche riaghlaidh (SMS). Mar as trice air a stàladh air coimpiutair an rianadair. Tron consol seo, thèid a h-uile atharrachadh a dhèanamh air an t-seirbheisiche riaghlaidh, agus às deidh sin faodaidh tu na roghainnean a chuir an sàs anns na geataichean tèarainteachd (Stàlaich Poileasaidh).
Check Point siostam-obrachaidh
A’ bruidhinn air siostam-obrachaidh Check Point, faodar trì a thoirt air ais aig an aon àm: IPSO, SPLAT agus GAIA.
- IPSO Is e siostam obrachaidh Ipsilon Networks, a bha le Nokia. Ann an 2009, cheannaich Check Point an gnìomhachas seo. Cha deach a leasachadh tuilleadh.
- SPLAT - leasachadh fhèin air Check Point, stèidhichte air an kernel RedHat. Cha deach a leasachadh tuilleadh.
- Gaia - an siostam obrachaidh gnàthach bho Check Point, a nochd mar thoradh air aonadh IPSO agus SPLAT, a’ toirt a-steach a h-uile rud as fheàrr. A’ nochdadh ann an 2012 agus a’ leantainn air adhart a’ leasachadh gu gnìomhach.
A 'bruidhinn air Gaia, bu chòir a ràdh gur e an dreach as cumanta aig an àm seo R77.30. An ìre mhath o chionn ghoirid, tha an dreach R80 air nochdadh, a tha gu math eadar-dhealaichte bhon fhear roimhe (an dà chuid a thaobh comas-gnìomh agus smachd). Cuiridh sinn post air leth gu cuspair nan eadar-dhealachaidhean aca. Is e puing cudromach eile nach eil ach dreach R77.10 aig an àm seo aig a bheil an teisteanas FSTEC agus tha dreach R77.30 ga dhearbhadh.
Roghainnean (Inneal puing sgrùdaidh, inneal mas-fhìor, OpenServer)
Chan eil dad na iongnadh an seo, leis gu bheil grunn roghainnean toraidh aig mòran de luchd-reic Check Point:
- inneal - inneal bathar-cruaidh is bathar-bog, i.e. "pìos iarainn" agad fhèin. Tha tòrr mhodailean ann a tha eadar-dhealaichte ann an coileanadh, comas-gnìomh agus dealbhadh (tha roghainnean ann airson lìonraidhean gnìomhachais).
- Inneal Virtual - Inneal brìgheil Check Point le Gaia OS. Thathas a’ toirt taic do Hypervisors ESXi, Hyper-V, KVM. Ceadaichte leis an àireamh de cores processor.
- Openserver - A’ stàladh Gaia gu dìreach air an t-seirbheisiche mar am prìomh shiostam obrachaidh (ris an canar “Bare metal”). Chan eil ach cuid de bhathar-cruaidh a’ faighinn taic. Tha molaidhean ann airson a’ bhathar-cruaidh seo a dh’ fheumar a leantainn, air neo dh’ fhaodadh gum bi duilgheadasan ann le draibhearan agus an fheadhainn sin. faodaidh taic seirbheis a dhiùltadh dhut.
Roghainnean buileachaidh (air a chuairteachadh no air leth)
Beagan nas àirde, tha sinn air bruidhinn mu thràth dè a th’ ann an geata (SG) agus frithealaiche riaghlaidh (SMS). A-nis bruidhnidh sinn mu roghainnean airson an cur an gnìomh. Tha dà phrìomh dhòigh ann:
- Neo-eisimeileach (SG+SMS) - roghainn nuair a tha an dà chuid an geata agus an frithealaiche riaghlaidh air an stàladh taobh a-staigh an aon inneal (no inneal brìgheil).
Tha an roghainn seo freagarrach nuair nach eil agad ach aon gheata, a tha air a luchdachadh gu aotrom le trafaic luchd-cleachdaidh. Is e an roghainn seo an rud as saoire, oir. chan eil feum air frithealaiche riaghlaidh (SMS) a cheannach. Ach, ma tha an geata air a luchdachadh gu mòr, is dòcha gum bi siostam smachd slaodach agad. Mar sin, mus tagh thu fuasgladh Standalone, tha e nas fheàrr co-chomhairle a chumail no eadhon an roghainn seo a dhearbhadh. - Air a chuairteachadh - tha am frithealaiche riaghlaidh air a chuir a-steach air leth bhon gheata.
An roghainn as fheàrr a thaobh goireasachd agus coileanadh. Tha e air a chleachdadh nuair a tha feum air grunn gheataichean a riaghladh aig an aon àm, mar eisimpleir, meadhan agus meur. Anns a 'chùis seo, feumaidh tu frithealaiche riaghlaidh (SMS) a cheannach, a dh'fhaodas a bhith ann an cruth inneal (pìos iarainn) no inneal mas-fhìor.
Mar a thuirt mi dìreach gu h-àrd, tha an siostam SIEM aige fhèin aig Check Point - Smart Event. Chan urrainn dhut a chleachdadh ach air eagal stàladh Distributed.
Modhan obrachaidh (Drochaid, Slighe)
Faodaidh an Geata Tèarainteachd (SG) obrachadh ann an dà mhodh bunaiteach:
- Slighe - an roghainn as cumanta. Anns a 'chùis seo, thathas a' cleachdadh a 'gheata mar inneal L3 agus a' stiùireadh trafaig troimhe fhèin, i.e. Is e Check Point an geata bunaiteach airson an lìonra dìonta.
- Drochaid - modh follaiseach. Anns a 'chùis seo, tha an geata air a chuir a-steach mar "drochaid" àbhaisteach agus a' dol troimhe air an dàrna ìre (OSI). Mar as trice bidh an roghainn seo air a chleachdadh nuair nach eil comas (no miann) ann am bun-structar a th’ ann atharrachadh. Cha mhòr nach fheum thu topology an lìonra atharrachadh agus chan fheum thu smaoineachadh mu bhith ag atharrachadh seòladh IP.
Bu mhath leam a thoirt fa-near gu bheil cuid de chuingealachaidhean gnìomh ann am modh na Drochaid, mar sin, mar integrator, tha sinn a’ comhairleachadh ar luchd-dèiligidh uile am modh Routed a chleachdadh, gu dearbh, ma ghabhas sin dèanamh.
Lannan bathar-bog (lannan bathar-bog Check Point)
Fhuair sinn cha mhòr chun chuspair Check Point as cudromaiche, a thogas na ceistean as motha bho luchd-ceannach. Dè a th’ anns na “lannan bathar-bog” seo? Bidh lannan a’ toirt iomradh air cuid de ghnìomhan Check Point.
Faodar na feartan sin a chuir air no dheth a rèir na feumalachdan agad. Aig an aon àm, tha lannan a tha air an cur an gnìomh a-mhàin air a 'gheata (Tèarainteachd Lìonra) agus a-mhàin air an fhrithealaiche stiùiridh (Stiùiriche). Tha na dealbhan gu h-ìosal a’ sealltainn eisimpleirean airson an dà chùis:
1) Airson tèarainteachd lìonra (gnìomh geata)
Bheir sinn cunntas goirid, oir tha gach lann airidh air artaigil fa leth.
- Balla-teine - comas-gnìomh balla-teine;
- IPSec VPN - togail lìonraidhean brìgheil prìobhaideach;
- Ruigsinneachd gluasadach - ruigsinneachd iomallach bho innealan gluasadach;
- IPS - siostam casg sàrachadh;
- Anti-Bot - dìon an aghaidh lìonraidhean botnet;
- AntiVirus - sruthadh antivirus;
- Tèarainteachd AntiSpam & Post-d - dìon post corporra;
- Mothachadh Dearbh-aithne - amalachadh leis an t-seirbheis Active Directory;
- Sgrùdadh - sgrùdadh air cha mhòr a h-uile paramadair geata (luchd, leud-bann, inbhe VPN, msaa)
- Smachd tagraidh - balla-teine ìre tagraidh (gnìomh NGFW);
- Criathradh URL - tèarainteachd lìn (+ gnìomh proxy);
- Bacadh call dàta - dìon aoidionachd fiosrachaidh (DLP);
- Emulation Cunnart - teicneòlas bogsa gainmhich (SandBox);
- Extraction Cunnart - teicneòlas glanadh fhaidhlichean;
- QoS - prìomhachas trafaic.
Ann an dìreach beagan artaigilean, bheir sinn sùil nas mionaidiche air na lannan Threat Emulation agus Threat Extraction, tha mi cinnteach gum bi e inntinneach.
2) Airson Riaghladh (gnìomh frithealaiche stiùiridh)
- Riaghladh Poileasaidh Lìonra - stiùireadh poileasaidh meadhanaichte;
- Riaghladh Poileasaidh Endpoint - riaghladh meadhanaichte air riochdairean Check Point (tha, bidh Check Point a’ toirt a-mach fuasglaidhean chan ann a-mhàin airson dìon lìonra, ach cuideachd airson ionadan-obrach (PCan) agus fònaichean sgairteil a dhìon);
- Logadh & Inbhe - cruinneachadh agus giullachd chlàran sa mheadhan;
- Portal Riaghlaidh - riaghladh tèarainteachd bhon bhrobhsair;
- Sruth-obrach - smachd air atharrachaidhean poileasaidh, sgrùdadh air atharrachaidhean, msaa;
- Leabhar-seòlaidh luchd-cleachdaidh - amalachadh le LDAP;
- Solarachadh - fèin-ghluasad de stiùireadh gheata;
- Neach-aithris Smart - siostam aithris;
- Tachartas Glic - mion-sgrùdadh agus co-dhàimh de thachartasan (SIEM);
- Gèilleadh - sgrùdadh fèin-ghluasadach air na roghainnean agus cuir a-mach molaidhean.
Cha bhith sinn a-nis a’ beachdachadh gu mionaideach air cùisean ceadachd, gus nach àrdaich sinn an artaigil agus nach cuir sinn dragh air an leughadair. Is coltaiche gun toir sinn a-mach e ann am post air leth.
Leigidh ailtireachd an lann leat na gnìomhan a tha a dhìth ort a chleachdadh a-mhàin, a bheir buaidh air buidseat an fhuasglaidh agus coileanadh iomlan an inneil. Tha e loidsigeach mar as motha de lannan a chuireas tu an gnìomh, is ann as lugha de thrafaig a thèid “air falbh”. Sin as coireach gu bheil an clàr coileanaidh a leanas ceangailte ri gach modail Check Point (mar eisimpleir, ghabh sinn feartan a 'mhodail 5400):
Mar a chì thu, tha dà sheòrsa de dheuchainnean an seo: air trafaic synthetigeach agus air fìor - measgaichte. San fharsaingeachd, feumaidh Check Point dìreach deuchainnean synthetigeach fhoillseachadh, oir. bidh cuid de luchd-reic a’ cleachdadh deuchainnean leithid slatan-tomhais gun a bhith a’ sgrùdadh coileanadh am fuasglaidhean air fìor thrafaig (no a’ falach an dàta sin a dh’aona ghnothach air sgàth cho neo-thaitneach).
Anns gach seòrsa deuchainn, chì thu grunn roghainnean:
- deuchainn a-mhàin airson Firewall;
- Balla-teine + deuchainn IPS;
- Deuchainn Firewall + IPS + NGFW (Smachd tagraidh);
- Balla-teine + smachd tagraidh + criathradh URL + IPS + Antivirus + Deuchainn Anti-Bot + SandBlast (bogsa gainmhich)
Thoir sùil gu faiceallach air na crìochan sin nuair a thaghas tu am fuasgladh agad, no cuir fios thugainn
Tha mi a’ smaoineachadh gur e seo deireadh an artaigil tòiseachaidh air teicneòlasan Check Point. An ath rud, seallaidh sinn ri mar as urrainn dhut Check Point a dhearbhadh agus mar a dhèiligeas tu ri bagairtean tèarainteachd fiosrachaidh an latha an-diugh (bhìorasan, phishing, ransomware, neoni-latha).
PS Puing chudromach. A dh ’aindeoin an tùs cèin (Israel), tha am fuasgladh air a dhearbhadh ann an Caidreachas na Ruis le ùghdarrasan stiùiridh, a bhios gu fèin-ghluasadach a’ dèanamh laghail an làthaireachd ann an ionadan stàite (beachd le
Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh.
Dè na h-innealan UTM/NGFW a bhios tu a’ cleachdadh?
-
Rannsaich:
-
Cisco cumhachd teine
-
Fortinet
-
Palo Alto
-
Sophos
-
Dell SonicWALL
-
Huawei
-
Freiceadan
-
Juniper
-
UserGate
-
neach-sgrùdaidh trafaig
-
Rubicon
-
Ideco
-
fuasgladh stòr fosgailte
-
Eile
Bhòt 134 neach-cleachdaidh. Sheall 78 neach-cleachdaidh.
Source: www.habr.com