Við höldum áfram greinaröðinni um að vinna með nýja SMB CheckPoint líkanalínuna, við skulum minna þig á að í við lýstum eiginleikum og getu nýju módelanna, stjórnunar- og stjórnunaraðferðum. Í dag munum við skoða dreifingarsviðið fyrir eldri gerðina í seríunni: CheckPoint 1590 NGFW. Hér er samantekt á þessum hluta:
- Upptaka búnaðar (lýsing á íhlutum, efnis- og nettengingum).
- Upphafleg frumstilling tækis.
- Upphafleg uppsetning.
- Frammistöðumat.
Að taka upp búnaðinn
Að kynnast búnaðinum byrjar með því að taka búnaðinn úr kassanum, taka íhluti í sundur og setja íhluti; smelltu á spoilerinn þar sem ferlið er stuttlega kynnt
Afhending NGFW 1590
Stuttlega um íhlutina:
- NGFW 1590;
- Spennubreytir;
- 2 Wifi loftnet (2.4 Hz og 5 Hz);
- 2 LTE loftnet;
- Bæklingar með skjölum (stutt leiðarvísir um upphaflega tengingu, leyfissamning osfrv.)
Hvað varðar nettengi og tengi, þá eru allir nútímalegir möguleikar fyrir umferð og samskipti, sérstakt tengi fyrir DMZ svæði, USB 3.0 fyrir samstillingu við tölvu.
Útgáfa 1590 fékk uppfærða hönnun, nútímalega valkosti fyrir þráðlaus samskipti og minnisstækkun: 2 raufar til að vinna með Micro/Nano SIM í LTE ham. (Við ætlum að skrifa um þennan möguleika í smáatriðum í einni af næstu greinum okkar í röðinni um þráðlausar tengingar); SD kortarauf.
Þú getur lesið meira um getu 1590 NGFW og annarra nýrra gerða í úr röð greina um CheckPoint SMB lausnir. Við munum halda áfram að frumstillingu tækisins.
Aðal frumstilling
Venjulegir lesendur okkar ættu nú þegar að vera meðvitaðir um að 1500 Series SMB línan notar nýja 80.20 Embedded OS, sem inniheldur uppfært viðmót og bætta möguleika.
Til að byrja að frumstilla tækið þarftu að:
- Gefðu rafmagni til hliðsins.
- Tengdu netsnúruna úr tölvunni þinni við LAN -1 á gáttinni.
- Valfrjálst geturðu strax veitt tækinu netaðgang með því að tengja viðmótið við WAN tengið.
- Farðu á Gaia Embedded gáttina:
Ef þú fylgdir áðurnefndum skrefum, eftir að þú hefur farið á Gaia gáttarsíðuna, þarftu að staðfesta að opna síðuna með ótraust vottorði, eftir það mun gáttarstillingarhjálpin ræsa:
Þú munt taka á móti þér síðu sem gefur til kynna gerð tækisins þíns, þú þarft að fara í næsta hluta:
Við verðum beðin um að búa til reikning fyrir heimild, það er hægt að tilgreina háar lykilorðakröfur fyrir stjórnandann og við tilgreinum landið þar sem við munum nota gáttina.
Næsti gluggi varðar dagsetningar- og tímastillingar; þú getur stillt það handvirkt eða notað NTP netþjón fyrirtækisins.
Næsta skref felur í sér að setja nafn á tækið og tilgreina fyrirtækislénið þannig að gáttaþjónustan virki rétt á netinu.
Næsta skref varðar val á NGFW stjórnunargerð, hér skal tekið fram:
- Staðbundin stjórnun. Þetta er tiltækur valkostur til að stjórna gáttinni á staðnum með því að nota Gaia Portal vefsíðuna.
- Miðstjórn. Þessi tegund af stjórnun felur í sér samstillingu við sérstakan CheckPoint Management netþjón, samstillingu við Smart1-Cloud skýið eða með SMP (stjórnunarþjónustu fyrir SMB).
Í þessari grein munum við einbeita okkur að staðbundinni stjórnunaraðferð; þú getur tilgreint aðferðina sem er nauðsynleg. Til að kynna þér ferlið við samstillingu við sérstakan stjórnunarþjón mælum við með úr CheckPoint Getting Started þjálfunaröðinni unnin af TS Solution.
Næst verður gluggi kynntur sem skilgreinir rekstrarham viðmótanna á gáttinni:
- Skiptastilling felur í sér framboð á undirneti frá einu viðmóti yfir í undirnet annars viðmóts.
- Slökkva á rofahamur slekkur því á rofahamnum; hver höfn beinir umferð eins og fyrir sérstakt netbrot.
Einnig er lagt til að tilgreina safn af DHCP vistföngum sem verða notuð við tengingu við staðbundin tengi gáttarinnar.
Næsta skref er að stilla gáttina þannig að hún virki í þráðlausri stillingu; við ætlum að ræða þennan þátt nánar í einni grein í seríunni, svo við frestuðum uppsetningu stillinganna. Þú getur búið til nýjan þráðlausan aðgangsstað, stillt lykilorð til að tengjast honum og ákvarðað rekstrarham þráðlausu rásarinnar (2.4 Hz eða 5 Hz).
Næsta skref verður að stilla aðgang að gáttinni fyrir stjórnendur fyrirtækja. Sjálfgefið er aðgangsréttur leyfður ef tengingin kemur frá:
- Innra undirnet fyrirtækisins
- Traust þráðlaust net
- VPN göng
Möguleikinn á að tengjast gáttinni í gegnum internetið er sjálfgefið óvirkur, það felur í sér mikla áhættu og þarf að rökstyðja það, annars er mælt með því að hafa það eins og í okkar dæmi. Einnig er hægt að tilgreina hvaða IP tölur verða leyfðar til að tengjast gáttinni.
Næsti gluggi varðar virkjun leyfa; við upphaflega frumstillingu tækisins verður þér kynntur 30 daga prufutími. Það eru tvær tiltækar virkjunaraðferðir:
- Ef það er nettenging er leyfið virkjað sjálfkrafa.
- Ef þú virkjar leyfi án nettengingar þarftu að gera eftirfarandi: hlaða niður leyfinu frá UserCenter, skráðu tækið þitt á sérstöku . Næst, í báðum tilvikum, þarftu að flytja inn handvirkt niðurhalað leyfi.
Að lokum, síðasti glugginn í stillingarhjálpinni biður þig um að velja blöðin sem á að kveikja á; athugið að aðeins er kveikt á QOS blaðinu eftir upphaflega frumstillingu. Þú ættir að enda með útfyllingarglugga sem dregur saman stillingarnar þínar.
Upphafleg uppsetning
Í fyrsta lagi mælum við með því að athuga stöðu leyfa; frekari uppsetning mun ráðast af þessu. Farðu í „HEIM“ → „License“ flipann:
Ef leyfin eru virkjuð mælum við með því að uppfæra strax í nýjasta núverandi fastbúnaðinn; til að gera þetta, farðu í „TÆKI“ → „Kerfisaðgerðir“ flipann:
Kerfisuppfærslur eru staðsettar í hlutnum Firmware Upgrade. Í okkar tilviki er núverandi og nýjasta vélbúnaðarútgáfan uppsett.
Næst legg ég til að tala stuttlega um getu og stillingar kerfisblaðanna. Rökfræðilega er hægt að skipta þeim í aðgangsstefnu (eldvegg, forritastýringu, vefslóðasíun) og ógnarvarnir (IPS, vírusvörn, vírusvarnarefni, ógnarhermi).
Við skulum fara í Aðgangsstefnu → Blade Control flipann:
Sjálfgefið er að STANDARD hamur er notaður, hann leyfir útleiðandi umferð á internetið, umferð innan staðarnetsins, en lokar á sama tíma fyrir komandi umferð af internetinu.
Hvað varðar APPLICATIONS & URL FILTERING blöðin, þá eru þau sjálfgefið stillt til að loka á síður sem eru í mikilli hættu, loka fyrir skiptiforrit (Torrent, File Storage, osfrv.). Þú getur líka lokað fyrir flokka vefsvæða handvirkt.
Við skulum athuga valkostinn fyrir notendaumferð "Takmarka bandbreidd sem neyta forrita" með getu til að takmarka hraða á útleið/komandi umferð fyrir hópa af forritum.
Næst skaltu opna undirkafla stefnu; sjálfgefið eru reglurnar búnar til sjálfkrafa í samræmi við áður lýstar stillingar.
NAT undirkaflinn virkar sjálfgefið í Global Hide Nat Automatic, þ.e.a.s. allir innri gestgjafar munu hafa aðgang að internetinu í gegnum opinbera IP tölu. Það er hægt að stilla NAT reglur handvirkt fyrir birtingu vefforrita eða þjónustu.
Næst býður kaflinn sem snýr að notendavottun á netinu upp á tvo valkosti: Active Directory Queries (samþætting við AD þinn), vafra-Based-Authentication (notandinn slær inn lénsskilríki í gáttinni).
Það er þess virði að minnast á SSL skoðun sérstaklega; hlutur heildar HTTPS umferð á Global Network er virkur vaxandi. Við skulum skoða hvaða eiginleika CheckPoint býður upp á fyrir SMB lausnir. Til að gera þetta, farðu í SSL-skoðun → Stefna:
Í stillingunum geturðu skoðað HTTPS umferð; þú þarft að flytja inn vottorðið og setja það upp í traustu vottorðamiðstöðinni á notendavélum.
Við teljum að HÁRÁÐA stillingin fyrir fyrirfram skilgreinda flokka sé þægilegur kostur; þetta sparar verulega tíma þegar eftirlit er virkt.
Eftir að hafa stillt reglurnar á Firewall / Application stigi, ættir þú að halda áfram að stilla öryggisstefnur (Threat Prevention), til að gera þetta, farðu í viðeigandi hluta:
Á opnu síðunni sjáum við virkt blað, undirskrift og uppfærslustöðu gagnagrunns. Við erum einnig beðin um að velja snið til að vernda netjaðarinn og samsvarandi stillingar birtast.
Sérstakur hluti „IPS-verndar“ gerir þér kleift að stilla aðgerðina fyrir tiltekna öryggisundirskrift.
Ekki er langt síðan við skrifuðum á bloggið okkar fyrir Windows Server - SigRed. Við skulum athuga hvort það sé til staðar í Gaia Embedded 80.20 með því að slá inn fyrirspurnina „CVE-2020-1350“
Skrá hefur fundist fyrir þessa undirskrift sem hægt er að beita einni af aðgerðunum á. (Sjálfgefið er að koma í veg fyrir hættustigið er Critical). Samkvæmt því, með SMB lausn, verður þú ekki skilinn útundan hvað varðar uppfærslur og stuðning; þetta er fullkomin NGFW lausn fyrir útibú allt að 200 manns frá CheckPoint.
Frammistöðumat
Í lok greinarinnar langar mig að benda á framboð á verkfærum til að leysa vandamál eftir fyrstu frumstillingu og uppsetningu SMB lausnarinnar. Þú getur farið í hlutann „HEIM“ → „Verkfæri“. Mögulegir valkostir:
- eftirlitskerfisauðlindir;
- leiðartöflu;
- athuga framboð á CheckPoint skýjaþjónustu;
- CPinfo kynslóð;
Innbyggðar netskipanir eru einnig fáanlegar: Ping, Traceroute, Traffic Capture.
Þannig að í dag skoðuðum við og rannsökuðum fyrstu tengingu og uppsetningu NGFW 1590, þú munt framkvæma svipaðar aðgerðir fyrir alla 1500 SMB Checkpoint röðina. Tiltækir valkostir sýndu okkur mikla breytileika fyrir stillingar, stuðning við nútíma aðferðir til að vernda umferð á jaðar netkerfisins.
Í dag eru CheckPoint lausnir til að vernda litlar skrifstofur og útibú (allt að 200 manns) með fjölbreytt úrval verkfæra og nota nýjustu tækni (skýjastjórnun, SIM-kortastuðningur, minnisstækkun með SD-kortum o.s.frv.). Haltu áfram að vera upplýst og lesa greinar frá TS Solution, við erum að skipuleggja frekari útgáfur á hlutum um NGFW CheckPoint í SMB fjölskyldunni, sjáumst!
. Fylgstu með (, , , , ).
Heimild: www.habr.com