ProHoster > Blog > Administratioun > Check Point Gaia R80.40. Wat gëtt et neies?

Check Point Gaia R80.40. Wat gëtt et neies?

Check Point Gaia R80.40. Wat gëtt et neies?

Déi nächst Verëffentlechung vum Betribssystem ass amgaang Gaia R80.40. Virun e puer Wochen Early Access Programm huet ugefaang, wou Dir Zougang kënnt fir d'Verdeelung ze testen. Wéi gewinnt publizéieren mir Informatiounen iwwer wat Neies ass, a markéieren och déi Punkten déi aus eiser Siicht am meeschten interessant sinn. Wann ech no vir kucken, kann ech soen datt d'Innovatiounen wierklech bedeitend sinn. Dofir ass et derwäert fir eng fréi Aktualiséierungsprozedur virzebereeden. Virdrun hu mer schonn publizéiert en Artikel wéi Dir dëst maacht (fir méi Informatioun, gitt w.e.g Kontakt hei). Komme mer zum Thema...

Wat gëtt et neies

Loosst eis déi offiziell annoncéiert Innovatiounen hei kucken. Informatiounen aus dem Site geholl Kontrolléiert Frënn (offiziell Check Point Gemeinschaft). Mat Ärer Erlaabnis wäert ech dësen Text net iwwersetzen, glécklecherweis erlaabt d'Habr Publikum et. Amplaz loossen ech meng Kommentarer fir dat nächst Kapitel.

1. IoT Sécherheet. Nei Features am Zesummenhang mam Internet vun de Saachen

  • Sammelt IoT Apparater a Traffic Attributer vun zertifizéierten IoT Entdeckungsmotoren (ënnerstëtzt de Moment Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM an Armis).
  • Konfiguréiert eng nei IoT engagéierten Politikschicht an der Politikverwaltung.
  • Konfiguréieren a verwalten Sécherheetsregelen déi op den Attributer vun den IoT-Geräter baséieren.

2.TLS InspektiounHTTP/2:

  • HTTP/2 ass en Update vum HTTP Protokoll. Den Update bitt Verbesserunge fir Geschwindegkeet, Effizienz a Sécherheet a Resultater mat enger besserer Benotzererfarung.
  • Check Point's Security Gateway ënnerstëtzt elo HTTP/2 a profitéiert besser Geschwindegkeet an Effizienz wärend voll Sécherheet, mat all Threat Prevention an Access Control Blades, souwéi nei Schutz fir den HTTP/2 Protokoll.
  • Ënnerstëtzung ass fir béid kloer an SSL verschlësselte Verkéier an ass voll integréiert mat HTTPS / TLS
  • Inspektioun Kënnen.

TLS Inspektioun Layer. Innovatiounen betreffend HTTPS Inspektioun:

  • Eng nei Politikschicht an SmartConsole gewidmet fir TLS Inspektioun.
  • Verschidde TLS Inspektiounsschichten kënnen a verschiddene Politikpakete benotzt ginn.
  • Deele vun enger TLS Inspektiounsschicht iwwer verschidde Politikpakete.
  • API fir TLS Operatiounen.

3. Menace Preventioun

  • Allgemeng Effizienzverbesserung fir Threat Prevention Prozesser an Updates.
  • Automatesch Updates op Threat Extraction Engine.
  • Dynamesch, Domain an Updatebar Objekter kënnen elo an der Bedrohungspräventioun an TLS Inspektiounspolitik benotzt ginn. Updatebar Objete sinn Netzwierkobjekter déi en externen Service representéieren oder eng bekannt dynamesch Lëscht vun IP Adressen, zum Beispill - Office365 / Google / Azure / AWS IP Adressen a Geo Objekter.
  • Anti-Virus benotzt elo SHA-1 an SHA-256 Bedrohungsindikatiounen fir Dateien op Basis vun hiren Hashes ze blockéieren. Importéiert déi nei Indikatoren aus der SmartConsole Threat Indicators View oder dem Custom Intelligence Feed CLI.
  • Anti-Virus a SandBlast Threat Emulation ënnerstëtzen elo Inspektioun vum E-Mailverkéier iwwer de POP3 Protokoll, souwéi eng verbessert Inspektioun vum E-Mailverkéier iwwer den IMAP Protokoll.
  • Anti-Virus a SandBlast Threat Emulation benotzen elo déi nei agefouert SSH Inspektioun Feature fir Dateien ze iwwerpréiwen, déi iwwer d'SCP a SFTP Protokoller transferéiert ginn.
  • Anti-Virus a SandBlast Threat Emulation bidden elo eng verbessert Ënnerstëtzung fir SMBv3 Inspektioun (3.0, 3.0.2, 3.1.1), déi Inspektioun vu Multi-Channel Verbindungen enthält. Check Point ass elo deen eenzege Verkeefer fir d'Inspektioun vun engem Dateietransfer duerch verschidde Kanäl z'ënnerstëtzen (eng Feature déi an all Windows Ëmfeld on-parfault ass). Dëst erlaabt de Clienten sécher ze bleiwen wärend se mat dëser Leeschtungsverbesserungsfunktioun schaffen.

4. Identitéitsbewosstsinn

  • Ënnerstëtzung fir Captive Portal Integratioun mat SAML 2.0 an Drëtt Partei Identitéit Provider.
  • Ënnerstëtzung fir Identitéitsbroker fir skalierbar a granulär Deele vun Identitéitsinformatioun tëscht PDPs, souwéi Cross-Domain Sharing.
  • Verbesserunge fir Terminal Server Agent fir besser Skaléieren a Kompatibilitéit.

5. IPsec VPN

  • Konfiguréiert verschidde VPN Verschlësselungsdomänen op engem Sécherheetsgateway deen Member vu verschidde VPN Gemeinschaften ass. Dëst bitt:
  • Verbessert Privatsphär - Intern Netzwierker ginn net an IKE Protokoll Verhandlunge verëffentlecht.
  • Verbesserte Sécherheet a Granularitéit - Spezifizéiert wéi eng Netzwierker an enger spezifizéierter VPN Gemeinschaft zougänglech sinn.
  • Verbessert Interoperabilitéit - Vereinfacht route-baséiert VPN Definitiounen (recommandéiert wann Dir mat engem eidele VPN Verschlësselungsdomän schafft).
  • Erstellt a schafft nahtlos mat engem Large Scale VPN (LSV) Ëmfeld mat der Hëllef vun LSV Profiler.

6. URL Filteren

  • Verbessert Skalierbarkeet a Widderstandsfäegkeet.
  • Erweidert Feelerléisungsfäegkeeten.

7.NAT

  • Erweidert NAT Portallokéierungsmechanismus - op Sécherheetsgateways mat 6 oder méi CoreXL Firewall Instanzen, benotzen all Instanzen dee selwechte Pool vun NAT Ports, wat d'Portnutzung optiméiert an d'Wiederverwendung optiméiert.
  • NAT Port Notzung Iwwerwachung an CPView a mat SNMP.

8. Voice over IP (VoIP)Multiple CoreXL Firewall Instanzen handhaben de SIP Protokoll fir d'Performance ze verbesseren.

9.Remote Access VPNBenotzt Maschinn Zertifikat fir tëscht Firmen- an Net-Firmenverméigen z'ënnerscheeden an eng Politik ze setzen déi d'Benotzung vu Firmenverméigen nëmmen duerchsetze. Duerchféierung kann Pre-Login sinn (nëmmen Gerät Authentifikatioun) oder Post-Login (Apparat a Benotzer Authentifikatioun).

10. Mobile Zougang Portal AgentErweidert Endpoint Security on Demand am Mobile Access Portal Agent fir all gréisser Webbrowser z'ënnerstëtzen. Fir méi Informatiounen, gesinn sk113410.

11.CoreXL a Multi-Queue

  • Ënnerstëtzung fir automatesch Allokatioun vu CoreXL SNDs a Firewall Instanzen déi kee Sécherheetsgateway Neistart erfuerderen.
  • Verbessert aus der Këscht Erfahrung - Sécherheetsgateway ännert automatesch d'Zuel vun de CoreXL SNDs a Firewall Instanzen an d'Multi-Queue Konfiguratioun baséiert op der aktueller Verkéierslaascht.

12. Clustering

  • Ënnerstëtzung fir Cluster Control Protocol am Unicast Modus deen de Besoin fir CCP eliminéiert

Broadcast oder Multicast Modi:

  • Cluster Control Protocol Verschlësselung ass elo als Standard aktivéiert.
  • Neie ClusterXL Modus -Aktiv / Aktiv, deen Cluster Memberen a verschiddene geographesche Plazen ënnerstëtzt, déi op verschiddene Subnets lokaliséiert sinn a verschidde IP Adressen hunn.
  • Ënnerstëtzung fir ClusterXL Cluster Memberen déi verschidde Softwareversioune lafen.
  • Eliminéiert de Besoin fir MAC Magic Configuratioun wann e puer Stärekéip un déi selwecht Subnet verbonne sinn.

13. VSX

  • Ënnerstëtzung fir VSX Upgrade mat CPUSE am Gaia Portal.
  • Ënnerstëtzung fir Active Up Modus am VSLS.
  • Ënnerstëtzung fir CPView statistesch Berichter fir all virtuelle System

14. Null TouchEn einfache Plug & Play Setupprozess fir en Apparat z'installéieren - eliminéiert de Besoin fir technesch Expertise a muss mam Apparat fir initial Konfiguratioun verbannen.

15. Gaia REST APIGaia REST API bitt en neie Wee fir Informatioun op Serveren ze liesen an ze schécken déi Gaia Betribssystem lafen. Kuckt sk143612.

16. Fortgeschratt Routing

  • Verbesserunge fir OSPF a BGP erlaben OSPF Nopeschlänner fir all CoreXL Firewall Instanz zréckzesetzen an nei ze starten ouni d'Noutwendegkeet fir de routerten Daemon nei ze starten.
  • Verbessert Route Erfrëschung fir verbessert Handhabung vu BGP Routing Inkonsistenz.

17. New kernel Kënnen

  • Upgraded Linux Kernel
  • Neie Partitionéierungssystem (gpt):
  • Ënnerstëtzt méi wéi 2TB kierperlech / logesch Drive
  • Méi séier Dateisystem (xfs)
  • Ënnerstëtzt méi grouss Systemlagerung (bis zu 48TB getest)
  • I / O Zesummenhang Leeschtung Verbesserunge
  • Multi-Queue:
  • Voll Gaia Clish Ënnerstëtzung fir Multi-Queue Kommandoen
  • Automatesch "on par défaut" Konfiguratioun
  • SMB v2/3 Mount Ënnerstëtzung am Mobile Access Blade
  • NFSv4 (Client) Support bäigefüügt (NFS v4.2 ass déi Standard NFS Versioun benotzt)
  • Ënnerstëtzung vun neie System Tools fir Debugging, Iwwerwaachung an Konfiguratioun vum System

18. CloudGuard Controller

  • Leeschtung Verbesserunge fir Verbindungen zu externen Data Centers.
  • Integratioun mat VMware NSX-T.
  • Ënnerstëtzung fir zousätzlech API Kommandoen fir Data Center Server Objekter ze kreéieren an z'änneren.

19. Multi-Domain Server

  • Backup a restauréiert en individuellen Domain Management Server op engem Multi-Domain Server.
  • Migréieren en Domain Management Server op engem Multi-Domain Server op eng aner Multi-Domain Security Management.
  • Migréiert e Security Management Server fir en Domain Management Server op engem Multi-Domain Server ze ginn.
  • Migréiert en Domain Management Server fir e Security Management Server ze ginn.
  • Zréck en Domain op engem Multi-Domain Server, oder e Security Management Server op eng fréier Versioun fir weider Redaktioun.

20. SmartTasks an API

  • Nei Management API Authentifikatiounsmethod déi en automatesch generéierten API Key benotzt.
  • Nei Management API Kommandoen fir Clusterobjekter ze kreéieren.
  • Zentral Deployment vum Jumbo Hotfix Akkumulator a Hotfixes vu SmartConsole oder mat enger API erlaabt Iech verschidde Sécherheetsgateways a Cluster parallel z'installéieren oder ze upgrade.
  • SmartTasks - Konfiguréiert automatesch Scripten oder HTTPS Ufroen, déi duerch Administratoraufgaben ausgeléist ginn, sou wéi eng Sessioun ze publizéieren oder eng Politik z'installéieren.

21. DétachementZentral Deployment vum Jumbo Hotfix Akkumulator a Hotfixes vu SmartConsole oder mat enger API erlaabt Iech verschidde Sécherheetsgateways a Cluster parallel z'installéieren oder ze upgrade.

22. SmartEventDeelt SmartView Meenungen a Berichter mat aneren Administrateuren.

23.Log ExportateurExport Logbicher gefiltert no Feldwäerter.

24.Endpunkt Sécherheet

  • Ënnerstëtzung fir BitLocker Verschlësselung fir Voll Disk Verschlësselung.
  • Ënnerstëtzung fir extern Certificate Autoritéit Certificaten fir Endpoint Security Client
  • Authentifikatioun a Kommunikatioun mam Endpoint Security Management Server.
  • Ënnerstëtzung fir dynamesch Gréisst vun Endpoint Security Client Packagen baséiert op der gewielter
  • Fonctiounen fir Ofbau.
  • D'Politik kann elo den Niveau vun den Notifikatiounen un den Endbenotzer kontrolléieren.
  • Ënnerstëtzung fir Persistent VDI Ëmfeld am Endpoint Policy Management.

Wat mir am meeschte gefall hunn (baséiert op Client Aufgaben)

Wéi Dir kënnt gesinn, ginn et vill Innovatiounen. Mä fir eis, wéi fir Systemintegrator, et gi verschidde ganz interessant Punkten (déi och fir eis Clienten interessant sinn). Eis Top 10:

  1. Endlech ass voll Ënnerstëtzung fir IoT Geräter erschéngt. Et ass scho relativ schwéier eng Firma ze fannen déi net sou Apparater huet.
  2. TLS Inspektioun gëtt elo an enger separater Schicht (Layer) gesat. Et ass vill méi bequem wéi elo (um 80.30). Net méi déi al Legasy Dashboard lafen. Plus, elo kënnt Dir Updatebar Objekter an der HTTPS Inspektiounspolitik benotzen, wéi Office365, Google, Azure, AWS, etc. Dëst ass ganz praktesch wann Dir Ausnahmen astellen musst. Wéi och ëmmer, et gëtt nach ëmmer keng Ënnerstëtzung fir tls 1.3. Anscheinend wäerte se den nächsten Hotfix "ophalen".
  3. Wichteg Ännerungen fir Anti-Virus a SandBlast. Elo kënnt Dir Protokoller wéi SCP, SFTP an SMBv3 iwwerpréiwen (iwwregens, keen kann dëse Multi-Channel Protokoll méi iwwerpréiwen).
  4. Et gi vill Verbesserunge betreffend Site-to-Site VPN. Elo kënnt Dir verschidde VPN Domainen op engem Paart konfiguréieren, deen Deel vu verschiddene VPN Communautéiten ass. Et ass ganz bequem a vill méi sécher. Zousätzlech huet Check Point sech endlech un Route Based VPN erënnert a seng Stabilitéit / Kompatibilitéit liicht verbessert.
  5. Eng ganz populär Feature fir Remote Benotzer ass erschéngt. Elo kënnt Dir net nëmmen de Benotzer authentifizéieren, awer och den Apparat, aus deem hien verbënnt. Zum Beispill wëlle mir VPN Verbindungen nëmme vu Firmengeräter erlaben. Dëst gëtt natierlech mat der Hëllef vun Certificaten gemaach. Et ass och méiglech automatesch (SMB v2/3) Dateideele fir Remote Benotzer mat engem VPN Client ze montéieren.
  6. Et gi vill Ännerungen an der Operatioun vum Cluster. Awer vläicht eng vun den interessantsten ass d'Méiglechkeet fir e Stärekoup ze bedreiwen wou d'Paarten verschidde Versioune vu Gaia hunn. Dëst ass bequem wann Dir en Update plangt.
  7. Verbesserte Zero Touch Fäegkeeten. Eng nëtzlech Saach fir déi, déi dacks "kleng" Paarte installéieren (zum Beispill fir Geldautomaten).
  8. Fir Logbicher gëtt Späichere bis zu 48TB elo ënnerstëtzt.
  9. Dir kënnt Är SmartEvent Dashboards mat aneren Administrateuren deelen.
  10. Log Exporter erlaabt Iech elo geschéckt Messagen mat den erfuerderleche Felder ze filteren. Déi. Nëmmen déi néideg Logbicher an Eventer ginn op Är SIEM Systemer iwwerdroen

Update

Vläicht denken vill schonn un d'Aktualiséierung. Et ass net néideg ze presséieren. Fir unzefänken, muss d'Versioun 80.40 op d'Allgemeng Disponibilitéit réckelen. Awer och duerno sollt Dir net direkt aktualiséieren. Et ass besser fir op d'mannst déi éischt Hotfix ze waarden.
Vill "sëtzen" vläicht op eeler Versiounen. Ech kann soen datt et op e Minimum scho méiglech ass (a souguer néideg) op 80.30 ze aktualiséieren. Dëst ass schonn e stabilen a bewährte System!

Dir kënnt och op eis ëffentlech Säiten abonnéieren (Hëllefe profitéieren, Facebook, VK, TS Léisung Blog), wou Dir d'Entstoe vun neie Materialien op Check Point an aner Sécherheetsprodukter verfollege kënnt.

Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. Umellen, wann ech glift.

Wéi eng Versioun vu Gaia benotzt Dir?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • aner

13 Benotzer hunn gestëmmt. 6 Benotzer hu sech enthalen.

Source: will.com

Setzt e Commentaire