Mir fuere weider mat der Serie vun Artikelen iwwer d'Aarbecht mat der neier SMB CheckPoint Modellpalette, loosst eis drun erënneren datt an mir beschriwwen d'Charakteristiken a Kënnen vun den neie Modeller, Gestioun an Administratioun Methoden. Haut kucke mir den Deployment Szenario fir den eelere Modell an der Serie: CheckPoint 1590 NGFW. Hei ass e Resumé vun dësem Deel:
- Auspackung Ausrüstung (Beschreiwung vun Komponenten, kierperlech an Netzwierkverbindungen).
- Éischt Apparat Initialiséierung.
- Éischte Setup.
- Leeschtung Bewäertung.
Auspackung Ausrüstung
D'Ausrüstung kennen ze léieren fänkt un mat der Ausrüstung aus der Këscht ze läschen, Komponenten ofzebauen an Deeler z'installéieren; klickt op de Spoiler, wou de Prozess kuerz presentéiert gëtt
Liwwerung vun NGFW 1590
Kuerz iwwer d'Komponente:
- NGFW 1590;
- Stroumadapter;
- 2 Wifi Antennen (2.4 Hz a 5 Hz);
- 2 LTE Antennen;
- Booklets mat Dokumentatioun (e kuerze Guide fir initial Verbindung, Lizenzvertrag, asw.)
Wéi fir Reseau Häfen an Schnëttplazen, sinn et all modern Méiglechkeeten fir Traffic Transmissioun an Interaktioun, eng separat port fir DMZ Zone, USB 3.0 fir Synchroniséierung mat engem PC.
Versioun 1590 krut en aktualiséierten Design, modern Optiounen fir drahtlos Kommunikatioun an Erënnerung Expansioun: 2 Slots fir mat Micro / Nano SIM am LTE Modus ze schaffen. (mir plangen iwwer dës Optioun am Detail an engem vun eisen nächsten Artikelen an der Serie gewidmet fir drahtlose Verbindungen ze schreiwen); SD Kaart Slot.
Dir kënnt méi iwwer d'Fäegkeete vum 1590 NGFW an aner nei Modeller liesen aus enger Serie vun Artikelen iwwer CheckPoint SMB Léisungen. Mir ginn op d'initial Initialiséierung vum Apparat vir.
Primär Initialiséierung
Eis regelméisseg Lieser solle scho bewosst sinn datt d'1500 Serie SMB Linn déi nei 80.20 Embedded OS benotzt, déi en aktualiséierten Interface a verbesserte Fäegkeeten enthält.
Fir unzefänken den Apparat initialiséieren musst Dir:
- Gitt Kraaft un de Paart.
- Connect den Netzkabel vun Ärem PC op LAN -1 op der Paart.
- Optional kënnt Dir den Apparat direkt Internetzougang ubidden andeems Dir d'Interface mam WAN Hafen verbënnt.
- Gitt op de Gaia Embedded Portal:
Wann Dir déi virdru uginn Schrëtt gefollegt hutt, dann nodeems Dir op d'Gaia Portal Säit gaang sidd, musst Dir d'Säit mat engem net zouverléissege Certificat opmaachen, duerno lancéiert de Portal Astellungsassistent:
Dir wäert vun enger Säit begréisst ginn, déi de Modell vun Ärem Apparat uginn, Dir musst op déi nächst Rubrik goen:
Mir gi gefrot fir e Kont fir d'Autorisatioun ze kreéieren, et ass méiglech héich Passwuertfuerderunge fir den Administrateur ze spezifizéieren, a mir weisen d'Land un wou mir de Paart benotzen.
Déi nächst Fënster betrëfft Datum an Zäit Astellungen; Dir kënnt et manuell setzen oder den NTP Server vun der Firma benotzen.
De nächste Schrëtt implizéiert en Numm fir den Apparat ze setzen an d'Firma Domain ze spezifizéieren sou datt d'Gateway-Servicer richteg um Internet funktionnéieren.
De nächste Schrëtt betrëfft d'Wiel vum NGFW Kontrolltyp, hei sollt et bemierkt ginn:
- Lokal Gestioun. Dëst ass eng verfügbar Optioun fir de Paart lokal ze verwalten mat der Gaia Portal Websäit.
- Zentral Gestioun. Dës Aart vu Gestioun beinhalt d'Synchroniséierung mat engem speziellen CheckPoint Management Server, Synchroniséierung mat der Smart1-Cloud Cloud oder mat SMP (Gestiounsservice fir SMB).
An dësem Artikel konzentréiere mir eis op d'Lokal Management Method; Dir kënnt d'Methode spezifizéieren déi néideg ass. Fir Iech mat dem Prozess vun der Synchroniséierung mat engem speziellen Management Server vertraut ze maachen, proposéiere mir aus der CheckPoint Getting Started Trainingsserie virbereet vun TS Solution.
Als nächst gëtt eng Fënster presentéiert déi den Operatiounsmodus vun den Interfaces op der Paart definéiert:
- Switch Modus implizéiert d'Disponibilitéit vun engem Subnet vun engem Interface zum Subnet vun engem aneren Interface.
- Den Disable Switch Modus deaktivéiert entspriechend de Switch Modus; all Port routes Traffic wéi fir e separat Netzwierkfragment.
Et gëtt och proposéiert fir e Pool vun DHCP Adressen ze spezifizéieren déi benotzt gi wann Dir mat de lokalen Interfaces vum Paart verbënnt.
De nächste Schrëtt ass d'Paart ze konfiguréieren fir am drahtlose Modus ze schaffen; mir plangen dësen Aspekt méi am Detail an engem Artikel an der Serie ze diskutéieren, sou datt mir d'Konfiguratioun vun den Astellungen ausgestallt hunn. Dir kënnt en neien drahtlosen Zougangspunkt erstellen, e Passwuert fir d'Verbindung setzen an den Operatiounsmodus vum Funkkanal bestëmmen (2.4 Hz oder 5 Hz).
De nächste Schrëtt ass den Zougang zum Paart fir Firmenadministratoren ze konfiguréieren. Par défaut sinn Zougangsrechter erlaabt wann d'Verbindung kënnt aus:
- Intern Firma Subnet
- Vertraute drahtlose Netzwierk
- VPN Tunnel
D'Optioun fir un de Paart iwwer den Internet ze verbannen ass par défaut deaktivéiert, dëst bréngt grouss Risiken a muss gerechtfäerdegt sinn fir d'Inklusioun, soss ass et recommandéiert et ze loossen wéi an eisem Beispill.Et ass och méiglech ze spezifizéieren wéi eng IP Adressen erlaabt sinn fir un de Paart ze verbannen.
Déi nächst Fënster betrëfft d'Aktivatioun vun de Lizenzen; bei der initialiséierung vum Apparat kritt Dir eng 30 Deeg Testperiod. Et ginn zwou verfügbar Aktivéierungsmethoden:
- Wann et eng Internetverbindung gëtt, gëtt d'Lizenz automatesch aktivéiert.
- Wann Dir eng Lizenz offline aktivéiert, musst Dir déi folgend maachen: Luet d'Lizenz vum UserCenter erof, registréiert Ären Apparat op engem speziellen . Als nächst, fir béid Fäll, musst Dir déi manuell erofgeluede Lizenz importéieren.
Schlussendlech freet déi lescht Fënster am Astellungswizard Iech d'Klingen ze wielen déi ageschalt ginn; Notéiert datt d'QOS Blade nëmmen no der initialer Initialiséierung ageschalt ass. Dir sollt mat enger Fäerdegstellungsfenster ophalen, déi Är Astellunge resüméiert.
Éischte Setup
Als éischt empfeelen mir de Status vun de Lizenzen z'iwwerpréiwen; weider Konfiguratioun hänkt dovun of. Gitt op den Tab "HOME" → "Lizenz":
Wann d'Lizenzen aktivéiert sinn, empfeelen mir Iech direkt op déi lescht aktuell Firmware ze aktualiséieren; fir dëst ze maachen, gitt op den Tab "DEVICE" → "System Operatiounen":
Systemupdates sinn am Firmware Upgrade Element. An eisem Fall ass déi aktuell a lescht Firmware Versioun installéiert.
Als nächstes proposéieren ech kuerz iwwer d'Fäegkeeten an d'Astellunge vun de Systemblades ze schwätzen. Logesch kënne se an Zougang (Firewall, Applikatiounskontroll, URL Filteren) an Drohung Präventioun (IPS, Antivirus, Anti-Bot, Threat Emulation) Niveau Politik opgedeelt ginn.
Loosst eis op d'Access Policy → Blade Control Tab goen:
Par défaut gëtt de STANDARD-Modus benotzt, et erlaabt den ausgaangenen Traffic op den Internet, de Traffic am lokalen Netzwierk, awer gläichzäiteg blockéiert den Entréeën vum Internet.
Wat d'APPLICATIONS & URL FILTERING Blades ugeet, si se par défaut gesat fir Site mat engem héije Gefor ze blockéieren, Austauschapplikatiounen ze blockéieren (Torrent, File Storage, etc.). Dir kënnt och zousätzlech Kategorien vu Site manuell blockéieren.
Loosst eis d'Optioun fir de Benotzerverkéier iwwerpréiwen "Limite bandwidth consommation applications" mat der Fäegkeet fir d'Geschwindegkeet vum erausginn / erakommen Traffic fir Gruppen vun Uwendungen ze limitéieren.
Als nächst, öffnen d'Politik Ënnersektioun; Par défaut ginn d'Regele automatesch generéiert no de virdru beschriwwenen Astellungen.
D'NAT Ënnersektioun funktionéiert als Standard am Global Hide Nat Automatic, dh all intern Hosten hunn Zougang zum Internet iwwer d'ëffentlech IP Adress. Et ass méiglech NAT-Regele manuell ze setzen fir Är Webapplikatiounen oder Servicer ze publizéieren.
Als nächst bitt d'Sektioun déi d'Benotzer Authentifikatioun am Netz betrëfft zwou Méiglechkeeten: Active Directory Queries (Integratioun mat Ärem AD), Browser-Based-Authentifizéierung (de Benotzer gitt Domain-Umeldungsinformatiounen am Portal).
Et ass derwäert SSL Inspektioun getrennt ze ernimmen; den Undeel vum gesamten HTTPS Traffic am Global Network ass aktiv wuessen. Loosst eis kucken wéi eng Features CheckPoint fir SMB-Léisungen ubitt. Fir dëst ze maachen, gitt op d'SSL-Inspektioun → Politik Sektioun:
An den Astellunge kënnt Dir den HTTPS-Traffic iwwerpréiwen; Dir musst den Zertifika importéieren an en am vertrauenswürdege Zertifikatzenter op Endbenutzermaschinnen installéieren.
Mir betruechten de BYPASS Modus fir virdefinéiert Kategorien als eng praktesch Optioun; Dëst spuert wesentlech Zäit wann Dir Inspektioun erlaabt.
Nodeems Dir d'Regele um Firewall / Applikatiounsniveau konfiguréiert hutt, sollt Dir weidergoen fir d'Sécherheetspolitik ze tune (Bedrohungspräventioun), fir dëst ze maachen, gitt op déi entspriechend Sektioun:
Op der oppener Säit gesi mir aktivéiert Blades, Ënnerschrëft an Datebank Update Status. Mir ginn och gefrot e Profil ze wielen fir den Netzperimeter ze schützen, an déi entspriechend Astellunge ginn ugewisen.
Eng separat Sektioun "IPS Protections" erlaabt Iech d'Aktioun fir eng spezifesch Sécherheetssignatur ze konfiguréieren.
Net viru laanger Zäit hu mir op eisem Blog geschriwwen fir Windows Server - SigRed. Loosst eis kucken op seng Präsenz am Gaia Embedded 80.20 andeems Dir d'Ufro "CVE-2020-1350" gitt
E Rekord gouf fir dës Ënnerschrëft festgestallt, op déi eng vun den Aktiounen applizéiert ka ginn. (par défaut Verhënnerung fir de Geforniveau ass kritesch). Deementspriechend, wann Dir eng SMB-Léisung hutt, wäert Dir net a punkto Updates an Ënnerstëtzung ausgelooss ginn; Dëst ass eng komplett NGFW-Léisung fir Filialbüroen vu bis zu 200 Leit aus CheckPoint.
Leeschtung Bewäertung
Ofschléissend den Artikel, wëll ech d'Disponibilitéit vun Tools fir Probleemer ze léisen no der initialer Initialiséierung an der Konfiguratioun vun der SMB Léisung. Dir kënnt op d'Sektioun "HOME" → "Tools" goen. Méiglech Optiounen:
- Iwwerwachung System Ressourcen;
- Routing Dësch;
- d'Disponibilitéit vun CheckPoint Cloud Servicer iwwerpréift;
- CPinfo Generatioun;
Built-in Netzwierkbefehle sinn och verfügbar: Ping, Traceroute, Traffic Capture.
Also, haut hu mir d'initial Verbindung an d'Konfiguratioun vum NGFW 1590 iwwerpréift a studéiert, Dir wäert ähnlech Aktiounen fir déi ganz 1500 SMB Checkpoint Serie maachen. Déi verfügbar Optiounen hunn eis héich Variabilitéit fir Astellungen gewisen, Ënnerstëtzung fir modern Methoden fir de Verkéier um Netzperimeter ze schützen.
Haut hunn CheckPoint Léisunge fir kleng Büroen a Filialen ze schützen (bis zu 200 Leit) eng breet Palette vun Tools a benotzen déi lescht Technologien (Cloudmanagement, SIM Kaart Ënnerstëtzung, Memory Expansioun mat SD Kaarten, etc.). Bleift weider informéiert a liest Artikele vun TS Solution, mir plangen weider Verëffentlechungen vun Deeler iwwer NGFW CheckPoint vun der SMB Famill, bis elo!
. Bleift drun (, , , , ).
Source: will.com