Continuiamo la serie di articoli sull'utilizzo della nuova gamma di modelli CheckPoint per PMI, ricordiamolo in abbiamo descritto le caratteristiche e le potenzialità dei nuovi modelli, modalità di gestione e amministrazione. Oggi esamineremo lo scenario di implementazione per il modello precedente della serie: CheckPoint 1590 NGFW. Ecco un riepilogo di questa parte:
- Attrezzature di disimballaggio (descrizione dei componenti, connessioni fisiche e di rete).
- Inizializzazione iniziale del dispositivo.
- Configurazione iniziale.
- Valutazione delle prestazioni.
Disimballaggio dell'attrezzatura
La conoscenza dell'attrezzatura inizia con la rimozione dell'attrezzatura dalla scatola, lo smontaggio dei componenti e l'installazione delle parti; fare clic sullo spoiler, dove viene presentato brevemente il processo
Consegna dell'NGFW 1590
Brevemente sui componenti:
- NGFW1590;
- Adattatore di alimentazione;
- 2 antenne Wi-Fi (2.4 Hz e 5 Hz);
- 2 antenne LTE;
- Opuscoli con documentazione (una breve guida alla connessione iniziale, contratto di licenza, ecc.)
Per quanto riguarda le porte e le interfacce di rete, ci sono tutte le moderne funzionalità per la trasmissione e l'interazione del traffico, una porta separata per la zona DMZ, USB 3.0 per la sincronizzazione con un PC.
La versione 1590 ha ricevuto un design aggiornato, opzioni moderne per la comunicazione wireless e l'espansione della memoria: 2 slot per lavorare con Micro/Nano SIM in modalità LTE. (di questa opzione parleremo in dettaglio in uno dei prossimi articoli della serie dedicata alle connessioni wireless); Slot per scheda SD.
Puoi leggere ulteriori informazioni sulle funzionalità del 1590 NGFW e di altri nuovi modelli in da una serie di articoli sulle soluzioni CheckPoint per PMI. Procederemo all'inizializzazione iniziale del dispositivo.
Inizializzazione primaria
I nostri lettori abituali dovrebbero già essere consapevoli del fatto che la linea PMI serie 1500 utilizza il nuovo sistema operativo incorporato 80.20, che include un'interfaccia aggiornata e funzionalità migliorate.
Per avviare l'inizializzazione del dispositivo è necessario:
- Fornire alimentazione al gateway.
- Collegare il cavo di rete dal PC alla LAN -1 sul gateway.
- Facoltativamente è possibile fornire immediatamente al dispositivo l'accesso a Internet collegando l'interfaccia alla porta WAN.
- Vai al portale Gaia Embedded:
Se hai seguito i passaggi indicati in precedenza, dopo essere andato alla pagina del portale Gaia, dovrai confermare l'apertura della pagina con un certificato non attendibile, dopodiché verrà avviata la procedura guidata per le impostazioni del portale:
Verrai accolto da una pagina che indica il modello del tuo dispositivo, devi andare alla sezione successiva:
Ci verrà chiesto di creare un account per l'autorizzazione, è possibile specificare requisiti elevati per la password per l'amministratore e indichiamo il paese in cui utilizzeremo il gateway.
La finestra successiva riguarda le impostazioni di data e ora; puoi impostarla manualmente oppure utilizzare il server NTP dell’azienda.
Il passo successivo consiste nell'impostare un nome per il dispositivo e specificare il dominio aziendale in modo che i servizi gateway funzionino correttamente su Internet.
Il passo successivo riguarda la scelta del tipo di controllo NGFW, qui va notato:
- Gestione locale. Questa è un'opzione disponibile per gestire il gateway localmente utilizzando la pagina web Gaia Portal.
- Gestione centrale. Questa tipologia di gestione prevede la sincronizzazione con un server dedicato CheckPoint Management, la sincronizzazione con il cloud Smart1-Cloud o con SMP (servizio gestionale per PMI).
In questo articolo ci concentreremo sul metodo di gestione locale; puoi specificare il metodo necessario. Per familiarizzare con il processo di sincronizzazione con un Management Server dedicato, suggeriamo dalla serie di formazione CheckPoint Getting Started preparata da TS Solution.
Successivamente verrà presentata una finestra che definisce la modalità di funzionamento delle interfacce sul gateway:
- La modalità switch implica la disponibilità di una sottorete da un'interfaccia alla sottorete di un'altra interfaccia.
- La modalità Disable Switch disabilita di conseguenza la modalità Switch; ciascuna porta instrada il traffico come per un frammento di rete separato.
Si propone inoltre di specificare un pool di indirizzi DHCP che verranno utilizzati durante la connessione alle interfacce locali del gateway.
Il prossimo passo è configurare il gateway per funzionare in modalità wireless; prevediamo di approfondire questo aspetto in un articolo della serie, quindi abbiamo rimandato la configurazione delle impostazioni. È possibile creare un nuovo punto di accesso wireless, impostare una password per connettersi ad esso e determinare la modalità operativa del canale wireless (2.4 Hz o 5 Hz).
Il prossimo passo sarà configurare l'accesso al gateway per gli amministratori aziendali. Per impostazione predefinita, i diritti di accesso sono consentiti se la connessione proviene da:
- Sottorete aziendale interna
- Rete wireless affidabile
- Tunnel VPN
L'opzione per connettersi al gateway via Internet è disabilitata per impostazione predefinita, ciò comporta grandi rischi e deve essere giustificata per l'inclusione, altrimenti si consiglia di lasciarla come nel nostro esempio. È anche possibile specificare quali indirizzi IP saranno consentiti per connettersi al gateway.
La finestra successiva riguarda l'attivazione delle licenze; al momento della prima inizializzazione del dispositivo, ti verrà presentato un periodo di prova di 30 giorni. Sono disponibili due metodi di attivazione:
- Se è presente una connessione Internet, la licenza viene attivata automaticamente.
- Se attivi una licenza offline, devi fare quanto segue: scaricare la licenza da UserCenter, registrare il tuo dispositivo su un apposito . Successivamente, in entrambi i casi, sarà necessario importare la licenza scaricata manualmente.
Infine, l'ultima finestra della procedura guidata delle impostazioni richiede di selezionare i blade da accendere; si noti che il blade QOS viene acceso solo dopo l'inizializzazione iniziale. Dovresti ritrovarti con una finestra di completamento che riassume le tue impostazioni.
Configurazione iniziale
Consigliamo innanzitutto di verificare lo stato delle licenze, da questo dipenderà l'ulteriore configurazione. Andare alla scheda “HOME” → “Licenza”:
Nel caso in cui le licenze siano attivate si consiglia l'aggiornamento immediato all'ultimo firmware corrente; per fare ciò accedere alla scheda “DISPOSITIVO” → “Operazioni di sistema”:
Gli aggiornamenti di sistema si trovano nella voce Aggiornamento firmware. Nel nostro caso è installata la versione firmware attuale e più recente.
Successivamente, propongo di parlare brevemente delle capacità e delle impostazioni dei blade di sistema. Logicamente, possono essere suddivisi in policy di livello Accesso (Firewall, Controllo Applicazioni, Filtro URL) e Prevenzione delle minacce (IPS, Antivirus, Anti-Bot, Emulazione minacce).
Andiamo alla scheda Access Policy → Blade Control:
Per impostazione predefinita, viene utilizzata la modalità STANDARD, che consente il traffico in uscita verso Internet, il traffico all'interno della rete locale, ma allo stesso tempo blocca il traffico in entrata da Internet.
Per quanto riguarda i pannelli APPLICAZIONI & FILTRO URL, di default sono impostati per bloccare siti ad alto livello di pericolosità, bloccare applicazioni di scambio (Torrent, File Storage, ecc.). Puoi anche bloccare manualmente le categorie di siti.
Controlliamo l'opzione per il traffico utente “Limita le applicazioni che consumano larghezza di banda” con la possibilità di limitare la velocità del traffico in uscita/entrata per gruppi di applicazioni.
Successivamente, apri la sottosezione Policy; per impostazione predefinita, le regole vengono generate automaticamente in base alle impostazioni descritte in precedenza.
La sottosezione NAT per impostazione predefinita funziona in Global Hide Nat Automatic, ovvero tutti gli host interni avranno accesso a Internet tramite l'indirizzo IP pubblico. È possibile impostare manualmente le regole NAT per la pubblicazione delle proprie applicazioni o servizi web.
Successivamente, la sezione che riguarda l'Autenticazione dell'utente in rete offre due opzioni: Query Active Directory (integrazione con il tuo AD), Autenticazione basata su browser (l'utente inserisce le credenziali del dominio nel portale).
Vale la pena menzionare separatamente l'ispezione SSL: la quota del traffico HTTPS totale sulla rete globale è in continua crescita. Diamo un'occhiata alle funzionalità offerte da CheckPoint per le soluzioni PMI. Per farlo, vai alla sezione Ispezione SSL → Politica:
Nelle impostazioni puoi controllare il traffico HTTPS; dovrai importare il certificato e installarlo nel centro certificati attendibile sui computer degli utenti finali.
Consideriamo la modalità BYPASS per le categorie predefinite un'opzione conveniente; ciò consente di risparmiare notevolmente tempo quando si abilita l'ispezione.
Dopo aver configurato le regole a livello Firewall/Applicazione, è necessario procedere all'ottimizzazione delle politiche di sicurezza (Prevenzione delle minacce), per fare ciò accedere alla sezione apposita:
Nella pagina aperta vediamo i blade abilitati, la firma e gli stati di aggiornamento del database. Ci viene inoltre chiesto di selezionare un profilo per proteggere il perimetro della rete e vengono visualizzate le impostazioni corrispondenti.
Una sezione separata “Protezioni IPS” consente di configurare l'azione per una firma di sicurezza specifica.
Non molto tempo fa scrivevamo sul nostro blog per Windows Server - SigRed. Verifichiamo la sua presenza in Gaia Embedded 80.20 inserendo la query “CVE-2020-1350”
È stato rilevato un record per questa firma a cui è possibile applicare una delle azioni. (per impostazione predefinita Previeni per il livello di pericolo è Critico). Di conseguenza, avendo una soluzione per PMI, non sarai escluso in termini di aggiornamenti e supporto; si tratta di una soluzione NGFW completa per filiali fino a 200 persone di CheckPoint.
Valutazione delle prestazioni
Concludendo l'articolo, vorrei sottolineare la disponibilità di strumenti per la risoluzione dei problemi dopo l'inizializzazione e la configurazione iniziale della soluzione SMB. Puoi andare alla sezione “HOME” → “Strumenti”. Opzioni possibili:
- monitorare le risorse di sistema;
- tabella di instradamento;
- verificare la disponibilità dei servizi cloud CheckPoint;
- Generazione CPinfo;
Sono disponibili anche i comandi di rete integrati: Ping, Traceroute, Traffic Capture.
Pertanto, oggi abbiamo esaminato e studiato la connessione e la configurazione iniziali di NGFW 1590, eseguirai azioni simili per l'intera serie 1500 SMB Checkpoint. Le opzioni disponibili ci hanno mostrato un'elevata variabilità delle impostazioni, supporto per metodi moderni di protezione del traffico sul perimetro della rete.
Oggi le soluzioni CheckPoint per la protezione di piccoli uffici e filiali (fino a 200 persone) dispongono di un'ampia gamma di strumenti e utilizzano le tecnologie più recenti (gestione cloud, supporto SIM card, espansione di memoria tramite schede SD, ecc.). Continuate a rimanere informati e leggere gli articoli di TS Solution, stiamo pianificando ulteriori rilasci di parti riguardanti NGFW CheckPoint della famiglia SMB, ci vediamo!
. Rimani sintonizzato (, , , , ).
Fonte: habr.com