ProHoster > Blog > Pentadbiran > Check Point Gaia R80.40. Apa yang baru?

Check Point Gaia R80.40. Apa yang baru?

Check Point Gaia R80.40. Apa yang baru?

Keluaran sistem pengendalian seterusnya semakin hampir Gaia R80.40. Beberapa minggu yang lalu Program Akses Awal dimulakan, di mana anda boleh mengakses untuk menguji pengedaran. Seperti biasa, kami menerbitkan maklumat tentang perkara baharu, dan juga menyerlahkan perkara yang paling menarik dari sudut pandangan kami. Melihat ke hadapan, saya boleh mengatakan bahawa inovasi itu benar-benar penting. Oleh itu, adalah wajar untuk menyediakan prosedur kemas kini awal. Sebelum ini kita sudah pun menerbitkan artikel tentang cara melakukan ini (untuk maklumat lanjut, sila lawati hubungi sini). Jom ke topik...

Apa yang Baru

Mari lihat inovasi yang diumumkan secara rasmi di sini. Maklumat diambil dari laman web Semak Rakan (komuniti Check Point rasmi). Dengan izin anda, saya tidak akan menterjemah teks ini, mujurlah penonton Habr membenarkannya. Sebaliknya, saya akan tinggalkan komen saya untuk bab seterusnya.

1. Keselamatan IoT. Ciri baharu yang berkaitan dengan Internet Perkara

  • Kumpulkan peranti IoT dan atribut trafik daripada enjin penemuan IoT yang diperakui (kini menyokong Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM dan Armis).
  • Konfigurasikan Lapisan Dasar khusus IoT baharu dalam pengurusan dasar.
  • Konfigurasikan dan urus peraturan keselamatan yang berdasarkan atribut peranti IoT.

2.Pemeriksaan TLSHTTP/2:

  • HTTP/2 ialah kemas kini kepada protokol HTTP. Kemas kini memberikan peningkatan kepada kelajuan, kecekapan dan keselamatan serta hasil dengan pengalaman pengguna yang lebih baik.
  • Gateway Keselamatan Check Point kini menyokong HTTP/2 dan memanfaatkan kelajuan dan kecekapan yang lebih baik sambil mendapat keselamatan penuh, dengan semua bilah Pencegahan Ancaman dan Kawalan Akses, serta perlindungan baharu untuk protokol HTTP/2.
  • Sokongan adalah untuk trafik yang jelas dan disulitkan SSL dan disepadukan sepenuhnya dengan HTTPS/TLS
  • Keupayaan pemeriksaan.

Lapisan Pemeriksaan TLS. Inovasi mengenai pemeriksaan HTTPS:

  • Lapisan Dasar baharu dalam SmartConsole khusus untuk Pemeriksaan TLS.
  • Lapisan Pemeriksaan TLS yang berbeza boleh digunakan dalam pakej dasar yang berbeza.
  • Perkongsian lapisan Pemeriksaan TLS merentas pelbagai pakej dasar.
  • API untuk operasi TLS.

3. Pencegahan Ancaman

  • Peningkatan kecekapan keseluruhan untuk proses dan kemas kini Pencegahan Ancaman.
  • Kemas kini automatik kepada Enjin Pengekstrakan Ancaman.
  • Objek Dinamik, Domain dan Boleh Kemas Kini kini boleh digunakan dalam dasar Pencegahan Ancaman dan Pemeriksaan TLS. Objek boleh dikemas kini ialah objek rangkaian yang mewakili perkhidmatan luaran atau senarai dinamik alamat IP yang diketahui, contohnya - alamat IP Office365 / Google / Azure / AWS dan objek Geo.
  • Anti-Virus kini menggunakan tanda ancaman SHA-1 dan SHA-256 untuk menyekat fail berdasarkan cincangan mereka. Import penunjuk baharu daripada paparan SmartConsole Threat Indicators atau CLI Suapan Perisikan Tersuai.
  • Anti-Virus dan SandBlast Threat Emulation kini menyokong pemeriksaan trafik e-mel melalui protokol POP3, serta pemeriksaan trafik e-mel yang lebih baik melalui protokol IMAP.
  • Anti-Virus dan SandBlast Threat Emulation kini menggunakan ciri pemeriksaan SSH yang baru diperkenalkan untuk memeriksa fail yang dipindahkan melalui protokol SCP dan SFTP.
  • Anti-Virus dan SandBlast Threat Emulation kini menyediakan sokongan yang lebih baik untuk pemeriksaan SMBv3 (3.0, 3.0.2, 3.1.1), yang termasuk pemeriksaan sambungan berbilang saluran. Check Point kini merupakan satu-satunya vendor yang menyokong pemeriksaan pemindahan fail melalui berbilang saluran (ciri yang dihidupkan secara lalai dalam semua persekitaran Windows). Ini membolehkan pelanggan kekal selamat semasa bekerja dengan ciri peningkatan prestasi ini.

4. Kesedaran Jati Diri

  • Sokongan untuk penyepaduan Captive Portal dengan SAML 2.0 dan Penyedia Identiti pihak ketiga.
  • Sokongan untuk Broker Identiti untuk perkongsian maklumat identiti berskala dan berbutir antara PDP, serta perkongsian merentas domain.
  • Penambahbaikan kepada Agen Pelayan Terminal untuk penskalaan dan keserasian yang lebih baik.

5. VPN IPsec

  • Konfigurasikan domain penyulitan VPN yang berbeza pada Gateway Keselamatan yang merupakan ahli berbilang komuniti VPN. Ini menyediakan:
  • Privasi yang dipertingkatkan β€” Rangkaian dalaman tidak didedahkan dalam rundingan protokol IKE.
  • Keselamatan dan butiran yang dipertingkatkan β€” Tentukan rangkaian yang boleh diakses dalam komuniti VPN tertentu.
  • Saling kendali yang dipertingkatkan β€” Takrifan VPN berasaskan laluan yang dipermudahkan (disyorkan apabila anda bekerja dengan domain penyulitan VPN kosong).
  • Buat dan bekerja dengan lancar dengan persekitaran Large Scale VPN (LSV) dengan bantuan profil LSV.

6. Penapisan URL

  • Kebolehskalaan dan daya tahan yang lebih baik.
  • Keupayaan penyelesaian masalah lanjutan.

7.NAT

  • Mekanisme peruntukan port NAT yang dipertingkatkan β€” pada Gerbang Keselamatan dengan 6 atau lebih tika CoreXL Firewall, semua kejadian menggunakan kumpulan port NAT yang sama, yang mengoptimumkan penggunaan port dan penggunaan semula.
  • Pemantauan penggunaan port NAT dalam CPView dan dengan SNMP.

8. Suara melalui IP (VoIP)Berbilang contoh CoreXL Firewall mengendalikan protokol SIP untuk meningkatkan prestasi.

9. VPN Akses JauhGunakan sijil mesin untuk membezakan antara aset korporat dan bukan korporat dan untuk menetapkan dasar yang menguatkuasakan penggunaan aset korporat sahaja. Penguatkuasaan boleh menjadi pralog masuk (pengesahan peranti sahaja) atau pasca log masuk (pengesahan peranti dan pengguna).

10. Ejen Portal Akses Mudah AlihKeselamatan Titik Akhir yang Dipertingkatkan atas Permintaan dalam Agen Portal Akses Mudah Alih untuk menyokong semua pelayar web utama. Untuk maklumat lanjut, lihat sk113410.

11.CoreXL dan Multi-Queue

  • Sokongan untuk peruntukan automatik CoreXL SND dan tika Firewall yang tidak memerlukan but semula Security Gateway.
  • Pengalaman luar kotak yang dipertingkatkan β€” Security Gateway secara automatik menukar bilangan tika CoreXL SND dan Firewall dan konfigurasi Berbilang Baris berdasarkan beban trafik semasa.

12. Pengelompokan

  • Sokongan untuk Protokol Kawalan Kluster dalam mod Unicast yang menghapuskan keperluan untuk CCP

Mod siaran atau Multicast:

  • Penyulitan Protokol Kawalan Kluster kini didayakan secara lalai.
  • Mod ClusterXL baharu -Aktif/Aktif, yang menyokong Ahli Kluster di lokasi geografi berbeza yang terletak pada subnet berbeza dan mempunyai alamat IP berbeza.
  • Sokongan untuk Ahli Kluster ClusterXL yang menjalankan versi perisian yang berbeza.
  • Menghapuskan keperluan untuk konfigurasi MAC Magic apabila beberapa kluster disambungkan ke subnet yang sama.

13. VSX

  • Sokongan untuk naik taraf VSX dengan CPUSE dalam Portal Gaia.
  • Sokongan untuk mod Active Up dalam VSLS.
  • Sokongan untuk laporan statistik CPView untuk setiap Sistem Maya

14. Sentuhan SifarProses persediaan Plug & Play yang mudah untuk memasang perkakas β€” menghapuskan keperluan untuk kepakaran teknikal dan perlu menyambung ke perkakas untuk konfigurasi awal.

15. Gaia REST APIGaia REST API menyediakan cara baharu untuk membaca dan menghantar maklumat kepada pelayan yang menjalankan Sistem Pengendalian Gaia. Lihat sk143612.

16. Penghalaan Lanjutan

  • Penambahbaikan kepada OSPF dan BGP membolehkan anda menetapkan semula dan memulakan semula OSPF jiran untuk setiap contoh CoreXL Firewall tanpa perlu memulakan semula daemon yang dihalakan.
  • Meningkatkan penyegaran laluan untuk pengendalian yang lebih baik terhadap ketidakkonsistenan penghalaan BGP.

17. Keupayaan kernel baharu

  • Kernel Linux yang dinaik taraf
  • Sistem pembahagian baharu (gpt):
  • Menyokong lebih daripada 2TB pemacu fizikal/logik
  • Sistem fail yang lebih pantas (xfs)
  • Menyokong storan sistem yang lebih besar (sehingga 48TB diuji)
  • Penambahbaikan prestasi berkaitan I/O
  • Berbilang Baris:
  • Sokongan penuh Gaia Clish untuk arahan Berbilang Baris
  • Konfigurasi "hidup secara lalai" automatik
  • Sokongan pemasangan SMB v2/3 dalam bilah Akses Mudah Alih
  • Menambahkan sokongan NFSv4 (pelanggan) (NFS v4.2 ialah versi NFS lalai yang digunakan)
  • Sokongan alat sistem baharu untuk penyahpepijatan, pemantauan dan konfigurasi sistem

18. Pengawal CloudGuard

  • Peningkatan prestasi untuk sambungan ke Pusat Data luaran.
  • Integrasi dengan VMware NSX-T.
  • Sokongan untuk arahan API tambahan untuk mencipta dan mengedit objek Pelayan Pusat Data.

19. Pelayan Berbilang Domain

  • Sandarkan dan pulihkan Pelayan Pengurusan Domain individu pada Pelayan Berbilang Domain.
  • Pindahkan Pelayan Pengurusan Domain pada satu Pelayan Berbilang Domain kepada Pengurusan Keselamatan Berbilang Domain yang berbeza.
  • Pindahkan Pelayan Pengurusan Keselamatan untuk menjadi Pelayan Pengurusan Domain pada Pelayan Berbilang Domain.
  • Pindahkan Pelayan Pengurusan Domain untuk menjadi Pelayan Pengurusan Keselamatan.
  • Kembalikan Domain pada Pelayan Berbilang Domain atau Pelayan Pengurusan Keselamatan kepada semakan sebelumnya untuk pengeditan selanjutnya.

20. SmartTasks dan API

  • Kaedah pengesahan API Pengurusan Baharu yang menggunakan Kunci API yang dijana secara automatik.
  • Perintah API Pengurusan baharu untuk mencipta objek kluster.
  • Penggunaan Pusat Penumpuk dan Pembaikan Panas Jumbo daripada SmartConsole atau dengan API membolehkan untuk memasang atau menaik taraf berbilang Gerbang Keselamatan dan Kluster secara selari.
  • SmartTasks β€” Konfigurasikan skrip automatik atau permintaan HTTPS yang dicetuskan oleh tugas pentadbir, seperti menerbitkan sesi atau memasang dasar.

21. PenyebaranPenggunaan Pusat Penumpuk dan Pembaikan Panas Jumbo daripada SmartConsole atau dengan API membolehkan untuk memasang atau menaik taraf berbilang Gerbang Keselamatan dan Kluster secara selari.

22. SmartEventKongsi paparan dan laporan SmartView dengan pentadbir lain.

23. Pengeksport LogLog eksport ditapis mengikut nilai medan.

24. Keselamatan Titik Akhir

  • Sokongan untuk penyulitan BitLocker untuk Penyulitan Cakera Penuh.
  • Sokongan untuk sijil Pihak Berkuasa Sijil luaran untuk pelanggan Endpoint Security
  • pengesahan dan komunikasi dengan Pelayan Pengurusan Keselamatan Endpoint.
  • Sokongan untuk saiz dinamik pakej Pelanggan Keselamatan Endpoint berdasarkan yang dipilih
  • ciri untuk penempatan.
  • Polisi kini boleh mengawal tahap pemberitahuan kepada pengguna akhir.
  • Sokongan untuk persekitaran VDI Berterusan dalam Pengurusan Dasar Titik Akhir.

Perkara yang paling kami sukai (berdasarkan tugasan pelanggan)

Seperti yang anda lihat, terdapat banyak inovasi. Tetapi bagi kita, sebagai untuk penyepadu sistem, terdapat beberapa perkara yang sangat menarik (yang juga menarik kepada pelanggan kami). 10 Teratas Kami:

  1. Akhirnya, sokongan penuh untuk peranti IoT telah muncul. Sudah agak sukar untuk mencari syarikat yang tidak mempunyai peranti sedemikian.
  2. Pemeriksaan TLS kini diletakkan dalam lapisan berasingan (Lapisan). Ia jauh lebih mudah daripada sekarang (pada 80.30). Tiada lagi menjalankan Papan Pemuka Legasy lama. Selain itu, kini anda boleh menggunakan objek Boleh dikemas kini dalam dasar pemeriksaan HTTPS, seperti perkhidmatan Office365, Google, Azure, AWS, dsb. Ini sangat mudah apabila anda perlu menyediakan pengecualian. Walau bagaimanapun, masih tiada sokongan untuk tls 1.3. Nampaknya mereka akan "mengejar" dengan hotfix seterusnya.
  3. Perubahan ketara untuk Anti-Virus dan SandBlast. Kini anda boleh menyemak protokol seperti SCP, SFTP dan SMBv3 (by the way, tiada siapa boleh menyemak protokol berbilang saluran ini lagi).
  4. Terdapat banyak penambahbaikan mengenai VPN Tapak ke Tapak. Kini anda boleh mengkonfigurasi beberapa domain VPN pada gerbang yang merupakan sebahagian daripada beberapa komuniti VPN. Ia sangat mudah dan lebih selamat. Di samping itu, Check Point akhirnya mengingati VPN Berasaskan Laluan dan sedikit meningkatkan kestabilan/keserasiannya.
  5. Satu ciri yang sangat popular untuk pengguna jauh telah muncul. Kini anda boleh mengesahkan bukan sahaja pengguna, tetapi juga peranti dari mana dia menyambung. Sebagai contoh, kami mahu membenarkan sambungan VPN hanya daripada peranti korporat. Ini dilakukan, tentu saja, dengan bantuan sijil. Anda juga boleh melekapkan perkongsian fail (SMB v2/3) secara automatik untuk pengguna jauh dengan klien VPN.
  6. Terdapat banyak perubahan dalam operasi kluster. Tetapi mungkin salah satu yang paling menarik ialah kemungkinan mengendalikan kluster di mana pintu masuk mempunyai versi Gaia yang berbeza. Ini mudah apabila merancang kemas kini.
  7. Keupayaan Zero Touch yang dipertingkatkan. Perkara yang berguna untuk mereka yang sering memasang gerbang "kecil" (contohnya, untuk ATM).
  8. Untuk log, storan sehingga 48TB kini disokong.
  9. Anda boleh berkongsi papan pemuka SmartEvent anda dengan pentadbir lain.
  10. Pengeksport Log kini membenarkan anda untuk pra-penapis mesej yang dihantar menggunakan medan yang diperlukan. Itu. Hanya log dan peristiwa yang diperlukan akan dihantar ke sistem SIEM anda

Kemas kini

Mungkin ramai yang sudah terfikir untuk mengemaskini. Tidak perlu tergesa-gesa. Sebagai permulaan, versi 80.40 mesti beralih ke Ketersediaan Umum. Tetapi walaupun selepas itu, anda tidak seharusnya mengemas kini serta-merta. Lebih baik menunggu sekurang-kurangnya hotfix pertama.
Mungkin ramai yang "duduk" pada versi lama. Saya boleh mengatakan bahawa sekurang-kurangnya sudah mungkin (dan juga perlu) untuk mengemas kini kepada 80.30. Ini sudah menjadi sistem yang stabil dan terbukti!

Anda juga boleh melanggan halaman awam kami (Telegram, Facebook, VK, Blog Penyelesaian TS), di mana anda boleh mengikuti kemunculan bahan baharu di Check Point dan produk keselamatan lain.

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Apakah versi Gaia yang anda gunakan?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • lain-lain

13 pengguna mengundi. 6 pengguna berpantang.

Sumber: www.habr.com

Tambah komen