Anyị na-aga n'ihu na usoro isiokwu na-arụ ọrụ na nso nso SMB CheckPoint ọhụrụ, ka anyị chetara gị na n'ime anyị kọwara njirimara na ikike nke ụdị ọhụrụ, njikwa na usoro nchịkwa. Taa, anyị ga-eleba anya na ọnọdụ ntinye maka ihe nlereanya ochie na usoro: CheckPoint 1590 NGFW. Nke a bụ nchịkọta akụkụ nke a:
- Akụrụngwa mwepu (nkọwa nke akụrụngwa, njikọ anụ ahụ na netwọkụ).
- Mmalite ngwaọrụ mbụ.
- Ntọlite mbụ.
- Ntụle arụmọrụ.
Ịkwanye Ngwa
Ịmata akụrụngwa na-amalite site n'iwepụ ngwá ọrụ na igbe ahụ, ịkwasa ihe ndị dị na ya na ịwụnye akụkụ; pịa onye na-emebi ihe, bụ ebe a na-egosi usoro a nkenke.
Mbufe nke NGFW 1590
Na nkenke gbasara akụrụngwa:
- NGFW 1590;
- Ihe nkwụnye ọkụ;
- 2 Wifi Antennas (2.4 Hz na 5 Hz);
- 2 LTE antennas;
- Akwụkwọ nta nwere akwụkwọ (ntụziaka dị mkpirikpi maka njikọ mbụ, nkwekọrịta ikike, wdg)
Banyere ọdụ ụgbọ mmiri netwọkụ na oghere, enwere ike niile nke oge a maka nnyefe okporo ụzọ na mmekọrịta, ọdụ ụgbọ mmiri dị iche maka mpaghara DMZ, USB 3.0 maka ịmekọrịta na PC.
Ụdị 1590 nwetara nhazi emelitere, nhọrọ ọgbara ọhụrụ maka nkwurịta okwu ikuku na mgbasawanye ebe nchekwa: oghere 2 maka ịrụ ọrụ na Micro/Nano SIM na ọnọdụ LTE. (anyị na-eme atụmatụ ide banyere nhọrọ a n'ụzọ zuru ezu n'otu n'ime akụkọ anyị na-esote na usoro nke raara nye njikọ ikuku); Oghere kaadị SD.
Ị nwere ike ịgụkwu gbasara ike nke 1590 NGFW na ụdị ọhụrụ ndị ọzọ na site na usoro isiokwu gbasara ngwọta CheckPoint SMB. Anyị ga-aga n'ihu na mmalite nke ngwaọrụ ahụ.
Mmalite nke izizi
Ndị na-agụ akwụkwọ anyị oge niile ga-amarịrị na ahịrị 1500 Series SMB na-eji OS 80.20 Embedded ọhụrụ, nke gụnyere interface emelitere yana ike emelitere.
Iji malite ibido ngwaọrụ ị ga-achọ:
- Nye ike na ọnụ ụzọ ámá.
- Jikọọ eriri netwọk site na PC gị na LAN-1 n'ọnụ ụzọ ámá.
- Nhọrọ, ị nwere ike ịnye ngwaọrụ ozugbo ịnweta ịntanetị site na ijikọ interface ahụ na ọdụ ụgbọ mmiri WAN.
- Gaa na Portal Embedded Gaia:
Ọ bụrụ n’ịgbaso usoro ndị ekwuru na mbụ, mgbe ịgachara peeji Gaia Portal, ị ga-achọ nkwenye iji asambodo enweghị ntụkwasị obi meghere ibe ahụ, mgbe nke ahụ gasịrị, ọkachamara ntọala portal ga-amalite:
A ga-ekele gị site na ibe na-egosi ụdị ngwaọrụ gị, ị ga-aga na ngalaba na-esote:
A ga-agwa anyị ka anyị mepụta akaụntụ maka ikike, ọ ga-ekwe omume ịkọwapụta okwuntughe dị elu maka onye nchịkwa, anyị na-egosikwa obodo ebe anyị ga-eji ọnụ ụzọ ámá.
Window na-esote metụtara ụbọchị na ntọala oge; ị nwere ike ịtọ ya na aka gị ma ọ bụ jiri sava NTP nke ụlọ ọrụ.
Nzọụkwụ ọzọ gụnyere ịtọ aha maka ngwaọrụ ahụ na ịkọwa ngalaba ụlọ ọrụ maka ọrụ ziri ezi nke ọrụ ọnụ ụzọ na Ịntanetị.
Nzọụkwụ na-esote metụtara nhọrọ nke ụdị njikwa NGFW, ebe a kwesịrị iburu n'uche:
- Njikwa mpaghara. Nke a bụ nhọrọ dịnụ iji jikwaa ọnụ ụzọ ámá na mpaghara site na iji ibe weebụ Gaia Portal.
- Central Management. Ụdị njikwa a gụnyere mmekọrịta yana ihe nkesa njikwa CheckPoint raara onwe ya nye, mmekọrịta ya na igwe ojii Smart1-Cloud ma ọ bụ na SMP (ọrụ njikwa maka SMB).
N'isiokwu a, anyị ga-elekwasị anya na usoro nchịkwa mpaghara; ị nwere ike ịkọwapụta usoro dị mkpa. Iji mara onwe gị na usoro nke mmekọrịta na ihe nkesa njikwa raara onwe ya nye, anyị na-atụ aro site na usoro nkuzi mmalite nke CheckPoint nke TS Solution kwadoro.
Na-esote, a ga-egosipụta mpio nke na-akọwa ụdị ọrụ nke interfaces na ọnụ ụzọ ámá:
- Ụdị ngbanwe na-egosi na enwere subnet site na otu interface gaa na subnet nke interface ọzọ.
- Ụdị Gbanyụọ n'ihi ya na-eme ka ọnọdụ mgbanwe gbanwee; ọdụ ụgbọ mmiri ọ bụla na-aga okporo ụzọ maka ibe netwọk dị iche.
A na-atụ aro ịkọwapụta ọdọ mmiri nke adreesị DHCP nke a ga-eji mgbe ị na-ejikọta na oghere mpaghara nke ọnụ ụzọ ámá.
Nzọụkwụ ọzọ bụ ịhazi ọnụ ụzọ ámá iji rụọ ọrụ na ikuku ikuku; anyị na-eme atụmatụ ịkọwa akụkụ a n'ụzọ zuru ezu n'otu isiokwu na usoro ahụ, ya mere anyị yigharịrị nhazi nke ntọala ahụ. Ị nwere ike ịmepụta ebe ịnweta ikuku ọhụrụ, tọọ paswọọdụ maka ijikọ ya wee chọpụta ụdị ọrụ nke ọwa ikuku (2.4 Hz ma ọ bụ 5 Hz).
Nzọụkwụ ọzọ ga-abụ ịhazi ohere ịnweta ọnụ ụzọ ámá maka ndị nchịkwa ụlọ ọrụ. Site na ndabara, a na-anabata ikike ịnweta ma ọ bụrụ na njikọ ahụ sitere na:
- Subnet ụlọ ọrụ dị n'ime
- Netwọk ikuku tụkwasịrị obi
- VPN ọwara
Nhọrọ iji jikọọ na ọnụ ụzọ ámá site na Ịntanetị nwere nkwarụ site na ndabara, nke a na-ebu nnukwu ihe ize ndụ na a ghaghị ịkwado ya maka nsonye, ma ọ bụghị ya, a na-atụ aro ịhapụ ya dị ka ihe atụ anyị. iji jikọọ na ọnụ ụzọ ámá.
Window na-esote metụtara ịgbalite ikike; na mbido ngwaọrụ a, a ga-egosi gị oge nnwale ụbọchị 30. Enwere ụzọ ịgbalite ụzọ abụọ dị:
- Ọ bụrụ na enwere njikọ ịntanetị, a ga-arụ ọrụ ikike ahụ na-akpaghị aka.
- Ọ bụrụ na ịgbalite ikike na-anọghị n'ịntanetị, ịkwesịrị ịme ihe ndị a: budata ikike site na UserCenter, debanye aha ngwaọrụ gị na nke pụrụ iche. . Na-esote, maka ikpe abụọ ahụ, ị ga-achọ ibubata ikike ejiri aka ebudatara.
N'ikpeazụ, mpio ikpeazụ dị na ọkachamara ntọala na-akpali gị ịhọrọ agụba ndị a ga-agbanye; mara na agbanyere agụba QOS naanị mgbe mmalite mmalite. Ị ga-ejedebe na windo mmecha nke na-achịkọta ntọala gị.
Mbido izizi
Nke mbụ, anyị na-akwado ịlele ọkwa nke ikikere; nhazi ọzọ ga-adabere na nke a. Gaa na taabụ "Ụlọ" → "Ikikere":
Ọ bụrụ na agbanyere ikikere, anyị na-akwado imelite ngwa ngwa na ngwa ngwa kachasị ọhụrụ ugbu a; iji mee nke a, gaa na taabụ “Ngwaọrụ” → “System Operations”:
Mmelite sistemu dị na ihe nkwalite firmware. N'ọnọdụ anyị, arụnyere ụdị firmware dị ugbu a na nke kachasị ọhụrụ.
Na-esote, m na-atụ aro ka m kwuo okwu nkenke banyere ikike na ntọala nke eriri usoro. N'ụzọ ezi uche dị na ya, enwere ike kewaa ha na atumatu ọkwa Access (Firewall, Control Application, URL Filter) na mgbochi egwu (IPS, Antivirus, Anti-Bot, Threat Emulation).
Ka anyị gaa na Access Policy → Agụba Control tab:
Site na ndabara, a na-eji ọnọdụ STANDARD, ọ na-enye ohere ịpụ na ịntanetị, okporo ụzọ n'ime netwọk mpaghara, mana n'otu oge ahụ na-egbochi okporo ụzọ na-abata na Ịntanetị.
N'ihe gbasara APPLICATIONS & URL FILTERING agụba, site na ndabara, edobere ha ka ha gbochie saịtị nwere nnukwu ihe egwu, igbochi ngwa mgbanwe (Torrent, Nchekwa Faịlụ, wdg). Ị nwekwara ike iji aka gbochie ụdị saịtị.
Ka anyị lelee nhọrọ maka okporo ụzọ onye ọrụ "Kpee ngwa na-eri bandwidth" na ikike igbochi ọsọ nke ọpụpụ/ọsọ nke na-abata maka otu ngwa.
Na-esote, mepee ngalaba nke amụma; site na ndabara, a na-emepụta iwu ndị ahụ na-akpaghị aka dịka ntọala akọwara na mbụ.
Ngalaba NAT na ndabara na-arụ ọrụ na Global Hide Nat Automatic, ya bụ, ndị ọbịa niile dị n'ime ga-enweta ịntanetị site na adreesị IP ọha. Ọ ga-ekwe omume iji aka gị tọọ iwu NAT maka ibipụta ngwa ma ọ bụ ọrụ webụ gị.
Na-esote, ngalaba na-eche banyere njirimara njirimara na netwọk na-enye nhọrọ abụọ: Active Directory Queries (mmekọrịta na AD gị), Browser-Based-Authentication (onye ọrụ na-abanye nzere ngalaba na portal).
Ọ bara uru ịkọwa nyocha SSL iche iche; òkè nke mkpokọta HTTPS okporo ụzọ na Global Network na-eto nke ọma. Ka anyị leba anya n'ihe CheckPoint na-enye maka azịza SMB. Iji mee nke a, gaa na SSL-Inspection → ngalaba amụma:
N'ime ntọala ị nwere ike nyochaa okporo ụzọ HTTPS; ị ga-achọ ibubata asambodo ma wụnye ya na etiti asambodo ntụkwasị obi na igwe onye ọrụ njedebe.
Anyị na-ewere ọnọdụ BYPASS maka edemede akọwapụtagoro dị ka nhọrọ dabara adaba; nke a na-echekwa oge nke ukwuu mgbe ị na-eme nyocha.
Mgbe ịhazi iwu na ọkwa Firewall / Ngwa, ị ga-aga n'ihu na-emegharị amụma nchekwa (Mgbochi egwu), iji mee nke a, gaa na ngalaba kwesịrị ekwesị:
Na ibe mepere emepe anyị na-ahụ agụba agbanyere, mbinye aka na mmelite nchekwa data statuses. A na-agwakwa anyị ka anyị họrọ profaịlụ maka ichekwa gburugburu netwọkụ, ma gosipụta ntọala kwekọrọ.
Akụkụ dị iche "Nchekwa IPS" na-enye gị ohere ịhazi ihe omume maka otu mbinye aka nchekwa.
Ogologo oge gara aga, anyị dere na blọọgụ anyị maka Windows Server - SigRed. Ka anyị lelee maka ọnụnọ ya na Gaia Embedded 80.20 site na itinye ajụjụ "CVE-2020-1350"
Achọpụtala ndekọ maka mbinye aka a nke enwere ike itinye otu n'ime omume ahụ. (site na ndabara Mgbochi maka ọkwa ihe egwu dị egwu). N'ihi ya, inwe ngwọta SMB, ị gaghị ahapụ gị n'ihe gbasara mmelite na nkwado; nke a bụ ngwọta NGFW zuru ezu maka alaka ụlọ ọrụ nke ruru mmadụ 200 sitere na CheckPoint.
Ntụle arụmọrụ
Na-emechi isiokwu ahụ, m ga-achọ ịhụ na e nwere ngwaọrụ maka nsogbu nsogbu mgbe mmalite na nhazi nke SMB ngwọta. Ị nwere ike ịga na ngalaba "Ụlọ" → "Ngwaọrụ". Nhọrọ enwere ike:
- akụrụngwa usoro nlekota oru;
- okpokoro ụzọ;
- ịlele ịdị adị nke ọrụ igwe ojii CheckPoint;
- ọgbọ CPinfo;
Iwu netwọk arụnyere n'ime ya dịkwa: Ping, Traceroute, Capture Traffic.
Ya mere, taa, anyị tụlere ma mụọ njikọ mbụ na nhazi nke NGFW 1590, ị ga-eme omume yiri nke ahụ maka usoro 1500 SMB Checkpoint dum. Nhọrọ ndị dịnụ gosiri anyị mgbanwe dị elu maka ntọala, nkwado maka ụzọ ọgbara ọhụrụ nke ichekwa okporo ụzọ na netwọk netwọk.
Taa, ihe ngwọta CheckPoint maka ichekwa obere ụlọ ọrụ na alaka (ihe ruru mmadụ 200) nwere ngwá ọrụ dịgasị iche iche ma jiri teknụzụ kachasị ọhụrụ (njikwa igwe ojii, nkwado kaadị SIM, mgbasawanye ebe nchekwa site na iji kaadị SD, wdg). Gaa n'ihu na-amara gị ma na-agụ akụkọ sitere na TS Solution, anyị na-eme atụmatụ mwepụta ndị ọzọ gbasara NGFW CheckPoint nke ezinụlọ SMB, hụ gị!
. Nọrọ na-ekiri (, , , , ).
isi: www.habr.com