Биз жаңы SMB CheckPoint моделдер диапазону менен иштөө боюнча макалалардын сериясын улантабыз, муну эске сала кетели биз жаңы моделдердин мүнөздөмөлөрүн жана мүмкүнчүлүктөрүн, башкаруу жана башкаруу ыкмаларын сүрөттөп бердик. Бүгүн биз сериядагы эски моделдин жайылтуу сценарийин карап чыгабыз: CheckPoint 1590 NGFW. Бул жерде бул бөлүктүн кыскача мазмуну:
- Жабдууларды таңгактан чыгаруу (компоненттердин сүрөттөлүшү, физикалык жана тармактык байланыштар).
- Түзмөктүн баштапкы инициализациясы.
- Баштапкы орнотуу.
- Иштин натыйжалуулугун баалоо.
Пакеттен чыгаруучу жабдуулар
Жабдуулар менен таанышуу жабдууну кутудан алып салуудан, тетиктерди демонтаждоодон жана тетиктерди орнотуудан башталат; спойлерге чыкылдатыңыз, анда процесс кыскача көрсөтүлөт.
NGFW 1590 жеткирүү
Компоненттери жөнүндө кыскача:
- NGFW 1590;
- кубат адаптери;
- 2 Wifi антеннасы (2.4 Гц жана 5 Гц);
- 2 LTE антенналары;
- Документтери бар буклеттер (баштапкы туташуу боюнча кыскача колдонмо, лицензиялык келишим ж.б.)
Тармак портторуна жана интерфейстерине келсек, трафикти өткөрүү жана өз ара аракеттенүү үчүн бардык заманбап мүмкүнчүлүктөр, DMZ зонасы үчүн өзүнчө порт, компьютер менен синхрондоштуруу үчүн USB 3.0 бар.
Версия 1590 жаңыртылган дизайнды, зымсыз байланыштын жана эс тутумдун кеңейүүсүнүн заманбап варианттарын алды: LTE режиминде Micro/Nano SIM менен иштөө үчүн 2 слот. (биз бул параметр жөнүндө зымсыз байланыштарга арналган сериядагы кийинки макалаларыбыздын биринде кеңири жазууну пландап жатабыз); SD карта уячасы.
1590 NGFW жана башка жаңы моделдердин мүмкүнчүлүктөрү жөнүндө көбүрөөк окуй аласыз CheckPoint SMB чечимдери жөнүндө бир катар макалалардан. Биз аппаратты инициализациялоого өтөбүз.
Негизги инициализация
Биздин туруктуу окурмандарыбыз 1500 Сериялар SMB линиясы жаңыланган интерфейсти жана жакшыртылган мүмкүнчүлүктөрдү камтыган жаңы 80.20 Embedded OS колдоноорун билиши керек.
Аппаратты инициализациялоону баштоо үчүн сизге төмөнкүлөр керек:
- Шлюзду кубат менен камсыз кылыңыз.
- Компьютериңизден тармак кабелин шлюздеги LAN -1ге туташтырыңыз.
- Каалоо боюнча, интерфейсти WAN портуна туташтыруу менен түзмөктү дароо Интернетке кирүү мүмкүнчүлүгүн бере аласыз.
- Gaia Embedded порталына өтүңүз:
Эгер сиз мурда айтылган кадамдарды аткарган болсоңуз, анда Gaia порталынын барагына өткөндөн кийин, ишенимсиз сертификат менен баракты ачууну ырасташыңыз керек, андан кийин порталдын орнотуу устасы иштей баштайт:
Сизди түзмөгүңүздүн модели көрсөтүлгөн барак тосуп алат, сиз кийинки бөлүмгө өтүшүңүз керек:
Бизден авторизациялоо үчүн аккаунт түзүүнү суранышат, администратор үчүн жогорку сырсөз талаптарын көрсөтүүгө болот жана биз шлюзду колдоно турган өлкөнү көрсөтөбүз.
Кийинки терезе дата жана убакыт орнотууларына тиешелүү; сиз аны кол менен орното аласыз же компаниянын NTP серверин колдоно аласыз.
Кийинки кадам шлюз кызматтары Интернетте туура иштеши үчүн түзмөккө ат коюуну жана компаниянын доменин көрсөтүүнү камтыйт.
Кийинки кадам NGFW башкаруу түрүн тандоого тиешелүү, бул жерде белгилей кетүү керек:
- Жергиликтүү башкаруу. Бул Gaia Portal веб-баракчасын колдонуу менен шлюзду башкаруунун жеткиликтүү варианты.
- Борбордук башкаруу. Башкаруунун бул түрү атайын CheckPoint Management сервери менен синхрондоштурууну, Smart1-Cloud булуту менен же SMP (SMB үчүн башкаруу кызматы) менен синхрондоштурууну камтыйт.
Бул макалада биз жергиликтүү башкаруу ыкмасына токтолобуз; сиз керектүү ыкманы белгилей аласыз. Атайын башкаруу сервери менен синхрондоштуруу процесси менен таанышуу үчүн биз сунуштайбыз TS Solution тарабынан даярдалган CheckPoint Getting Started тренингдер сериясынан.
Андан кийин, шлюздеги интерфейстердин иштөө режимин аныктоочу терезе пайда болот:
- Которуу режими бир интерфейстен башка интерфейстин ички тармагына көмөкчү тармактын болушун билдирет.
- Өчүрүү которгуч режими Которуу режимин өчүрөт; ар бир порт трафикти өзүнчө тармак фрагменти сыяктуу багыттайт.
Ошондой эле шлюздун локалдык интерфейстерине туташууда колдонула турган DHCP даректеринин пулун көрсөтүү сунушталууда.
Кийинки кадам зымсыз режимде иштөө үчүн шлюзду конфигурациялоо болуп саналат; биз бул аспектти катардагы бир макалада кеңири талкуулоону пландаштырып жатабыз, ошондуктан биз орнотууларды конфигурациялоону кийинкиге калтырдык. Сиз жаңы зымсыз кирүү чекити түзүп, ага туташуу үчүн сырсөз коюп, зымсыз каналдын иштөө режимин аныктай аласыз (2.4 Гц же 5 Гц).
Кийинки кадам компаниянын администраторлору үчүн шлюзга кирүү мүмкүнчүлүгүн конфигурациялоо болот. Демейки боюнча, кирүү укуктарына уруксат берилет, эгерде байланыш төмөнкүдөн келсе:
- Компаниянын ички ички тармагы
- Ишенимдүү зымсыз тармак
- VPN туннели
Интернет аркылуу шлюзга туташуу опциясы демейки боюнча өчүрүлгөн, бул чоң тобокелдиктерди алып келет жана киргизүү үчүн негиздүү болушу керек, антпесе аны биздин мисалдагыдай калтыруу сунушталат.Ошондой эле кайсы IP даректерге уруксат берилээрин көрсөтүүгө болот. шлюзга туташуу үчүн.
Кийинки терезе лицензияларды активдештирүүгө тиешелүү; аппаратты инициализациялоодо сизге 30 күндүк сыноо мөөнөтү берилет. Эки жеткиликтүү активдештирүү ыкмасы бар:
- Интернет байланышы бар болсо, лицензия автоматтык түрдө жандырылат.
- Эгерде сиз лицензияны оффлайн режиминде активдештирсеңиз, анда сиз төмөнкүлөрдү кылышыңыз керек: лицензияны UserCenterден жүктөп алыңыз, түзмөгүңүздү атайын сайтта каттаңыз. . Андан кийин, эки учурда тең кол менен жүктөлгөн лицензияны импорттооңуз керек болот.
Акырында, орнотуулар устасынын акыркы терезеси күйгүзүлө турган бычактарды тандоону сунуштайт; QOS лентасы баштапкы инициализациядан кийин гана күйгүзүлөөрүн эске алыңыз. Сиз орнотууларыңызды жыйынтыктаган аяктоо терезеси менен аякташыңыз керек.
Алгачкы жөндөө
Биринчиден, биз лицензиялардын абалын текшерүүнү сунуштайбыз, андан аркы конфигурация ушундан көз каранды болот. "БАШКЫ" → "Лицензия" өтмөгүнө өтүңүз:
Лицензиялар жандырылса, биз дароо акыркы учурдагы микропрограммага жаңыртууну сунуштайбыз, бул үчүн "ТҮЗМӨЛӨ" → "Системалык операциялар" өтмөгүнө өтүңүз:
Системанын жаңыртуулары Firmware Upgrade пунктунда жайгашкан. Биздин учурда, учурдагы жана акыркы микропрограмма версиясы орнотулган.
Андан кийин, мен кыскача системалык ленталардын мүмкүнчүлүктөрү жана орнотуулары жөнүндө айтып берүүнү сунуштайм. Логикалык жактан алганда, аларды Кирүү (Брандмауэр, Колдонмону көзөмөлдөө, URL чыпкалоо) жана Коркунучту алдын алуу (IPS, Антивирус, Анти-бот, Коркунучтуу Эмуляция) деңгээлиндеги саясаттарга бөлүүгө болот.
Келгиле, мүмкүндүк алуу саясаты → Blade Control өтмөккө баралы:
Демейки боюнча, СТАНДАРТЫ режими колдонулат, ал Интернетке чыгуучу трафикти, локалдык тармактын ичиндеги трафикти берет, бирок ошол эле учурда Интернеттен кирген трафикти бөгөттөйт.
ТИРКЕМЕЛЕР ЖАНА URL ФИЛТРЕЛЕРИНИН ленталарына келсек, демейки боюнча алар кооптуу деңгээли жогору сайттарды бөгөттөп, алмашуу тиркемелерин (Torrent, File Storage ж.б.) бөгөттөп коюшат. Сиз ошондой эле кол менен сайттардын категорияларын бөгөттөй аласыз.
Колдонмолордун топтору үчүн чыгуу/кирүүчү трафиктин ылдамдыгын чектөө мүмкүнчүлүгү менен “Өткөрүү жөндөмдүүлүгүн керектөөчү тиркемелерди чектөө” колдонуучу трафигинин вариантын текшерип көрөлү.
Андан кийин, Саясат бөлүмчөсүн ачыңыз; демейки боюнча, эрежелер мурда сүрөттөлгөн орнотууларга ылайык автоматтык түрдө түзүлөт.
NAT бөлүмчөсү демейки боюнча Global Hide Nat Automatic режиминде иштейт, башкача айтканда, бардык ички хосттор жалпыга ачык IP дареги аркылуу Интернетке кире алышат. Веб тиркемелериңизди же кызматтарыңызды жарыялоо үчүн NAT эрежелерин кол менен коюуга болот.
Андан кийин, тармактагы Колдонуучунун аутентификациясына тиешелүү бөлүм эки вариантты сунуштайт: Active Directory Queries (Сиздин AD менен интеграция), Браузерге негизделген аутентификация (колдонуучу порталга домендин эсептик дайындарын киргизет).
SSL текшерүүсүн өзүнчө белгилеп кетүү керек; Глобалдык тармакта жалпы HTTPS трафиктин үлүшү активдүү өсүп жатат. Келгиле, CheckPoint SMB чечимдери үчүн кандай мүмкүнчүлүктөрдү сунуштай турганын карап көрөлү.Ал үчүн SSL-Инспекция → Саясат бөлүмүнө өтүңүз:
Жөндөөлөрдөн HTTPS трафигин текшере аласыз; сиз тастыктаманы импорттоп, аны акыркы колдонуучу машиналарындагы ишенимдүү сертификат борборуна орнотушуңуз керек.
Биз алдын ала аныкталган категориялар үчүн BYPASS режимин ыңгайлуу вариант деп эсептейбиз, бул текшерүүнү иштетүүдө убакытты үнөмдөйт.
Брандмауэр / Колдонмо деңгээлинде эрежелерди конфигурациялагандан кийин, сиз коопсуздук саясаттарын (Коркунучтун алдын алуу) тууралоого өтүшүңүз керек, бул үчүн тиешелүү бөлүмгө өтүңүз:
Ачык баракта биз иштетилген блендер, кол тамга жана маалымат базасын жаңыртуу статустарын көрөбүз. Ошондой эле бизден тармактын периметрин коргоо үчүн профилди тандоону суранышат жана тиешелүү орнотуулар көрсөтүлөт.
Өзүнчө бөлүм "IPS коргоо" белгилүү бир коопсуздук кол үчүн иш-аракеттерди конфигурациялоого мүмкүндүк берет.
Жакында биз блогубузга жазганбыз Windows Server үчүн - SigRed. "CVE-80.20-2020" суроосун киргизүү менен анын Gaia Embedded 1350да болушун текшерели
Бул кол коюу үчүн аракеттердин бири колдонулушу мүмкүн болгон жазуу аныкталды. (демейки боюнча коркунуч деңгээлин алдын алуу Критикалык болуп саналат). Демек, SMB чечими менен сиз жаңыртуулар жана колдоо жагынан четте калбайсыз; бул CheckPoint'тен 200 адамга чейинки филиалдар үчүн толук NGFW чечими.
Иштин натыйжалуулугун баалоо
Макаланы жыйынтыктап жатып, SMB чечиминин баштапкы инициализациясынан жана конфигурациясынан кийин көйгөйлөрдү чечүү үчүн куралдардын бар экендигин белгилегим келет. Сиз "ҮЙ" → "Куралдар" бөлүмүнө өтсөңүз болот. Мүмкүн болгон варианттар:
- мониторинг системасынын ресурстары;
- маршруттук таблица;
- CheckPoint булут кызматтарынын болушун текшерүү;
- CPinfo түзүү;
Камтылган тармак буйруктары да бар: Ping, Traceroute, Traffic Capture.
Ошентип, бүгүн биз NGFW 1590 баштапкы туташуусун жана конфигурациясын карап чыктык жана изилдеп чыктык, сиз 1500 SMB Checkpoint сериясынын бардыгына окшош аракеттерди жасайсыз. Жеткиликтүү опциялар бизге орнотуулардын жогорку өзгөрмөлүүлүгүн, тармак периметринде трафикти коргоонун заманбап ыкмаларын колдоону көрсөттү.
Бүгүнкү күндө чакан кеңселерди жана филиалдарды коргоо үчүн CheckPoint чечимдери (200 адамга чейин) инструменттердин кеңири спектрине ээ жана акыркы технологияларды (булуттарды башкаруу, SIM картаны колдоо, SD карталарды колдонуу менен эстутумду кеңейтүү ж.б.) колдонушат. TS Solution кызматынан кабардар болуп турууну жана макалаларды окууну улантыңыз, биз SMB үй-бүлөсүнүн NGFW CheckPoint бөлүктөрүн андан ары чыгарууну пландаштырып жатабыз, көрүшкөнчө!
. Байланыштуу болуңуз (, , , , ).
Source: www.habr.com