Біз SMB CheckPoint жаңа үлгі диапазонымен жұмыс істеу туралы мақалалар сериясын жалғастырамыз, бұл туралы еске сала кетейік біз жаңа үлгілердің сипаттамалары мен мүмкіндіктерін, басқару және басқару әдістерін сипаттадық. Бүгін біз сериядағы ескі үлгіні орналастыру сценарийін қарастырамыз: CheckPoint 1590 NGFW. Міне, осы бөлімнің қысқаша мазмұны:
- Жабдықты қаптамадан шығару (компоненттерді, физикалық және желілік қосылымдарды сипаттау).
- Құрылғыны бастапқы инициализациялау.
- Бастапқы орнату.
- Өнімділікті бағалау.
Жабдықты қаптамадан шығару
Жабдықпен танысу жабдықты қораптан алудан, құрамдас бөліктерді бөлшектеуден және бөлшектерді орнатудан басталады; процесс қысқаша көрсетілген спойлерді басыңыз.
NGFW 1590 жеткізу
Компоненттер туралы қысқаша:
- NGFW 1590;
- Қуат адаптері;
- 2 Wi-Fi антеннасы (2.4 Гц және 5 Гц);
- 2 LTE антеннасы;
- Құжаттамалары бар кітапшалар (бастапқы қосылуға арналған қысқаша нұсқаулық, лицензиялық келісім және т.б.)
Желілік порттар мен интерфейстерге келетін болсақ, трафикті тасымалдау және өзара әрекеттесу үшін барлық заманауи мүмкіндіктер, DMZ аймағы үшін бөлек порт, ДК-мен синхрондау үшін USB 3.0 бар.
1590 нұсқасы жаңартылған дизайнды, сымсыз байланыс пен жадты кеңейтудің заманауи опцияларын алды: LTE режимінде Micro/Nano SIM картасымен жұмыс істеуге арналған 2 слот. (біз бұл опция туралы сымсыз қосылымдарға арналған сериядағы келесі мақалаларымыздың бірінде егжей-тегжейлі жазуды жоспарлап отырмыз); SD картасы ұясы.
1590 NGFW және басқа жаңа үлгілердің мүмкіндіктері туралы толығырақ мына жерден оқи аласыз CheckPoint SMB шешімдері туралы мақалалар сериясынан. Біз құрылғыны бастапқы инициализациялауға көшеміз.
Бастапқы инициализация
Біздің тұрақты оқырмандарымыз 1500 сериялы SMB желісі жаңартылған интерфейс пен жақсартылған мүмкіндіктерді қамтитын жаңа 80.20 енгізілген ОЖ қолданатынын білуі керек.
Құрылғыны инициализациялауды бастау үшін сізге қажет:
- Шлюзді қуатпен қамтамасыз етіңіз.
- Желілік кабельді компьютерден шлюздегі LAN -1 желісіне қосыңыз.
- Қажет болса, интерфейсті WAN портына қосу арқылы құрылғыны дереу Интернетке қол жеткізуді қамтамасыз ете аласыз.
- Gaia ендірілген порталына өтіңіз:
Егер сіз бұрын көрсетілген қадамдарды орындасаңыз, Gaia портал бетіне өткеннен кейін сенімді емес сертификатпен бетті ашуды растау қажет, содан кейін портал параметрлері шебері іске қосылады:
Сізді құрылғыңыздың үлгісі көрсететін бет қарсы алады, келесі бөлімге өту керек:
Бізден авторизациялау үшін тіркелгі жасау сұралады, әкімші үшін жоғары құпия сөз талаптарын көрсетуге болады және біз шлюзді қолданатын елді көрсетеміз.
Келесі терезе күн мен уақыт параметрлеріне қатысты; оны қолмен орнатуға немесе компанияның NTP серверін пайдалануға болады.
Келесі қадам шлюз қызметтері Интернетте дұрыс жұмыс істеуі үшін құрылғының атын орнатуды және компания доменін көрсетуді қамтиды.
Келесі қадам NGFW басқару түрін таңдауға қатысты, мұнда мынаны атап өткен жөн:
- Жергілікті басқару. Бұл Gaia Portal веб-бетін пайдаланып шлюзді жергілікті басқаруға арналған қолжетімді опция.
- Орталық басқару. Басқарудың бұл түрі арнайы CheckPoint Management серверімен синхрондауды, Smart1-Cloud бұлтымен немесе SMP (SMB үшін басқару қызметі) синхрондауды қамтиды.
Бұл мақалада біз «Жергілікті басқару» әдісіне тоқталамыз, қажет әдісті көрсетуге болады. Арнайы басқару серверімен синхрондау процесімен танысу үшін біз ұсынамыз TS Solution компаниясы дайындаған CheckPoint Getting Started оқу сериясынан.
Содан кейін шлюздегі интерфейстердің жұмыс режимін анықтайтын терезе ұсынылады:
- Ауыстыру режимі бір интерфейстен басқа интерфейстің ішкі желісіне ішкі желінің қолжетімділігін білдіреді.
- Қосқышты өшіру режимі тиісінше Switch режимін өшіреді; әрбір порт трафикті жеке желі фрагменті сияқты бағыттайды.
Сондай-ақ шлюздің жергілікті интерфейстеріне қосылу кезінде пайдаланылатын DHCP мекенжайларының пулын көрсету ұсынылады.
Келесі қадам - сымсыз режимде жұмыс істеу үшін шлюзді конфигурациялау; біз бұл аспектіні сериядағы бір мақалада толығырақ талқылауды жоспарлап отырмыз, сондықтан параметрлерді конфигурациялауды кейінге қалдырдық. Жаңа сымсыз кіру нүктесін жасауға, оған қосылу үшін құпия сөз орнатуға және сымсыз арнаның жұмыс режимін анықтауға болады (2.4 Гц немесе 5 Гц).
Келесі қадам компания әкімшілері үшін шлюзге кіруді конфигурациялау болады. Әдепкі бойынша, қосылым келесіден болса, кіру құқықтарына рұқсат етіледі:
- Компанияның ішкі ішкі желісі
- Сенімді сымсыз желі
- VPN туннелі
Интернет арқылы шлюзге қосылу опциясы әдепкі бойынша өшірілген, бұл үлкен тәуекелдерді тудырады және қосу үшін негізделуі керек, әйтпесе оны біздің мысалдағыдай қалдыру ұсынылады.Сондай-ақ қандай IP мекенжайларына рұқсат етілетінін көрсетуге болады. шлюзге қосылу үшін.
Келесі терезе лицензияларды белсендіруге қатысты; құрылғыны инициализациялау кезінде сізге 30 күндік сынақ мерзімі ұсынылады. Екі қол жетімді активтендіру әдісі бар:
- Интернет қосылымы болса, лицензия автоматты түрде іске қосылады.
- Лицензияны желіден тыс белсендірсеңіз, келесі әрекеттерді орындау керек: UserCenter-тен лицензияны жүктеп алыңыз, құрылғыңызды арнайы сайтта тіркеңіз. . Әрі қарай, екі жағдайда да қолмен жүктелген лицензияны импорттау қажет болады.
Соңында, параметрлер шеберіндегі соңғы терезе қосылатын пышақтарды таңдауды ұсынады; QOS жолағы бастапқы инициализациядан кейін ғана қосылатынын ескеріңіз. Параметрлеріңізді қорытындылайтын аяқтау терезесін аяқтауыңыз керек.
Бастапқы орнату
Ең алдымен, лицензиялардың күйін тексеруді ұсынамыз, одан әрі конфигурация осыған байланысты болады. «БАСТЫ» → «Лицензия» қойындысына өтіңіз:
Лицензиялар белсендірілген болса, біз ең соңғы микробағдарламаны дереу жаңартуды ұсынамыз, ол үшін «ҚҰРЫЛҒЫ» → «Жүйелік әрекеттер» қойындысына өтіңіз:
Жүйе жаңартулары микробағдарламаны жаңарту элементінде орналасқан. Біздің жағдайда микробағдарламаның ағымдағы және соңғы нұсқасы орнатылған.
Әрі қарай, мен жүйелік пышақтардың мүмкіндіктері мен параметрлері туралы қысқаша айтуды ұсынамын. Логикалық тұрғыдан оларды Access (брандмауэр, қолданбаларды басқару, URL сүзгілеу) және қауіптердің алдын алу (IPS, антивирус, анти-бот, қауіп эмуляциясы) деңгейіндегі саясаттарға бөлуге болады.
Қатынас саясаты → Blade Control қойындысына өтейік:
Әдепкі бойынша СТАНДАРТ режимі пайдаланылады, ол Интернетке шығыс трафикке, жергілікті желі ішіндегі трафикке мүмкіндік береді, бірақ сонымен бірге Интернеттен түсетін трафикті блоктайды.
ҚОЛДАНБАЛАР ЖӘНЕ URL СҮЗІЛУ жолақтарына келетін болсақ, олар әдепкі бойынша қауіптілігі жоғары сайттарды бұғаттауға, алмасу қолданбаларын (Torrent, файлдарды сақтау және т.б.) блоктауға орнатылған. Сондай-ақ сайттардың санаттарын қолмен блоктауға болады.
Қолданбалар топтары үшін шығыс/кіріс трафигінің жылдамдығын шектеу мүмкіндігімен «Өткізу қабілеттілігін тұтынатын қолданбаларды шектеу» пайдаланушы трафигі опциясын тексерейік.
Әрі қарай, Саясат ішкі бөлімін ашыңыз, әдепкі бойынша ережелер бұрын сипатталған параметрлерге сәйкес автоматты түрде жасалады.
NAT ішкі бөлімі әдепкі бойынша Global Hide Nat Automatic жүйесінде жұмыс істейді, яғни барлық ішкі хосттар жалпыға ортақ IP мекенжайы арқылы Интернетке қол жеткізе алады. Веб-қосымшаларды немесе қызметтерді жариялау үшін NAT ережелерін қолмен орнатуға болады.
Әрі қарай, желідегі пайдаланушы аутентификациясына қатысты бөлім екі опцияны ұсынады: Active Directory сұраулары (AD-мен біріктіру), Браузер негізіндегі түпнұсқалық растама (пайдаланушы порталға домен тіркелгі деректерін енгізеді).
SSL тексеруін бөлек атап өткен жөн, жаһандық желідегі HTTPS трафикінің жалпы үлесі белсенді түрде өсіп келеді. CheckPoint SMB шешімдері үшін қандай мүмкіндіктерді ұсынатынын қарастырайық.Ол үшін SSL-Инспекция → Саясат бөліміне өтіңіз:
Параметрлерде HTTPS трафигін тексеруге болады; сертификатты импорттап, оны соңғы пайдаланушы машиналарындағы сенімді сертификат орталығында орнату керек.
Біз алдын ала анықталған санаттар үшін BYPASS режимін ыңғайлы опция деп санаймыз, бұл тексеруді қосу кезінде уақытты айтарлықтай үнемдейді.
Брандмауэр/қолданба деңгейінде ережелерді конфигурациялаудан кейін қауіпсіздік саясаттарын реттеуге (Қауіптердің алдын алу) өту керек, ол үшін тиісті бөлімге өтіңіз:
Ашық бетте біз қосылған тақталарды, қолтаңбаны және дерекқорды жаңарту күйлерін көреміз. Сондай-ақ бізден желі периметрін қорғау үшін профильді таңдауды сұрайды және сәйкес параметрлер көрсетіледі.
«IPS қорғаулары» бөлек бөлімі арнайы қауіпсіздік қолтаңбасы үшін әрекетті конфигурациялауға мүмкіндік береді.
Жақында біз блогымызда жазған болатынбыз Windows сервері үшін - SigRed. «CVE-80.20-2020» сұрауын енгізу арқылы оның Gaia Embedded 1350 жүйесінде болуын тексерейік.
Бұл қолтаңба үшін әрекеттердің бірін қолдануға болатын жазба анықталды. (әдепкі бойынша Қауіпті деңгей үшін Prevent - Critical). Сәйкесінше, SMB шешіміне ие бола отырып, сіз жаңартулар мен қолдау көрсету тұрғысынан назардан тыс қалмайсыз; бұл CheckPoint-тен 200 адамға дейінгі филиалдар үшін толық NGFW шешімі.
Өнімділікті бағалау
Мақаланы қорытындылай келе, SMB шешімін бастапқы инициализациялау және конфигурациялаудан кейін ақаулықтарды жою құралдарының болуын атап өткім келеді. «БАСТЫ» → «Құралдар» бөліміне өтуіңізге болады. Ықтимал опциялар:
- мониторинг жүйесінің ресурстары;
- маршруттау кестесі;
- CheckPoint бұлттық қызметтерінің қолжетімділігін тексеру;
- CPinfo құру;
Кірістірілген желі пәрмендері де қол жетімді: Ping, Traceroute, Traffic Capture.
Осылайша, бүгін біз NGFW 1590 бастапқы қосылымын және конфигурациясын қарап шықтық және зерттедік, сіз 1500 SMB Checkpoint сериясының барлығы үшін ұқсас әрекеттерді орындайсыз. Қол жетімді опциялар бізге параметрлердің жоғары өзгермелілігін, желі периметрі бойынша трафикті қорғаудың заманауи әдістерін қолдауды көрсетті.
Бүгінгі таңда шағын кеңселер мен филиалдарды (200 адамға дейін) қорғауға арналған CheckPoint шешімдері кең ауқымды құралдарға ие және соңғы технологияларды (бұлтты басқару, SIM карталарын қолдау, SD карталарын пайдалану арқылы жадты кеңейту және т.б.) пайдаланады. Хабардар болуды және TS Solution мақалаларын оқуды жалғастырыңыз, біз SMB отбасының NGFW CheckPoint туралы бөліктерін одан әрі шығаруды жоспарлап отырмыз, кездескенше!
. Бізбен бірге қалыңыз (, , , , ).
Ақпарат көзі: www.habr.com