Ndewo, ezigbo ndị na-agụ akwụkwọ habr! Nke a bụ blọgụ ụlọ ọrụ nke ụlọ ọrụ ahụ . Anyị bụ onye na-emekọ ihe na sistemụ yana ọkachamara ọkachamara na ngwọta nchekwa akụrụngwa IT (, ) na usoro nyocha data igwe (). Anyị ga-amalite blọọgụ anyị site na obere mmalite maka teknụzụ Check Point.
Anyị chere ogologo oge banyere ma dee isiokwu a, n'ihi na. ọ dịghị ihe ọhụrụ n'ime ya nke a na-apụghị ịhụ na Ịntanetị. Otú ọ dị, n'agbanyeghị ọtụtụ ozi dị otú ahụ, mgbe anyị na ndị ahịa na ndị mmekọ na-arụ ọrụ, anyị na-anụkarị otu ajụjụ. Ya mere, e kpebiri ide ụfọdụ ụdị mmeghe na ụwa nke teknụzụ Check Point ma kpughee ihe dị mkpa nke ụkpụrụ ụlọ nke ngwọta ha. Na ihe a niile n'ime usoro nke otu "obere" post, dị ka a pụrụ isi kwuo ya, ngwa ngwa digression. Anyị ga-agbalịkwa ka anyị ghara ịbanye n'agha ahịa, n'ihi na. anyị abụghị onye na-ere ahịa, ma ọ bụ naanị onye na-ejikọta usoro (ọ bụ ezie na anyị hụrụ n'anya Check Point nke ukwuu) ma na-agafe isi ihe na-enweghị atụnyere ha na ndị nrụpụta ndị ọzọ (dị ka Palo Alto, Cisco, Fortinet, wdg). Akụkọ ahụ tụgharịrị bụrụ nke ukwuu, mana ọ na-ebipụ ọtụtụ ajụjụ na ọkwa nke ịmara na Check Point. Ọ bụrụ na ị nwere mmasị, nabata n'okpuru pusi…
UTM/NGFW
Mgbe ịmalite mkparịta ụka gbasara Check Point, ihe mbụ ị ga-amalite bụ nkọwa nke ihe UTM, NGFW bụ na otu ha si dị iche. Anyị ga-eme nke a nkenke ka post ahụ ghara ịdị ukwuu (ikekwe n'ọdịnihu anyị ga-atụle okwu a ntakịrị nkọwa)
UTM - njikwa iyi egwu jikọtara ọnụ
Na nkenke, ihe kachasị mkpa nke UTM bụ ijikọ ọtụtụ ngwaọrụ nchekwa n'otu ngwọta. Ndị ahụ. niile n'otu igbe ma ọ bụ ụfọdụ niile gụnyere. Gịnị ka “ọtụtụ ọgwụgwọ” pụtara? Nhọrọ a na-ahụkarị bụ: Firewall, IPS, Proxy (URL filter), Antivirus Streaming, Anti-Spam, VPN na ndị ọzọ. A na-ejikọta ihe a niile n'ime otu ngwọta UTM, nke dị mfe na ntinye, nhazi, nchịkwa na nlekota oru, na nke a, n'aka nke ya, nwere mmetụta dị mma na nchekwa zuru oke nke netwọk ahụ. Mgbe mbụ UTM ngwọta pụtara, a na-atụle ha naanị maka obere ụlọ ọrụ, n'ihi na. UTM enweghị ike ijikwa nnukwu okporo ụzọ. Nke a bụ n'ihi ihe abụọ:
- Ijikwa ngwugwu. Ụdị mbụ nke ngwọta UTM na-ahazi ngwugwu n'usoro, site na "modul" ọ bụla. Ọmụmaatụ: nke mbụ a na-edozi ngwugwu ahụ site na firewall, emesia site na IPS, emesia Anti-Virus na-enyocha ya na ihe ndị ọzọ. Dị ka o kwesịrị ịdị, usoro dị otú ahụ wetara nnukwu igbu oge n'okporo ụzọ yana akụrụngwa sistemu erimeri (processor, ebe nchekwa).
- Akụrụngwa adịghị ike. Dị ka ekwuru n'elu, nhazi ngwugwu usoro riri ihe onwunwe na ngwaike nke oge ahụ (1995-2005) enweghị ike ịnagide nnukwu okporo ụzọ.
Mana ọganihu anaghị eguzo otu ebe. Kemgbe ahụ, ike ngwaike abawanyela nke ukwuu, na nhazi ngwugwu agbanweela (ọ ghaghị ikweta na ọ bụghị ndị na-ere ahịa niile nwere ya) wee malite ikwe ka nyocha nke otu oge na ọtụtụ modul ozugbo (ME, IPS, AntiVirus, wdg). Ngwọta UTM nke oge a nwere ike "gbarie" iri na iri na ọbụna narị gigabits na ọnọdụ nyocha miri emi, nke na-eme ka o kwe omume iji ha na ngalaba nke nnukwu azụmahịa ma ọ bụ ọbụna ebe data.
N'okpuru bụ Gartner's Magic Quadrant ama ama maka ngwọta UTM maka August 2016:
Agaghị m ekwu okwu siri ike na foto a, m ga-ekwu naanị na e nwere ndị isi na akuku aka nri elu.
NGFW - Ọgbọ Firewall na-esote
Aha na-ekwu maka onwe ya - firewall ọgbọ ọzọ. Echiche a pụtara ogologo oge karịa UTM. Isi echiche nke NGFW bụ nyocha ngwugwu miri emi (DPI) site na iji IPS arụnyere na njikwa ohere na ọkwa ngwa (njikwa ngwa). N'okwu a, IPS bụ naanị ihe achọrọ iji chọpụta nke a ma ọ bụ ngwa ahụ na iyi iyi, nke na-enye gị ohere ikwe ma ọ bụ jụ ya. Ọmụmaatụ: Anyị nwere ike ikwe ka Skype rụọ ọrụ mana gbochie ịnyefe faịlụ. Anyị nwere ike machibido iji Torrent ma ọ bụ RDP. A na-akwadokwa ngwa weebụ: Ị nwere ike ikwe ka ịnweta VK.com, mana gbochie egwuregwu, ozi ma ọ bụ ikiri vidiyo. N'ezie, ogo NGFW dabere na ọnụọgụ ngwa ọ nwere ike ịkọwa. Ọtụtụ ndị kwenyere na mpụta nke echiche nke NGFW bụ atụmatụ ịzụ ahịa na-emekarị nke Palo Alto malitere uto ngwa ngwa.
Mee 2016 Gartner Magic Quadrant maka NGFW:
UTM vs NGFW
Ajụjụ a na-ahụkarị, nke ka mma? Enweghị otu azịza ebe a enweghị ike ịbụ. Karịsịa mgbe ị na-atụle eziokwu ahụ na ihe fọrọ nke nta ka ọ bụrụ ihe ngwọta UTM ọgbara ọhụrụ nwere ọrụ NGFW na ọtụtụ NGFW nwere ọrụ dị na UTM (Antivirus, VPN, Anti-Bot, wdg). Dị ka mgbe niile, "ekwensu dị na nkọwa", ya mere, nke mbụ ị ga-ekpebi ihe ị chọrọ kpọmkwem, kpebie na mmefu ego. Dabere na mkpebi ndị a, enwere ike ịhọrọ ọtụtụ nhọrọ. Na ihe niile kwesịrị ka a nwalere n'ụzọ doro anya, ọ bụghị ikwere ihe ahịa.
Anyị, n'aka nke ya, n'ime usoro nke ọtụtụ isiokwu, ga-agbalị ịgwa gị banyere Check Point, otú i nwere ike na-agbalị ya na ihe, ụkpụrụ, ị nwere ike na-agbalị (fọrọ nke nta ka niile ọrụ).
Ụlọ ọrụ nlele atọ
Mgbe ị na-arụ ọrụ na Check Point, ị ga-ahụrịrị akụkụ atọ nke ngwaahịa a:
- Ọnụ ụzọ nchekwa (SG) - ọnụ ụzọ nchekwa n'onwe ya, nke a na-etinyekarị na mpaghara netwọkụ ma na-arụ ọrụ nke firewall, antivirus gụgharia, mgbochi bot, IPS, wdg.
- Ihe nkesa njikwa nchekwa (SMS) - ihe nkesa njikwa ọnụ ụzọ ámá. A na-eme ihe fọrọ nke nta ka ọ bụrụ ntọala niile dị na gateway (SG) site na iji ihe nkesa a. SMS nwekwara ike rụọ ọrụ dị ka ihe nkesa ndekọ wee hazie ya site na nyocha ihe omume arụnyere na sistemụ mmekọrịta - Smart Event (dị ka SIEM maka Check Point), mana karịa na nke ahụ mechara. A na-eji SMS na-ahazi ọtụtụ ọnụ ụzọ ámá (ọnụọgụ ọnụ ụzọ ámá dabere na ụdị SMS ma ọ bụ ikike), mana ị ga-eji ya ọbụlagodi na ị nwere naanị otu ọnụ ụzọ. Okwesiri iburu n'uche na ebe a na Check Point bu otu n'ime ndi mbu jiri usoro oru nlekota nke etiti, nke aghotara dika "ọkọlọtọ ọla edo" dị ka akụkọ Gartner si kwuo ọtụtụ afọ n'usoro. Enwere ọbụna egwuregwu: "Ọ bụrụ na Cisco nwere usoro njikwa nkịtị, mgbe ahụ Check Point agaraghị apụta."
- Smart Console - njikwa njikwa ndị ahịa maka ijikọ na sava njikwa (SMS). Awụnyere na kọmpụta onye nchịkwa. Site na njikwa njikwa a, a na-eme mgbanwe niile na ihe nkesa njikwa, ma emesịa ị nwere ike itinye ntọala ahụ na ọnụ ụzọ nchekwa (Amụma ntinye).
Sistemụ arụ ọrụ Check Point
N'ikwu maka sistemụ arụmọrụ Check Point, enwere ike icheta atọ n'otu oge: IPSO, SPLAT na GAIA.
- IPS bụ sistemụ arụ ọrụ nke Ipsilon Networks, nke Nokia nwe. Na 2009, Check Point zụtara azụmahịa a. Emebekwaghị.
- SPLAT - mmepe nke Check Point, dabere na kernel RedHat. Emebekwaghị.
- Gaia - sistemụ arụmọrụ ugbu a sitere na Check Point, nke pụtara n'ihi njikọta nke IPSO na SPLAT, na-etinye ihe niile kachasị mma. Pụtara na 2012 ma na-aga n'ihu ịzụlite ike.
N'ikwu okwu banyere Gaia, ekwesịrị ikwu na n'oge a na-ahụkarị ụdị bụ R77.30. N'oge na-adịbeghị anya, ụdị R80 apụtala, nke dị iche na nke gara aga (ma n'ihe gbasara ọrụ na njikwa). Anyị ga-etinye akwụkwọ dị iche iche na isiokwu nke esemokwu ha. Isi ihe ọzọ dị mkpa bụ na ugbu a naanị ụdị R77.10 nwere asambodo FSTEC na ụdị R77.30 ka a na-akwado ya.
Nhọrọ (Check Point Appliance, Virtual Machine, OpenServer)
Ọ nweghị ihe ijuanya ebe a, ebe ọtụtụ ndị na-ere ahịa Check Point nwere ọtụtụ nhọrọ ngwaahịa:
- ngwa oru - ngwaike na ngwa ngwa, i.e. onwe "iberibe ígwè". Enwere ọtụtụ ụdị nke dị iche na arụmọrụ, ọrụ na imewe (enwere nhọrọ maka netwọk mmepụta ihe).
- Ime Ngwaọrụ - Lelee igwe mebere igwe na Gaia OS. A na-akwado Hypervisors ESXi, Hyper-V, KVM. Enyere ikike site na ọnụọgụ cores processor.
- Mepee ihe nkesa - Ịwụnye Gaia ozugbo na ihe nkesa dị ka isi sistemụ (nke a na-akpọ "Metal Bare"). Naanị ụfọdụ ngwaike ka akwadoro. Enwere ndụmọdụ maka ngwaike a nke a ga-agbaso, ma ọ bụghị ya, enwere ike inwe nsogbu na ndị ọkwọ ụgbọala na ndị ahụ. nkwado nwere ike jụ ijere gị ozi.
Nhọrọ mmejuputa (Kesara ma ọ bụ guzobe)
Obere elu, anyị atụleworị ihe gateway (SG) na ihe nkesa njikwa (SMS) bụ. Ugbu a, ka anyị tụlee nhọrọ maka mmejuputa ha. Enwere ụzọ abụọ bụ isi:
- Naanị (SG+SMS) - nhọrọ mgbe etinyere ma ọnụ ụzọ ámá na ihe nkesa njikwa n'ime otu ngwaọrụ (ma ọ bụ igwe mebere).
Nhọrọ a dabara adaba ma ọ bụrụ na ị nwere naanị otu ọnụ ụzọ ámá, nke ejiri obere okporo ụzọ ndị ọrụ juru. Nhọrọ a bụ nke kachasị ọnụ ahịa, n'ihi na. ọ dịghị mkpa ịzụta ihe nkesa njikwa (SMS). Otú ọ dị, ọ bụrụ na ọnụ ụzọ ámá ahụ juru eju nke ukwuu, ị nwere ike mebie usoro njikwa ngwa ngwa. Ya mere, tupu ịhọrọ ngwọta Standalone, ọ kacha mma ịkpọtụrụ ma ọ bụ ọbụna nwalee nhọrọ a. - Kesaa - arụnyere ihe nkesa njikwa dị iche iche site na ọnụ ụzọ ámá.
Nhọrọ kacha mma n'ihe dị mma na arụmọrụ. A na-eji ya eme ihe mgbe ọ dị mkpa ijikwa ọtụtụ ọnụ ụzọ n'otu oge, dịka ọmụmaatụ, etiti na alaka. N'okwu a, ịkwesịrị ịzụta ihe nkesa njikwa (SMS), nke nwekwara ike ịbụ n'ụdị ngwa (iberibe ígwè) ma ọ bụ igwe mebere.
Dịka m kwuru n'elu, Check Point nwere sistemụ SIEM nke ya - Smart Event. Ị nwere ike iji ya naanị ma ọ bụrụ na nrụnye ekesara.
Ụdị arụ ọrụ (Bridge, Roted)
Ọnụ ụzọ nchekwa (SG) nwere ike ịrụ ọrụ n'ụdị isi abụọ:
- Edere ya - nhọrọ kachasị. N'okwu a, a na-eji ọnụ ụzọ ámá ahụ dị ka ngwaọrụ L3 na ụzọ okporo ụzọ site n'onwe ya, i.e. Check Point bụ ụzọ ndabara maka netwọk echedoro.
- Bridge - transperent mode. N'okwu a, a na-etinye ọnụ ụzọ ámá dị ka "akwa" nkịtị ma na-agafe na ya na oyi akwa nke abụọ (OSI). A na-ejikarị nhọrọ a eme ihe mgbe enweghị ohere (ma ọ bụ ọchịchọ) ịgbanwe akụrụngwa dị adị. Ọ dịghị mkpa ka ị gbanwee topology netwọkụ na ịkwesighi iche echiche ịgbanwe adreesị IP.
Ọ ga-amasị m ịmara na enwere ụfọdụ njedebe arụ ọrụ na ọnọdụ Bridge, yabụ, dị ka onye na-emekọ ihe, anyị na-adụ ndị ahịa anyị niile ọdụ ka ha jiri ọnọdụ Routed, n'ezie, ọ bụrụ na ọ ga-ekwe omume.
Blades Software (Check Point Software Blades)
Anyị ruru ihe kacha mkpa isiokwu Check Point, nke na-ewelite ajụjụ kachasị n'aka ndị ahịa. Gịnị bụ “agụba ngwanrọ”? Blades na-ezo aka na ụfọdụ ọrụ Check Point.
Enwere ike ịgbanwuo ma ọ bụ gbanyụọ atụmatụ ndị a dabere na mkpa gị. N'otu oge ahụ, e nwere agụba ndị na-arụ ọrụ nanị na ọnụ ụzọ ámá (Network Security) na naanị na njikwa ihe nkesa (Management). Foto dị n'okpuru na-egosi ihe atụ maka ikpe abụọ a:
1) Maka nchekwa netwọkụ (ọrụ ọnụ ụzọ ámá)
Ka anyị kọwaa nkenke, n'ihi na agụba ọ bụla kwesịrị edemede dị iche iche.
- Firewall - arụ ọrụ firewall;
- IPSec VPN - iwulite netwọkụ mebere nkeonwe;
- Nnweta ekwentị - ohere dị anya site na ngwaọrụ mkpanaka;
- IPS - usoro mgbochi ntinye;
- Anti-Bot - nchebe megide netwọk botnet;
- Antivirus - gụgharia antivirus;
- Nchekwa AntiSpam & Email - nchebe nke ozi ụlọ ọrụ;
- Mmata njirimara - njikọta na ọrụ ndekọ aha Active;
- Nleba anya - nlekota ihe fọrọ nke nta ka ọ bụrụ ọnụ ụzọ ámá niile (ibu, bandwit, ọnọdụ VPN, wdg)
- Njikwa ngwa - firewall larịị ngwa (ọrụ NGFW);
- URL nzacha - Nchekwa webụ (+ọrụ proxy);
- Mgbochi ọnwụ data - nchebe ntapu ozi (DLP);
- Emula egwu - teknụzụ sandbox (SandBox);
- Mwepụ egwu - teknụzụ nhicha faịlụ;
- QoS - ụzọ okporo ụzọ.
N'ime edemede ole na ole, anyị ga-eleba anya nke ọma na agụba egwu egwu na egwu mmịpụta, ejiri m n'aka na ọ ga-atọ ụtọ.
2) Maka njikwa (ọrụ nkesa njikwa)
- Njikwa amụma netwọkụ - njikwa amụma etiti;
- Njikwa amụma njedebe - njikwa etiti nke ndị nnọchi anya Check Point (ee, Check Point na-emepụta ihe ngwọta ọ bụghị naanị maka nchekwa netwọkụ, kamakwa maka ichedo ọdụ ọrụ (PC) na smartphones);
- Ịbanye & Ọnọdụ - nchịkọta na nhazi nke ndekọ aha nke etiti;
- Portal njikwa - njikwa nchekwa site na ihe nchọgharị;
- Usoro ọrụ - ịchịkwa mgbanwe iwu, nyochaa mgbanwe, wdg;
- Akwụkwọ ndekọ aha - njikọ na LDAP;
- Nkwanye - akpaaka nke njikwa ọnụ ụzọ ámá;
- Smart Reporter - usoro mkpesa;
- Ihe omume Smart - nyocha na mmekọrịta nke ihe omume (SIEM);
- Nrube isi - nlele ntọala akpaaka yana mbipụta nke ndụmọdụ.
Anyị agaghị atụle ugbu a okwu inye ikike n'ụzọ zuru ezu, ka ị ghara ịgbanye isiokwu ahụ ma mee ka onye na-agụ ya nwee mgbagwoju anya. O yikarịrị ka anyị ga-ewepụ ya na post dị iche.
Ihe owuwu agụba na-enye gị ohere iji naanị ọrụ ị chọrọ n'ezie, nke na-emetụta mmefu ego nke ngwọta na arụmọrụ zuru ezu nke ngwaọrụ ahụ. Ọ bụ ihe ezi uche dị na ya na ka ị na-emewanye agụba, obere okporo ụzọ nwere ike "ịchụpụ". Ọ bụ ya mere eji ejikọta tebụl arụmọrụ na-esote na ụdị Check Point ọ bụla (dịka ọmụmaatụ, anyị weere njirimara nke ụdị 5400):
Dịka ị na-ahụ, enwere ụdị ule abụọ ebe a: na okporo ụzọ sịntetik na n'ezie - agwakọta. N'ikwu okwu n'ozuzu, a na-amanye Check Point ka ọ bipụta ule sịntetik, n'ihi na. ụfọdụ ndị na-ere ahịa na-eji ule dị otú ahụ dị ka akara akara na-enyochaghị arụmọrụ nke ngwọta ha na ezigbo okporo ụzọ (ma ọ bụ na-ama ụma zoo data dị otú ahụ n'ihi enweghị afọ ojuju ha).
N'ụdị ule ọ bụla, ị nwere ike ịhụ ọtụtụ nhọrọ:
- nwalee naanị maka Firewall;
- Firewall + IPS ule;
- Firewall+IPS+NGFW (njikwa ngwa) ule;
- Firewall+Njikwa Ngwa+URL Nzacha+IPS+Antivirus+Anti-Bot+SandBlast (igbe ájá)
Jiri nlezianya lelee paramita ndị a mgbe ị na-ahọrọ ngwọta gị, ma ọ bụ kpọtụrụ maka .
Echere m na nke a bụ njedebe nke isiokwu mmeghe na teknụzụ Check Point. Ọzọ, anyị ga-eleba anya ka ị ga-esi nwalee Check Point yana otu esi eme ihe egwu nchekwa ozi ọgbara ọhụrụ (nje virus, phishing, ransomware, zero-day).
PS Isi ihe dị mkpa. N'agbanyeghị si mba ọzọ (Israel) sitere, a na-akwado ihe ngwọta ahụ na Russian Federation site n'aka ndị ọrụ nlekọta, nke na-akwado iwu ọnụnọ ha na ụlọ ọrụ steeti ozugbo (nkwupụta site na ).
Naanị ndị ọrụ edebanyere aha nwere ike isonye na nyocha a. , Biko.
Kedu ngwa UTM/NGFW ị na-eji?
-
Lee Point
-
Cisco Firepower
-
Fortinet
-
Palo Alto
-
Sophos
-
Dell SonicWALL
-
Huawei
-
Onye nche
-
Juniper
-
UserGate
-
onye na-enyocha okporo ụzọ
-
Rubinọn
-
Ideco
-
ngwọta opensource
-
Ndị ọzọ
Ndị ọrụ 134 họpụtara. Ndị ọrụ 78 anabataghị.
isi: www.habr.com