Check Point. Ew çi ye, bi çi tê xwarin, an bi kurtî li ser tiştê sereke

Silav, xwendevanên hêja yên Habrê! Ev bloga pargîdanî ya pargîdanî ye Çareseriya TS. Em entegratorê pergalê ne û bi piranî di çareseriyên ewlehiya binesaziya IT-yê de pispor in (Point Point, Fortinet) û pergalên analîzkirina daneya makîneyê (Spunk). Em ê bloga xwe bi danasînek kurt a teknolojiyên Check Point dest pê bikin.

Em demek dirêj fikirîn ku gelo hêjayî nivîsandina vê gotarê ye, ji ber ku ... tiştekî nû tê de tune ku li ser Înternetê neyê dîtin. Lêbelê, tevî gelek agahdariya wusa, dema ku bi xerîdar û hevalbendan re dixebitin, em pir caran heman pirsan dibihîzin. Ji ber vê yekê, biryar hate girtin ku ji cîhana teknolojiyên Check Point re celebek danasînê binivîsin û cewhera mîmariya çareseriyên wan eşkere bikin. Û ev hemî di çarçoveya yek postek "biçûk" de, rêwîtiyek bilez e, da ku biaxivin. Wekî din, em ê hewl bidin ku nekevin nav şerên kirrûbirrê, ji ber ku ... Em ne firoşkar, tenê entegratorek pergalê ne (her çend em bi rastî ji Check Point hez dikin) û em ê tenê li xalên sereke binihêrin bêyî ku wan bi hilberînerên din re bidin ber hev (wek Palo Alto, Cisco, Fortinet, hwd.). Gotar derket ku pir dirêj bû, lê ew piraniya pirsan di qonaxa nasîna bi Check Point de vedigire. Ger bala we dikişîne, wê hingê hûn bi xêr hatin pisîkê...

UTM/NGFW

Dema ku dest bi danûstendinek li ser Check Point dikin, cîhê yekem ku meriv dest pê dike ravekirina UTM û NGFW çi ne û ew çawa cûda ne. Em ê vê yekê pir kurt bikin da ku post pir dirêj nebe (dibe ku di pêşerojê de em ê vê mijarê bi hûrgulî hûrgulî bifikirin)

UTM - Rêvebiriya Tehdîdê ya Yekgirtî

Bi kurtasî, cewhera UTM yekbûna çend amûrên ewlehiyê di yek çareseriyê de ye. Ewan. her tişt di yek qutikê de an cûreyek hemî tevlihev. Wateya "gelek derman" çi ye? Vebijarka herî gelemperî ev e: Firewall, IPS, Proxy (Fîlterkirina URL), streaming Antivirus, Anti-Spam, VPN û hwd. Hemî ev yek di nav yek çareseriyek UTM de tête hev kirin, ku di warê yekbûn, veavakirin, rêvebirin û çavdêriyê de hêsantir e, û ev di encamê de bandorek erênî li ser ewlehiya giştî ya torê dike. Dema ku çareseriyên UTM yekem xuya bûn, ew bi taybetî ji bo pargîdaniyên piçûk têne hesibandin, ji ber ku ... UTM-an nikarîbûn jimarên mezin ên seyrûseferê bi rê ve bibin. Ev ji ber du sedeman bû:

1. Rêbaza pêvajoya pakêtê. Guhertoyên yekem ên çareseriyên UTM pakêtan bi rêz, her "modul" dişoxilînin. Nimûne: Pêşî pakêt ji hêla dîwarê agir ve tê hilanîn, paşê IPS, paşê ji hêla Anti-Virus ve tê seh kirin û hwd. Bi xwezayî, mekanîzmayek wusa di trafîkê de derengiyên ciddî destnîşan kir û çavkaniyên pergalê (pêvajoker, bîranîn) pir xerc kir.
2. Hardware qels. Wekî ku li jor behs kir, pêvajoyek rêzdar a pakêtan pir çavkaniyan dixwe û hardware ya wan deman (1995-2005) bi hêsanî nikaribû bi seyrûsefera mezin re mijûl bibe.

Lê pêşveçûn namîne. Ji hingê ve, kapasîteya hardware bi girîngî zêde bûye, û pêvajoya pakêtê guheriye (divê were pejirandin ku ne hemî firoşkaran ew heye) û dest pê kir ku hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hema hebe. Çareseriyên UTM-ya nûjen dikarin bi deh û tewra bi sedan gigabîtan di moda analîza kûr de "diqulipînin", ku ev gengaz dike ku meriv wan di beşa karsaziyên mezin an tewra navendên daneyê de bikar bîne.

Li jêr ji bo çareseriyên UTM-ê ji bo Tebax 2016-a Gartner Magic Quadrant-a navdar heye:

Ez ê li ser vê wêneyê zêde şîrove nekim, ez ê tenê bibêjim ku rêber li quncika jorîn a rastê ne.

NGFW - Firewall Nifşê Pêşerojê

Nav ji bo xwe dipeyive - firewall-a nifşê din. Ev têgeh ji UTM pir dereng xuya bû. Fikra sereke ya NGFW analîzkirina pakêtê ya kûr e (DPI) ku bi karanîna IPS-ya çêkirî û kontrola gihîştinê di asta serîlêdanê de (Kontrola Serlêdanê) bikar tîne. Di vê rewşê de, IPS bi rastî ya ku hewce dike ji bo naskirina vê an wê serîlêdanê di pêveka pakêtê de ye, ku destûrê dide te ku destûrê bide an înkar bike. Mînak: Em dikarin rê bidin Skype ku bixebite, lê veguheztina pelê qedexe bike. Em dikarin karanîna Torrent an RDP qedexe bikin. Serlêdanên Webê jî têne piştgirî kirin: Hûn dikarin destûr bidin gihîştina VK.com, lê lîstik, peyam an temaşekirina vîdyoyan qedexe bikin. Di bingeh de, kalîteya NGFW bi hejmara serîlêdanên ku ew dikare tespît bike ve girêdayî ye. Pir kes bawer dikin ku derketina konsepta NGFW li hember paşperdeya ku pargîdaniya Palo Alto dest bi mezinbûna xwe ya bilez kir kirrûbirra hevpar bû.

Gartner Magic Quadrant ji bo NGFW ji bo Gulan 2016:

UTM vs NGFW

Pirsek pir gelemperî ev e, kîjan çêtir e? Li vir bersivek diyar tune û nabe. Bi taybetî em vê rastiyê dihesibînin ku hema hema hemî çareseriyên UTM-ya nûjen fonksiyona NGFW-ê vedihewîne û piraniya NGFW fonksiyonên xwerû yên UTM-yê hene (Antivirus, VPN, Anti-Bot, hwd.). Mîna her gav, "şeytan di hûrguliyan de ye", ji ber vê yekê berî her tiştî hûn hewce ne ku biryar bidin ka hûn bi taybetî çi hewce dikin û li ser budceya xwe biryar bidin. Li ser bingeha van biryaran, çend vebijark dikarin bêne hilbijartin. Û pêdivî ye ku her tişt bê guman bê ceribandin, bêyî ku ji materyalên kirrûbirrê bawer bikin.

Em, di encamê de, di çarçoweya çend gotaran de, em ê hewl bidin ku li ser Check Point-ê vebêjin, hûn çawa dikarin wê biceribînin û çi, di prensîbê de, hûn dikarin biceribînin (hema hema hemî fonksiyonan).

Sê Saziyên xala kontrolê

Dema ku hûn bi Check Point re dixebitin, hûn ê bê guman bi sê hêmanên vê hilberê re rû bi rû bibin:

1. Deriyê Ewlekariyê (SG) - dergehê ewlehiyê bixwe, ku bi gelemperî li ser perimeterê torê tê saz kirin û fonksiyonên dîwarê agir, rijandina antivirus, antibot, IPS, hwd pêk tîne.
2. Pêşkêşkara Rêvebiriya Ewlekariyê (SMS) - Pêşkêşkara rêveberiya dergehê. Hema hema hemî mîhengên li ser dergehê (SG) bi karanîna vê serverê têne kirin. SMS di heman demê de dikare wekî Pêşkêşkerek Têketinê tevbigere û wan bi analîzek bûyer û pergala pêwendiyê ya çêkirî - Bûyera Smart (wek SIEM ji bo xala kontrolê), lê li ser wê paşê bêtir pêvajoyê bike. SMS ji bo rêveberiya navendî ya çend derwazeyan tê bikar anîn (hejmara derwazeyan bi modela SMS an destûrnameyê ve girêdayî ye), lê ji we tê xwestin ku hûn wê bikar bînin tevî ku we tenê dergehek hebe. Li vir divê were zanîn ku Check Point yek ji wan yekem bû ku pergalek rêveberiya navendî ya weha bikar anî, ku li gorî raporên Gartner gelek sal li pey hev wekî "standard zêr" tête nas kirin. Tewra henekek jî heye: "Heke Cisco xwedî pergalek rêveberiya normal bûya, wê hingê Check Point çu carî xuya nedibû."
3. Smart Console - konsolê xerîdar ji bo girêdana bi servera rêveberiyê (SMS) re. Bi gelemperî li ser komputera rêveberê tê saz kirin. Hemî guhertinên li ser servera rêveberiyê bi vê konsolê têne çêkirin, û piştî wê hûn dikarin mîhengan li deriyên ewlehiyê bicîh bikin (Siyaseta Sazkirinê).

   

Pergala xebitandinê ya xalê kontrol bikin

Di derbarê pergala xebitandinê ya Check Point de, em dikarin sê yekcar bi bîr bînin: IPSO, SPLAT û GAIA.

1. IPSO - Pergala xebitandinê ya Ipsilon Networks, ku aîdî Nokia bû. Di 2009 de, Check Point ev karsazî kir. Êdî pêş dikeve.
2. SPLAT - Pêşkeftina xweya Point-ê kontrol bikin, li ser bingeha kernel RedHat. Êdî pêş dikeve.
3. Gaia - Pergala xebitandinê ya heyî ya ji Check Point, ku di encama yekbûna IPSO û SPLAT de xuya bû, hemî çêtirîn di nav xwe de dihewîne. Ew di sala 2012-an de xuya bû û bi rengek çalak pêşve diçe.

Axaftina li ser Gaia, divê were gotin ku heya niha guhertoya herî gelemperî R77.30 e. Di van demên dawî de, guhertoya R80 xuya bû, ku ji ya berê (hem di warê fonksiyon û kontrolê de) bi girîngî cûda dibe. Em ê nivîsek cuda veqetînin mijara cûdahiyên wan. Xalek din a girîng ev e ku heya niha tenê guhertoya R77.10 xwedan belgeyek FSTEC e, û guhertoya R77.30 tête pejirandin.

Vebijarkên darvekirinê (Aparata Point Check, Makîneya Virtual, OpenServer)

Li vir tiştek ecêb tune, mîna gelek firoşkaran, Check Point gelek vebijarkên hilberê hene:

1. pêvdank - cîhaza hardware û nermalavê, ango. xwe "parçe hesin". Gelek model hene ku di performans, fonksiyon û sêwiranê de cûda dibin (vebijarkên ji bo torên pîşesaziyê hene).

   

2. Mifteya Virtual - Bi Gaia OS re makîneya virtual ya Point kontrol bikin. Hypervisors ESXi, Hyper-V, KVM têne piştgirî kirin. License de ji aliyê hejmara cores processor.
3. OpenServer - sazkirina Gaia rasterast li ser serverê wekî pergala xebitandinê ya sereke (bi navê "metal Bare"). Tenê hin hardware piştgirî ye. Pêşniyarên ji bo vê hardwareyê hene ku divê werin şopandin, wekî din dibe ku pirsgirêkên ajokar û alavên teknîkî derkevin holê. dibe ku piştgirî xizmeta we red bike.

Vebijarkên bicîhkirinê (Belavkirî an Serbixwe)

Piçek bilindtir me berê nîqaş kir ku dergehek (SG) û serverek rêveberiyê (SMS) çi ne. Naha em li ser vebijarkên ji bo pêkanîna wan nîqaş bikin. Du awayên sereke hene:

1. Serbixwe (SG+SMS) - Vebijarkek dema ku hem dergeh û hem servera rêveberiyê di nav yek amûrek (an makîneya virtual) de têne saz kirin.

   
   
   Ev vebijark dema ku we tenê dergehek heye ku bi seyrûsefera bikarhêner bi sivikî barkirî ye guncan e. Ev vebijêrk herî aborî ye, ji ber ku ... ne hewce ye ku serverek rêveberiyê (SMS) bikirin. Lêbelê, heke derî bi giranî barkirî ye, dibe ku hûn bi pergalek kontrolê ya "hêdî" bi dawî bibin. Ji ber vê yekê, berî ku çareseriyek Standalone hilbijêrin, çêtirîn e ku hûn vê vebijarkê şêwir bikin an jî ceribandin.

2. Belav kirin - servera rêveberiyê ji dergehê veqetandî tê saz kirin.

   
   
   Di warê rehetî û performansê de vebijarka çêtirîn. Dema ku pêdivî ye ku meriv bi yekcarî çend dergeh were rêvebirin, ji bo nimûne yên navendî û şax, tê bikar anîn. Di vê rewşê de, hûn hewce ne ku serverek rêveberiyê (SMS) bikirin, ku ew jî di forma amûrek an makîneyek virtual de be.

Wekî ku min li jor jî got, Check Point pergala xweya SIEM heye - Bûyera Smart. Hûn dikarin wê tenê di doza sazkirina Dabeşkirî de bikar bînin.

Modên xebitandinê (Bridge, Routed)
Deriyê Ewlekariyê (SG) dikare di du awayên sereke de bixebite:

• Rêwî kirin - vebijarka herî gelemperî. Di vê rewşê de, dergeh wekî amûrek L3 tête bikar anîn û rêwîtiyê bi xwe re rê dike, ango. Check Point ji bo tora parastî deriyê xwerû ye.
• Pir - moda zelal. Di vê rewşê de, dergeh wekî "pirek" birêkûpêk tê saz kirin û di asta duyemîn (OSI) de di trafîkê de derbas dibe. Ev vebijark bi gelemperî dema ku îmkan (an xwestek) tune ku binesaziya heyî biguhezîne tê bikar anîn. Hûn bi pratîkî ne hewce ne ku topolojiya torê biguhezînin û ne hewce ne ku li ser guhartina navnîşana IP-yê bifikirin.

Ez dixwazim bibînim ku di moda Bridge de di warê fonksiyonê de hin sînor hene, ji ber vê yekê em, wekî entegrator, ji hemî xerîdarên xwe şîret dikin ku moda Routed bikar bînin, bê guman, heke gengaz be.

Kontrol bike Blades Software Point

Em hema gihîştine mijara herî girîng a Check Point, ku herî zêde pirsan di nav xerîdaran de derdixe holê. Ev "berikên nermalavê" çi ne? Blades hin fonksiyonên Check Point vedibêjin.

Van fonksiyonan li gorî hewcedariyên we dikarin werin veguheztin an jî jêbirin. Di heman demê de, blades hene ku bi taybetî li ser dergehê (Ewlehiya Torê) û tenê li ser servera rêveberiyê têne çalak kirin. Wêneyên jêrîn ji bo her du rewşan mînakan nîşan dide:

1) Ji bo Ewlekariya Torê (fonksiyona dergehê)

Ka em bi kurtî vebêjin, ji ber ku... her kelek gotara xwe heq dike.

• Firewall - fonksiyona firewall;
• IPSec VPN - avakirina torên virtual yên taybet;
• Gihîştina Mobîl - gihîştina dûr a ji cîhazên mobîl;
• IPS - pergala pêşîlêgirtina destwerdanê;
• Anti-Bot - parastina li dijî torên botnet;
• AntiVirus - antivirus diherike;
• AntiSpam & Ewlekariya E-nameyê - parastina e-nameya pargîdanî;
• Agahdariya Nasnameyê - entegrasyona bi karûbarê Active Directory;
• Çavdêrî - çavdêriya hema hema hemî pîvanên dergehê (barkirin, bandfireh, rewşa VPN, hwd.)
• Kontrola Serlêdanê - dîwarê asta serîlêdanê (fonksiyona NGFW);
• Parzûnkirina URL - Ewlekariya malperê (+ fonksiyona proxy);
• Pêşîlêgirtina windabûna daneyan - parastina li dijî lewazkirina agahdariyan (DLP);
• Emulation Threat - teknolojiya sandbox (SandBox);
• Derxistina Tehdîdê - teknolojiya paqijkirina pelan;
• QoS - pêşanîkirina trafîkê.

Tenê di çend gotaran de em ê bi hûrgulî li blades Emulation û Derxistina Tehdîdê binihêrin, ez bawer im ku ew ê balkêş be.

2) Ji bo Rêveberiyê (Kontrolkirina fonksiyona serverê)

• Rêvebiriya Siyaseta Torgilokê - rêveberiya siyaseta navendî;
• Rêvebiriya Polîtîkaya Endpoint - rêveberiya navendî ya ajanên Check Point (erê, Check Point ne tenê ji bo parastina torê, lê di heman demê de ji bo parastina stasyonên xebatê (PC) û smartphone jî çareseriyan çêdike;
• Têketin & Rewş - berhevkirin û hilanîna têketinên navendî;
• Portal Rêvebir - rêveberiya ewlehiyê ji gerokê;
• Karûbar - kontrolkirina guhertinên polîtîkayê, kontrolkirina guhertinan, hwd.;
• Pelrêça Bikarhêner - entegrasyona bi LDAP re;
• Dabînkirin - otomatîkkirina rêveberiya dergehê;
• Nûçegihanê Smart - pergala ragihandinê;
• Bûyera Smart - analîz û pêwendiya bûyeran (SIEM);
• Lihevhatin - bixweber mîhengan kontrol dike û pêşniyaran dike.

Em ê naha mijarên lîsansê bi hûrgulî nehesibînin, da ku gotarê bişewitînin û xwendevan tevlihev nekin. Bi îhtîmaleke mezin em ê vê di nivîsek cuda de biweşînin.

Mîmariya blades dihêle hûn tenê fonksiyonên ku hûn bi rastî hewce ne bikar bînin, ku bandorê li budceya çareseriyê û performansa giştî ya cîhazê dike. Mantiqî ye ku hûn her ku hûn bêtir blade çalak bikin, hûn dikarin seyrûsefera hindiktir "bi rê ve bibin". Ji ber vê yekê tabloya performansa jêrîn bi her modela Check Point ve hatî girêdan (me taybetmendiyên modela 5400 wekî mînak girt):

Wekî ku hûn dibînin, li vir du kategoriyên ceribandinan hene: li ser seyrûsefera sentetîk û li ser seyrûsefera rastîn - tevlihev. Bi gelemperî, Check Point bi tenê neçar e ku ceribandinên sentetîk biweşîne, ji ber ... hin firoşkar ceribandinên weha wekî pîvan bikar tînin, bêyî ku performansa çareseriyên xwe li ser seyrûsefera rastîn vekolînin (an jî bi qestî daneyên weha veşêrin ji ber xwezaya xweya nerazî).

Di her celeb ceribandinê de, hûn dikarin çend vebijarkan bibînin:

1. test tenê ji bo Firewall;
2. Testa Firewall + IPS;
3. Testa Firewall + IPS + NGFW (Kontrola serîlêdanê);
4. ceribandina Firewall + Kontrola Serlêdanê + Parzûnkirina URL + IPS + Antivirus + Anti-Bot + SandBlast (sandbox)

Dema ku çareseriya xwe, an têkiliya xwe hilbijêrin, bi baldarî li van parameteran binêrin şêwir.

Ez difikirim ku li vir em dikarin gotara destpêkê ya li ser teknolojiyên Check Point biqedînin. Dûv re, em ê binihêrin ka hûn çawa dikarin Check Point biceribînin û meriv çawa bi xetereyên ewlehiya agahdariya nûjen (vîrûs, phishing, ransomware, zero-roj) re mijûl dibe.

PS Xalek girîng. Tevî eslê xwe yê biyanî (Îsraîlî), çareserî li Federasyona Rûsyayê ji hêla rayedarên birêkûpêk ve hatî pejirandin, ku bixweber hebûna wê di saziyên hukûmetê de qanûnî dike (şirove ji hêla Denyemall).

Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. Têketinji kerema xwe.

Hûn kîjan amûrên UTM/NGFW bikar tînin?

• Point Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Juniper

• UserGate

• Mufetîşê trafîkê

• Rubicon

• Ideco

• çareseriya OpenSource

• Din

134 bikarhêneran deng dan. 78 bikarhêner jî betal bûn.

Source: www.habr.com