Üdvözlök mindenkit, aki továbbra is olvassa az SMB család NGFW Check Point új generációjáról szóló sorozatot (1500-as sorozat). BAN BEN megnéztük az SMP megoldást (menedzsment portál SMB átjárókhoz). Ma a Smart-1 Cloud portálról szeretnék beszélni, amely SaaS Check Point alapú megoldásként pozicionálja magát, Management Serverként működik a felhőben, így bármely NGFW Check Point számára releváns lesz. Aki most csatlakozott hozzánk, hadd emlékeztessem a korábban tárgyalt témákra: , , .
Kiemeljük a Smart-1 Cloud főbb funkcióit:
- Egyetlen központi megoldás a teljes Check Point infrastruktúra kezeléséhez (különböző szinteken virtuális és fizikai átjárók).
- Az összes blade-re vonatkozó közös házirend-készlet lehetővé teszi az adminisztrációs folyamatok egyszerűsítését (szabályok létrehozása/szerkesztése különféle feladatokhoz).
- Profil-megközelítés támogatása az átjáróbeállításokkal végzett munka során. Felelős a hozzáférési jogok szétválasztásáért a portálon végzett munka során, ahol a hálózati adminisztrátorok, audit szakértők stb. egyszerre végezhetnek különféle feladatokat.
- Fenyegetésfigyelés, amely egy helyen biztosítja a naplókat és az események megtekintését.
- Az API-n keresztüli interakció támogatása. A felhasználó automatizálási folyamatokat valósíthat meg, leegyszerűsítve a napi rutinfeladatokat.
- Web hozzáférés. Eltávolítja az egyes operációs rendszerek támogatására vonatkozó korlátozásokat, és intuitív.
Azok számára, akik már ismerik a Check Point megoldásokat, a bemutatott alapvető képességek nem különböznek attól, hogy az infrastruktúrájában egy helyszíni dedikált Management Server van. Részben igazuk lesz, de a Smart-1 Cloud esetében a felügyeleti szerver karbantartását a Check Point szakemberei látják el. Tartalmazza: biztonsági mentések készítése, szabad hely figyelése az adathordozón, hibák kijavítása, a legújabb szoftververziók telepítése. A beállítások áttelepítésének (átvitelének) folyamata is leegyszerűsödik.
engedélyezés
Mielőtt megismerkednénk a felhőkezelési megoldás funkcionalitásával, tanulmányozzuk át a licencelési kérdéseket a tisztviselőtől .
Egy átjáró kezelése:
Az előfizetés a kiválasztott vezérlőlapoktól függ, összesen 3 irány van:
- Menedzsment. 50 GB tárhely, napi 1 GB naplók számára.
- Menedzsment + SmartEvent. 100 GB tárhely, 3 GB napi naplók, jelentéskészítés.
- Menedzsment + Megfelelőség + SmartEvent. 100 GB tárhely, 3 GB napi naplók, jelentéskészítés, beállítási javaslatok az általános információbiztonsági gyakorlatok alapján.
*A választás sok tényezőtől függ: a naplók típusától, a felhasználók számától, a forgalom mennyiségétől.
Van egy előfizetés is 5 átjáró kezelésére. Ezzel nem foglalkozunk részletesen – bármikor tájékozódhat .
A Smart-1 Cloud elindítása
A megoldást bárki kipróbálhatja, ehhez regisztrálnia kell az Infinity Portalon - a Check Point felhőszolgáltatásában, ahol a következő területekhez juthat próbaverzióhoz:
- Felhővédelem (CloudGuard SaaS, CloudGuard Native);
- Hálózatvédelem (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
- Végpontvédelem (, SandBlast Agent Cloud Management, Sandblast Mobile).
Önnel együtt bejelentkezünk a rendszerbe (új felhasználóknak regisztráció szükséges), és átlépünk a Smart-1 Cloud megoldásba:
Röviden tájékoztatni fogja Önt ennek a megoldásnak az előnyeiről (Infrastruktúra-kezelés, nincs szükség telepítésre, automatikus frissítés).
A mezők kitöltése után meg kell várnia, amíg fiókja felkészült a portálra való bejelentkezéshez:
Sikeres művelet esetén e-mailben kapja meg a regisztrációs információkat (ezt az Infinity Portalba való bejelentkezéskor kell megadni), valamint átirányítjuk a Smart-1 Cloud kezdőlapjára.
Elérhető portállapok:
- Indítsa el a SmartConsole-t. Használja a számítógépére telepített alkalmazást, vagy használja a webes felületet.
- Szinkronizálás az átjáró objektummal.
- Munka rönkökkel.
- Beállítások
Szinkronizálás az átjáróval
Kezdjük a Security Gateway szinkronizálásával; ehhez hozzá kell adni objektumként. Menjen a lapra "Csatlakozás Gateway"
Egyedi átjárónevet kell megadnia; megjegyzést fűzhet az objektumhoz. Ezután nyomja meg "Regisztráció".
Megjelenik egy átjáróobjektum, amelyet szinkronizálni kell a Management Serverrel az átjáró CLI-parancsainak végrehajtásával:
- Győződjön meg arról, hogy a legújabb JHF (Jumbo Hotfix) telepítve van az átjárón.
- Kapcsolódási token beállítása: állítsa be a security-gateway maas-t az auth-tokenre
- Ellenőrizze a szinkronizálási alagút állapotát:
MaaS állapot: Engedélyezve
MaaS alagút állapota: fel
MaaS domain név:
Service-Identifier.maas.checkpoint.com
Átjáró IP a MaaS kommunikációhoz: 100.64.0.1
Miután a tömegalagút szolgáltatásai megtörténtek, folytatnia kell a SIC-kapcsolat létrehozását az átjáró és a Smart-1 Cloud között a Smartconsole-ban. Ha a művelet sikeres, akkor az átjáró topológiáját megkapjuk, csatoljunk egy példát:
Így a Smart-1 Cloud használatakor az átjáró a „szürke” 10.64.0.1 hálózathoz csatlakozik.
Hadd tegyem hozzá, hogy elrendezésünkben az átjáró maga NAT-on keresztül éri el az internetet, ezért a felületén nincs nyilvános IP-cím, azonban azt kívülről tudjuk kezelni. Ez a Smart-1 Cloud másik érdekes funkciója, amelynek köszönhetően külön felügyeleti alhálózat jön létre saját IP-címkészlettel.
Következtetés
Miután sikeresen hozzáadott egy átjárót a Smart-1 Cloudon keresztüli kezeléshez, teljes hozzáférést kap, akárcsak a Smart Console-ban. A mi elrendezésünkben elindítottuk a webes verziót, valójában ez egy emelt virtuális gép egy futó felügyeleti klienssel.
A Smart Console és a Check Point architektúra képességeiről mindig többet megtudhat szerzőnknél .
Mára ennyi, várjuk a sorozat utolsó cikkét, melyben a Gaia 1500 Embedded telepített SMB 80.20 sorozatú család teljesítménytuning képességeit érintjük.
. Maradjon velünk (, , , , )
Forrás: will.com