2. NGFW kisvállalkozások számára. Kicsomagolás és beállítás

Folytatjuk az új SMB CheckPoint modellcsaláddal való munkáról szóló cikksorozatot, emlékeztessünk rá az első rész ismertettük az új modellek, menedzsment és adminisztrációs módszerek jellemzőit, lehetőségeit. Ma megvizsgáljuk a sorozat régebbi modelljének telepítési forgatókönyvét: CheckPoint 1590 NGFW. Íme ennek a résznek az összefoglalása:

1. Kicsomagoló berendezések (komponensek leírása, fizikai és hálózati kapcsolatok).
2. Az eszköz kezdeti inicializálása.
3. Kezdeti beállítás.
4. Teljesítmény értékelés.

Kicsomagoló berendezések

A berendezés megismerése a berendezés dobozból történő kivételével, az alkatrészek szétszerelésével és az alkatrészek beszerelésével kezdődik, kattintson a spoilerre, ahol a folyamat röviden bemutatásra kerül

NGFW 1590 szállítása

Röviden az összetevőkről:

• NGFW 1590;
• Adapter;
• 2 Wifi antenna (2.4 Hz és 5 Hz);
• 2 LTE antenna;
• Füzetek dokumentációval (rövid útmutató a kezdeti csatlakozáshoz, licencszerződés stb.)

Ami a hálózati portokat és interfészeket illeti, minden modern lehetőség a forgalom átvitelére és interakciójára, külön port a DMZ zónához, USB 3.0 a PC-vel való szinkronizáláshoz.

Az 1590-es verzió frissített dizájnt, modern vezeték nélküli kommunikációs és memóriabővítési lehetőségeket kapott: 2 slot a Micro/Nano SIM-vel való munkavégzéshez LTE módban. (erről a lehetőségről a vezeték nélküli kapcsolatokkal foglalkozó sorozat egyik következő cikkében tervezünk részletesen írni); SD kártya nyílás.

Az 1590 NGFW és más új modellek képességeiről bővebben itt olvashat 1 alkatrészek a CheckPoint SMB megoldásokról szóló cikksorozatból. Folytatjuk az eszköz kezdeti inicializálását.

Elsődleges inicializálás

Rendszeres olvasóinknak már tudniuk kell, hogy az 1500-as sorozatú SMB termékcsalád az új 80.20 Embedded OS-t használja, amely frissített felületet és továbbfejlesztett képességeket tartalmaz.

Az eszköz inicializálásának megkezdéséhez a következőket kell tennie:

1. Biztosítsa az átjáró áramellátását.
2. Csatlakoztassa a számítógép hálózati kábelét az átjáró LAN -1 hálózatához.
3. Opcionálisan az interfészt a WAN porthoz csatlakoztatva azonnal Internet hozzáférést biztosíthat a készüléknek.
4. Lépjen a Gaia Embedded portálra: https://192.168.1.1:4434/

Ha követte a korábban leírt lépéseket, akkor a Gaia portáloldalra lépés után meg kell erősítenie az oldal megnyitását egy nem megbízható tanúsítvánnyal, majd elindul a portál beállítási varázslója:

Egy oldal fogadja, amely jelzi az eszköz modelljét, és a következő szakaszra kell lépnie:

Felkérést kapunk, hogy hozzunk létre egy fiókot az engedélyezéshez, lehetőség van magas jelszókövetelmények megadására az adminisztrátor számára, és megadjuk az országot, ahol az átjárót használjuk.

A következő ablak a dátum- és időbeállításokkal foglalkozik; beállíthatja manuálisan, vagy használhatja a cég NTP-kiszolgálóját.

A következő lépés az eszköz nevének beállítása és a vállalati tartomány megadása, hogy az átjáró szolgáltatások megfelelően működjenek az interneten.

A következő lépés az NGFW vezérlés típusának kiválasztására vonatkozik, itt meg kell jegyezni:

1. Helyi menedzsment. Ez egy elérhető lehetőség az átjáró helyi kezelésére a Gaia Portal weboldalán.
2. Központi menedzsment. Ez a fajta kezelés magában foglalja a szinkronizálást egy dedikált CheckPoint Management szerverrel, a Smart1-Cloud felhővel vagy az SMP-vel (SMB-kezelési szolgáltatás) való szinkronizálást.

Ebben a cikkben a helyi kezelési módszerre összpontosítunk, megadhatja a szükséges módszert. Javasoljuk, hogy megismerkedjen a dedikált Management Server-rel történő szinkronizálás folyamatával link a TS Solution által készített CheckPoint Getting Started tréningsorozatból.

Ezután megjelenik egy ablak, amely meghatározza az átjáró interfészeinek működési módját:

• A váltási mód azt jelenti, hogy egy alhálózat elérhető az egyik interfészről egy másik interfész alhálózatára.
• A Kapcsoló tiltása mód ennek megfelelően letiltja a Switch módot; minden port úgy irányítja a forgalmat, mint egy külön hálózati részletet.

Javasoljuk továbbá, hogy adjon meg egy DHCP-címkészletet, amelyet az átjáró helyi interfészeihez való csatlakozáskor használnak.

A következő lépés az átjáró konfigurálása vezeték nélküli módban való működésre, a sorozat egyik cikkében ezt a szempontot tervezzük részletesebben tárgyalni, ezért a beállítások konfigurálását elhalasztottuk. Létrehozhat egy új vezeték nélküli hozzáférési pontot, beállíthat egy jelszót a csatlakozáshoz, és meghatározhatja a vezeték nélküli csatorna üzemmódját (2.4 Hz vagy 5 Hz).

A következő lépés az átjáróhoz való hozzáférés konfigurálása a vállalati rendszergazdák számára. Alapértelmezés szerint a hozzáférési jogok engedélyezettek, ha a kapcsolat innen származik:

1. Belső vállalati alhálózat
2. Megbízható vezeték nélküli hálózat
3. VPN alagút

Az átjáróhoz interneten keresztüli csatlakozás lehetőség alapértelmezés szerint le van tiltva, ez nagy kockázatokat rejt magában, és indokolni kell a felvételt, ellenkező esetben ajánlatos a példánkban szereplő módon hagyni. Megadható az is, hogy mely IP-címek legyenek engedélyezve hogy csatlakozzon az átjáróhoz.

A következő ablak a licencek aktiválására vonatkozik, az eszköz kezdeti inicializálása után 30 napos próbaidőszakot kap. Két aktiválási mód áll rendelkezésre:

1. Ha van internetkapcsolat, a licenc automatikusan aktiválódik.
2. Ha offline licencet aktivál, akkor a következőket kell tennie: töltse le a licencet a UserCenterből, regisztrálja készülékét egy speciális a portál. Ezután mindkét esetben importálnia kell a manuálisan letöltött licencet.

Végül a beállításvarázsló utolsó ablaka kéri, hogy válassza ki a bekapcsolandó blade-eket; vegye figyelembe, hogy a QOS blade csak a kezdeti inicializálás után kapcsol be. A végén egy befejezési ablakot kell kapnia, amely összefoglalja a beállításokat.

Kezdeti beállítás

Mindenekelőtt javasoljuk a licencek állapotának ellenőrzését, a további konfiguráció ettől függ. Lépjen a „KEZDŐLAP” → „Licenc” fülre:

Ha a licencek aktiválva vannak, javasoljuk, hogy azonnal frissítsen a legújabb firmware-re; ehhez lépjen az „ESZKÖZ” → „Rendszerműveletek” fülre:

A rendszerfrissítések a Firmware Upgrade elemben találhatók. Esetünkben a firmware aktuális és legújabb verziója van telepítve.

Ezután azt javaslom, hogy röviden beszéljünk a rendszerlapátok képességeiről és beállításairól. Logikusan feloszthatók hozzáférési (tűzfal, alkalmazásvezérlés, URL-szűrés) és fenyegetésmegelőzési (IPS, víruskereső, anti-Bot, fenyegetés-emuláció) szintű házirendekre.

Lépjünk a Hozzáférési szabályzat → Blade Control fülre:

Alapértelmezés szerint a STANDARD mód használatos, ez lehetővé teszi az internetre kimenő forgalmat, a helyi hálózaton belüli forgalmat, ugyanakkor blokkolja az internetről bejövő forgalmat.

Ami az ALKALMAZÁSOK ÉS URL-SZŰRÉS paneleket illeti, alapértelmezés szerint úgy vannak beállítva, hogy blokkolják a magas szintű veszélyt jelentő webhelyeket, blokkolják a cserealkalmazásokat (Torrent, Fájltárolás stb.). Ezenkívül manuálisan is letilthatja a webhelykategóriákat.

Ellenőrizzük a felhasználói forgalom „Sávszélesség-fogyasztó alkalmazások korlátozása” opciót azzal a lehetőséggel, hogy korlátozzuk a kimenő/bejövő forgalom sebességét alkalmazáscsoportok esetén.

Ezután nyissa meg a Házirend alszakaszt, ahol alapértelmezés szerint a szabályok automatikusan generálódnak a korábban leírt beállítások szerint.

A NAT alpartíció alapértelmezés szerint Global Hide Nat Automatic-ban működik, azaz minden belső gazdagép hozzáfér majd az internethez a nyilvános IP-címen keresztül. Lehetőség van manuálisan beállítani a NAT-szabályokat a webalkalmazások vagy -szolgáltatások közzétételéhez.

Ezután a hálózaton történő felhasználói hitelesítéssel foglalkozó szakasz két lehetőséget kínál: Active Directory-lekérdezések (integráció az AD-vel), Böngészőalapú hitelesítés (a felhasználó megadja a tartomány hitelesítő adatait a portálon).

Külön érdemes megemlíteni az SSL-ellenőrzést, a teljes HTTPS-forgalom részaránya a Globális Hálózaton aktívan növekszik. Nézzük meg, milyen funkciókat kínál a CheckPoint az SMB-megoldásokhoz. Ehhez lépjen az SSL-ellenőrzés → Házirend szakaszba:

A beállításokban ellenőrizheti a HTTPS-forgalmat; importálnia kell a tanúsítványt, és telepítenie kell a végfelhasználói gépeken a megbízható tanúsítványközpontba.

Az előre definiált kategóriák BYPASS üzemmódját kényelmes lehetőségnek tartjuk, amely jelentősen időt takarít meg az ellenőrzés engedélyezésekor.

A szabályok tűzfal / alkalmazás szintű konfigurálása után folytassa a biztonsági házirendek hangolását (fenyegetésmegelőzés), ehhez lépjen a megfelelő szakaszba:

A megnyitott oldalon az engedélyezett pengék, aláírások és adatbázis-frissítési állapotok láthatók. Arra is kérünk, hogy válasszunk egy profilt a hálózati kerület védelmére, és megjelennek a megfelelő beállítások.

Egy külön „IPS-védelem” szakasz lehetővé teszi a művelet konfigurálását egy adott biztonsági aláíráshoz.

Nem sokkal ezelőtt írtunk a blogunkon a globális sebezhetőségről Windows Server - SigRed. Ellenőrizzük a jelenlétét a Gaia Embedded 80.20-ban a „CVE-2020-1350” lekérdezéssel.

A rendszer egy rekordot észlel ehhez az aláíráshoz, amelyre a műveletek egyike alkalmazható. (alapértelmezés szerint a Megakadályozás a veszélyszinthez Kritikus). Ennek megfelelően az SMB megoldással Ön sem marad le a frissítésekről és a támogatásról, ez egy komplett NGFW megoldás akár 200 fős fiókirodák számára is a CheckPointtól.

Teljesítmény értékelés

A cikk befejezéseként szeretném megjegyezni, hogy az SMB-megoldás kezdeti inicializálása és konfigurálása után elérhetőek a hibaelhárítási eszközök. Léphet a „KEZDŐLAP” → „Eszközök” szakaszba. Lehetséges opciók:

• monitoring rendszer erőforrásai;
• útválasztó táblázat;
• a CheckPoint felhőszolgáltatások elérhetőségének ellenőrzése;
• CPinfo generálás;

Beépített hálózati parancsok is elérhetők: Ping, Traceroute, Traffic Capture.

Így ma áttekintettük és tanulmányoztuk az NGFW 1590 kezdeti csatlakozását és konfigurációját, hasonló műveleteket fog végrehajtani a teljes 1500 SMB Checkpoint sorozaton. A rendelkezésre álló lehetőségek nagy változatosságot mutattak a beállításokban, és támogatják a hálózat peremén folyó forgalom védelmének modern módszereit.

Ma a kis irodák és fiókok védelmét szolgáló CheckPoint megoldások (akár 200 főig) széles eszköztárral rendelkeznek, és a legújabb technológiákat alkalmazzák (felhőkezelés, SIM-kártya támogatás, memóriabővítés SD-kártyákkal stb.). Maradjon továbbra is tájékozott, és olvassa el a TS Solution cikkeit, további részeket tervezünk az SMB család NGFW CheckPointjáról, találkozunk!

Anyagok nagy választéka a Check Pointon a TS Solution-tól. Maradjon velünk (Telegram, Facebook, VK, TS Solution Blog, Yandex Zen).

Forrás: will.com