हामी नयाँ SMB चेकपोइन्ट मोडेल दायरासँग काम गर्ने लेखहरूको श्रृंखला जारी राख्छौं, हामी तपाईंलाई सम्झाउने गरौं कि हामीले नयाँ मोडेल, व्यवस्थापन र प्रशासन विधिहरूको विशेषताहरू र क्षमताहरू वर्णन गरेका छौं। आज हामी श्रृंखलामा पुरानो मोडेलको लागि परिनियोजन परिदृश्य हेर्नेछौं: CheckPoint 1590 NGFW। यहाँ यो भाग को एक सारांश छ:
- अनप्याकिंग उपकरण (घटकहरूको विवरण, भौतिक र नेटवर्क जडानहरू)।
- प्रारम्भिक उपकरण प्रारम्भिकरण।
- प्रारम्भिक सेटअप।
- कार्यसम्पादन मूल्याङ्कन।
उपकरण खोल्न
उपकरणहरू थाहा पाउनु बक्सबाट उपकरणहरू हटाउन, कम्पोनेन्टहरू विच्छेदन र भागहरू स्थापना गरेर सुरु हुन्छ; स्पोइलरमा क्लिक गर्नुहोस्, जहाँ प्रक्रिया संक्षिप्त रूपमा प्रस्तुत गरिएको छ।
NGFW 1590 को डेलिभरी
अवयवहरूको बारेमा संक्षिप्तमा:
- NGFW 1590;
- पावर एडप्टर;
- २ वाइफाइ एन्टेना (२.४ हर्ट्ज र ५ हर्ट्ज);
- 2 LTE एन्टेना;
- कागजातहरू सहित पुस्तिकाहरू (प्रारम्भिक जडानको लागि छोटो गाइड, इजाजतपत्र सम्झौता, आदि)
नेटवर्क पोर्ट र इन्टरफेसहरूको लागि, त्यहाँ ट्राफिक प्रसारण र अन्तरक्रियाको लागि सबै आधुनिक क्षमताहरू छन्, DMZ क्षेत्रको लागि छुट्टै पोर्ट, PC सँग सिङ्क्रोनाइजेसनको लागि USB 3.0।
संस्करण 1590 ले अपडेट गरिएको डिजाइन, ताररहित सञ्चार र मेमोरी विस्तारका लागि आधुनिक विकल्पहरू प्राप्त गर्यो: LTE मोडमा माइक्रो/नानो सिमसँग काम गर्नका लागि २ स्लटहरू। (हामी यस विकल्पको बारेमा वायरलेस जडानहरूको लागि समर्पित श्रृंखलामा हाम्रो अर्को लेखमा विस्तृत रूपमा लेख्ने योजना गर्छौं); SD कार्ड स्लट।
तपाईं 1590 NGFW र अन्य नयाँ मोडेलहरूको क्षमताहरूको बारेमा थप पढ्न सक्नुहुन्छ चेकपोइन्ट SMB समाधानहरूको बारेमा लेखहरूको श्रृंखलाबाट। हामी यन्त्रको प्रारम्भिक प्रारम्भिकतामा अगाडि बढ्नेछौं।
प्राथमिक प्रारम्भिकरण
हाम्रा नियमित पाठकहरू पहिले नै सचेत हुनुपर्दछ कि 1500 श्रृंखला SMB लाइनले नयाँ 80.20 एम्बेडेड OS प्रयोग गर्दछ, जसमा अपडेट गरिएको इन्टरफेस र सुधारिएको क्षमताहरू समावेश छन्।
यन्त्र प्रारम्भ गर्नको लागि तपाईंले आवश्यक छ:
- गेटवेमा शक्ति प्रदान गर्नुहोस्।
- तपाईंको पीसीबाट गेटवेमा रहेको ल्यान -१ मा नेटवर्क केबल जडान गर्नुहोस्।
- वैकल्पिक रूपमा, तपाइँ तुरुन्तै WAN पोर्टमा इन्टरफेस जडान गरेर यन्त्रलाई इन्टरनेट पहुँच प्रदान गर्न सक्नुहुन्छ।
- Gaia एम्बेडेड पोर्टलमा जानुहोस्:
यदि तपाईंले पहिले उल्लेख गरिएका चरणहरू पालना गर्नुभयो भने, त्यसपछि Gaia पोर्टल पृष्ठमा गएपछि, तपाईंले एक अविश्वसनीय प्रमाणपत्रको साथ पृष्ठ खोलेको पुष्टि गर्न आवश्यक छ, त्यसपछि पोर्टल सेटिङ विजार्ड सुरु हुनेछ:
तपाइँलाई तपाइँको यन्त्रको मोडेल संकेत गर्ने पृष्ठ द्वारा अभिवादन गरिनेछ, तपाइँ अर्को खण्डमा जान आवश्यक छ:
हामीलाई प्राधिकरणको लागि खाता सिर्जना गर्न सोधिनेछ, प्रशासकको लागि उच्च पासवर्ड आवश्यकताहरू निर्दिष्ट गर्न सम्भव छ, र हामीले गेटवे प्रयोग गर्ने देशलाई संकेत गर्छौं।
अर्को सञ्झ्यालले मिति र समय सेटिङहरूसँग सम्बन्धित छ; तपाइँ यसलाई म्यानुअल रूपमा सेट गर्न सक्नुहुन्छ वा कम्पनीको NTP सर्भर प्रयोग गर्न सक्नुहुन्छ।
अर्को चरणमा उपकरणको लागि नाम सेट गर्ने र कम्पनी डोमेन निर्दिष्ट गर्ने समावेश छ ताकि गेटवे सेवाहरूले इन्टरनेटमा सही रूपमा काम गर्दछ।
अर्को चरण NGFW नियन्त्रण प्रकार को छनोट सरोकार छ, यहाँ यो ध्यान गर्नुपर्छ:
- स्थानीय व्यवस्थापन। यो Gaia पोर्टल वेब पृष्ठ प्रयोग गरेर स्थानीय रूपमा गेटवे व्यवस्थापन गर्न उपलब्ध विकल्प हो।
- केन्द्रीय व्यवस्थापन। यस प्रकारको व्यवस्थापनमा समर्पित चेकपोइन्ट व्यवस्थापन सर्भरसँग सिंक्रोनाइजेसन, Smart1-क्लाउड क्लाउड वा SMP (SMB को लागि व्यवस्थापन सेवा) सँग सिङ्क्रोनाइजेसन समावेश हुन्छ।
यस लेखमा, हामी स्थानीय व्यवस्थापन विधिमा ध्यान केन्द्रित गर्नेछौं; तपाईले आवश्यक पर्ने विधि निर्दिष्ट गर्न सक्नुहुन्छ। एक समर्पित व्यवस्थापन सर्भर संग सिंक्रोनाइजेसन प्रक्रिया संग परिचित गर्न को लागी, हामी सुझाव दिन्छौं TS समाधान द्वारा तयार गरिएको CheckPoint Getting Start प्रशिक्षण श्रृंखलाबाट।
अर्को, गेटवेमा इन्टरफेसहरूको अपरेटिङ मोड परिभाषित गर्दै एउटा सञ्झ्याल प्रस्तुत गरिनेछ:
- स्विच मोडले एउटा इन्टरफेसबाट अर्को इन्टरफेसको सबनेटमा सबनेटको उपलब्धतालाई बुझाउँछ।
- असक्षम स्विच मोडले तदनुसार स्विच मोडलाई असक्षम गर्दछ; प्रत्येक पोर्टले ट्राफिकलाई छुट्टै नेटवर्क टुक्राको रूपमा मार्ग गर्दछ।
यो पनि DHCP ठेगानाहरूको पूल निर्दिष्ट गर्न प्रस्ताव गरिएको छ जुन गेटवेको स्थानीय इन्टरफेसहरूमा जडान गर्दा प्रयोग गरिनेछ।
अर्को चरण वायरलेस मोडमा काम गर्नको लागि गेटवे कन्फिगर गर्नु हो; हामीले यस पक्षलाई श्रृंखलाको एउटा लेखमा थप विस्तारमा छलफल गर्ने योजना बनाएका छौं, त्यसैले हामीले सेटिङहरूको कन्फिगरेसन स्थगित गर्यौं। तपाईं नयाँ ताररहित पहुँच बिन्दु सिर्जना गर्न सक्नुहुन्छ, यसलाई जडान गर्न पासवर्ड सेट गर्नुहोस् र वायरलेस च्यानल (2.4 Hz वा 5 Hz) को सञ्चालन मोड निर्धारण गर्नुहोस्।
अर्को चरण कम्पनी प्रशासकहरूको लागि गेटवे पहुँच कन्फिगर गर्न हुनेछ। पूर्वनिर्धारित रूपमा, पहुँच अधिकारहरूलाई अनुमति दिइन्छ यदि जडानबाट आउँछ:
- आन्तरिक कम्पनी सबनेट
- विश्वसनीय वायरलेस नेटवर्क
- VPN सुरुङ
इन्टरनेट मार्फत गेटवेमा जडान गर्ने विकल्प पूर्वनिर्धारित रूपमा असक्षम गरिएको छ, यसले ठूलो जोखिम बोक्छ र समावेशको लागि न्यायोचित हुनुपर्छ, अन्यथा यसलाई हाम्रो उदाहरणमा जस्तै छोड्न सिफारिस गरिन्छ। कुन आईपी ठेगानाहरूलाई अनुमति दिइनेछ भनेर निर्दिष्ट गर्न पनि सम्भव छ। गेटवेमा जडान गर्न।
अर्को सञ्झ्यालले इजाजतपत्रहरूको सक्रियतासँग सम्बन्धित छ; यन्त्रको प्रारम्भिक सुरुवातमा, तपाईंलाई 30-दिनको परीक्षण अवधिको साथ प्रस्तुत गरिनेछ। त्यहाँ दुई उपलब्ध सक्रियता विधिहरू छन्:
- यदि त्यहाँ इन्टरनेट जडान छ भने, इजाजतपत्र स्वचालित रूपमा सक्रिय हुन्छ।
- यदि तपाइँ अफलाइन इजाजतपत्र सक्रिय गर्नुहुन्छ भने, तपाइँले निम्न गर्न आवश्यक छ: UserCenter बाट इजाजतपत्र डाउनलोड गर्नुहोस्, तपाइँको उपकरण विशेष मा दर्ता गर्नुहोस्। । अर्को, दुवै अवस्थामा, तपाईंले म्यानुअल रूपमा डाउनलोड इजाजतपत्र आयात गर्न आवश्यक हुनेछ।
अन्तमा, सेटिङ विजार्डको अन्तिम सञ्झ्यालले तपाइँलाई खोल्नका लागि ब्लेडहरू चयन गर्न प्रम्प्ट गर्दछ; ध्यान दिनुहोस् कि QOS ब्लेड प्रारम्भिक सुरुवात पछि मात्र खोलिएको छ। तपाइँले तपाइँको सेटिङहरू सारांशित गर्ने समाप्ति विन्डोको साथ अन्त्य गर्नुपर्छ।
प्रारम्भिक सेटअप
सबैभन्दा पहिले, हामी इजाजतपत्रहरूको स्थिति जाँच गर्न सिफारिस गर्छौं; थप कन्फिगरेसन यसमा निर्भर हुनेछ। "घर" → "लाइसेन्स" ट्याबमा जानुहोस्:
यदि इजाजतपत्रहरू सक्रिय छन् भने, हामी तुरुन्तै नवीनतम फर्मवेयरमा अद्यावधिक गर्न सिफारिस गर्छौं; यो गर्नको लागि, "DEVICE" → "प्रणाली सञ्चालनहरू" ट्याबमा जानुहोस्:
प्रणाली अद्यावधिकहरू फर्मवेयर अपग्रेड वस्तुमा अवस्थित छन्। हाम्रो मामला मा, हालको र नवीनतम फर्मवेयर संस्करण स्थापित छ।
अर्को, म प्रणाली ब्लेड को क्षमताहरु र सेटिङहरु को बारे मा संक्षिप्त कुरा गर्न को लागी प्रस्ताव गर्दछ। तार्किक रूपमा, तिनीहरूलाई पहुँच (फायरवाल, अनुप्रयोग नियन्त्रण, URL फिल्टरिङ) र खतरा रोकथाम (आईपीएस, एन्टिभाइरस, एन्टि-बोट, थ्रेट इमुलेशन) स्तर नीतिहरूमा विभाजन गर्न सकिन्छ।
पहुँच नीति → ब्लेड नियन्त्रण ट्याबमा जाऔं:
पूर्वनिर्धारित रूपमा, मानक मोड प्रयोग गरिन्छ, यसले इन्टरनेटमा बाहिर जाने ट्राफिक, स्थानीय नेटवर्क भित्रको ट्राफिकलाई अनुमति दिन्छ, तर एकै समयमा इन्टरनेटबाट आउने ट्राफिकलाई रोक्छ।
अनुप्रयोगहरू र URL फिल्टरिङ ब्लेडहरूको लागि, पूर्वनिर्धारित रूपमा तिनीहरू उच्च स्तरको खतरा, ब्लक एक्सचेन्ज अनुप्रयोगहरू (टोरेन्ट, फाइल भण्डारण, आदि) भएका साइटहरू ब्लक गर्न सेट गरिएका छन्। तपाईं म्यानुअल रूपमा साइटहरूको कोटीहरू पनि ब्लक गर्न सक्नुहुन्छ।
प्रयोगकर्ता ट्राफिकको लागि विकल्प जाँच गरौं "ब्यान्डविथ उपभोग गर्ने अनुप्रयोगहरू सीमित गर्नुहोस्" अनुप्रयोगहरूको समूहहरूको लागि बहिर्गमन / आगमन ट्राफिकको गति सीमित गर्ने क्षमताको साथ।
अर्को, नीति उपखण्ड खोल्नुहोस्; पूर्वनिर्धारित रूपमा, पहिले वर्णन गरिएका सेटिङहरू अनुसार नियमहरू स्वचालित रूपमा उत्पन्न हुन्छन्।
NAT उपखण्ड पूर्वनिर्धारित रूपमा ग्लोबल हाइड नेट अटोमेटिकमा काम गर्दछ, अर्थात् सबै आन्तरिक होस्टहरूलाई सार्वजनिक IP ठेगाना मार्फत इन्टरनेटमा पहुँच हुनेछ। तपाइँको वेब अनुप्रयोगहरू वा सेवाहरू प्रकाशित गर्न NAT नियमहरू म्यानुअल रूपमा सेट गर्न सम्भव छ।
अर्को, नेटवर्कमा प्रयोगकर्ता प्रमाणीकरणसँग सम्बन्धित खण्डले दुई विकल्पहरू प्रदान गर्दछ: सक्रिय निर्देशिका क्वेरीहरू (तपाईंको AD सँग एकीकरण), ब्राउजर-आधारित-प्रमाणीकरण (प्रयोगकर्ताले पोर्टलमा डोमेन प्रमाणहरू प्रविष्ट गर्दछ)।
यो SSL निरीक्षण छुट्टै उल्लेख गर्न लायक छ; ग्लोबल नेटवर्कमा कुल HTTPS ट्राफिकको साझेदारी सक्रिय रूपमा बढिरहेको छ। चेकपोइन्टले SMB समाधानहरूको लागि कुन सुविधाहरू प्रदान गर्दछ हेरौं। यो गर्नको लागि, SSL- निरीक्षण → नीति खण्डमा जानुहोस्:
सेटिङहरूमा तपाईंले HTTPS ट्राफिक निरीक्षण गर्न सक्नुहुन्छ; तपाईंले प्रमाणपत्र आयात गर्न र अन्त प्रयोगकर्ता मेसिनहरूमा विश्वसनीय प्रमाणपत्र केन्द्रमा स्थापना गर्न आवश्यक हुनेछ।
हामी पूर्वनिर्धारित कोटिहरूको लागि BYPASS मोडलाई सुविधाजनक विकल्पको रूपमा विचार गर्छौं; यसले महत्त्वपूर्ण रूपमा निरीक्षण सक्षम गर्दा समय बचत गर्छ।
फायरवाल / एप्लिकेसन स्तरमा नियमहरू कन्फिगर गरेपछि, तपाईंले सुरक्षा नीतिहरू (धम्की रोकथाम) ट्युन गर्न अगाडि बढ्नु पर्छ, यो गर्नको लागि, उपयुक्त खण्डमा जानुहोस्:
खुला पृष्ठमा हामी सक्षम ब्लेड, हस्ताक्षर र डाटाबेस अद्यावधिक स्थितिहरू देख्छौं। हामीलाई नेटवर्क परिधिको सुरक्षाको लागि प्रोफाइल चयन गर्न पनि भनिएको छ, र सम्बन्धित सेटिङहरू प्रदर्शित हुन्छन्।
एउटा छुट्टै खण्ड "IPS सुरक्षा" ले तपाईंलाई विशेष सुरक्षा हस्ताक्षरको लागि कार्य कन्फिगर गर्न अनुमति दिन्छ।
केही समय अघि हामीले हाम्रो ब्लगमा लेखेका थियौं विन्डोज सर्भर को लागी - SigRed। "CVE-80.20-2020" क्वेरी प्रविष्ट गरेर Gaia Embedded 1350 मा यसको उपस्थिति जाँच गरौं।
यस हस्ताक्षरको लागि एउटा रेकर्ड पत्ता लगाइएको छ जसमा कुनै एक कार्य लागू गर्न सकिन्छ। (पूर्वनिर्धारित रूपमा खतरा स्तरको लागि रोकथाम महत्वपूर्ण छ)। तदनुसार, एक SMB समाधान भएकोमा, तपाईंलाई अपडेट र समर्थनको सन्दर्भमा छोडिने छैन; यो चेकपोइन्टबाट 200 व्यक्ति सम्मको शाखा कार्यालयहरूको लागि पूर्ण NGFW समाधान हो।
कार्यसम्पादन मूल्याङ्कन
लेखको अन्त्य गर्दै, म SMB समाधानको प्रारम्भिक सुरुवात र कन्फिगरेसन पछि समस्या निवारण समस्याहरूको लागि उपकरणहरूको उपलब्धता नोट गर्न चाहन्छु। तपाईं "घर" → "उपकरणहरू" खण्डमा जान सक्नुहुन्छ। सम्भावित विकल्पहरू:
- अनुगमन प्रणाली स्रोतहरू;
- रूटिङ तालिका;
- चेकपोइन्ट क्लाउड सेवाहरूको उपलब्धता जाँच गर्दै;
- CPinfo उत्पादन;
बिल्ट-इन नेटवर्क आदेशहरू पनि उपलब्ध छन्: पिंग, ट्रेसराउट, ट्राफिक क्याप्चर।
यसरी, आज हामीले NGFW 1590 को प्रारम्भिक जडान र कन्फिगरेसनको समीक्षा र अध्ययन गर्यौं, तपाईंले सम्पूर्ण 1500 SMB चेकपोइन्ट श्रृंखलाको लागि समान कार्यहरू गर्नुहुनेछ। उपलब्ध विकल्पहरूले हामीलाई सेटिङहरूको लागि उच्च परिवर्तनशीलता, नेटवर्क परिधिमा ट्राफिक सुरक्षा गर्ने आधुनिक विधिहरूको लागि समर्थन देखायो।
आज, साना कार्यालयहरू र शाखाहरू (200 जनासम्म) को सुरक्षाका लागि चेकपोइन्ट समाधानहरूसँग उपकरणहरूको विस्तृत दायरा छ र नवीनतम प्रविधिहरू (क्लाउड व्यवस्थापन, सिम कार्ड समर्थन, SD कार्डहरू प्रयोग गरेर मेमोरी विस्तार, आदि) प्रयोग गर्दछ। सूचित रहन जारी राख्नुहोस् र TS समाधानबाट लेखहरू पढ्नुहोस्, हामी SMB परिवारको NGFW चेकपोइन्टको बारेमा थप भागहरू रिलीज गर्ने योजना गर्दैछौं, भेटौंला!
। साथ रहनुहोस् (, , , , ).
स्रोत: www.habr.com