ProHoster > Blogs > Administrācija > Check Point Gaia R80.40. Kas jauns?

Check Point Gaia R80.40. Kas jauns?

Check Point Gaia R80.40. Kas jauns?

Tuvojas nākamais operētājsistēmas laidiens Gaia R80.40. Pirms dažām nedēļām Sākta agrÄ«nās piekļuves programma, kur varat piekļūt, lai pārbaudÄ«tu izplatÄ«Å”anu. Kā parasti, mēs publicējam informāciju par jaunumiem, kā arÄ« izceļam tos punktus, kas no mÅ«su viedokļa ir visinteresantākie. Raugoties nākotnē, varu teikt, ka jauninājumi ir patiesi nozÄ«mÄ«gi. Tāpēc ir vērts sagatavoties agrÄ«nai atjaunināŔanas procedÅ«rai. IepriekÅ” mēs jau esam publicēja rakstu par to, kā to izdarÄ«t (lai iegÅ«tu plaŔāku informāciju, lÅ«dzu, apmeklējiet vietni sazinieties Å”eit). Ķeramies pie tēmas...

Kas jauns

ApskatÄ«sim Å”eit oficiāli izziņotos jauninājumus. Informācija ņemta no vietnes Pārbaudiet biedrus (oficiālā Check Point kopiena). Ar jÅ«su atļauju es Å”o tekstu netulkoÅ”u, par laimi Habr publika to atļauj. Tā vietā es atstāŔu savus komentārus nākamajai nodaļai.

1. IoT droŔība. Jaunas funkcijas, kas saistītas ar lietu internetu

  • Apkopojiet IoT ierÄ«ces un trafika atribÅ«tus no sertificētām IoT atklāŔanas programmām (Å”obrÄ«d atbalsta Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM un Armis).
  • Konfigurējiet jaunu IoT paredzētu politikas slāni politikas pārvaldÄ«bā.
  • Konfigurējiet un pārvaldiet droŔības noteikumus, kuru pamatā ir IoT ierīču atribÅ«ti.

2. TLS pārbaudeHTTP/2:

  • HTTP/2 ir HTTP protokola atjauninājums. Atjauninājums nodroÅ”ina ātruma, efektivitātes un droŔības uzlabojumus, kā arÄ« nodroÅ”ina labāku lietotāja pieredzi.
  • Check Point droŔības vārteja tagad atbalsta HTTP/2 un nodroÅ”ina lielāku ātrumu un efektivitāti, vienlaikus nodroÅ”inot pilnÄ«gu droŔību, ar visiem draudu novērÅ”anas un piekļuves kontroles elementiem, kā arÄ« jauniem HTTP/2 protokola aizsardzÄ«bas lÄ«dzekļiem.
  • Atbalsts ir gan skaidrai, gan SSL Å”ifrētai trafikai, un tas ir pilnÄ«bā integrēts ar HTTPS/TLS
  • Pārbaudes iespējas.

TLS pārbaudes slānis. Inovācijas saistībā ar HTTPS pārbaudi:

  • Jauns SmartConsole politikas slānis, kas veltÄ«ts TLS pārbaudei.
  • Dažādās politikas pakotnēs var izmantot dažādus TLS pārbaudes slāņus.
  • TLS pārbaudes slāņa koplietoÅ”ana vairākās politikas pakotnēs.
  • API TLS operācijām.

3. Draudu novērÅ”ana

  • Vispārējs draudu novērÅ”anas procesu un atjauninājumu efektivitātes uzlabojums.
  • Automātiski draudu ekstrakcijas programmas atjauninājumi.
  • Dinamiskie, domēna un atjaunināmie objekti tagad var tikt izmantoti draudu novērÅ”anas un TLS pārbaudes politikās. Atjaunināmie objekti ir tÄ«kla objekti, kas pārstāv ārēju pakalpojumu vai zināmu dinamisku IP adreÅ”u sarakstu, piemēram, Office365 / Google / Azure / AWS IP adreses un Ä£eogrāfiskie objekti.
  • Anti-Virus tagad izmanto SHA-1 un SHA-256 draudu indikācijas, lai bloķētu failus, pamatojoties uz to jaucējiem. Importējiet jaunos indikatorus no SmartConsole draudu indikatoru skata vai pielāgotās informācijas plÅ«smas CLI.
  • Anti-Virus un SandBlast Threat Emulation tagad atbalsta e-pasta trafika pārbaudi, izmantojot POP3 protokolu, kā arÄ« uzlabotu e-pasta trafika pārbaudi, izmantojot IMAP protokolu.
  • Anti-Virus un SandBlast Threat Emulation tagad izmanto jaunieviesto SSH pārbaudes lÄ«dzekli, lai pārbaudÄ«tu failus, kas pārsÅ«tÄ«ti, izmantojot SCP un SFTP protokolus.
  • Anti-Virus un SandBlast Threat Emulation tagad nodroÅ”ina uzlabotu atbalstu SMBv3 pārbaudei (3.0, 3.0.2, 3.1.1), kas ietver daudzkanālu savienojumu pārbaudi. Check Point tagad ir vienÄ«gais piegādātājs, kas atbalsta failu pārsÅ«tÄ«Å”anas pārbaudi, izmantojot vairākus kanālus (funkcija, kas ir ieslēgta pēc noklusējuma visās Windows vidēs). Tas ļauj klientiem saglabāt droŔību, strādājot ar Å”o veiktspējas uzlaboÅ”anas funkciju.

4. Identitātes apzināŔanās

  • Atbalsts Captive Portal integrācijai ar SAML 2.0 un treÅ”o puÅ”u identitātes nodroÅ”inātājiem.
  • Identity Broker atbalsts mērogojamai un detalizētai identitātes informācijas koplietoÅ”anai starp PDP, kā arÄ« starpdomēnu koplietoÅ”anai.
  • Terminal Servers Agent uzlabojumi labākai mērogoÅ”anas un saderÄ«bas nodroÅ”ināŔanai.

5. IPsec VPN

  • Konfigurējiet dažādus VPN Å”ifrÄ“Å”anas domēnus droŔības vārtejā, kas ir vairāku VPN kopienu dalÄ«bnieks. Tas nodroÅ”ina:
  • Uzlabota privātums ā€” iekŔējie tÄ«kli netiek atklāti sarunās par IKE protokolu.
  • Uzlabota droŔība un precizitāte ā€” norādiet, kuri tÄ«kli ir pieejami noteiktā VPN kopienā.
  • Uzlabota sadarbspēja ā€” vienkārÅ”otas uz marÅ”rutu balstÄ«tas VPN definÄ«cijas (ieteicams, ja strādājat ar tukÅ”u VPN Å”ifrÄ“Å”anas domēnu).
  • Izveidojiet liela mēroga VPN (LSV) vidi un nevainojami strādājiet ar to, izmantojot LSV profilus.

6. URL filtrÄ“Å”ana

  • Uzlabota mērogojamÄ«ba un noturÄ«ba.
  • PaplaÅ”inātas problēmu novērÅ”anas iespējas.

7.NAT

  • Uzlabots NAT portu pieŔķirÅ”anas mehānisms ā€” droŔības vārtejās ar 6 vai vairāk CoreXL ugunsmÅ«ra gadÄ«jumiem visas instances izmanto vienu un to paÅ”u NAT portu kopu, kas optimizē portu izmantoÅ”anu un atkārtotu izmantoÅ”anu.
  • NAT porta izmantoÅ”anas uzraudzÄ«ba programmā CPView un ar SNMP.

8. Balss, izmantojot IP (VoIP)Vairāki CoreXL Firewall gadÄ«jumi apstrādā SIP protokolu, lai uzlabotu veiktspēju.

9. Attālās piekļuves VPNIzmantojiet iekārtas sertifikātu, lai atŔķirtu korporatÄ«vos un nekorporatÄ«vos aktÄ«vus un noteiktu politiku, kas nodroÅ”ina tikai korporatÄ«vo aktÄ«vu izmantoÅ”anu. Izpilde var bÅ«t pirms pieteikÅ”anās (tikai ierÄ«ces autentifikācija) vai pēc pieteikÅ”anās (ierÄ«ces un lietotāja autentifikācija).

10. Mobilās piekļuves portāla aÄ£entsUzlabota galapunkta droŔība pēc pieprasÄ«juma mobilās piekļuves portāla aÄ£entā, lai atbalstÄ«tu visas galvenās tÄ«mekļa pārlÅ«kprogrammas. Lai iegÅ«tu papildinformāciju, skatiet sk113410.

11.CoreXL un Multi-Queue

  • Atbalsts automātiskai CoreXL SND un ugunsmÅ«ra gadÄ«jumu pieŔķirÅ”anai, kam nav nepiecieÅ”ama droŔības vārtejas atsāknÄ“Å”ana.
  • Uzlabota lietoÅ”anas pieredze ā€” Security Gateway automātiski maina CoreXL SND un ugunsmÅ«ra gadÄ«jumu skaitu un vairāku rindu konfigurāciju, pamatojoties uz paÅ”reizējo satiksmes slodzi.

12. Klasterizācija

  • Cluster Control Protocol atbalsts Unicast režīmā, kas novērÅ” nepiecieÅ”amÄ«bu pēc CCP

Apraides vai multiraides režīmi:

  • Klasteru vadÄ«bas protokola Å”ifrÄ“Å”ana tagad ir iespējota pēc noklusējuma.
  • Jauns ClusterXL režīms -AktÄ«vs/AktÄ«vs, kas atbalsta klastera dalÄ«bniekus dažādās Ä£eogrāfiskās vietās, kas atrodas dažādos apakÅ”tÄ«klos un kuriem ir dažādas IP adreses.
  • Atbalsts ClusterXL klastera dalÄ«bniekiem, kuri izmanto dažādas programmatÅ«ras versijas.
  • Likvidēta nepiecieÅ”amÄ«ba pēc MAC Magic konfigurācijas, ja vienam apakÅ”tÄ«klam ir pievienoti vairāki klasteri.

13. VSX

  • Atbalsts VSX jaunināŔanai ar CPUSE Gaia portālā.
  • Atbalsts Active Up režīmam VSLS.
  • Atbalsts CPView statistikas atskaitēm katrai virtuālajai sistēmai

14. Zero TouchVienkārÅ”s Plug & Play iestatÄ«Å”anas process ierÄ«ces uzstādÄ«Å”anai ā€” novērÅ”ot vajadzÄ«bu pēc tehniskām zināŔanām un savienojuma ar ierÄ«ci sākotnējās konfigurācijas veikÅ”anai.

15. Gaia REST APIGaia REST API nodroÅ”ina jaunu veidu, kā lasÄ«t un nosÅ«tÄ«t informāciju serveriem, kuros darbojas operētājsistēma Gaia. Skatiet sk143612.

16. Papildu marŔrutēŔana

  • OSPF un BGP uzlabojumi ļauj atiestatÄ«t un restartēt blakus esoÅ”o OSPF katram CoreXL ugunsmÅ«ra gadÄ«jumam bez nepiecieÅ”amÄ«bas restartēt marÅ”rutēto dēmonu.
  • MarÅ”ruta atsvaidzināŔanas uzlaboÅ”ana, lai uzlabotu BGP marÅ”rutÄ“Å”anas neatbilstÄ«bu apstrādi.

17. Jaunas kodola iespējas

  • Jaunināts Linux kodols
  • Jauna sadalÄ«Å”anas sistēma (gpt):
  • Atbalsta vairāk nekā 2TB fiziskos/loÄ£iskos diskus
  • Ātrāka failu sistēma (xfs)
  • Atbalsta lielāku sistēmas krātuvi (pārbaudÄ«ts lÄ«dz 48 TB)
  • Ar I/O saistÄ«ti veiktspējas uzlabojumi
  • Vairākas rindas:
  • Pilns Gaia Clish atbalsts Multi-Queue komandām
  • Automātiska ā€œieslēgta pēc noklusējumaā€ konfigurācija
  • SMB v2/3 stiprinājuma atbalsts mobilās piekļuves asmenÄ«
  • Pievienots NFSv4 (klienta) atbalsts (NFS v4.2 ir izmantotā noklusējuma NFS versija)
  • Jaunu sistēmas rÄ«ku atbalsts sistēmas atkļūdoÅ”anai, uzraudzÄ«bai un konfigurÄ“Å”anai

18. CloudGuard kontrolieris

  • Veiktspējas uzlabojumi savienojumiem ar ārējiem datu centriem.
  • Integrācija ar VMware NSX-T.
  • Atbalsts papildu API komandām, lai izveidotu un rediģētu datu centra servera objektus.

19. Vairāku domēnu serveris

  • Dublējiet un atjaunojiet atseviŔķu domēna pārvaldÄ«bas serveri vairāku domēnu serverÄ«.
  • Migrējiet domēna pārvaldÄ«bas serveri vienā vairāku domēnu serverÄ« uz citu vairāku domēnu droŔības pārvaldÄ«bu.
  • Migrējiet droŔības pārvaldÄ«bas serveri, lai kļūtu par domēna pārvaldÄ«bas serveri vairāku domēnu serverÄ«.
  • Migrējiet domēna pārvaldÄ«bas serveri, lai kļūtu par droŔības pārvaldÄ«bas serveri.
  • Atjaunojiet vairāku domēnu servera domēna vai droŔības pārvaldÄ«bas servera iepriekŔējo versiju turpmākai rediģēŔanai.

20. SmartTasks un API

  • Jauna pārvaldÄ«bas API autentifikācijas metode, kas izmanto automātiski Ä£enerētu API atslēgu.
  • Jaunas pārvaldÄ«bas API komandas, lai izveidotu klastera objektus.
  • Jumbo labojumfailu akumulatora un labojumfailu centrālā izvietoÅ”ana no SmartConsole vai ar API ļauj vienlaikus instalēt vai jaunināt vairākas droŔības vārtejas un klasterus.
  • SmartTasks ā€” konfigurējiet automātiskos skriptus vai HTTPS pieprasÄ«jumus, ko aktivizē administratora uzdevumi, piemēram, sesijas publicÄ“Å”ana vai politikas instalÄ“Å”ana.

21. IzvietoÅ”anaJumbo labojumfailu akumulatora un labojumfailu centrālā izvietoÅ”ana no SmartConsole vai ar API ļauj vienlaikus instalēt vai jaunināt vairākas droŔības vārtejas un klasterus.

22. SmartEventKopīgojiet SmartView skatus un pārskatus ar citiem administratoriem.

23.Baļķu eksportētājsEksportējiet žurnālus, kas filtrēti atbilstoÅ”i lauku vērtÄ«bām.

24. Endpoint Security

  • Atbalsts BitLocker Å”ifrÄ“Å”anai pilnai diska Å”ifrÄ“Å”anai.
  • Ārējo sertifikācijas iestādes sertifikātu atbalsts Endpoint Security klientam
  • autentifikācija un saziņa ar Endpoint Security Management Server.
  • Atbalsts Endpoint Security Client pakotņu dinamiskam izmēram, pamatojoties uz atlasÄ«to
  • funkcijas izvietoÅ”anai.
  • Tagad politika var kontrolēt galalietotājiem nosÅ«tÄ«to paziņojumu lÄ«meni.
  • Atbalsts pastāvÄ«gai VDI videi Endpoint Policy Management.

Kas mums patika visvairāk (pamatojoties uz klientu uzdevumiem)

Kā redzat, jauninājumu ir daudz. Bet mums, tāpat kā sistēmas integrators, ir vairāki ļoti interesanti punkti (kas ir interesanti arī mūsu klientiem). Mūsu top 10:

  1. Visbeidzot, ir parādÄ«jies pilnÄ«gs IoT ierīču atbalsts. Jau tagad ir diezgan grÅ«ti atrast uzņēmumu, kuram Ŕādas ierÄ«ces nebÅ«tu.
  2. TLS pārbaude tagad ir ievietota atseviŔķā slānÄ« (SlānÄ«). Tas ir daudz ērtāk nekā tagad (pie 80.30). Vairs nedarbiniet veco Legasy Dashboard. Turklāt tagad HTTPS pārbaudes politikā varat izmantot atjaunināmus objektus, piemēram, Office365, Google, Azure, AWS utt. pakalpojumus. Tas ir ļoti ērti, ja nepiecieÅ”ams iestatÄ«t izņēmumus. Tomēr joprojām nav atbalsta tls 1.3. AcÄ«mredzot viņi "panāks" ar nākamo labojumfailu.
  3. BÅ«tiskas izmaiņas Anti-Virus un SandBlast. Tagad jÅ«s varat pārbaudÄ«t protokolus, piemēram, SCP, SFTP un SMBv3 (starp citu, neviens vairs nevar pārbaudÄ«t Å”o daudzkanālu protokolu).
  4. SaistÄ«bā ar vietņu VPN ir daudz uzlabojumu. Tagad vārtejā, kas ir daļa no vairākām VPN kopienām, varat konfigurēt vairākus VPN domēnus. Tas ir ļoti ērti un daudz droŔāk. Turklāt Check Point beidzot atcerējās Route Based VPN un nedaudz uzlaboja tā stabilitāti/saderÄ«bu.
  5. Ir parādÄ«jusies ļoti populāra funkcija attāliem lietotājiem. Tagad jÅ«s varat autentificēt ne tikai lietotāju, bet arÄ« ierÄ«ci, no kuras viņŔ izveido savienojumu. Piemēram, mēs vēlamies atļaut VPN savienojumus tikai no korporatÄ«vajām ierÄ«cēm. Tas tiek darÄ«ts, protams, ar sertifikātu palÄ«dzÄ«bu. Ir iespējams arÄ« automātiski mount (SMB v2/3) failu koplietoÅ”anas attāliem lietotājiem ar VPN klientu.
  6. Klastera darbībā ir daudz izmaiņu. Bet, iespējams, viena no interesantākajām ir iespēja darbināt kopu, kurā vārtejām ir dažādas Gaia versijas. Tas ir ērti, plānojot atjauninājumu.
  7. Uzlabotas Zero Touch iespējas. NoderÄ«ga lieta tiem, kas bieži uzstāda ā€œmazasā€ vārtejas (piemēram, bankomātiem).
  8. Žurnāliem tagad tiek atbalstÄ«ta krātuve lÄ«dz 48 TB.
  9. Varat koplietot savus SmartEvent informācijas paneļus ar citiem administratoriem.
  10. Log Exporter tagad ļauj iepriekÅ” filtrēt nosÅ«tÄ«tos ziņojumus, izmantojot obligātos laukus. Tie. Uz jÅ«su SIEM sistēmām tiks pārsÅ«tÄ«ti tikai nepiecieÅ”amie žurnāli un notikumi

Modernizēt

Iespējams, daudzi jau domā par atjaunināŔanu. Nav nepiecieÅ”ams steigties. Vispirms versijai 80.40 ir jāpārvietojas uz vispārējo pieejamÄ«bu. Bet pat pēc tam nevajadzētu atjaunināt uzreiz. Labāk pagaidÄ«t vismaz pirmo labojumfailu.
Iespējams, daudzi ā€œsēžā€ pie vecākām versijām. Varu teikt, ka vismaz jau ir iespējams (un pat nepiecieÅ”ams) atjaunināt uz 80.30. Tā jau ir stabila un pārbaudÄ«ta sistēma!

Varat arÄ« abonēt mÅ«su publiskās lapas (Telegram, Facebook, VK, TS risinājumu emuārs), kurā var sekot lÄ«dzi jaunu materiālu parādÄ«Å”anās Check Point un citos droŔības produktos.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Kādu Gaia versiju jūs izmantojat?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • cits

Nobalsoja 13 lietotāji. 6 lietotāji atturējās.

Avots: www.habr.com

Pievieno komentāru