ProHoster > Blog > Rianachd > Thoir sùil air an Rubha Gaia R80.40. Dè tha ùr?

Thoir sùil air an Rubha Gaia R80.40. Dè tha ùr?

Thoir sùil air an Rubha Gaia R80.40. Dè tha ùr?

Tha an ath fhoillseachadh den t-siostam obrachaidh a’ tighinn dlùth Gaia R80.40. O chionn beagan sheachdainean Thòisich am prògram Cothrom Tràth, far am faigh thu cothrom gus an cuairteachadh a dhearbhadh. Mar as àbhaist, bidh sinn a’ foillseachadh fiosrachadh mu na tha ùr, agus cuideachd a’ soilleireachadh na puingean as inntinniche nar sealladh. A’ coimhead air adhart, is urrainn dhomh a ràdh gu bheil na h-innleachdan fìor chudromach. Mar sin, is fhiach ullachadh airson modh ùrachaidh tràth. Roimhe sin tha sinn mar-thà artaigil fhoillseachadh air mar a nì thu seo (airson tuilleadh fiosrachaidh, tadhal air cuir fios an seo). Rachamaid chun chuspair ...

Dè Tha Ùr

Bheir sinn sùil air na h-innleachdan a chaidh ainmeachadh gu h-oifigeil an seo. Fiosrachadh air a thoirt bhon làrach Thoir sùil air Mates (coimhearsnachd oifigeil Check Point). Le do chead, chan eadar-theangaich mi an teacsa seo, gu fortanach tha luchd-èisteachd Habr a’ ceadachadh. An àite sin, fàgaidh mi na beachdan agam airson an ath chaibideil.

1. Tèarainteachd IoT. Feartan ùra co-cheangailte ri Internet of Things

  • Cruinnich innealan IoT agus buadhan trafaic bho einnseanan lorg IoT le teisteanas (an-dràsta a’ toirt taic do Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM agus Armis).
  • Dèan rèiteachadh air Sreath Poileasaidh sònraichte IoT ann an riaghladh poileasaidh.
  • Dèan rèiteachadh agus stiùirich riaghailtean tèarainteachd a tha stèidhichte air feartan innealan IoT.

Sgrùdadh 2.TLSHTTP/2:

  • Tha HTTP/2 na ùrachadh don phròtacal HTTP. Bheir an t-ùrachadh leasachaidhean air astar, èifeachdas agus tèarainteachd agus toraidhean le eòlas cleachdaiche nas fheàrr.
  • Tha Geata Tèarainteachd Check Point a-nis a’ toirt taic do HTTP/2 agus a’ toirt buannachd do astar is èifeachdas nas fheàrr fhad ‘s a tha e a’ faighinn làn thèarainteachd, leis a h-uile lann Bacadh Cunnart agus Smachd Ruigsinneachd, a bharrachd air dìonan ùra airson protocol HTTP / 2.
  • Tha taic an dà chuid airson trafaic soilleir agus crioptaichte SSL agus tha e làn fhilleadh a-steach le HTTPS / TLS
  • Sgilean sgrùdaidh.

Sreath sgrùdaidh TLS. Ùr-ghnàthachaidhean a thaobh sgrùdadh HTTPS:

  • Sreath poileasaidh ùr ann an SmartConsole coisrigte do Sgrùdadh TLS.
  • Faodar diofar shreathan sgrùdaidh TLS a chleachdadh ann am pasganan poileasaidh eadar-dhealaichte.
  • Co-roinn sreath sgrùdaidh TLS thairis air grunn phasgan poileasaidh.
  • API airson gnìomhachd TLS.

3. Bacadh Cunnart

  • Meudachadh èifeachdais iomlan airson pròiseasan agus ùrachaidhean Casg Cunnart.
  • Ùrachaidhean fèin-ghluasadach gu einnsean tarraing Cunnart.
  • Faodar nithean dinamic, àrainn agus ùrachadh a-nis a chleachdadh ann am poileasaidhean Bacadh Cunnart agus Sgrùdadh TLS. Is e nithean lìonraidh a th’ ann an nithean ùrachadh a tha a’ riochdachadh seirbheis bhon taobh a-muigh no liosta fiùghantach aithnichte de sheòlaidhean IP, mar eisimpleir - seòlaidhean IP Office365 / Google / Azure / AWS agus nithean Geo.
  • Bidh Anti-Virus a-nis a’ cleachdadh comharran bagairt SHA-1 agus SHA-256 gus casg a chuir air faidhlichean stèidhichte air na hashes aca. Cuir a-steach na comharran ùra bho shealladh Comharran Cunnart SmartConsole no an Custom Intelligence Feed CLI.
  • Tha Anti-Virus agus SandBlast Threat Emulation a-nis a’ toirt taic do sgrùdadh trafaic post-d thairis air protocol POP3, a bharrachd air sgrùdadh nas fheàrr air trafaic post-d thairis air protocol IMAP.
  • Tha Anti-Virus agus SandBlast Threat Emulation a-nis a’ cleachdadh am feart sgrùdaidh SSH a chaidh a thoirt a-steach às ùr gus sgrùdadh a dhèanamh air faidhlichean a chaidh a ghluasad thairis air protocolaidhean SCP agus SFTP.
  • Tha Anti-Virus agus SandBlast Threat Emulation a-nis a’ toirt seachad taic nas fheàrr airson sgrùdadh SMBv3 (3.0, 3.0.2, 3.1.1), a tha a’ toirt a-steach sgrùdadh air ceanglaichean ioma-seanail. Is e Check Point a-nis an aon reiceadair a bheir taic do sgrùdadh gluasad faidhle tro ioma-sheanail (feart a tha mar as trice anns a h-uile àrainneachd Windows). Leigidh seo le luchd-ceannach fuireach tèarainte fhad ‘s a tha iad ag obair leis a’ fheart àrdachadh coileanaidh seo.

4. Mothachadh Aithne

  • Taic airson amalachadh Port Captive le SAML 2.0 agus solaraichean dearbh-aithne treas pàrtaidh.
  • Taic do Broker Aithneachaidh airson roinneadh fiosrachaidh dearbh-aithne scalable agus granular eadar PDPn, a bharrachd air roinneadh thar-raon.
  • Leasachaidhean do Ghnìomhaiche Frithealaichean Terminal airson sgèileadh agus co-chòrdalachd nas fheàrr.

5. IPsec VPN

  • Dèan rèiteachadh air diofar raointean crioptachaidh VPN air Geata Tèarainteachd a tha na bhall de dh'iomadh coimhearsnachd VPN. Tha seo a’ toirt seachad:
  • Dìomhaireachd nas fheàrr - Chan eil lìonraidhean a-staigh air am foillseachadh ann an còmhraidhean protocol IKE.
  • Tèarainteachd agus granularity nas fheàrr - Sònraich dè na lìonraidhean a tha ruigsinneach ann an coimhearsnachd VPN sònraichte.
  • Eadar-obrachalachd nas fheàrr - Mìneachaidhean VPN nas sìmplidhe stèidhichte air slighe (air a mholadh nuair a bhios tu ag obair le raon crioptachaidh VPN falamh).
  • Cruthaich agus obraich gu sgiobalta le àrainneachd VPN air sgèile mhòr (LSV) le cuideachadh bho phròifilean LSV.

6. URL sìoladh

  • Meudachadh air scalability agus sùbailteachd.
  • Comasan fuasgladh cheistean leudaichte.

7.NAT

  • Uidheam riarachadh puirt NAT leasaichte - air Geataichean Tèarainteachd le 6 no barrachd eisimpleirean Balla-teine ​​​​CoreXL, bidh a h-uile suidheachadh a’ cleachdadh an aon amar de phuirt NAT, a nì an fheum as fheàrr de chleachdadh agus ath-chleachdadh puirt.
  • Sgrùdadh cleachdadh port NAT ann an CPView agus le SNMP.

8. Guth thairis air IP (VoIP)Bidh ioma-eisimpleirean Balla-teine ​​​​CoreXL a’ làimhseachadh protocol SIP gus coileanadh àrdachadh.

9. VPN Ruigsinneachd IomallachCleachd teisteanas inneal gus eadar-dhealachadh a dhèanamh eadar so-mhaoin corporra agus neo-chorporra agus gus poileasaidh a shuidheachadh a chuireas an gnìomh cleachdadh maoin chorporra a-mhàin. Faodaidh èigneachadh a bhith ro-logadh (dearbhadh inneal a-mhàin) no post-logon (dearbhadh inneal is cleachdaiche).

10. Àidseant Portal Ruigsinneachd Fòn-làimheTèarainteachd Endpoint leasaichte air iarrtas taobh a-staigh an Neach-ionaid Portal Ruigsinneachd Fòn-làimhe gus taic a thoirt do phrìomh bhrobhsairean lìn. Airson tuilleadh fiosrachaidh, faic sk113410.

11.CoreXL agus Ioma-Queue

  • Taic airson riarachadh fèin-ghluasadach de CoreXL SNDs agus cùisean Firewall nach eil feumach air ath-thòiseachadh Geata Tèarainteachd.
  • Eòlas nas fheàrr a-mach às a ’bhogsa - bidh Security Gateway ag atharrachadh gu fèin-ghluasadach an àireamh de CoreXL SNDn agus cùisean Firewall agus an rèiteachadh Ioma-Queue stèidhichte air an luchd trafaic gnàthach.

12. Cnuasachadh

  • Taic airson Pròtacal Smachd Cluster ann am modh Unicast a chuireas às don fheum air CCP

Modhan craolaidh no ioma-chraoladh:

  • Tha crioptachadh Protocol Smachd Cluster a-nis air a chomasachadh gu bunaiteach.
  • Modh ùr ClusterXL -Active / Active, a bheir taic do Bhuill Cluster ann an diofar àiteachan cruinn-eòlasach a tha suidhichte air diofar subnets agus aig a bheil seòlaidhean IP eadar-dhealaichte.
  • Taic do Bhuill ClusterXL Cluster a bhios a’ ruith diofar dhreachan bathar-bog.
  • Cuir às don fheum air rèiteachadh MAC Magic nuair a tha grunn chlàran ceangailte ris an aon subnet.

13. VSX

  • Taic airson ùrachadh VSX le CPUSE ann an Gaia Portal.
  • Taic airson modh Active Up ann an VSLS.
  • Taic airson aithisgean staitistigeil CPView airson gach Siostam Mas-fhìor

14. Zero suathadhPròiseas rèiteachaidh sìmplidh Plug & Play airson inneal a chuir a-steach - a’ cur às don fheum air eòlas teignigeach agus a bhith a’ ceangal ris an inneal airson a’ chiad rèiteachadh.

15. Gaia REST APITha Gaia REST API a’ toirt seachad dòigh ùr air fiosrachadh a leughadh agus a chuir gu frithealaichean a tha a’ ruith Siostam Obrachaidh Gaia. Faic sk143612.

16. Routing Adhartach

  • Leigidh leasachaidhean air OSPF agus BGP le OSPF a tha faisg air làimh ath-shuidheachadh agus ath-thòiseachadh airson gach cùis Balla-teine ​​​​CoreXL gun fheum air an deamhan ruith ath-thòiseachadh.
  • Ag àrdachadh ùrachadh slighe airson làimhseachadh nas fheàrr air neo-chunbhalachd slighe BGP.

17. Comasan kernel ùr

  • Luchdaich a-nuas Linux kernel
  • Siostam sgaradh ùr (gpt):
  • A’ toirt taic do bharrachd air draibhearan fiosaigeach/loidsigeach 2TB
  • Siostam faidhle nas luaithe (xfs)
  • A’ toirt taic do stòradh siostam nas motha (suas ri 48TB air a dhearbhadh)
  • Leasachaidhean coileanaidh co-cheangailte ri I/O
  • Ioma-ciudha:
  • Taic slàn Gaia Clish airson òrdughan Ioma-Quee
  • Suidheachadh fèin-ghluasadach “air adhart gu bunaiteach”.
  • Taic sreap SMB v2/3 ann an lann Ruigsinneachd Siubhail
  • Taic NFSv4 (client) air a chur ris (Is e NFS v4.2 an dreach bunaiteach de NFS a thathar a’ cleachdadh)
  • Taic do dh’ innealan siostam ùra airson dì-bhugachadh, sgrùdadh agus rèiteachadh an t-siostaim

18. Rianadair CloudGuard

  • Leasachaidhean dèanadais airson ceanglaichean ri Ionadan Dàta air an taobh a-muigh.
  • Amalachadh le VMware NSX-T.
  • Taic airson òrdughan API a bharrachd gus nithean frithealaiche Ionad Dàta a chruthachadh agus a dheasachadh.

19. Frithealaidh ioma-fhearainn

  • Cùl suas agus cuir air ais frithealaiche riaghlaidh fearainn fa leth air frithealaiche ioma-fearainn.
  • Imrich frithealaiche riaghlaidh fearainn air aon fhrithealaiche ioma-fearainn gu Riaghladh Tèarainteachd Ioma-fearainn eile.
  • Imrich frithealaiche riaghlaidh tèarainteachd gu bhith na fhrithealaiche riaghlaidh fearainn air frithealaiche ioma-fearainn.
  • Imrich frithealaiche riaghlaidh fearainn gu bhith na fhrithealaiche riaghlaidh tèarainteachd.
  • Thoir air ais Fearann ​​air frithealaiche ioma-fearainn, no frithealaiche riaghlaidh tèarainteachd gu ath-sgrùdadh roimhe airson tuilleadh deasachaidh.

20. SmartTasks agus API

  • Modh dearbhaidh API Riaghlaidh ùr a bhios a’ cleachdadh iuchair API a chaidh a chruthachadh gu fèin-ghluasadach.
  • Òrdughan API Riaghlaidh ùr gus nithean brabhsair a chruthachadh.
  • Tha cleachdadh meadhanach de Jumbo Hotfix Accumulator agus Hotfixes bho SmartConsole no le API a’ ceadachadh grunn gheataichean tèarainteachd agus cruinneachaidhean a chuir a-steach no ùrachadh aig an aon àm.
  • SmartTasks - Dèan rèiteachadh air sgriobtaichean fèin-ghluasadach no iarrtasan HTTPS air an adhbhrachadh le gnìomhan rianadair, leithid foillseachadh seisean no cuir a-steach poileasaidh.

21. CleachdadhTha cleachdadh meadhanach de Jumbo Hotfix Accumulator agus Hotfixes bho SmartConsole no le API a’ ceadachadh grunn gheataichean tèarainteachd agus cruinneachaidhean a chuir a-steach no ùrachadh aig an aon àm.

22. GlicEventRoinn beachdan agus aithisgean SmartView le rianadairean eile.

23.Log ExporterLogaichean às-mhalairt air an sìoladh a rèir luachan làraich.

24. Endpoint Tèarainteachd

  • Taic airson crioptachadh BitLocker airson làn chrioptachadh diosc.
  • Taic airson teisteanasan Ùghdarras Teisteanas taobh a-muigh airson teachdaiche Endpoint Security
  • dearbhadh agus conaltradh leis an t-seirbheisiche riaghlaidh tèarainteachd Endpoint.
  • Taic airson meud fiùghantach pasganan Endpoint Security Client stèidhichte air an taghadh
  • feartan airson an cleachdadh.
  • Faodaidh poileasaidh a-nis smachd a chumail air ìre fiosan do luchd-cleachdaidh deireannach.
  • Taic airson àrainneachd VDI Seasmhach ann an Riaghladh Poileasaidh Endpoint.

Na rudan as fheàrr leinn (stèidhichte air gnìomhan teachdaiche)

Mar a chì thu, tha tòrr innleachdan ann. Ach dhuinne, mar airson integrator siostam, tha grunn phuingean fìor inntinneach (a tha cuideachd inntinneach don luchd-dèiligidh againn). Na 10 as fheàrr againn:

  1. Mu dheireadh, tha làn thaic airson innealan IoT air nochdadh. Tha e mar-thà gu math duilich companaidh a lorg aig nach eil innealan mar sin.
  2. Tha sgrùdadh TLS a-nis air a chuir ann an sreath air leth (Layer). Tha e tòrr nas goireasaiche na tha e an-dràsta (aig 80.30). Cha bhith barrachd a’ ruith an t-seann deas-bhòrd Legasy. A bharrachd air an sin, a-nis faodaidh tu stuthan ùrachadh ann am poileasaidh sgrùdaidh HTTPS, leithid seirbheisean Office365, Google, Azure, AWS, msaa. Tha seo gu math goireasach nuair a dh’ fheumas tu eisgeachdan a stèidheachadh. Ach, chan eil taic ann fhathast airson tls 1.3. A rèir coltais bidh iad “a’ glacadh suas ”leis an ath hotfix.
  3. Atharraichean mòra airson Anti-Virus agus SandBlast. A-nis faodaidh tu sgrùdadh a dhèanamh air protocolaidhean leithid SCP, SFTP agus SMBv3 (co-dhiù, chan urrainn dha duine sùil a thoirt air a’ phròtacal ioma-seanail seo tuilleadh).
  4. Tha tòrr leasachaidhean ann a thaobh VPN Làrach-gu-Làrach. A-nis faodaidh tu grunn raointean VPN a rèiteachadh air geata a tha na phàirt de ghrunn choimhearsnachdan VPN. Tha e gu math goireasach agus tòrr nas sàbhailte. A bharrachd air an sin, chuimhnich Check Point mu dheireadh air Route Based VPN agus leasaich e beagan a sheasmhachd / co-chòrdalachd.
  5. Tha feart mòr-chòrdte airson luchd-cleachdaidh iomallach air nochdadh. A-nis faodaidh tu dearbhadh chan ann a-mhàin an neach-cleachdaidh, ach cuideachd an inneal bhon bheil e a 'ceangal. Mar eisimpleir, tha sinn airson ceanglaichean VPN a cheadachadh a-mhàin bho innealan corporra. Tha seo air a dhèanamh, gu dearbh, le cuideachadh bho theisteanasan. Tha e comasach cuideachd earrannan faidhle a chuir suas gu fèin-ghluasadach (SMB v2/3) airson luchd-cleachdaidh iomallach le teachdaiche VPN.
  6. Tha mòran atharrachaidhean ann an obrachadh a’ chlàir. Ach is dòcha gur e aon den fheadhainn as inntinniche an comas buidheann a ruith far a bheil dreachan eadar-dhealaichte de Gaia aig na geataichean. Tha seo goireasach nuair a bhios tu a’ dealbhadh ùrachadh.
  7. Comasan Zero Touch nas fheàrr. Rud feumail dhaibhsan a bhios gu tric a’ stàladh gheataichean “beaga” (mar eisimpleir, airson ATMan).
  8. Airson logaichean, tha stòradh suas ri 48TB a-nis a’ faighinn taic.
  9. Faodaidh tu na deas-bhòrd SmartEvent agad a cho-roinn le rianadairean eile.
  10. Leigidh Log Exporter leat teachdaireachdan a chuir thu a-steach ro-làimh a’ cleachdadh na raointean riatanach. An fheadhainn sin. Cha tèid ach na clàran agus na tachartasan riatanach a chuir gu na siostaman SIEM agad

Ùrachadh

Is dòcha gu bheil mòran mu thràth a’ smaoineachadh air ùrachadh. Chan eil feum air cabhag. An toiseach, feumaidh dreach 80.40 gluasad gu Cothrom Coitcheann. Ach eadhon às deidh sin, cha bu chòir dhut ùrachadh sa bhad. Tha e nas fheàrr feitheamh airson a 'chiad hotfix co-dhiù.
Is dòcha gu bheil mòran “nan suidhe” air dreachan nas sine. Is urrainn dhomh a ràdh gu bheil e comasach mar-thà (agus eadhon riatanach) ùrachadh gu 80.30. Tha seo mar-thà na shiostam seasmhach agus dearbhte!

Faodaidh tu cuideachd fo-sgrìobhadh dha na duilleagan poblach againn (teileagram, Facebook, VK, Blog Fuasgladh TS), far an urrainn dhut leantainn gu nochdadh stuthan ùra air Check Point agus toraidhean tèarainteachd eile.

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

Dè an dreach de Gaia a tha thu a’ cleachdadh?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • eile

Bhòt 13 neach-cleachdaidh. Sheall 6 neach-cleachdaidh.

Source: www.habr.com

Cuir beachd ann