ProHoster > Blog > Adminisztráció > Check Point Gaia R80.40. Mi újság?

Check Point Gaia R80.40. Mi újság?

Check Point Gaia R80.40. Mi újság?

Közeleg az operációs rendszer következő kiadása Gaia R80.40. Pár hete Elindult az Early Access program, ahol elérheti a disztribúció tesztelését. Szokás szerint közöljük az újdonságokkal kapcsolatos információkat, és kiemeljük a mi szempontunkból legérdekesebb pontokat. A jövőre nézve elmondhatom, hogy az újítások valóban jelentősek. Ezért érdemes felkészülni egy korai frissítési eljárásra. Korábban már volt cikket publikált hogyan kell ezt megtenni (további információért látogassa meg a itt elérhető). Térjünk a témára...

Mi újság

Nézzük meg itt a hivatalosan bejelentett újításokat. Az oldalról vett információ Ellenőrizze a társakat (hivatalos Check Point közösség). Engedelmeddel nem fordítom le ezt a szöveget, szerencsére a habr közönség megengedi. Ehelyett meghagyom a megjegyzéseimet a következő fejezethez.

1. IoT biztonság. A tárgyak internetéhez kapcsolódó új szolgáltatások

  • Gyűjtsön IoT-eszközöket és forgalmi attribútumokat tanúsított IoT-felderítő motorokból (jelenleg a Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM és Armis támogatása).
  • Konfiguráljon egy új IoT-dedikált házirend-réteget a házirendkezelésben.
  • Konfigurálja és kezelje az IoT-eszközök attribútumain alapuló biztonsági szabályokat.

2.TLS ellenőrzésHTTP / 2:

  • A HTTP/2 a HTTP protokoll frissítése. A frissítés javítja a sebességet, a hatékonyságot és a biztonságot, és jobb felhasználói élményt eredményez.
  • A Check Point biztonsági átjárója mostantól támogatja a HTTP/2-t, és nagyobb sebességet és hatékonyságot biztosít, miközben teljes biztonságot nyújt az összes fenyegetésmegelőzési és hozzáférés-vezérlő panellel, valamint a HTTP/2 protokoll új védelmével.
  • A támogatás mind a tiszta, mind az SSL-titkosított forgalomhoz tartozik, és teljes mértékben integrálva van a HTTPS/TLS-szel
  • Ellenőrzési képességek.

TLS vizsgálati réteg. Újítások a HTTPS ellenőrzéssel kapcsolatban:

  • A SmartConsole új házirend-rétege a TLS-vizsgálatnak szentelve.
  • Különböző TLS-ellenőrzési rétegek használhatók a különböző házirend-csomagokban.
  • A TLS-ellenőrzési réteg megosztása több házirend-csomag között.
  • API TLS műveletekhez.

3. Veszélyek megelőzése

  • A fenyegetésmegelőzési folyamatok és frissítések általános hatékonyságának növelése.
  • A Threat Extraction Engine automatikus frissítései.
  • A dinamikus, tartományi és frissíthető objektumok mostantól használhatók a fenyegetésmegelőzési és a TLS-ellenőrzési házirendekben. A frissíthető objektumok olyan hálózati objektumok, amelyek külső szolgáltatást vagy ismert dinamikus IP-címlistát képviselnek, például - Office365 / Google / Azure / AWS IP-címek és földrajzi objektumok.
  • Az Anti-Virus mostantól SHA-1 és SHA-256 fenyegetésjelzéseket használ a fájlok blokkolására a kivonatolásuk alapján. Importálja az új indikátorokat a SmartConsole fenyegetésjelzői nézetből vagy a Custom Intelligence Feed CLI-ből.
  • Az Anti-Virus és a SandBlast Threat Emulation mostantól támogatja az e-mail forgalom POP3 protokollon keresztüli vizsgálatát, valamint az e-mail forgalom továbbfejlesztett ellenőrzését az IMAP protokollon keresztül.
  • Az Anti-Virus és a SandBlast Threat Emulation mostantól az újonnan bevezetett SSH-ellenőrzési funkciót használja az SCP- és SFTP-protokollokon keresztül továbbított fájlok ellenőrzésére.
  • Az Anti-Virus és a SandBlast Threat Emulation mostantól továbbfejlesztett támogatást nyújt az SMBv3 ellenőrzéshez (3.0, 3.0.2, 3.1.1), amely magában foglalja a többcsatornás kapcsolatok ellenőrzését is. A Check Point mára az egyetlen szállító, amely támogatja a fájlátvitel több csatornán keresztüli ellenőrzését (ez a szolgáltatás minden Windows-környezetben alapértelmezés szerint be van kapcsolva). Ez lehetővé teszi az ügyfelek számára, hogy biztonságban maradjanak, miközben ezzel a teljesítménynövelő funkcióval dolgoznak.

4. Identitástudatosság

  • A Captive Portal integrációjának támogatása SAML 2.0-val és harmadik fél identitásszolgáltatókkal.
  • Az Identity Broker támogatása az identitásadatok skálázható és részletes megosztásához a PDP-k között, valamint a tartományok közötti megosztáshoz.
  • A Terminal Servers Agent továbbfejlesztései a jobb méretezés és kompatibilitás érdekében.

5. IPsec VPN

  • Konfiguráljon különböző VPN-titkosítási tartományokat egy biztonsági átjárón, amely több VPN-közösség tagja. Ez biztosítja:
  • Továbbfejlesztett adatvédelem – A belső hálózatokat nem hozzák nyilvánosságra az IKE protokollal kapcsolatos tárgyalásai során.
  • Továbbfejlesztett biztonság és részletesség – Adja meg, mely hálózatok érhetők el egy adott VPN-közösségben.
  • Továbbfejlesztett együttműködés – Egyszerűsített útvonal-alapú VPN-definíciók (ajánlott, ha üres VPN-titkosítási tartományban dolgozik).
  • LSV-profilok segítségével nagy léptékű VPN (LSV) környezetet hozhat létre, és zökkenőmentesen dolgozhat vele.

6. URL-szűrés

  • Továbbfejlesztett méretezhetőség és rugalmasság.
  • Kibővített hibaelhárítási lehetőségek.

7.NAT

  • Továbbfejlesztett NAT-portkiosztási mechanizmus – a 6 vagy több CoreXL Firewall-példánnyal rendelkező biztonsági átjárókon minden példány ugyanazt a NAT-portkészletet használja, ami optimalizálja a porthasználatot és az újrafelhasználást.
  • NAT port kihasználtság figyelése CPView-ban és SNMP-vel.

8. Voice over IP (VoIP)A teljesítmény fokozása érdekében több CoreXL Firewall-példány kezeli a SIP protokollt.

9. Távoli hozzáférés VPNHasználja a géptanúsítványt a vállalati és a nem vállalati eszközök megkülönböztetésére, és olyan szabályzat beállítására, amely csak a vállalati eszközök használatát érvényesíti. A kényszerítés lehet bejelentkezés előtti (csak eszközhitelesítés) vagy bejelentkezés utáni (eszköz- és felhasználó-hitelesítés).

10. Mobil hozzáférési portál ügynökTovábbfejlesztett Endpoint Security on Demand a Mobile Access Portal Agenten belül az összes főbb webböngésző támogatásához. További információkért lásd: sk113410.

11.CoreXL és Multi-Queue

  • Támogatja a CoreXL SND-k és tűzfalpéldányok automatikus kiosztását, amely nem igényel biztonsági átjáró újraindítását.
  • Továbbfejlesztett, azonnali élmény – A Security Gateway automatikusan módosítja a CoreXL SND-k és a tűzfalpéldányok számát, valamint a Multi-Queue konfigurációt az aktuális forgalmi terhelés alapján.

12. Klaszterezés

  • A Cluster Control Protocol támogatása Unicast módban, így nincs szükség CCP-re

Broadcast vagy Multicast módok:

  • A Cluster Control Protocol titkosítás alapértelmezés szerint engedélyezve van.
  • Új ClusterXL mód - Aktív/Aktív, amely támogatja a különböző földrajzi helyeken lévő fürttagokat, amelyek különböző alhálózatokon helyezkednek el, és eltérő IP-címmel rendelkeznek.
  • Különböző szoftververziókat futtató ClusterXL Cluster Members támogatás.
  • Megszüntette a MAC Magic konfiguráció szükségességét, ha több fürt csatlakozik ugyanahhoz az alhálózathoz.

13. VSX

  • Támogatás a VSX frissítéshez CPUSE-val a Gaia portálon.
  • Az Active Up mód támogatása a VSLS-ben.
  • CPView statisztikai jelentések támogatása minden virtuális rendszerhez

14. Zero TouchEgyszerű Plug & Play beállítási folyamat a készülék telepítéséhez – nincs szükség műszaki szakértelemre, és a kezdeti konfigurációhoz nem kell csatlakozni a készülékhez.

15. Gaia REST APIA Gaia REST API új módot biztosít az információk olvasására és küldésére a Gaia operációs rendszert futtató szerverekre. Lásd: sk143612.

16. Speciális útválasztás

  • Az OSPF és a BGP továbbfejlesztései lehetővé teszik a szomszédos OSPF alaphelyzetbe állítását és újraindítását minden egyes CoreXL Firewall-példányhoz anélkül, hogy újra kellene indítani az irányított démont.
  • Az útvonal-frissítés javítása a BGP-útvonal-ellentmondások jobb kezeléséhez.

17. Új kernel képességek

  • Frissített Linux kernel
  • Új particionáló rendszer (gpt):
  • 2 TB-nál több fizikai/logikai meghajtót támogat
  • Gyorsabb fájlrendszer (xfs)
  • Nagyobb rendszertároló támogatása (akár 48 TB tesztelve)
  • I/O-val kapcsolatos teljesítményjavítások
  • Többsoros:
  • Teljes Gaia Clish támogatás a Multi-Queue parancsokhoz
  • Automatikus „alapértelmezés szerint be” konfiguráció
  • SMB v2/3 rögzítési támogatás a Mobile Access blade-ben
  • NFSv4 (kliens) támogatás hozzáadva (az NFS v4.2 az alapértelmezett használt NFS-verzió)
  • Új rendszereszközök támogatása a rendszer hibakereséséhez, figyeléséhez és konfigurálásához

18. CloudGuard vezérlő

  • Teljesítményfejlesztések a külső adatközpontokhoz való csatlakozáshoz.
  • Integráció a VMware NSX-T-vel.
  • További API-parancsok támogatása a Data Center Server objektumok létrehozásához és szerkesztéséhez.

19. Multi-Domain Server

  • Készítsen biztonsági másolatot és állítson vissza egy egyedi tartományfelügyeleti kiszolgálót egy többtartományos kiszolgálón.
  • Egy többtartományos kiszolgálón lévő tartományfelügyeleti kiszolgáló áttelepítése egy másik többtartományos biztonsági felügyeletre.
  • Migráljon át egy biztonsági felügyeleti kiszolgálót, hogy tartományfelügyeleti kiszolgálóvá váljon egy többtartományos kiszolgálón.
  • Migráljon át egy tartományfelügyeleti kiszolgálót, hogy biztonsági felügyeleti kiszolgálóvá váljon.
  • További szerkesztés céljából állítson vissza egy tartományt egy többtartományos kiszolgálón vagy egy biztonsági felügyeleti kiszolgálón egy korábbi verzióra.

20. SmartTasks és API

  • Új Management API hitelesítési módszer, amely automatikusan generált API-kulcsot használ.
  • Új Management API-parancsok fürtobjektumok létrehozásához.
  • A Jumbo Hotfix Accumulator és gyorsjavítások központi telepítése a SmartConsole-ból vagy API-val lehetővé teszi több biztonsági átjáró és fürt párhuzamos telepítését vagy frissítését.
  • Intelligens feladatok – Automatikus parancsfájlok vagy HTTPS-kérelmek konfigurálása, amelyeket rendszergazdai feladatok indítanak el, például munkamenet közzététele vagy házirend telepítése.

21. TelepítésA Jumbo Hotfix Accumulator és gyorsjavítások központi telepítése a SmartConsole-ból vagy API-val lehetővé teszi több biztonsági átjáró és fürt párhuzamos telepítését vagy frissítését.

22. SmartEventOssza meg a SmartView-nézeteket és jelentéseket más rendszergazdákkal.

23.Rönk exportőrA mezőértékek szerint szűrt naplók exportálása.

24. Endpoint Security

  • A BitLocker titkosítás támogatása a teljes lemeztitkosításhoz.
  • Külső tanúsító hatósági tanúsítványok támogatása az Endpoint Security ügyfél számára
  • hitelesítés és kommunikáció az Endpoint Security Management Server kiszolgálóval.
  • Az Endpoint Security Client csomagok dinamikus méretének támogatása a kiválasztottak alapján
  • funkciók a telepítéshez.
  • A házirend mostantól szabályozhatja a végfelhasználók értesítéseinek szintjét.
  • Állandó VDI környezet támogatása az Endpoint Policy Managementben.

Mi tetszett a legjobban (ügyfélfeladatok alapján)

Amint látja, rengeteg újítás van. De nekünk, mint nekünk rendszerintegrátor, van több nagyon érdekes pont (amelyek ügyfeleink számára is érdekesek). Top 10-ünk:

  1. Végre megjelent az IoT-eszközök teljes támogatása. Már elég nehéz olyan céget találni, amely nem rendelkezik ilyen eszközökkel.
  2. A TLS-ellenőrzés most egy külön rétegbe (Réteg) kerül. Sokkal kényelmesebb, mint most (80.30-nál). Nincs többé a régi Legasy Dashboard futtatása. Ezenkívül mostantól frissíthető objektumokat is használhat a HTTPS-ellenőrzési házirendben, például Office365, Google, Azure, AWS stb. szolgáltatásokat. Ez nagyon kényelmes, ha kivételeket kell beállítani. A tls 1.3-hoz azonban továbbra sincs támogatás. Nyilvánvalóan „utolérik” a következő gyorsjavítást.
  3. Jelentős változások az Anti-Virus és a SandBlast terén. Most már ellenőrizheti az olyan protokollokat, mint az SCP, SFTP és SMBv3 (mellesleg ezt a többcsatornás protokollt már senki sem tudja ellenőrizni).
  4. Számos fejlesztés történt a helyek közötti VPN-sel kapcsolatban. Mostantól több VPN-tartományt is konfigurálhat egy átjárón, amely több VPN-közösség részét képezi. Nagyon kényelmes és sokkal biztonságosabb. Ezenkívül a Check Point végre emlékezett az útvonalalapú VPN-re, és kissé javította a stabilitását/kompatibilitását.
  5. Megjelent egy nagyon népszerű szolgáltatás a távoli felhasználók számára. Most már nemcsak a felhasználót, hanem az eszközt is hitelesítheti, amelyről csatlakozik. Például csak vállalati eszközökről szeretnénk engedélyezni a VPN-kapcsolatokat. Ez természetesen tanúsítványok segítségével történik. Lehetőség van VPN-kliens segítségével a távoli felhasználók számára a fájlmegosztások automatikus csatlakoztatására (SMB v2/3).
  6. Nagyon sok változás van a klaszter működésében. De talán az egyik legérdekesebb egy olyan klaszter működtetésének lehetősége, ahol az átjárók a Gaia különböző verzióit tartalmazzák. Ez kényelmes a frissítés tervezésekor.
  7. Továbbfejlesztett Zero Touch képességek. Hasznos dolog azok számára, akik gyakran telepítenek „kis” átjárókat (például ATM-ekhez).
  8. A naplók esetében mostantól a 48 TB-ig terjedő tárolás támogatott.
  9. Megoszthatja SmartEvent irányítópultjait más rendszergazdákkal.
  10. A Log Exporter mostantól lehetővé teszi az elküldött üzenetek előszűrését a kötelező mezők használatával. Azok. Csak a szükséges naplók és események kerülnek továbbításra a SIEM-rendszerekbe

frissítés

Talán sokan gondolkodnak már a frissítésen. Nem kell sietni. Kezdetben a 80.40-es verziónak át kell állnia az Általános elérhetőségre. De még ezek után sem szabad azonnal frissíteni. Jobb, ha megvárja legalább az első gyorsjavítást.
Talán sokan „ülnek” a régebbi verziókon. Elmondhatom, hogy minimum már lehet (sőt kell is) frissíteni 80.30-ra. Ez már egy stabil és bevált rendszer!

Nyilvános oldalainkra is feliratkozhat (Telegram, Facebook, VK, TS Solution Blog), ahol nyomon követheti az új anyagok megjelenését a Check Pointon és más biztonsági termékeken.

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

A Gaia melyik verzióját használod?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Más

13 felhasználó szavazott. 6 felhasználó tartózkodott.

Forrás: will.com

Hozzászólás