Մենք շարունակում ենք SMB CheckPoint մոդելի նոր տեսականու հետ աշխատելու հոդվածների շարքը, հիշեցնենք, որ ք առաջին մասը մենք նկարագրեցինք նոր մոդելների, կառավարման և կառավարման մեթոդների բնութագրերն ու հնարավորությունները: Այսօր մենք կանդրադառնանք շարքի հին մոդելի տեղակայման սցենարին՝ CheckPoint 1590 NGFW: Ահա այս հատվածի ամփոփագիրը.
Սարքավորումների ապափաթեթավորում (բաղադրիչների նկարագրություն, ֆիզիկական և ցանցային միացումներ):
Սարքի սկզբնական սկզբնավորում:
Նախնական կարգավորում:
Կատարման գնահատում.
Սարքավորումների փաթեթավորում
Սարքավորման հետ ծանոթանալը սկսվում է սարքավորումը տուփից հանելով, բաղադրիչները ապամոնտաժելով և մասեր տեղադրելով, սեղմեք սփոյլերի վրա, որտեղ հակիրճ ներկայացված է գործընթացը։
NGFW 1590-ի առաքում
Համառոտ բաղադրիչների մասին.
NGFW 1590;
Էլեկտրաէներգիայի ադապտեր;
2 Wifi ալեհավաքներ (2.4 Հց և 5 Հց);
2 LTE ալեհավաք;
Գրքույկներ փաստաթղթերով (նախնական միացման կարճ ուղեցույց, լիցենզային պայմանագիր և այլն)
Ինչ վերաբերում է ցանցային նավահանգիստներին և ինտերֆեյսներին, ապա կան երթևեկության փոխանցման և փոխազդեցության բոլոր ժամանակակից հնարավորությունները, առանձին պորտ DMZ գոտու համար, USB 3.0՝ համակարգչի հետ համաժամացման համար։
1590 տարբերակը ստացել է նորացված դիզայն, անլար կապի և հիշողության ընդլայնման ժամանակակից տարբերակներ՝ 2 անցք՝ Micro/Nano SIM-ի հետ LTE ռեժիմում աշխատելու համար։ (մենք նախատեսում ենք այս տարբերակի մասին մանրամասն գրել անլար կապերի մասին մեր հաջորդ հոդվածներից մեկում); SD քարտի բնիկ:
1590 NGFW-ի և այլ նոր մոդելների հնարավորությունների մասին ավելին կարող եք կարդալ այստեղ 1 մաս CheckPoint SMB լուծումների մասին հոդվածների շարքից: Մենք կանցնենք սարքի սկզբնական սկզբնավորմանը:
Առաջնային սկզբնավորում
Մեր սովորական ընթերցողներն արդեն պետք է տեղյակ լինեն, որ 1500 Series SMB շարքն օգտագործում է նոր 80.20 Ներկառուցված ՕՀ, որը ներառում է թարմացված ինտերֆեյս և բարելավված հնարավորություններ:
Սարքի սկզբնավորումը սկսելու համար անհրաժեշտ է.
Էլեկտրաէներգիա տրամադրեք դարպասին:
Միացրեք ցանցային մալուխը ձեր համակարգչից դարպասի վրա գտնվող LAN -1-ին:
Ցանկության դեպքում դուք կարող եք անմիջապես սարքին տրամադրել ինտերնետ հասանելիություն՝ ինտերֆեյսը միացնելով WAN պորտին:
Եթե հետևել եք նախկինում նշված քայլերին, ապա Gaia պորտալի էջ գնալուց հետո ձեզ հարկավոր է հաստատել էջը անվստահելի վկայականով բացելը, որից հետո պորտալի կարգավորումների մոգը կգործարկվի.
Ձեզ կդիմավորի էջ, որը ցույց է տալիս ձեր սարքի մոդելը, դուք պետք է անցնեք հաջորդ բաժին.
Մեզ կառաջարկվի ստեղծել հաշիվ թույլտվության համար, հնարավոր է նշել ադմինիստրատորի համար գաղտնաբառի բարձր պահանջներ, և մենք նշում ենք այն երկիրը, որտեղ մենք կօգտագործենք դարպասը:
Հաջորդ պատուհանը վերաբերում է ամսաթվի և ժամի կարգավորումներին, այն կարող եք ձեռքով սահմանել կամ օգտագործել ընկերության NTP սերվերը:
Հաջորդ քայլը ներառում է սարքի անվանումը և ընկերության տիրույթի նշումը, որպեսզի gateway ծառայությունները ճիշտ աշխատեն ինտերնետում:
Հաջորդ քայլը վերաբերում է NGFW կառավարման տեսակի ընտրությանը, այստեղ պետք է նշել.
Տեղական կառավարում. Սա հասանելի տարբերակ է՝ դարպասը տեղական կառավարելու համար՝ օգտագործելով Gaia Portal վեբ էջը:
Կենտրոնական կառավարում. Կառավարման այս տեսակը ներառում է համաժամացում հատուկ CheckPoint Management սերվերի հետ, համաժամացում Smart1-Cloud ամպի կամ SMP-ի հետ (կառավարման ծառայություն SMB-ի համար):
Այս հոդվածում մենք կկենտրոնանանք Տեղական կառավարման մեթոդի վրա, դուք կարող եք նշել այն մեթոդը, որն անհրաժեշտ է: Հատուկ կառավարման սերվերի հետ համաժամացման գործընթացին ծանոթանալու համար առաջարկում ենք ՈՒղեցույց TS Solution-ի կողմից պատրաստված CheckPoint Getting Started դասընթացների շարքից:
Այնուհետև կներկայացվի պատուհան, որը սահմանում է դարպասի միջերեսների գործառնական ռեժիմը.
Անջատիչ ռեժիմը ենթադրում է ենթացանցի հասանելիություն մի ինտերֆեյսից մյուս ինտերֆեյսի ենթացանց:
Անջատել անջատիչ ռեժիմը համապատասխանաբար անջատում է անջատիչ ռեժիմը, յուրաքանչյուր նավահանգիստ ուղղորդում է երթևեկությունը որպես առանձին ցանցի հատվածի համար:
Առաջարկվում է նաև նշել DHCP հասցեների լողավազան, որը կօգտագործվի դարպասի տեղական ինտերֆեյսներին միանալու ժամանակ:
Հաջորդ քայլը դարպասի կարգավորումն է անլար ռեժիմով աշխատելու համար, մենք նախատեսում ենք ավելի մանրամասն քննարկել այս ասպեկտը շարքի մեկ հոդվածում, ուստի հետաձգեցինք կարգավորումների կազմաձևումը: Դուք կարող եք ստեղծել նոր անլար մուտքի կետ, սահմանել գաղտնաբառ դրան միանալու համար և որոշել անլար կապուղու գործառնական ռեժիմը (2.4 Հց կամ 5 Հց):
Հաջորդ քայլը լինելու է ընկերության ադմինիստրատորների համար մուտքի դարպասի կարգավորումը: Լռելյայնորեն մուտքի իրավունքները թույլատրվում են, եթե կապը գալիս է.
Ներքին ընկերության ենթացանց
Վստահելի անլար ցանց
VPN թունել
Ինտերնետի միջոցով դարպասին միանալու տարբերակը լռելյայն անջատված է, սա մեծ ռիսկեր է պարունակում և պետք է հիմնավորված լինի ներառման համար, հակառակ դեպքում խորհուրդ է տրվում թողնել այնպես, ինչպես մեր օրինակում: Հնարավոր է նաև նշել, թե որ IP հասցեները կթույլատրվեն դարպասին միանալու համար:
Հաջորդ պատուհանը վերաբերում է լիցենզիաների ակտիվացմանը, սարքի սկզբնական սկզբնավորումից հետո ձեզ կներկայացվի 30-օրյա փորձաշրջան: Ակտիվացման երկու մատչելի եղանակ կա.
Եթե կա ինտերնետ կապ, լիցենզիան ավտոմատ կերպով ակտիվանում է:
Եթե լիցենզիան ակտիվացնում եք անցանց, ապա պետք է անեք հետևյալը՝ ներբեռնեք լիցենզիան UserCenter-ից, գրանցեք ձեր սարքը հատուկ պորտալը. Հաջորդը, երկու դեպքում էլ ձեզ հարկավոր է ներմուծել ձեռքով ներբեռնված լիցենզիան:
Վերջապես, կարգավորումների հրաշագործի վերջին պատուհանը ձեզ հուշում է ընտրել շեղբերները, որոնք պետք է միացվեն: Նկատի ունեցեք, որ QOS սայրը միացված է միայն նախնական սկզբնավորումից հետո: Դուք պետք է ավարտեք ավարտի պատուհանը, որն ամփոփում է ձեր կարգավորումները:
Նախնական կարգավորում
Նախևառաջ խորհուրդ ենք տալիս ստուգել լիցենզիաների կարգավիճակը, դրանից կախված կլինի հետագա կազմաձևումը: Գնացեք «ՏՈՒՆ» → «Լիցենզիա» ներդիր.
Եթե լիցենզիաներն ակտիվացված են, խորհուրդ ենք տալիս անմիջապես թարմացնել վերջին ընթացիկ որոնվածը, դա անելու համար անցեք «ՍԱՐՔ» → «Համակարգի գործառնություններ» ներդիր.
Համակարգի թարմացումները գտնվում են որոնվածի թարմացում տարրում: Մեր դեպքում տեղադրված է որոնվածի ընթացիկ և վերջին տարբերակը:
Հաջորդը, ես առաջարկում եմ համառոտ խոսել համակարգի շեղբերների հնարավորությունների և պարամետրերի մասին: Տրամաբանորեն դրանք կարելի է բաժանել Access (Firewall, Application Control, URL Filtering) և Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation) մակարդակի քաղաքականության։
Եկեք գնանք մուտքի քաղաքականություն → Blade Control ներդիր.
Լռելյայնորեն օգտագործվում է STANDARD ռեժիմը, այն թույլ է տալիս ելքային տրաֆիկ դեպի ինտերնետ, երթևեկություն տեղական ցանցի ներսում, բայց միևնույն ժամանակ արգելափակում է մուտքային տրաֆիկը ինտերնետից:
Ինչ վերաբերում է APPLICATIONS & URL FILTERING blade-ներին, ապա դրանք լռելյայն կարգավորված են արգելափակել վտանգի բարձր մակարդակ ունեցող կայքերը, արգելափակել փոխանակման հավելվածները (Torrent, File Storage և այլն): Կարող եք նաև ձեռքով արգելափակել կայքերի կատեգորիաները:
Եկեք ստուգենք օգտատերերի տրաֆիկի «Սահմանափակել թողունակությունը սպառող հավելվածները» տարբերակը՝ հավելվածների խմբերի համար ելքային/մուտքային տրաֆիկի արագությունը սահմանափակելու հնարավորությամբ:
Հաջորդը, բացեք «Քաղաքականություն» ենթաբաժինը, ըստ նախնականի, կանոնները ստեղծվում են ավտոմատ կերպով՝ համաձայն նախկինում նկարագրված պարամետրերի:
NAT ենթաբաժինը լռելյայն աշխատում է Global Hide Nat Automatic-ում, այսինքն՝ բոլոր ներքին հոսթերը մուտք կունենան ինտերնետ հանրային IP հասցեի միջոցով: Հնարավոր է ձեռքով սահմանել NAT կանոնները՝ ձեր վեբ հավելվածները կամ ծառայությունները հրապարակելու համար:
Հաջորդը, բաժինը, որը վերաբերում է Օգտագործողի նույնականացմանը ցանցում, առաջարկում է երկու տարբերակ՝ Active Directory Queries (ինտեգրում ձեր AD-ի հետ), Browser-ի վրա հիմնված վավերացում (օգտագործողը մուտքագրում է տիրույթի հավատարմագրերը պորտալում):
Առանձին-առանձին հարկ է նշել SSL ստուգումը, գլոբալ ցանցում HTTPS ընդհանուր տրաֆիկի մասնաբաժինը ակտիվորեն աճում է։ Եկեք տեսնենք, թե ինչ հնարավորություններ է առաջարկում CheckPoint-ը SMB լուծումների համար: Դա անելու համար անցեք SSL-Inspection → Policy բաժին.
Կարգավորումներում դուք կարող եք ստուգել HTTPS տրաֆիկը, դուք պետք է ներմուծեք վկայագիրը և տեղադրեք այն վստահելի հավաստագրման կենտրոնում վերջնական օգտագործողի մեքենաների վրա:
Մենք նախապես սահմանված կատեգորիաների համար BYPASS ռեժիմը համարում ենք հարմար տարբերակ, ինչը զգալիորեն խնայում է ժամանակը ստուգումը միացնելիս:
Firewall/Application մակարդակում կանոնները կարգավորելուց հետո դուք պետք է անցնեք անվտանգության քաղաքականության կարգավորմանը (Վտանգների կանխարգելում), դա անելու համար անցեք համապատասխան բաժին.
Բաց էջում մենք տեսնում ենք միացված շեղբեր, ստորագրություն և տվյալների բազայի թարմացման կարգավիճակներ: Մեզ նաև խնդրում են ընտրել պրոֆիլ ցանցի պարագծը պաշտպանելու համար, և ցուցադրվում են համապատասխան կարգավորումները:
«IPS-ի պաշտպանություն» առանձին բաժինը թույլ է տալիս կարգավորել գործողությունը հատուկ անվտանգության ստորագրության համար:
Ոչ վաղ անցյալում մենք գրել էինք մեր բլոգում համաշխարհային խոցելիության մասին Windows Server-ի համար - SigRed: Եկեք ստուգենք դրա առկայությունը Gaia Embedded 80.20-ում՝ մուտքագրելով «CVE-2020-1350» հարցումը:
Այս ստորագրության համար հայտնաբերվել է գրառում, որի վրա կարող է կիրառվել գործողություններից մեկը: (Լռելյայն կանխարգելել վտանգի մակարդակը Կրիտիկական է): Համապատասխանաբար, ունենալով SMB լուծում, դուք անմասն չեք մնա թարմացումների և աջակցության առումով, սա ամբողջական NGFW լուծում է CheckPoint-ից մինչև 200 հոգու մասնաճյուղերի համար:
Կատարման գնահատում
Եզրափակելով հոդվածը, ես կցանկանայի նշել SMB լուծման նախնական սկզբնավորումից և կազմաձևումից հետո խնդիրների վերացման գործիքների առկայությունը: Կարող եք գնալ «ՏՈՒՆ» → «Գործիքներ» բաժինը: Հնարավոր տարբերակներ.
մոնիտորինգի համակարգի ռեսուրսները;
երթուղային սեղան;
CheckPoint ամպային ծառայությունների հասանելիության ստուգում;
CPinfo-ի արտադրություն;
Ներկառուցված ցանցի հրամանները նույնպես հասանելի են՝ Ping, Traceroute, Traffic Capture:
Այսպիսով, այսօր մենք վերանայեցինք և ուսումնասիրեցինք NGFW 1590-ի սկզբնական կապը և կոնֆիգուրացիան, դուք կկատարեք նմանատիպ գործողություններ ամբողջ 1500 SMB Checkpoint շարքի համար: Առկա ընտրանքները մեզ ցույց տվեցին պարամետրերի բարձր փոփոխականություն, ցանցի պարագծի երթևեկության պաշտպանության ժամանակակից մեթոդների աջակցություն:
Այսօր փոքր գրասենյակների և մասնաճյուղերի պաշտպանության CheckPoint լուծումները (մինչև 200 մարդ) ունեն գործիքների լայն տեսականի և օգտագործում են նորագույն տեխնոլոգիաներ (ամպային կառավարում, SIM քարտի աջակցություն, հիշողության ընդլայնում SD քարտերի միջոցով և այլն): Շարունակեք տեղեկացված մնալ և կարդալ TS Solution-ի հոդվածները, մենք պլանավորում ենք SMB ընտանիքի NGFW CheckPoint-ի մասին մասերի հետագա թողարկումներ, կհանդիպենք: