Бид шинэ SMB CheckPoint загварын хүрээтэй ажиллах тухай цуврал нийтлэлийг үргэлжлүүлж байгаа тул танд сануулъя Бид шинэ загвар, удирдлага, удирдлагын аргуудын шинж чанар, чадавхийг тодорхойлсон. Өнөөдөр бид цувралын хуучин загварыг байрлуулах хувилбарыг авч үзэх болно: CheckPoint 1590 NGFW. Энэ хэсгийн хураангуй энд байна:
- Тоног төхөөрөмжийг задлах (бүрдэл хэсгүүдийн тодорхойлолт, физик болон сүлжээний холболтууд).
- Төхөөрөмжийн анхны тохиргоо.
- Анхны тохиргоо.
- Гүйцэтгэлийн үнэлгээ.
Тоног төхөөрөмжийг задлах
Тоног төхөөрөмжтэй танилцах нь төхөөрөмжийг хайрцагнаас салгах, эд ангиудыг задлах, эд ангиудыг суулгахаас эхэлдэг; үйл явцыг товч танилцуулсан спойлер дээр дарна уу.
NGFW 1590 хүргэлт
Бүрэлдэхүүн хэсгүүдийн талаар товч дурдвал:
- NGFW 1590;
- Эрчим хүчний адаптер;
- 2 Wifi антен (2.4 Гц ба 5 Гц);
- 2 LTE антен;
- Баримт бичиг бүхий товхимол (анхны холболтын товч гарын авлага, лицензийн гэрээ гэх мэт)
Сүлжээний портууд болон интерфейсүүдийн хувьд траффик дамжуулах, харилцан үйлчлэх орчин үеийн бүх боломжууд, DMZ бүсийн тусдаа порт, компьютертэй синхрончлох USB 3.0 байдаг.
1590 хувилбар нь шинэчлэгдсэн загвар, утасгүй холболт, санах ойг өргөтгөх орчин үеийн сонголтуудыг хүлээн авсан: LTE горимд Micro/Nano SIM-тэй ажиллах 2 үүр. (бид энэ сонголтыг утасгүй холболтод зориулсан цуврал нийтлэлүүдийн аль нэгэнд дэлгэрэнгүй бичихээр төлөвлөж байна); SD картны үүр.
Та 1590 NGFW болон бусад шинэ загваруудын боломжуудын талаар дэлгэрэнгүй унших боломжтой CheckPoint SMB шийдлүүдийн тухай цуврал нийтлэлээс. Бид төхөөрөмжийг эхлүүлэх ажлыг үргэлжлүүлнэ.
Анхдагч эхлүүлэх
1500 цуврал SMB шугам нь шинэчлэгдсэн интерфэйс, сайжруулсан чадавхийг агуулсан шинэ 80.20 Embedded OS-ийг ашигладаг гэдгийг манай байнгын уншигчид аль хэдийн мэдэж байх ёстой.
Төхөөрөмжийг эхлүүлэхийн тулд танд дараах зүйлс хэрэгтэй:
- Гарцыг эрчим хүчээр хангах.
- Компьютерээсээ сүлжээний кабелийг гарц дээрх LAN -1 руу холбоно уу.
- Сонголтоор та интерфэйсийг WAN порт руу холбосноор төхөөрөмжийг интернетэд нэн даруй өгөх боломжтой.
- Gaia Embedded портал руу очно уу:
Хэрэв та өмнө нь дурдсан алхмуудыг дагаж мөрдвөл Gaia портал хуудас руу орсны дараа та найдваргүй гэрчилгээ бүхий хуудсыг нээхийг баталгаажуулах шаардлагатай бөгөөд үүний дараа порталын тохиргооны шидтэн ажиллах болно.
Таны төхөөрөмжийн загварыг харуулсан хуудас таныг угтах болно, та дараагийн хэсэгт очих хэрэгтэй.
Биднээс зөвшөөрөл авахын тулд данс үүсгэхийг хүсэх бөгөөд администраторын нууц үгийн өндөр шаардлагыг зааж өгөх боломжтой бөгөөд бид гарцыг ашиглах улсаа зааж өгнө.
Дараагийн цонх нь огноо, цагийн тохиргоотой холбоотой бөгөөд та үүнийг гараар тохируулах эсвэл компанийн NTP серверийг ашиглаж болно.
Дараагийн алхам нь гарцын үйлчилгээ интернетэд зөв ажиллахын тулд төхөөрөмжийн нэрийг тохируулах, компанийн домайныг зааж өгөх явдал юм.
Дараагийн алхам нь NGFW хяналтын төрлийг сонгохтой холбоотой бөгөөд энд тэмдэглэх нь зүйтэй.
- Орон нутгийн удирдлага. Энэ нь Gaia Portal вэб хуудсыг ашиглан гарцыг дотооддоо удирдах боломжтой сонголт юм.
- Төвийн удирдлага. Энэ төрлийн удирдлагад зориулалтын CheckPoint Management сервертэй синхрончлол, Smart1-Cloud үүл эсвэл SMP (SMB-д зориулсан удирдлагын үйлчилгээ)-тэй синхрончлол орно.
Энэ нийтлэлд бид Орон нутгийн удирдлагын аргад анхаарлаа хандуулах болно, та шаардлагатай аргыг зааж өгч болно. Зориулалтын удирдлагын сервертэй синхрончлолын үйл явцтай танилцахын тулд бид танд санал болгож байна TS Solution-ийн бэлтгэсэн CheckPoint Эхлэл сургалтын цувралаас.
Дараа нь гарц дээрх интерфейсүүдийн ажиллах горимыг тодорхойлсон цонх гарч ирнэ.
- Шилжүүлэгч горим нь нэг интерфэйсээс нөгөө интерфейсийн дэд сүлжээ рүү дэд сүлжээ байх боломжтой гэсэн үг юм.
- Идэвхгүй Switch горим нь Switch горимыг идэвхгүй болгодог; порт бүр нь тусдаа сүлжээний фрагментийн адил траффикийг чиглүүлдэг.
Мөн гарцын локал интерфэйсүүдтэй холбогдоход хэрэглэгдэх DHCP хаягуудын санг тодорхойлохыг санал болгож байна.
Дараагийн алхам бол утасгүй горимд ажиллах гарцыг тохируулах явдал бөгөөд бид цувралын нэг нийтлэлд энэ асуудлыг илүү нарийвчлан авч үзэхээр төлөвлөж байгаа тул тохиргооны тохиргоог хойшлуулсан. Та шинэ утасгүй хандалтын цэг үүсгэж, түүнд холбогдох нууц үгээ тохируулж, утасгүй сувгийн ажиллах горимыг (2.4 Гц эсвэл 5 Гц) тодорхойлж болно.
Дараагийн алхам бол компанийн администраторуудад зориулсан гарц руу нэвтрэх эрхийг тохируулах явдал юм. Анхдагч байдлаар, холболт дараахаас ирвэл нэвтрэх эрхийг зөвшөөрнө:
- Компанийн дотоод дэд сүлжээ
- Итгэмжлэгдсэн утасгүй сүлжээ
- VPN туннель
Интернэтээр дамжуулан гарцтай холбогдох сонголт нь анхдагчаар идэвхгүй, энэ нь маш их эрсдэл дагуулдаг бөгөөд оруулах үндэслэлтэй байх ёстой, эс тэгвээс үүнийг манай жишээн дээрх шиг үлдээхийг зөвлөж байна. Мөн аль IP хаягийг зөвшөөрөхийг зааж өгөх боломжтой. гарцтай холбогдохын тулд.
Дараагийн цонх нь лицензийг идэвхжүүлэхтэй холбоотой бөгөөд төхөөрөмжийг анх эхлүүлсний дараа танд 30 хоногийн туршилтын хугацааг үзүүлэх болно. Идэвхжүүлэх хоёр арга байдаг:
- Хэрэв интернет холболт байгаа бол лиценз автоматаар идэвхждэг.
- Хэрэв та лицензийг офлайнаар идэвхжүүлсэн бол та дараах зүйлийг хийх хэрэгтэй: UserCenter-ээс лицензийг татаж аваад төхөөрөмжөө тусгай системд бүртгүүлнэ үү. . Дараа нь хоёр тохиолдолд та гараар татаж авсан лицензийг импортлох шаардлагатай болно.
Эцэст нь, тохиргооны шидтэний сүүлчийн цонх нь асаах ирийг сонгохыг танд сануулж байна; QOS ирийг анх эхлүүлсний дараа л асаана гэдгийг анхаарна уу. Таны тохиргоог нэгтгэн дүгнэж дуусгах цонх гарч ирэх ёстой.
Анхны тохиргоо
Юуны өмнө бид лицензийн статусыг шалгахыг зөвлөж байна, цаашдын тохиргоо нь үүнээс хамаарна. "НҮҮР" → "Лиценз" таб руу очно уу:
Хэрэв лицензүүд идэвхжсэн бол бид хамгийн сүүлийн үеийн програм хангамжийг нэн даруй шинэчлэхийг зөвлөж байна; үүнийг хийхийн тулд "ТӨХӨӨРӨМЖ" → "Системийн үйл ажиллагаа" таб руу очно уу.
Системийн шинэчлэлтүүд нь Firmware Upgrade зүйлд байрладаг. Манай тохиолдолд програм хангамжийн одоогийн болон хамгийн сүүлийн хувилбарыг суулгасан болно.
Дараа нь би системийн ирний чадвар, тохиргооны талаар товч ярихыг санал болгож байна. Логикийн хувьд тэдгээрийг хандалтын (галт хана, програмын хяналт, URL шүүлтүүр) болон аюулаас урьдчилан сэргийлэх (IPS, антивирус, анти-бот, аюулын эмуляц) түвшний бодлогод хувааж болно.
Хандалтын бодлого → Blade Control таб руу орцгооё:
Анхдагч байдлаар, СТАНДАРТ горимыг ашигладаг бөгөөд энэ нь Интернэтэд гарч буй урсгал, дотоод сүлжээн дэх урсгалыг зөвшөөрдөг боловч интернетээс ирж буй траффикийг хаадаг.
APPLICATIONS & URL FILTERING-ийн хувьд анхдагч байдлаар тэдгээр нь аюултай сайтуудыг хаах, солилцооны програмуудыг (Torrent, File Storage гэх мэт) блоклохоор тохируулагдсан байдаг. Та мөн сайтын ангиллыг гараар хаах боломжтой.
Бүлэг програмын хувьд гарч байгаа/орж ирж буй траффикийн хурдыг хязгаарлах чадвартай "Хамгийн өргөн хэрэглээний программуудыг хязгаарлах" хэрэглэгчийн траффикийн сонголтыг шалгацгаая.
Дараа нь Бодлогын дэд хэсгийг нээнэ үү; анхдагчаар дүрмүүд нь өмнө нь тайлбарласан тохиргооны дагуу автоматаар үүсгэгддэг.
NAT дэд хэсэг нь анхдагчаар Global Hide Nat Automatic дээр ажилладаг, өөрөөр хэлбэл бүх дотоод хостууд нийтийн IP хаягаар дамжуулан интернетэд холбогдох боломжтой болно. Өөрийн вэб програм, үйлчилгээг нийтлэх NAT дүрмийг гараар тохируулах боломжтой.
Дараа нь сүлжээн дэх хэрэглэгчийн баталгаажуулалттай холбоотой хэсэг нь хоёр сонголтыг санал болгож байна: Active Directory Queries (таны AD-тай нэгтгэх), Хөтөч дээр суурилсан баталгаажуулалт (хэрэглэгч портал дахь домэйны итгэмжлэлүүдийг оруулна).
SSL шалгалтыг тусад нь дурдах нь зүйтэй бөгөөд Глобал сүлжээнд нийт HTTPS траффикийн эзлэх хувь идэвхтэй өсч байна. CheckPoint нь SMB шийдлүүдэд ямар боломжуудыг санал болгож байгааг харцгаая. Үүнийг хийхийн тулд SSL-Inspection → Policy хэсэгт очно уу:
Тохиргоонд та HTTPS урсгалыг шалгаж болно; та гэрчилгээг импортлож, эцсийн хэрэглэгчийн машин дээрх итгэмжлэгдсэн гэрчилгээний төвд суулгах хэрэгтэй болно.
Урьдчилан тодорхойлсон ангиллын BYPASS горимыг бид тохиромжтой сонголт гэж үзэж байгаа бөгөөд энэ нь шалгалтыг идэвхжүүлэхэд цагийг ихээхэн хэмнэдэг.
Галт хана / Програмын түвшинд дүрмийг тохируулсны дараа та аюулгүй байдлын бодлогыг (Аюулаас урьдчилан сэргийлэх) тохируулах хэрэгтэй бөгөөд үүнийг хийхийн тулд тохирох хэсэгт очно уу.
Нээлттэй хуудсан дээр бид идэвхжүүлсэн blade, гарын үсэг, мэдээллийн баазын шинэчлэлтийн статусыг харж байна. Мөн биднээс сүлжээний периметрийг хамгаалах профайлыг сонгохыг хүсэх ба холбогдох тохиргоог харуулах болно.
"IPS хамгаалалт" гэсэн тусдаа хэсэг нь тусгай хамгаалалтын гарын үсгийн үйлдлийг тохируулах боломжийг танд олгоно.
Саяхан бид блогтоо бичсэн Windows серверийн хувьд - SigRed. Gaia Embedded 80.20-д байгаа эсэхийг “CVE-2020-1350” асуулгад оруулан шалгацгаая.
Энэ гарын үсэгт үйлдлүүдийн аль нэгийг хийх боломжтой бичлэг илэрсэн. (Анхдагчаар Аюулын түвшний урьдчилан сэргийлэх нь Critical байна). Үүний дагуу SMB-ийн шийдэлтэй болсноор та шинэчлэлт, дэмжлэгийн хувьд орхигдохгүй бөгөөд энэ нь CheckPoint-ээс 200 хүртэлх хүнтэй салбар оффисуудад зориулсан NGFW бүрэн шийдэл юм.
Гүйцэтгэлийн үнэлгээ
Өгүүллийг дуусгахдаа SMB шийдлийг анх эхлүүлж, тохируулсны дараа алдааг олж засварлах хэрэгслүүд байгаа гэдгийг тэмдэглэхийг хүсч байна. Та "НҮҮР" → "Хэрэгслүүд" хэсэгт очиж болно. Боломжит сонголтууд:
- хяналтын системийн нөөц;
- чиглүүлэлтийн хүснэгт;
- CheckPoint үүлэн үйлчилгээний хүртээмжийг шалгах;
- CPinfo үүсгэх;
Суурилуулсан сүлжээний командууд бас байдаг: Ping, Traceroute, Traffic Capture.
Тиймээс, өнөөдөр бид NGFW 1590-ийн анхны холболт, тохиргоог хянаж, судалж үзсэн тул та 1500 SMB Checkpoint цувралын хувьд ижил төстэй үйлдлүүдийг хийх болно. Боломжтой сонголтууд нь тохиргооны өндөр хэлбэлзэл, сүлжээний периметрийн траффикийг хамгаалах орчин үеийн аргуудын дэмжлэгийг харуулсан.
Өнөөдөр жижиг оффис, салбаруудыг (200 хүртэл хүн) хамгаалахад зориулсан CheckPoint шийдлүүд нь өргөн хүрээний хэрэгсэлтэй бөгөөд хамгийн сүүлийн үеийн технологиуд (үүлийн удирдлага, SIM картын дэмжлэг, SD карт ашиглан санах ойг өргөтгөх гэх мэт) ашигладаг. Үргэлжлүүлэн мэдээлэлтэй байж, TS Solution-ийн нийтлэлүүдийг уншаарай, бид SMB гэр бүлийн NGFW CheckPoint-ийн талаархи хэсгүүдийг цаашид гаргахаар төлөвлөж байна, уулзацгаая!
. Хамтдаа байгаарай (, , , , ).
Эх сурвалж: www.habr.com