2. NGFW փոքր բիզնեսի համար: Unboxing և Setup

Մենք շարունակում ենք SMB CheckPoint մոդելի նոր տեսականու հետ աշխատելու հոդվածների շարքը, հիշեցնենք, որ ք առաջին մասը մենք նկարագրեցինք նոր մոդելների, կառավարման և կառավարման մեթոդների բնութագրերն ու հնարավորությունները: Այսօր մենք կանդրադառնանք շարքի հին մոդելի տեղակայման սցենարին՝ CheckPoint 1590 NGFW: Ահա այս հատվածի ամփոփագիրը.

1. Սարքավորումների ապափաթեթավորում (բաղադրիչների նկարագրություն, ֆիզիկական և ցանցային միացումներ):
2. Սարքի սկզբնական սկզբնավորում:
3. Նախնական կարգավորում:
4. Կատարման գնահատում.

Սարքավորումների փաթեթավորում

Սարքավորման հետ ծանոթանալը սկսվում է սարքավորումը տուփից հանելով, բաղադրիչները ապամոնտաժելով և մասեր տեղադրելով, սեղմեք սփոյլերի վրա, որտեղ հակիրճ ներկայացված է գործընթացը։

NGFW 1590-ի առաքում

Համառոտ բաղադրիչների մասին.

• NGFW 1590;
• Էլեկտրաէներգիայի ադապտեր;
• 2 Wifi ալեհավաքներ (2.4 Հց և 5 Հց);
• 2 LTE ալեհավաք;
• Գրքույկներ փաստաթղթերով (նախնական միացման կարճ ուղեցույց, լիցենզային պայմանագիր և այլն)

Ինչ վերաբերում է ցանցային նավահանգիստներին և ինտերֆեյսներին, ապա կան երթևեկության փոխանցման և փոխազդեցության բոլոր ժամանակակից հնարավորությունները, առանձին պորտ DMZ գոտու համար, USB 3.0՝ համակարգչի հետ համաժամացման համար։

1590 տարբերակը ստացել է նորացված դիզայն, անլար կապի և հիշողության ընդլայնման ժամանակակից տարբերակներ՝ 2 անցք՝ Micro/Nano SIM-ի հետ LTE ռեժիմում աշխատելու համար։ (մենք նախատեսում ենք այս տարբերակի մասին մանրամասն գրել անլար կապերի մասին մեր հաջորդ հոդվածներից մեկում); SD քարտի բնիկ:

1590 NGFW-ի և այլ նոր մոդելների հնարավորությունների մասին ավելին կարող եք կարդալ այստեղ 1 մաս CheckPoint SMB լուծումների մասին հոդվածների շարքից: Մենք կանցնենք սարքի սկզբնական սկզբնավորմանը:

Առաջնային սկզբնավորում

Մեր սովորական ընթերցողներն արդեն պետք է տեղյակ լինեն, որ 1500 Series SMB շարքն օգտագործում է նոր 80.20 Ներկառուցված ՕՀ, որը ներառում է թարմացված ինտերֆեյս և բարելավված հնարավորություններ:

Սարքի սկզբնավորումը սկսելու համար անհրաժեշտ է.

1. Էլեկտրաէներգիա տրամադրեք դարպասին:
2. Միացրեք ցանցային մալուխը ձեր համակարգչից դարպասի վրա գտնվող LAN -1-ին:
3. Ցանկության դեպքում դուք կարող եք անմիջապես սարքին տրամադրել ինտերնետ հասանելիություն՝ ինտերֆեյսը միացնելով WAN պորտին:
4. Գնացեք Gaia Embedded պորտալ. https://192.168.1.1:4434/

Եթե ​​հետևել եք նախկինում նշված քայլերին, ապա Gaia պորտալի էջ գնալուց հետո ձեզ հարկավոր է հաստատել էջը անվստահելի վկայականով բացելը, որից հետո պորտալի կարգավորումների մոգը կգործարկվի.

Ձեզ կդիմավորի էջ, որը ցույց է տալիս ձեր սարքի մոդելը, դուք պետք է անցնեք հաջորդ բաժին.

Մեզ կառաջարկվի ստեղծել հաշիվ թույլտվության համար, հնարավոր է նշել ադմինիստրատորի համար գաղտնաբառի բարձր պահանջներ, և մենք նշում ենք այն երկիրը, որտեղ մենք կօգտագործենք դարպասը:

Հաջորդ պատուհանը վերաբերում է ամսաթվի և ժամի կարգավորումներին, այն կարող եք ձեռքով սահմանել կամ օգտագործել ընկերության NTP սերվերը:

Հաջորդ քայլը ներառում է սարքի անվանումը և ընկերության տիրույթի նշումը, որպեսզի gateway ծառայությունները ճիշտ աշխատեն ինտերնետում:

Հաջորդ քայլը վերաբերում է NGFW կառավարման տեսակի ընտրությանը, այստեղ պետք է նշել.

1. Տեղական կառավարում. Սա հասանելի տարբերակ է՝ դարպասը տեղական կառավարելու համար՝ օգտագործելով Gaia Portal վեբ էջը:
2. Կենտրոնական կառավարում. Կառավարման այս տեսակը ներառում է համաժամացում հատուկ CheckPoint Management սերվերի հետ, համաժամացում Smart1-Cloud ամպի կամ SMP-ի հետ (կառավարման ծառայություն SMB-ի համար):

Այս հոդվածում մենք կկենտրոնանանք Տեղական կառավարման մեթոդի վրա, դուք կարող եք նշել այն մեթոդը, որն անհրաժեշտ է: Հատուկ կառավարման սերվերի հետ համաժամացման գործընթացին ծանոթանալու համար առաջարկում ենք ՈՒղեցույց TS Solution-ի կողմից պատրաստված CheckPoint Getting Started դասընթացների շարքից:

Այնուհետև կներկայացվի պատուհան, որը սահմանում է դարպասի միջերեսների գործառնական ռեժիմը.

• Անջատիչ ռեժիմը ենթադրում է ենթացանցի հասանելիություն մի ինտերֆեյսից մյուս ինտերֆեյսի ենթացանց:
• Անջատել անջատիչ ռեժիմը համապատասխանաբար անջատում է անջատիչ ռեժիմը, յուրաքանչյուր նավահանգիստ ուղղորդում է երթևեկությունը որպես առանձին ցանցի հատվածի համար:

Առաջարկվում է նաև նշել DHCP հասցեների լողավազան, որը կօգտագործվի դարպասի տեղական ինտերֆեյսներին միանալու ժամանակ:

Հաջորդ քայլը դարպասի կարգավորումն է անլար ռեժիմով աշխատելու համար, մենք նախատեսում ենք ավելի մանրամասն քննարկել այս ասպեկտը շարքի մեկ հոդվածում, ուստի հետաձգեցինք կարգավորումների կազմաձևումը: Դուք կարող եք ստեղծել նոր անլար մուտքի կետ, սահմանել գաղտնաբառ դրան միանալու համար և որոշել անլար կապուղու գործառնական ռեժիմը (2.4 Հց կամ 5 Հց):

Հաջորդ քայլը լինելու է ընկերության ադմինիստրատորների համար մուտքի դարպասի կարգավորումը: Լռելյայնորեն մուտքի իրավունքները թույլատրվում են, եթե կապը գալիս է.

1. Ներքին ընկերության ենթացանց
2. Վստահելի անլար ցանց
3. VPN թունել

Ինտերնետի միջոցով դարպասին միանալու տարբերակը լռելյայն անջատված է, սա մեծ ռիսկեր է պարունակում և պետք է հիմնավորված լինի ներառման համար, հակառակ դեպքում խորհուրդ է տրվում թողնել այնպես, ինչպես մեր օրինակում: Հնարավոր է նաև նշել, թե որ IP հասցեները կթույլատրվեն դարպասին միանալու համար:

Հաջորդ պատուհանը վերաբերում է լիցենզիաների ակտիվացմանը, սարքի սկզբնական սկզբնավորումից հետո ձեզ կներկայացվի 30-օրյա փորձաշրջան: Ակտիվացման երկու մատչելի եղանակ կա.

1. Եթե ​​կա ինտերնետ կապ, լիցենզիան ավտոմատ կերպով ակտիվանում է:
2. Եթե ​​լիցենզիան ակտիվացնում եք անցանց, ապա պետք է անեք հետևյալը՝ ներբեռնեք լիցենզիան UserCenter-ից, գրանցեք ձեր սարքը հատուկ պորտալը. Հաջորդը, երկու դեպքում էլ ձեզ հարկավոր է ներմուծել ձեռքով ներբեռնված լիցենզիան:

Վերջապես, կարգավորումների հրաշագործի վերջին պատուհանը ձեզ հուշում է ընտրել շեղբերները, որոնք պետք է միացվեն: Նկատի ունեցեք, որ QOS սայրը միացված է միայն նախնական սկզբնավորումից հետո: Դուք պետք է ավարտեք ավարտի պատուհանը, որն ամփոփում է ձեր կարգավորումները:

Նախնական կարգավորում

Նախևառաջ խորհուրդ ենք տալիս ստուգել լիցենզիաների կարգավիճակը, դրանից կախված կլինի հետագա կազմաձևումը: Գնացեք «ՏՈՒՆ» → «Լիցենզիա» ներդիր.

Եթե ​​լիցենզիաներն ակտիվացված են, խորհուրդ ենք տալիս անմիջապես թարմացնել վերջին ընթացիկ որոնվածը, դա անելու համար անցեք «ՍԱՐՔ» → «Համակարգի գործառնություններ» ներդիր.

Համակարգի թարմացումները գտնվում են որոնվածի թարմացում տարրում: Մեր դեպքում տեղադրված է որոնվածի ընթացիկ և վերջին տարբերակը:

Հաջորդը, ես առաջարկում եմ համառոտ խոսել համակարգի շեղբերների հնարավորությունների և պարամետրերի մասին: Տրամաբանորեն դրանք կարելի է բաժանել Access (Firewall, Application Control, URL Filtering) և Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation) մակարդակի քաղաքականության։

Եկեք գնանք մուտքի քաղաքականություն → Blade Control ներդիր.

Լռելյայնորեն օգտագործվում է STANDARD ռեժիմը, այն թույլ է տալիս ելքային տրաֆիկ դեպի ինտերնետ, երթևեկություն տեղական ցանցի ներսում, բայց միևնույն ժամանակ արգելափակում է մուտքային տրաֆիկը ինտերնետից:

Ինչ վերաբերում է APPLICATIONS & URL FILTERING blade-ներին, ապա դրանք լռելյայն կարգավորված են արգելափակել վտանգի բարձր մակարդակ ունեցող կայքերը, արգելափակել փոխանակման հավելվածները (Torrent, File Storage և այլն): Կարող եք նաև ձեռքով արգելափակել կայքերի կատեգորիաները:

Եկեք ստուգենք օգտատերերի տրաֆիկի «Սահմանափակել թողունակությունը սպառող հավելվածները» տարբերակը՝ հավելվածների խմբերի համար ելքային/մուտքային տրաֆիկի արագությունը սահմանափակելու հնարավորությամբ:

Հաջորդը, բացեք «Քաղաքականություն» ենթաբաժինը, ըստ նախնականի, կանոնները ստեղծվում են ավտոմատ կերպով՝ համաձայն նախկինում նկարագրված պարամետրերի:

NAT ենթաբաժինը լռելյայն աշխատում է Global Hide Nat Automatic-ում, այսինքն՝ բոլոր ներքին հոսթերը մուտք կունենան ինտերնետ հանրային IP հասցեի միջոցով: Հնարավոր է ձեռքով սահմանել NAT կանոնները՝ ձեր վեբ հավելվածները կամ ծառայությունները հրապարակելու համար:

Հաջորդը, բաժինը, որը վերաբերում է Օգտագործողի նույնականացմանը ցանցում, առաջարկում է երկու տարբերակ՝ Active Directory Queries (ինտեգրում ձեր AD-ի հետ), Browser-ի վրա հիմնված վավերացում (օգտագործողը մուտքագրում է տիրույթի հավատարմագրերը պորտալում):

Առանձին-առանձին հարկ է նշել SSL ստուգումը, գլոբալ ցանցում HTTPS ընդհանուր տրաֆիկի մասնաբաժինը ակտիվորեն աճում է։ Եկեք տեսնենք, թե ինչ հնարավորություններ է առաջարկում CheckPoint-ը SMB լուծումների համար: Դա անելու համար անցեք SSL-Inspection → Policy բաժին.

Կարգավորումներում դուք կարող եք ստուգել HTTPS տրաֆիկը, դուք պետք է ներմուծեք վկայագիրը և տեղադրեք այն վստահելի հավաստագրման կենտրոնում վերջնական օգտագործողի մեքենաների վրա:

Մենք նախապես սահմանված կատեգորիաների համար BYPASS ռեժիմը համարում ենք հարմար տարբերակ, ինչը զգալիորեն խնայում է ժամանակը ստուգումը միացնելիս:

Firewall/Application մակարդակում կանոնները կարգավորելուց հետո դուք պետք է անցնեք անվտանգության քաղաքականության կարգավորմանը (Վտանգների կանխարգելում), դա անելու համար անցեք համապատասխան բաժին.

Բաց էջում մենք տեսնում ենք միացված շեղբեր, ստորագրություն և տվյալների բազայի թարմացման կարգավիճակներ: Մեզ նաև խնդրում են ընտրել պրոֆիլ ցանցի պարագծը պաշտպանելու համար, և ցուցադրվում են համապատասխան կարգավորումները:

«IPS-ի պաշտպանություն» առանձին բաժինը թույլ է տալիս կարգավորել գործողությունը հատուկ անվտանգության ստորագրության համար:

Ոչ վաղ անցյալում մենք գրել էինք մեր բլոգում համաշխարհային խոցելիության մասին Windows Server-ի համար - SigRed: Եկեք ստուգենք դրա առկայությունը Gaia Embedded 80.20-ում՝ մուտքագրելով «CVE-2020-1350» հարցումը:

Այս ստորագրության համար հայտնաբերվել է գրառում, որի վրա կարող է կիրառվել գործողություններից մեկը: (Լռելյայն կանխարգելել վտանգի մակարդակը Կրիտիկական է): Համապատասխանաբար, ունենալով SMB լուծում, դուք անմասն չեք մնա թարմացումների և աջակցության առումով, սա ամբողջական NGFW լուծում է CheckPoint-ից մինչև 200 հոգու մասնաճյուղերի համար:

Կատարման գնահատում

Եզրափակելով հոդվածը, ես կցանկանայի նշել SMB լուծման նախնական սկզբնավորումից և կազմաձևումից հետո խնդիրների վերացման գործիքների առկայությունը: Կարող եք գնալ «ՏՈՒՆ» → «Գործիքներ» բաժինը: Հնարավոր տարբերակներ.

• մոնիտորինգի համակարգի ռեսուրսները;
• երթուղային սեղան;
• CheckPoint ամպային ծառայությունների հասանելիության ստուգում;
• CPinfo-ի արտադրություն;

Ներկառուցված ցանցի հրամանները նույնպես հասանելի են՝ Ping, Traceroute, Traffic Capture:

Այսպիսով, այսօր մենք վերանայեցինք և ուսումնասիրեցինք NGFW 1590-ի սկզբնական կապը և կոնֆիգուրացիան, դուք կկատարեք նմանատիպ գործողություններ ամբողջ 1500 SMB Checkpoint շարքի համար: Առկա ընտրանքները մեզ ցույց տվեցին պարամետրերի բարձր փոփոխականություն, ցանցի պարագծի երթևեկության պաշտպանության ժամանակակից մեթոդների աջակցություն:

Այսօր փոքր գրասենյակների և մասնաճյուղերի պաշտպանության CheckPoint լուծումները (մինչև 200 մարդ) ունեն գործիքների լայն տեսականի և օգտագործում են նորագույն տեխնոլոգիաներ (ամպային կառավարում, SIM քարտի աջակցություն, հիշողության ընդլայնում SD քարտերի միջոցով և այլն): Շարունակեք տեղեկացված մնալ և կարդալ TS Solution-ի հոդվածները, մենք պլանավորում ենք SMB ընտանիքի NGFW CheckPoint-ի մասին մասերի հետագա թողարկումներ, կհանդիպենք:

Նյութերի մեծ ընտրություն Check Point-ի վրա TS Solution-ից. Մնացեք մեզ հետ (Telegram, facebook, VK, TS Solution բլոգ, Յանդեքս Զեն).

Source: www.habr.com