ProHoster > блог > Администрација > Check Point Gaia R80.40. Што има ново?

Check Point Gaia R80.40. Што има ново?

Check Point Gaia R80.40. Што има ново?

Се ближи следното издание на оперативниот систем Gaia R80.40. Пред неколку недели Програмата за ран пристап започна, каде што можете да пристапите за да ја тестирате дистрибуцијата. Како и обично, објавуваме информации за новото, а исто така ги истакнуваме точките што се најинтересни од наша гледна точка. Гледајќи напред, можам да кажам дека иновациите се навистина значајни. Затоа, вреди да се подготвите за процедура за рано ажурирање. Претходно веќе имаме објави статија за тоа како да го направите ова (за повеќе информации, ве молиме посетете контактирајте овде). Ајде да преминеме на темата...

Што има ново

Овде да ги погледнеме официјално објавените иновации. Информации земени од страницата Проверете ги Матес (официјална заедница на Check Point). Со ваша дозвола нема да го преведувам овој текст, за среќа публиката на Хабр го дозволува тоа. Наместо тоа, ќе ги оставам моите коментари за следното поглавје.

1. IoT безбедност. Нови функции поврзани со Интернет на нештата

  • Соберете IoT уреди и сообраќајни атрибути од сертифицирани мотори за откривање IoT (во моментов поддржува Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM и Armis).
  • Конфигурирајте нов слој на политики посветен на IoT во управувањето со политиките.
  • Конфигурирајте и управувајте со безбедносните правила што се засноваат на атрибутите на IoT уредите.

2.TLS инспекцијаHTTP / 2:

  • HTTP/2 е ажурирање на протоколот HTTP. Ажурирањето обезбедува подобрувања на брзината, ефикасноста и безбедноста и резултати со подобро корисничко искуство.
  • Безбедносниот порт на Check Point сега поддржува HTTP/2 и има поголема брзина и ефикасност додека добивате целосна безбедност, со сите сечила за спречување закани и контрола на пристап, како и нова заштита за протоколот HTTP/2.
  • Поддршката е и за јасен и за SSL шифриран сообраќај и е целосно интегрирана со HTTPS/TLS
  • Способности за инспекција.

TLS инспекциски слој. Иновации во врска со инспекцијата на HTTPS:

  • Нов слој на политики во SmartConsole посветен на TLS инспекција.
  • Различни слоеви за проверка на TLS може да се користат во различни пакети на политики.
  • Споделување на слој за инспекција на TLS низ повеќе пакети на политики.
  • API за TLS операции.

3. Превенција на закани

  • Севкупно подобрување на ефикасноста за процесите и ажурирањата за спречување закани.
  • Автоматски ажурирања на моторот за извлекување закани.
  • Динамични, домени и објекти што може да се ажурираат сега може да се користат во политиките за спречување закани и за инспекција на TLS. Објектите што може да се ажурираат се мрежни објекти што претставуваат надворешна услуга или позната динамичка листа на IP адреси, на пример - IP-адреси на Office365 / Google / Azure / AWS и Geo објекти.
  • Анти-вирусот сега користи индикации за закана SHA-1 и SHA-256 за блокирање на датотеки врз основа на нивните хешови. Увезете ги новите индикатори од приказот Индикатори за закана на SmartConsole или CLI за приспособено разузнавање.
  • Anti-Virus и SandBlast Threat Emulation сега поддржуваат проверка на сообраќајот на е-пошта преку протоколот POP3, како и подобрена проверка на сообраќајот на е-пошта преку протоколот IMAP.
  • Анти-вирус и SandBlast Threat Emulation сега ја користат новововедената функција за проверка на SSH за проверка на датотеките пренесени преку протоколите SCP и SFTP.
  • Анти-вирус и SandBlast Threat Emulation сега обезбедуваат подобрена поддршка за SMBv3 инспекција (3.0, 3.0.2, 3.1.1), која вклучува проверка на повеќеканални врски. Check Point сега е единствениот продавач кој поддржува проверка на пренос на датотеки преку повеќе канали (функција што е стандардна во сите околини на Windows). Ова им овозможува на клиентите да останат безбедни додека работат со оваа функција за подобрување на перформансите.

4. Свесност за идентитетот

  • Поддршка за интеграција на заробен портал со SAML 2.0 и трети лица добавувачи на идентитет.
  • Поддршка за Identity Broker за скалабилно и грануларно споделување на информации за идентитетот помеѓу PDP, како и споделување меѓу домени.
  • Подобрувања на агентот за терминални сервери за подобро скалирање и компатибилност.

5. IPsec VPN

  • Конфигурирајте различни домени за шифрирање VPN на безбедносен портал кој е член на повеќе заедници на VPN. Ова обезбедува:
  • Подобрена приватност - Внатрешните мрежи не се откриваат во преговорите за протоколот IKE.
  • Подобрена безбедност и грануларност — Наведете кои мрежи се достапни во одредена VPN заедница.
  • Подобрена интероперабилност — Поедноставени дефиниции за VPN базирани на рути (се препорачува кога работите со празен домен за шифрирање VPN).
  • Креирајте и беспрекорно работете со опкружување VPN со големи размери (LSV) со помош на LSV профили.

6. Филтрирање URL

  • Подобрена приспособливост и еластичност.
  • Проширени можности за решавање проблеми.

7. НАТ

  • Подобрен механизам за распределба на NAT порти - на безбедносните порти со 6 или повеќе случаи на CoreXL Firewall, сите примероци го користат истиот базен на NAT порти, што ја оптимизира употребата и повторната употреба на портите.
  • Следење на искористеноста на портата NAT во CPView и со SNMP.

8. Глас преку IP (VoIP)Повеќекратните случаи на CoreXL Firewall се справуваат со протоколот SIP за да ги подобрат перформансите.

9. Далечински пристап VPNКористете машински сертификат за да правите разлика помеѓу корпоративни и некорпоративни средства и да поставите политика со која се спроведува употребата само на корпоративните средства. Спроведувањето може да биде претходно најавување (само за автентикација на уред) или пост-логирање (автентикација на уред и корисник).

10. Агент за портал за пристап до мобилен телефонПодобрена безбедност на крајната точка на барање во рамките на Агентот за портал за пристап до мобилен телефон за поддршка на сите главни веб-прелистувачи. За повеќе информации, видете sk113410.

11.CoreXL и Multi-Queue

  • Поддршка за автоматска распределба на CoreXL SND и инстанци на Firewall за кои не е потребно рестартирање на Security Gateway.
  • Подобрено надворешно искуство — Security Gateway автоматски го менува бројот на CoreXL SND и инстанци на Firewall и конфигурацијата Multi-Queue врз основа на тековното оптоварување на сообраќајот.

12. Кластерирање

  • Поддршка за протокол за контрола на кластери во режим Unicast што ја елиминира потребата за CCP

Режими за емитување или мултиемитување:

  • Шифрирањето на протоколот за контрола на кластерот сега е стандардно овозможено.
  • Нов режим ClusterXL -Активен/Активен, кој поддржува членови на кластерот на различни географски локации кои се наоѓаат на различни подмрежи и имаат различни IP адреси.
  • Поддршка за членовите на ClusterXL Cluster кои работат со различни верзии на софтвер.
  • Ја елиминира потребата за MAC Magic конфигурација кога неколку кластери се поврзани на иста подмрежа.

13. VSX

  • Поддршка за надградба на VSX со CPUSE во порталот Gaia.
  • Поддршка за режимот Active Up во VSLS.
  • Поддршка за CPView статистички извештаи за секој виртуелен систем

14. Нулта допирЕдноставен процес на поставување Plug & Play за инсталирање на апарат - елиминирање на потребата од техничка експертиза и потреба од поврзување со апаратот за почетна конфигурација.

15. Gaia REST APIGaia REST API обезбедува нов начин за читање и испраќање информации до серверите што работат на оперативниот систем Gaia. Видете sk143612.

16. Напредно рутирање

  • Подобрувањата на OSPF и BGP овозможуваат ресетирање и рестартирање на OSPF соседните за секој примерок на CoreXL Firewall без потреба да се рестартира рутираниот демон.
  • Подобрување на освежувањето на маршрутата за подобрено справување со недоследностите на рутирањето на BGP.

17. Нови способности на кернелот

  • Надграден Linux кернел
  • Нов систем за партиција (gpt):
  • Поддржува повеќе од 2 TB физички/логички дискови
  • Побрз датотечен систем (xfs)
  • Поддржува поголемо складирање на системот (тестирано до 48 ТБ)
  • Подобрувања на перформансите поврзани со I/O
  • Повеќе редици:
  • Целосна поддршка за Gaia Clish за команди со повеќе редици
  • Автоматска „вклучена стандардно“ конфигурација
  • Поддршка за монтирање SMB v2/3 во сечилото за пристап до мобилен телефон
  • Додадена е поддршка за NFSv4 (клиент) (NFS v4.2 е стандардната користена верзија на NFS)
  • Поддршка на нови системски алатки за дебагирање, следење и конфигурирање на системот

18. CloudGuard контролер

  • Подобрувања на перформансите за поврзување со надворешни центри за податоци.
  • Интеграција со VMware NSX-T.
  • Поддршка за дополнителни API команди за креирање и уредување објекти на серверот на центарот за податоци.

19. Сервер со повеќе домени

  • Направете резервна копија и враќање на индивидуален сервер за управување со домен на сервер со повеќе домени.
  • Мигрирајте сервер за управување со домени на еден сервер со повеќе домени на различен Управување со безбедност со повеќе домени.
  • Мигрирајте сервер за управување со безбедноста за да станете сервер за управување со домен на сервер со повеќе домени.
  • Мигрирајте сервер за управување со домен за да станете сервер за управување со безбедноста.
  • Вратете домен на сервер со повеќе домени или сервер за управување со безбедноста на претходна ревизија за понатамошно уредување.

20. SmartTasks и API

  • Нов метод за автентикација за управување со API кој користи автоматски генериран клуч на API.
  • Нови команди за управување со API за создавање објекти на кластерот.
  • Централното распоредување на Jumbo Hotfix Accumulator и Hotfix од SmartConsole или со API овозможува паралелно инсталирање или надградба на повеќе безбедносни порти и кластери.
  • SmartTasks — Конфигурирајте автоматски скрипти или барања за HTTPS активирани од администраторски задачи, како што се објавување сесија или инсталирање политика.

21. РаспоредувањеЦентралното распоредување на Jumbo Hotfix Accumulator и Hotfix од SmartConsole или со API овозможува паралелно инсталирање или надградба на повеќе безбедносни порти и кластери.

22. SmartEventСподелете ги прегледите и извештаите на SmartView со други администратори.

23.Извозник на дневнициИзвезете дневници филтрирани според вредностите на полето.

24. Безбедност на крајната точка

  • Поддршка за шифрирање BitLocker за шифрирање на целосен диск.
  • Поддршка за надворешни сертификати за издавање сертификати за клиент за безбедност на крајната точка
  • автентикација и комуникација со серверот за управување со безбедноста на крајната точка.
  • Поддршка за динамична големина на пакетите за клиент за безбедност на Endpoint врз основа на избраните
  • карактеристики за распоредување.
  • Политиката сега може да го контролира нивото на известувања до крајните корисници.
  • Поддршка за перзистентна VDI околина во Управување со политики на крајна точка.

Што ни се допадна најмногу (врз основа на задачите на клиентите)

Како што можете да видите, има многу иновации. Но, за нас, што се однесува до системски интегратор, има неколку многу интересни точки (кои се интересни и за нашите клиенти). Нашите Топ 10:

  1. Конечно, се појави целосна поддршка за IoT уредите. Веќе е доста тешко да се најде компанија која нема такви уреди.
  2. TLS инспекцијата сега е поставена во посебен слој (Layer). Многу е поудобно отколку сега (во 80.30 часот). Нема повеќе да работи со старата табла Legasy. Плус, сега можете да користите ажурирани објекти во политиката за инспекција на HTTPS, како што се услугите Office365, Google, Azure, AWS итн. Ова е многу погодно кога треба да поставите исклучоци. Сепак, сè уште нема поддршка за tls 1.3. Очигледно тие ќе се „фатат“ со следната жешка поправка.
  3. Значајни промени за Anti-Virus и SandBlast. Сега можете да ги проверите протоколите како што се SCP, SFTP и SMBv3 (патем, никој повеќе не може да го провери овој повеќеканален протокол).
  4. Има многу подобрувања во врска со VPN од сајт до локација. Сега можете да конфигурирате неколку VPN домени на портата што е дел од неколку VPN заедници. Тоа е многу погодно и многу побезбедно. Дополнително, Check Point конечно се сети на VPN базирана на рута и малку ја подобри неговата стабилност/компатибилност.
  5. Се појави многу популарна функција за далечински корисници. Сега можете да го потврдите автентичноста не само на корисникот, туку и на уредот од кој се поврзува. На пример, сакаме да дозволиме VPN конекции само од корпоративни уреди. Ова се прави, се разбира, со помош на сертификати. Исто така, можно е автоматско монтирање (SMB v2/3) споделувања на датотеки за оддалечени корисници со VPN клиент.
  6. Има многу промени во работата на кластерот. Но, можеби една од најинтересните е можноста за управување со кластер каде што портите имаат различни верзии на Гаја. Ова е погодно кога планирате ажурирање.
  7. Подобрени способности за нула допир. Корисна работа за оние кои често инсталираат „мали“ портали (на пример, за банкомати).
  8. За дневници, сега е поддржано складирање до 48 ТБ.
  9. Можете да ги споделите вашите контролни табли SmartEvent со други администратори.
  10. Извозникот на дневници сега ви овозможува однапред да ги филтрирате испратените пораки користејќи ги бараните полиња. Оние. Само потребните дневници и настани ќе се пренесат на вашите SIEM системи

Ажурирање

Можеби многумина веќе размислуваат за ажурирање. Нема потреба од брзање. За почеток, верзијата 80.40 мора да се пресели во Општа достапност. Но, дури и после тоа, не треба веднаш да се ажурирате. Подобро е да се почека барем првата жешка поправка.
Можеби многумина „седат“ на постари верзии. Можам да кажам дека на минимум веќе е можно (па дури и неопходно) да се ажурира на 80.30. Ова е веќе стабилен и докажан систем!

Можете исто така да се претплатите на нашите јавни страници (Телеграма, Facebook, VK, Блог за TS Solution), каде што можете да го следите појавувањето на нови материјали на Check Point и други безбедносни производи.

Само регистрирани корисници можат да учествуваат во анкетата. Најави се, вие сте добредојдени.

Која верзија на Gaia ја користите?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • други

Гласаа 13 корисници. 6 корисници беа воздржани.

Извор: www.habr.com

Додадете коментар