2. NGFW untuk usaha kecil. Membuka Kotak dan Pengaturan
Kami melanjutkan rangkaian artikel tentang bekerja dengan rangkaian model SMB CheckPoint yang baru, izinkan kami mengingatkan Anda bahwa di bagian pertama kami menjelaskan karakteristik dan kemampuan model, metode manajemen dan administrasi baru. Hari ini kita akan melihat skenario penerapan model lama dalam seri ini: CheckPoint 1590 NGFW. Berikut ringkasan bagian ini:
Membongkar peralatan (deskripsi komponen, koneksi fisik dan jaringan).
Inisialisasi perangkat awal.
Pengaturan awal.
Penilaian kinerja.
Membongkar Peralatan
Mengenal peralatan dimulai dengan mengeluarkan peralatan dari kotaknya, membongkar komponen dan memasang suku cadang; klik spoiler, di mana prosesnya disajikan secara singkat
Pengiriman NGFW 1590
Secara singkat tentang komponen:
NGFW 1590;
Adaptor daya;
2 Antena Wifi (2.4 Hz dan 5 Hz);
2 antena LTE;
Buklet dengan dokumentasi (panduan singkat untuk koneksi awal, perjanjian lisensi, dll.)
Sedangkan untuk port dan antarmuka jaringan, terdapat semua kemampuan modern untuk transmisi dan interaksi lalu lintas, port terpisah untuk zona DMZ, USB 3.0 untuk sinkronisasi dengan PC.
Versi 1590 menerima desain yang diperbarui, opsi modern untuk komunikasi nirkabel dan perluasan memori: 2 slot untuk bekerja dengan Micro/Nano SIM dalam mode LTE. (kami berencana untuk menulis tentang opsi ini secara rinci di salah satu artikel kami berikutnya dalam seri yang didedikasikan untuk koneksi nirkabel); Slot kartu SD.
Anda dapat membaca lebih lanjut mengenai kemampuan NGFW 1590 dan model baru lainnya di 1 bagian dari serangkaian artikel tentang solusi CheckPoint SMB. Kami akan melanjutkan ke inisialisasi awal perangkat.
Inisialisasi primer
Pembaca reguler kami seharusnya sudah mengetahui bahwa lini SMB Seri 1500 menggunakan OS Tertanam 80.20 baru, yang mencakup antarmuka yang diperbarui dan kemampuan yang ditingkatkan.
Untuk mulai menginisialisasi perangkat, Anda perlu:
Memberikan daya ke gateway.
Hubungkan kabel jaringan dari PC Anda ke LAN -1 di gateway.
Secara opsional, Anda dapat segera memberikan perangkat akses Internet dengan menghubungkan antarmuka ke port WAN.
Jika Anda mengikuti langkah-langkah yang disebutkan sebelumnya, maka setelah membuka halaman portal Gaia, Anda perlu mengonfirmasi pembukaan halaman dengan sertifikat yang tidak tepercaya, setelah itu wizard pengaturan portal akan diluncurkan:
Anda akan disambut oleh halaman yang menunjukkan model perangkat Anda, Anda harus pergi ke bagian berikutnya:
Kami akan diminta untuk membuat akun untuk otorisasi, dimungkinkan untuk menentukan persyaratan kata sandi yang tinggi untuk administrator, dan kami menunjukkan negara tempat kami akan menggunakan gateway.
Jendela berikutnya menyangkut pengaturan tanggal dan waktu; Anda dapat mengaturnya secara manual atau menggunakan server NTP perusahaan.
Langkah selanjutnya melibatkan menetapkan nama untuk perangkat dan menentukan domain perusahaan agar layanan gateway berfungsi dengan benar di Internet.
Langkah selanjutnya menyangkut pemilihan jenis kendali NGFW, berikut yang perlu diperhatikan:
Manajemen Lokal. Ini adalah opsi yang tersedia untuk mengelola gateway secara lokal menggunakan halaman web Portal Gaia.
Manajemen Pusat. Jenis manajemen ini mencakup sinkronisasi dengan server Manajemen CheckPoint khusus, sinkronisasi dengan cloud Smart1-Cloud atau dengan SMP (layanan manajemen untuk SMB).
Pada artikel ini, kami akan fokus pada metode Manajemen Lokal; Anda dapat menentukan metode yang diperlukan. Untuk membiasakan diri Anda dengan proses sinkronisasi dengan Server Manajemen khusus, kami sarankan link dari seri pelatihan Memulai CheckPoint yang disiapkan oleh TS Solution.
Selanjutnya, sebuah jendela akan ditampilkan yang menentukan mode operasi antarmuka pada gateway:
Mode peralihan menyiratkan ketersediaan subnet dari satu antarmuka ke subnet antarmuka lain.
Mode Disable Switch akan menonaktifkan mode Switch; setiap port merutekan lalu lintas seperti untuk fragmen jaringan yang terpisah.
Diusulkan juga untuk menentukan kumpulan alamat DHCP yang akan digunakan saat menghubungkan ke antarmuka lokal gateway.
Langkah selanjutnya adalah mengkonfigurasi gateway agar berfungsi dalam mode nirkabel; kami berencana untuk membahas aspek ini secara lebih rinci dalam satu artikel di seri ini, jadi kami menunda konfigurasi pengaturannya. Anda dapat membuat titik akses nirkabel baru, menetapkan kata sandi untuk menyambungkannya, dan menentukan mode pengoperasian saluran nirkabel (2.4 Hz atau 5 Hz).
Langkah selanjutnya adalah mengkonfigurasi akses ke gateway untuk administrator perusahaan. Secara default, hak akses diperbolehkan jika koneksi berasal dari:
Subnet internal perusahaan
Jaringan nirkabel tepercaya
terowongan VPN
Opsi untuk terhubung ke gateway melalui Internet dinonaktifkan secara default, ini membawa risiko besar dan harus dibenarkan untuk dimasukkan, jika tidak, disarankan untuk membiarkannya seperti dalam contoh kita. Dimungkinkan juga untuk menentukan alamat IP mana yang akan diizinkan untuk terhubung ke gerbang.
Jendela berikutnya menyangkut aktivasi lisensi, setelah inisialisasi awal perangkat, Anda akan diberikan masa uji coba 30 hari. Ada dua metode aktivasi yang tersedia:
Jika ada koneksi internet, lisensi diaktifkan secara otomatis.
Jika Anda mengaktifkan lisensi secara offline, Anda perlu melakukan hal berikut: unduh lisensi dari UserCenter, daftarkan perangkat Anda di tempat khusus portal. Selanjutnya, untuk kedua kasus tersebut, Anda perlu mengimpor lisensi yang diunduh secara manual.
Terakhir, jendela terakhir di wizard pengaturan meminta Anda memilih blade yang akan diaktifkan; perhatikan bahwa blade QOS diaktifkan hanya setelah inisialisasi awal. Anda akan melihat jendela penyelesaian yang merangkum pengaturan Anda.
Pengaturan awal
Pertama-tama, kami menyarankan untuk memeriksa status lisensi; konfigurasi lebih lanjut akan bergantung pada ini. Buka tab βHOMEβ β βLisensiβ:
Jika lisensi diaktifkan, kami sarankan segera memperbarui ke firmware terkini; untuk melakukan ini, buka tab βPERANGKATβ β βOperasi Sistemβ:
Pembaruan sistem terletak di item Peningkatan Firmware. Dalam kasus kami, versi firmware terkini dan terbaru telah diinstal.
Selanjutnya, saya mengusulkan untuk berbicara secara singkat tentang kemampuan dan pengaturan blade sistem. Logikanya, kebijakan tersebut dapat dibagi menjadi kebijakan tingkat Akses (Firewall, Kontrol Aplikasi, Pemfilteran URL) dan Pencegahan Ancaman (IPS, Antivirus, Anti-Bot, Emulasi Ancaman).
Mari buka tab Kebijakan Akses β Kontrol Blade:
Secara default, mode STANDAR digunakan, memungkinkan lalu lintas keluar ke Internet, lalu lintas dalam jaringan lokal, tetapi pada saat yang sama memblokir lalu lintas masuk dari Internet.
Sedangkan untuk bilah APLIKASI & PENYARINGAN URL, secara default disetel untuk memblokir situs dengan tingkat bahaya tinggi, memblokir aplikasi pertukaran (Torrent, Penyimpanan File, dll.). Anda juga dapat memblokir kategori situs secara manual.
Mari kita periksa opsi untuk lalu lintas pengguna βBatasi aplikasi yang memakan bandwidthβ dengan kemampuan untuk membatasi kecepatan lalu lintas keluar/masuk untuk grup aplikasi.
Selanjutnya, buka subbagian Kebijakan, secara default, aturan dibuat secara otomatis sesuai dengan pengaturan yang dijelaskan sebelumnya.
Subbagian NAT secara default berfungsi di Global Hide Nat Automatic, yaitu semua host internal akan memiliki akses ke Internet melalui alamat IP publik. Anda dapat menetapkan aturan NAT secara manual untuk menerbitkan aplikasi atau layanan web Anda.
Selanjutnya, bagian yang berkaitan dengan Otentikasi Pengguna di jaringan menawarkan dua opsi: Kueri Direktori Aktif (integrasi dengan AD Anda), Otentikasi Berbasis Browser (pengguna memasukkan kredensial domain di portal).
Perlu disebutkan inspeksi SSL secara terpisah; pangsa total lalu lintas HTTPS di Jaringan Global secara aktif tumbuh. Mari kita lihat fitur apa saja yang ditawarkan CheckPoint untuk solusi UKM. Untuk melakukannya, buka bagian Inspeksi SSL β Kebijakan:
Dalam pengaturan Anda dapat memeriksa lalu lintas HTTPS; Anda perlu mengimpor sertifikat dan menginstalnya di pusat sertifikat tepercaya pada mesin pengguna akhir.
Kami menganggap mode BYPASS untuk kategori yang telah ditentukan sebelumnya sebagai pilihan yang mudah; ini secara signifikan menghemat waktu saat mengaktifkan inspeksi.
Setelah mengonfigurasi aturan di tingkat Firewall/Aplikasi, Anda harus melanjutkan ke penyetelan kebijakan keamanan (Pencegahan Ancaman), untuk melakukan ini, buka bagian yang sesuai:
Pada halaman yang terbuka kita melihat bilah yang diaktifkan, status pembaruan tanda tangan dan basis data. Kami juga diminta untuk memilih profil untuk melindungi perimeter jaringan, dan pengaturan yang sesuai akan ditampilkan.
Bagian terpisah βPerlindungan IPSβ memungkinkan Anda mengonfigurasi tindakan untuk tanda tangan keamanan tertentu.
Belum lama ini kami menulis di blog kami tentang kerentanan global untuk Windows Server - SigRed. Mari kita periksa keberadaannya di Gaia Embedded 80.20 dengan memasukkan query βCVE-2020-1350β
Catatan telah terdeteksi untuk tanda tangan ini dan salah satu tindakannya dapat diterapkan. (secara default Cegah untuk tingkat bahayanya adalah Kritis). Oleh karena itu, dengan memiliki solusi SMB, Anda tidak akan ketinggalan dalam hal pembaruan dan dukungan; ini adalah solusi NGFW lengkap untuk kantor cabang hingga 200 orang dari CheckPoint.
Penilaian kinerja
Sebagai penutup artikel, saya ingin mencatat ketersediaan alat untuk memecahkan masalah setelah inisialisasi awal dan konfigurasi solusi SMB. Anda dapat membuka bagian βHOMEβ β βAlatβ. Opsi yang memungkinkan:
pemantauan sumber daya sistem;
tabel perutean;
memeriksa ketersediaan layanan cloud CheckPoint;
generasi CPinfo;
Perintah jaringan bawaan juga tersedia: Ping, Traceroute, Traffic Capture.
Jadi, hari ini kami meninjau dan mempelajari koneksi awal dan konfigurasi NGFW 1590, Anda akan melakukan tindakan serupa untuk keseluruhan seri 1500 SMB Checkpoint. Opsi yang tersedia menunjukkan kepada kami variabilitas pengaturan yang tinggi, dukungan untuk metode modern untuk melindungi lalu lintas di perimeter jaringan.
Saat ini, solusi CheckPoint untuk melindungi kantor kecil dan cabang (hingga 200 orang) memiliki beragam alat dan menggunakan teknologi terkini (manajemen cloud, dukungan kartu SIM, perluasan memori menggunakan kartu SD, dll.). Terus ikuti informasi dan baca artikel dari TS Solution, kami berencana merilis lebih lanjut bagian tentang NGFW CheckPoint dari keluarga SMB, sampai jumpa!