Tęsiame straipsnių ciklą apie darbą su nauju SMB CheckPoint modelių asortimentu, priminsime, kad š aprašėme naujų modelių ypatybes ir galimybes, valdymo ir administravimo metodus. Šiandien apžvelgsime senesnio serijos modelio diegimo scenarijų: CheckPoint 1590 NGFW. Štai šios dalies santrauka:
- Išpakavimo įranga (komponentų aprašymas, fizinės ir tinklo jungtys).
- Pradinis įrenginio inicijavimas.
- Pradiniai nustatymai.
- Atlikimo vertinimas.
Įrangos išpakavimas
Susipažinimas su įranga prasideda nuo įrangos išėmimo iš dėžutės, komponentų išmontavimo ir dalių montavimo; spustelėkite spoilerį, kuriame trumpai pristatomas procesas
NGFW 1590 pristatymas
Trumpai apie komponentus:
- NGFW 1590;
- Maitinimo adapteris;
- 2 Wifi antenos (2.4 Hz ir 5 Hz);
- 2 LTE antenos;
- Bukletai su dokumentais (trumpas pradinio prisijungimo vadovas, licencijos sutartis ir kt.)
Kalbant apie tinklo prievadus ir sąsajas, yra visos modernios srauto perdavimo ir sąveikos galimybės, atskiras prievadas DMZ zonai, USB 3.0 sinchronizavimui su kompiuteriu.
1590 versija gavo atnaujintą dizainą, modernias belaidžio ryšio ir atminties išplėtimo galimybes: 2 lizdus darbui su Micro/Nano SIM LTE režimu. (apie šią parinktį planuojame išsamiai parašyti viename iš kitų belaidžiams ryšiams skirtos serijos straipsnių); SD kortelės lizdas.
Daugiau apie 1590 NGFW ir kitų naujų modelių galimybes galite perskaityti iš straipsnių apie CheckPoint SMB sprendimus serijos. Mes pereisime prie pradinio įrenginio inicijavimo.
Pirminis inicijavimas
Mūsų nuolatiniai skaitytojai jau turėtų žinoti, kad 1500 serijos SMB linija naudoja naują 80.20 Embedded OS, kuri apima atnaujintą sąsają ir patobulintas galimybes.
Norėdami pradėti inicijuoti įrenginį, turite:
- Suteikite maitinimą vartams.
- Prijunkite tinklo kabelį nuo kompiuterio prie šliuzo LAN -1.
- Pasirinktinai galite iš karto suteikti įrenginiui prieigą prie interneto, prijungę sąsają prie WAN prievado.
- Eikite į „Gaia Embedded“ portalą:
Jei atlikote anksčiau nurodytus veiksmus, tada, nuėję į „Gaia“ portalo puslapį, turėsite patvirtinti puslapio atidarymą naudodami nepatikimą sertifikatą, po kurio bus paleistas portalo nustatymų vedlys:
Jus pasitiks puslapis, kuriame bus nurodytas jūsų įrenginio modelis, turite pereiti į kitą skyrių:
Mūsų bus paprašyta susikurti paskyrą autorizacijai, galima nurodyti aukštus slaptažodžio reikalavimus administratoriui, nurodysime šalį, kurioje naudosimės vartais.
Kitas langas susijęs su datos ir laiko nustatymais; galite juos nustatyti rankiniu būdu arba naudoti įmonės NTP serverį.
Kitas veiksmas apima įrenginio pavadinimo nustatymą ir įmonės domeno nurodymą, kad šliuzo paslaugos tinkamai veiktų internete.
Kitas žingsnis yra susijęs su NGFW valdymo tipo pasirinkimu, čia reikia pažymėti:
- Vietinis valdymas. Tai yra galimybė valdyti šliuzą vietoje, naudojant Gaia portalo tinklalapį.
- Centrinis valdymas. Šis valdymo tipas apima sinchronizavimą su tam skirtu „CheckPoint Management“ serveriu, sinchronizavimą su „Smart1-Cloud“ debesimi arba su SMP (vadybos paslauga SMB).
Šiame straipsnyje mes sutelksime dėmesį į vietinio valdymo metodą, galite nurodyti būtiną metodą. Siūlome susipažinti su sinchronizavimo su specialiu valdymo serveriu procesu iš „TS Solution“ parengtos „CheckPoint Getting Started“ mokymų serijos.
Toliau bus pateiktas langas, apibrėžiantis sąsajų veikimo režimą vartuose:
- Perjungimo režimas reiškia potinklio prieinamumą iš vienos sąsajos į kitos sąsajos potinklį.
- Režimas Disable Switch atitinkamai išjungia Switch režimą; kiekvienas prievadas nukreipia srautą kaip atskiras tinklo fragmentas.
Taip pat siūloma nurodyti DHCP adresų telkinį, kuris bus naudojamas jungiantis prie vietinių šliuzo sąsajų.
Kitas žingsnis – sukonfigūruoti šliuzą dirbti belaidžiu režimu, šį aspektą planuojame plačiau aptarti viename serijos straipsnyje, todėl nustatymų konfigūravimą atidėjome. Galite sukurti naują belaidžio ryšio prieigos tašką, nustatyti prisijungimo prie jo slaptažodį ir nustatyti belaidžio kanalo veikimo režimą (2.4 Hz arba 5 Hz).
Kitas žingsnis bus įmonės administratorių prieigos prie šliuzo konfigūravimas. Pagal numatytuosius nustatymus prieigos teisės leidžiamos, jei ryšys ateina iš:
- Vidinis įmonės potinklis
- Patikimas belaidis tinklas
- VPN tunelis
Galimybė prisijungti prie šliuzo per internetą pagal nutylėjimą yra išjungta, tai kelia didelę riziką ir turi būti pagrįstas įtraukimas, kitu atveju rekomenduojama palikti kaip mūsų pavyzdyje Taip pat galima nurodyti, kurie IP adresai bus leidžiami prisijungti prie vartų.
Kitas langas yra susijęs su licencijų aktyvavimu; pirmą kartą inicijavus įrenginį, jums bus pateiktas 30 dienų bandomasis laikotarpis. Galimi du aktyvinimo būdai:
- Jei yra interneto ryšys, licencija suaktyvinama automatiškai.
- Jei suaktyvinsite licenciją neprisijungę, turite atlikti šiuos veiksmus: atsisiųskite licenciją iš „UserCenter“, užregistruokite įrenginį specialioje . Tada abiem atvejais turėsite importuoti rankiniu būdu atsisiųstą licenciją.
Galiausiai paskutinis nustatymų vedlio langas paragins pasirinkti įjungiamus peilius; atkreipkite dėmesį, kad QOS blade įjungiamas tik po pradinės iniciacijos. Turėtumėte turėti užbaigimo langą, kuriame apibendrinami jūsų nustatymai.
Pradiniai nustatymai
Pirmiausia rekomenduojame patikrinti licencijų būseną, nuo to priklausys tolesnė konfigūracija. Eikite į skirtuką „PRAMIAI“ → „Licencija“:
Jei licencijos suaktyvintos, rekomenduojame nedelsiant atnaujinti naujausią programinę-aparatinę įrangą; norėdami tai padaryti, eikite į „PRIETAISAS“ → „Sistemos operacijos“ skirtuką:
Sistemos naujinimai pateikiami elemente Firmware Upgrade. Mūsų atveju įdiegta dabartinė ir naujausia programinės įrangos versija.
Toliau siūlau trumpai pakalbėti apie sistemos ašmenų galimybes ir nustatymus. Logiškai mąstant, jas galima suskirstyti į prieigos (ugniasienės, programų valdymo, URL filtravimo) ir grėsmių prevencijos (IPS, antivirusinė, anti-bot, grėsmių emuliacija) lygio strategijas.
Eikime į Prieigos politika → „Blade Control“ skirtuką:
Pagal numatytuosius nustatymus naudojamas STANDARTINIS režimas, jis leidžia išeinantį srautą į internetą, srautą vietiniame tinkle, tačiau tuo pačiu blokuoja įeinantį srautą iš interneto.
Kalbant apie APPLICATIONS & URL FILTERING ašmenis, pagal numatytuosius nustatymus jie yra nustatyti taip, kad blokuotų svetaines su dideliu pavojaus lygiu, blokuotų mainų programas (Torrent, File Storage ir kt.). Taip pat galite neautomatiškai blokuoti svetainių kategorijas.
Patikrinkime vartotojų srauto parinktį „Apriboti pralaidumą vartojančias programas“ su galimybe apriboti programų grupių išeinančio / gaunamo srauto greitį.
Tada atidarykite Politikos poskyrį; pagal numatytuosius nustatymus taisyklės generuojamos automatiškai pagal anksčiau aprašytus nustatymus.
NAT poskyris pagal numatytuosius nustatymus veikia Global Hide Nat Automatic, t. y. visi vidiniai pagrindiniai kompiuteriai turės prieigą prie interneto per viešąjį IP adresą. Galima rankiniu būdu nustatyti NAT taisykles, skirtas skelbti žiniatinklio programas ar paslaugas.
Toliau skyriuje, kuriame kalbama apie vartotojo autentifikavimą tinkle, siūlomos dvi parinktys: „Active Directory“ užklausos (integracija su jūsų AD), naršyklės pagrįstas autentifikavimas (vartotojas portale įveda domeno kredencialus).
Atskirai verta paminėti SSL patikrinimą, viso HTTPS srauto dalis pasauliniame tinkle aktyviai auga. Pažiūrėkime, kokias funkcijas CheckPoint siūlo SMB sprendimams. Norėdami tai padaryti, eikite į skiltį SSL tikrinimas → Politika:
Nustatymuose galite patikrinti HTTPS srautą; turėsite importuoti sertifikatą ir įdiegti jį į patikimą sertifikatų centrą galutinio vartotojo įrenginiuose.
Manome, kad iš anksto nustatytų kategorijų BYPASS režimas yra patogus pasirinkimas; tai leidžia žymiai sutaupyti laiko įgalinant patikrinimą.
Sukonfigūravę taisykles ugniasienės / programos lygiu, turėtumėte pereiti prie saugos politikos (grėsmių prevencijos) derinimo, kad tai padarytumėte, eikite į atitinkamą skyrių:
Atidarytame puslapyje matome įgalintų ašmenų, parašo ir duomenų bazės atnaujinimo būsenas. Taip pat mūsų prašoma pasirinkti tinklo perimetro apsaugos profilį ir rodomi atitinkami nustatymai.
Atskiras skyrius „IPS apsauga“ leidžia konfigūruoti veiksmą konkrečiam saugos parašui.
Ne taip seniai rašėme savo tinklaraštyje Windows Server - SigRed. Įvesdami užklausą „CVE-80.20-2020“ patikrinkime, ar jis yra „Gaia Embedded 1350“
Aptiktas šio parašo įrašas, kuriam galima pritaikyti vieną iš veiksmų. (pagal numatytuosius nustatymus Prevent pavojaus lygis yra Kritinis). Atitinkamai, turėdami SMB sprendimą, neliksite nuošalyje dėl atnaujinimų ir palaikymo – tai pilnas NGFW sprendimas, skirtas CheckPoint filialams iki 200 žmonių.
Atlikimo vertinimas
Baigdamas straipsnį norėčiau atkreipti dėmesį į įrankius, skirtus problemoms pašalinti po pirminio SMB sprendimo inicijavimo ir konfigūravimo. Galite pereiti į skyrių „PRAMIAI“ → „Įrankiai“. Galimi variantai:
- stebėjimo sistemos ištekliai;
- maršruto lentelė;
- CheckPoint debesijos paslaugų prieinamumo tikrinimas;
- CPinfo generavimas;
Taip pat galimos integruotos tinklo komandos: Ping, Traceroute, Traffic Capture.
Taigi, šiandien peržiūrėjome ir ištyrėme pradinį NGFW 1590 prijungimą ir konfigūraciją, panašius veiksmus atliksite visai 1500 SMB Checkpoint serijai. Galimos parinktys parodė didelį nustatymų kintamumą, palaikymą šiuolaikiniams srauto apsaugos tinklo perimetro metodams.
Šiandien „CheckPoint“ sprendimai, skirti apsaugoti nedidelius biurus ir filialus (iki 200 žmonių), turi platų įrankių spektrą ir naudoja naujausias technologijas (debesų valdymas, SIM kortelių palaikymas, atminties išplėtimas naudojant SD korteles ir kt.). Būkite informuoti ir skaitykite straipsnius iš TS Solution, planuojame tolesnius SMB šeimos NGFW CheckPoint dalių leidimus, iki pasimatymo!
. Sekite naujienas (, , , , ).
Šaltinis: www.habr.com