Kami meneruskan siri artikel tentang bekerja dengan rangkaian model SMB CheckPoint baharu, izinkan kami mengingatkan anda bahawa dalam kami menerangkan ciri dan keupayaan model, kaedah pengurusan dan pentadbiran baharu. Hari ini kita akan melihat senario penggunaan untuk model lama dalam siri: CheckPoint 1590 NGFW. Berikut adalah ringkasan bahagian ini:
- Membongkar peralatan (penerangan komponen, sambungan fizikal dan rangkaian).
- Permulaan peranti awal.
- Persediaan awal.
- Penilaian prestasi.
Membongkar peralatan
Mengenali peralatan bermula dengan mengeluarkan peralatan dari kotak, membuka komponen dan memasang bahagian; klik pada spoiler, di mana prosesnya dibentangkan secara ringkas
Penghantaran NGFW 1590
Secara ringkas tentang komponen:
- NGFW 1590;
- Penyesuai kuasa;
- 2 Antena Wifi (2.4 Hz dan 5 Hz);
- 2 antena LTE;
- Buku kecil dengan dokumentasi (panduan ringkas untuk sambungan awal, perjanjian lesen, dll.)
Bagi port rangkaian dan antara muka, terdapat semua keupayaan moden untuk penghantaran trafik dan interaksi, port berasingan untuk zon DMZ, USB 3.0 untuk penyegerakan dengan PC.
Versi 1590 menerima reka bentuk yang dikemas kini, pilihan moden untuk komunikasi tanpa wayar dan pengembangan memori: 2 slot untuk bekerja dengan SIM Mikro/Nano dalam mod LTE. (kami merancang untuk menulis tentang pilihan ini secara terperinci dalam salah satu artikel kami yang seterusnya dalam siri yang dikhaskan untuk sambungan wayarles); Slot kad SD.
Anda boleh membaca lebih lanjut tentang keupayaan 1590 NGFW dan model baharu lain dalam daripada siri artikel tentang penyelesaian CheckPoint SMB. Kami akan meneruskan ke permulaan permulaan peranti.
Inisialisasi utama
Pembaca tetap kami sepatutnya sudah sedar bahawa barisan SMB 1500 Series menggunakan OS Terbenam 80.20 baharu, yang termasuk antara muka yang dikemas kini dan keupayaan yang dipertingkatkan.
Untuk mula memulakan peranti anda perlu:
- Berikan kuasa kepada pintu masuk.
- Sambungkan kabel rangkaian dari PC anda ke LAN -1 pada get laluan.
- Secara pilihan, anda boleh segera menyediakan peranti dengan akses Internet dengan menyambungkan antara muka ke port WAN.
- Pergi ke portal Gaia Embedded:
Jika anda mengikuti langkah yang dinyatakan sebelum ini, maka selepas pergi ke halaman portal Gaia, anda perlu mengesahkan membuka halaman dengan sijil yang tidak dipercayai, selepas itu wizard tetapan portal akan dilancarkan:
Anda akan disambut oleh halaman yang menunjukkan model peranti anda, anda perlu pergi ke bahagian seterusnya:
Kami akan diminta untuk membuat akaun untuk kebenaran, adalah mungkin untuk menentukan keperluan kata laluan yang tinggi untuk pentadbir, dan kami menunjukkan negara tempat kami akan menggunakan pintu masuk.
Tetingkap seterusnya melibatkan tetapan tarikh dan masa; anda boleh menetapkannya secara manual atau menggunakan pelayan NTP syarikat.
Langkah seterusnya melibatkan menetapkan nama untuk peranti dan menentukan domain syarikat supaya perkhidmatan get laluan berfungsi dengan betul di Internet.
Langkah seterusnya menyangkut pilihan jenis kawalan NGFW, di sini perlu diperhatikan:
- Pengurusan Tempatan. Ini ialah pilihan yang tersedia untuk mengurus gerbang secara tempatan menggunakan halaman web Gaia Portal.
- Pengurusan Pusat. Jenis pengurusan ini termasuk penyegerakan dengan pelayan Pengurusan CheckPoint khusus, penyegerakan dengan awan Smart1-Cloud atau dengan SMP (perkhidmatan pengurusan untuk SMB).
Dalam artikel ini, kami akan memberi tumpuan kepada kaedah Pengurusan Tempatan; anda boleh menentukan kaedah yang diperlukan. Untuk membiasakan diri anda dengan proses penyegerakan dengan Pelayan Pengurusan khusus, kami mencadangkan daripada siri latihan Bermula CheckPoint yang disediakan oleh TS Solution.
Seterusnya, tetingkap akan dipaparkan yang mentakrifkan mod pengendalian antara muka pada get laluan:
- Mod suis membayangkan ketersediaan subnet daripada satu antara muka ke subnet antara muka yang lain.
- Mod Lumpuhkan Suis dengan sewajarnya melumpuhkan mod Suis; setiap port mengarahkan trafik seperti untuk serpihan rangkaian yang berasingan.
Ia juga dicadangkan untuk menentukan kumpulan alamat DHCP yang akan digunakan apabila menyambung ke antara muka tempatan get laluan.
Langkah seterusnya ialah mengkonfigurasi pintu masuk untuk berfungsi dalam mod wayarles; kami merancang untuk membincangkan aspek ini dengan lebih terperinci dalam satu artikel dalam siri ini, jadi kami menangguhkan konfigurasi tetapan. Anda boleh mencipta pusat akses wayarles baharu, tetapkan kata laluan untuk menyambung kepadanya dan tentukan mod pengendalian saluran wayarles (2.4 Hz atau 5 Hz).
Langkah seterusnya adalah untuk mengkonfigurasi akses kepada pintu masuk untuk pentadbir syarikat. Secara lalai, hak akses dibenarkan jika sambungan datang daripada:
- Subnet syarikat dalaman
- Rangkaian wayarles yang dipercayai
- Terowong VPN
Pilihan untuk menyambung ke gerbang melalui Internet dilumpuhkan secara lalai, ini membawa risiko besar dan mesti dibenarkan untuk dimasukkan, jika tidak, disyorkan untuk meninggalkannya seperti dalam contoh kami. Anda juga boleh menentukan alamat IP yang akan dibenarkan untuk menyambung ke pintu masuk.
Tetingkap seterusnya melibatkan pengaktifan lesen; selepas permulaan peranti, anda akan diberikan tempoh percubaan selama 30 hari. Terdapat dua kaedah pengaktifan yang tersedia:
- Jika terdapat sambungan Internet, lesen diaktifkan secara automatik.
- Jika anda mengaktifkan lesen luar talian, anda perlu melakukan perkara berikut: muat turun lesen daripada UserCenter, daftarkan peranti anda pada . Seterusnya, untuk kedua-dua kes, anda perlu mengimport lesen yang dimuat turun secara manual.
Akhir sekali, tetingkap terakhir dalam wizard tetapan menggesa anda untuk memilih bilah untuk dihidupkan; ambil perhatian bahawa bilah QOS dihidupkan hanya selepas permulaan awal. Anda sepatutnya mendapat tetingkap penyiapan yang meringkaskan tetapan anda.
Persediaan awal
Pertama sekali, kami mengesyorkan agar anda menyemak status lesen; konfigurasi selanjutnya akan bergantung pada ini. Pergi ke tab βHOMEβ β βLesenβ:
Jika lesen diaktifkan, kami mengesyorkan agar anda segera mengemas kini kepada perisian tegar semasa terkini; untuk melakukan ini, pergi ke tab "PERANTI" β "Operasi Sistem":
Kemas kini sistem terletak dalam item Peningkatan Perisian Tegar. Dalam kes kami, versi perisian tegar semasa dan terkini dipasang.
Seterusnya, saya mencadangkan untuk bercakap secara ringkas tentang keupayaan dan tetapan bilah sistem. Secara logiknya, ia boleh dibahagikan kepada dasar peringkat Akses (Tembok Api, Kawalan Aplikasi, Penapisan URL) dan Pencegahan Ancaman (IPS, Antivirus, Anti-Bot, Ancaman).
Mari pergi ke Dasar Akses β tab Kawalan Blade:
Secara lalai, mod STANDARD digunakan, ia membenarkan trafik keluar ke Internet, trafik dalam rangkaian tempatan, tetapi pada masa yang sama menyekat lalu lintas masuk dari Internet.
Bagi bilah APPLICATIONS & URL FILTERING, secara lalai ia ditetapkan untuk menyekat tapak dengan tahap bahaya yang tinggi, menyekat aplikasi pertukaran (Torrent, Storan Fail, dll.). Anda juga boleh menyekat kategori tapak secara manual.
Mari semak pilihan untuk trafik pengguna "Hadkan aplikasi yang menggunakan lebar jalur" dengan keupayaan untuk mengehadkan kelajuan trafik keluar/masuk untuk kumpulan aplikasi.
Seterusnya, buka subseksyen Dasar; secara lalai, peraturan dijana secara automatik mengikut tetapan yang diterangkan sebelum ini.
Subseksyen NAT secara lalai berfungsi dalam Global Hide Nat Automatic, iaitu semua hos dalaman akan mempunyai akses kepada Internet melalui alamat IP awam. Anda boleh menetapkan peraturan NAT secara manual untuk menerbitkan aplikasi atau perkhidmatan web anda.
Seterusnya, bahagian yang berkenaan dengan Pengesahan Pengguna pada rangkaian menawarkan dua pilihan: Pertanyaan Direktori Aktif (integrasi dengan AD anda), Pengesahan Berasaskan Pelayar (pengguna memasukkan bukti kelayakan domain dalam portal).
Adalah wajar menyebut pemeriksaan SSL secara berasingan; bahagian jumlah trafik HTTPS pada Rangkaian Global sedang berkembang secara aktif. Mari lihat ciri yang ditawarkan oleh CheckPoint untuk penyelesaian SMB. Untuk melakukan ini, pergi ke bahagian Pemeriksaan SSL β Dasar:
Dalam tetapan anda boleh memeriksa trafik HTTPS; anda perlu mengimport sijil dan memasangnya di pusat sijil yang dipercayai pada mesin pengguna akhir.
Kami menganggap mod BYPASS untuk kategori yang dipratentukan sebagai pilihan yang mudah; ini menjimatkan masa dengan ketara apabila mendayakan pemeriksaan.
Selepas mengkonfigurasi peraturan di peringkat Firewall / Aplikasi, anda harus meneruskan penalaan dasar keselamatan (Pencegahan Ancaman), untuk melakukan ini, pergi ke bahagian yang sesuai:
Pada halaman terbuka kami melihat bilah yang didayakan, status kemas kini tandatangan dan pangkalan data. Kami juga diminta untuk memilih profil untuk melindungi perimeter rangkaian, dan tetapan yang sepadan dipaparkan.
Bahagian berasingan "Perlindungan IPS" membolehkan anda mengkonfigurasi tindakan untuk tandatangan keselamatan tertentu.
Tidak lama dahulu kami menulis di blog kami untuk Pelayan Windows - SigRed. Mari semak kehadirannya dalam Gaia Embedded 80.20 dengan memasukkan pertanyaan "CVE-2020-1350"
Satu rekod telah dikesan untuk tandatangan ini yang mana satu daripada tindakan boleh digunakan. (secara lalai Cegah untuk tahap bahaya adalah Kritikal). Sehubungan itu, mempunyai penyelesaian SMB, anda tidak akan ketinggalan dari segi kemas kini dan sokongan; ini adalah penyelesaian NGFW yang lengkap untuk pejabat cawangan sehingga 200 orang dari CheckPoint.
Penilaian prestasi
Menyimpulkan artikel, saya ingin ambil perhatian ketersediaan alat untuk menyelesaikan masalah selepas permulaan permulaan dan konfigurasi penyelesaian SMB. Anda boleh pergi ke bahagian "RUMAH" β "Alat". Pilihan yang mungkin:
- sumber sistem pemantauan;
- jadual laluan;
- menyemak ketersediaan perkhidmatan awan CheckPoint;
- penjanaan CPinfo;
Perintah rangkaian terbina dalam juga tersedia: Ping, Traceroute, Traffic Capture.
Oleh itu, hari ini kami menyemak dan mengkaji sambungan dan konfigurasi awal NGFW 1590, anda akan melakukan tindakan yang sama untuk keseluruhan siri 1500 SMB Checkpoint. Pilihan yang tersedia menunjukkan kepada kami kebolehubahan yang tinggi untuk tetapan, sokongan untuk kaedah moden untuk melindungi trafik pada perimeter rangkaian.
Hari ini, penyelesaian CheckPoint untuk melindungi pejabat dan cawangan kecil (sehingga 200 orang) mempunyai pelbagai alatan dan menggunakan teknologi terkini (pengurusan awan, sokongan kad SIM, pengembangan memori menggunakan kad SD, dll.). Teruskan untuk kekal dimaklumkan dan baca artikel dari TS Solution, kami merancang pengeluaran bahagian lanjut tentang NGFW CheckPoint keluarga SMB, jumpa lagi!
. Nantikan (, , , , ).
Sumber: www.habr.com