We vervolgen de reeks artikelen over het werken met de nieuwe SMB CheckPoint-modellenreeks. Laten we u daar in herinnering aan brengen we beschreven de kenmerken en mogelijkheden van de nieuwe modellen, beheer- en administratiemethoden. Vandaag kijken we naar het implementatiescenario voor het oudere model in de serie: CheckPoint 1590 NGFW. Hier is een samenvatting van dit onderdeel:
- Uitpakken van apparatuur (beschrijving van componenten, fysieke en netwerkverbindingen).
- Initiële apparaatinitialisatie.
- Initiële setup.
- Prestatiebeoordeling.
Apparatuur uitpakken
Het leren kennen van de apparatuur begint met het uit de doos halen van de apparatuur, het demonteren van componenten en het installeren van onderdelen; klik op de spoiler, waar het proces kort wordt gepresenteerd
Levering van NGFW 1590
Kort over de componenten:
- NGFW 1590;
- Oplader;
- 2 Wifi-antennes (2.4 Hz en 5 Hz);
- 2 LTE-antennes;
- Boekjes met documentatie (een korte handleiding voor de eerste aansluiting, licentieovereenkomst, etc.)
Wat netwerkpoorten en interfaces betreft, zijn er alle moderne mogelijkheden voor verkeerstransmissie en interactie, een aparte poort voor de DMZ-zone, USB 3.0 voor synchronisatie met een pc.
Versie 1590 kreeg een vernieuwd ontwerp, moderne opties voor draadloze communicatie en geheugenuitbreiding: 2 slots voor het werken met Micro/Nano SIM in LTE-modus. (we zijn van plan om in detail over deze optie te schrijven in een van onze volgende artikelen in de serie over draadloze verbindingen); SD-kaartsleuf.
Meer over de mogelijkheden van de 1590 NGFW en andere nieuwe modellen leest u in uit een reeks artikelen over CheckPoint MKB-oplossingen. We gaan verder met de initialisatie van het apparaat.
Primaire initialisatie
Onze vaste lezers zouden zich er al van bewust moeten zijn dat de 1500 Series SMB-lijn het nieuwe 80.20 Embedded OS gebruikt, dat een bijgewerkte interface en verbeterde mogelijkheden bevat.
Om het apparaat te initialiseren, moet u:
- Voorzie de gateway van stroom.
- Sluit de netwerkkabel van uw pc aan op LAN -1 op de gateway.
- Optioneel kunt u het apparaat direct van internettoegang voorzien door de interface op de WAN-poort aan te sluiten.
- Ga naar het Gaia Embedded-portaal:
Als u de eerder genoemde stappen heeft gevolgd, moet u, nadat u naar de Gaia-portaalpagina bent gegaan, het openen van de pagina met een niet-vertrouwd certificaat bevestigen, waarna de wizard voor portaalinstellingen wordt gestart:
U wordt begroet door een pagina die het model van uw apparaat aangeeft. U moet naar het volgende gedeelte gaan:
Er wordt ons gevraagd een account aan te maken ter autorisatie, het is mogelijk om hoge wachtwoordeisen op te stellen voor de beheerder en we geven aan in welk land we de gateway gaan gebruiken.
Het volgende venster betreft de datum- en tijdinstellingen; u kunt deze handmatig instellen of de NTP-server van het bedrijf gebruiken.
De volgende stap bestaat uit het instellen van een naam voor het apparaat en het opgeven van het bedrijfsdomein, zodat de gatewayservices correct werken op internet.
De volgende stap betreft de keuze van het NGFW-besturingstype, hier moet worden opgemerkt:
- Lokaal bestuur. Dit is een beschikbare optie om de gateway lokaal te beheren met behulp van de Gaia Portal-webpagina.
- Centraal Beheer. Dit type beheer omvat synchronisatie met een speciale CheckPoint Management-server, synchronisatie met de Smart1-Cloud cloud of met SMP (beheerservice voor het MKB).
In dit artikel concentreren we ons op de methode Lokaal beheer; u kunt aangeven welke methode nodig is. Om vertrouwd te raken met het synchronisatieproces met een speciale Management Server, raden wij u aan dit te doen uit de CheckPoint Getting Started-trainingsreeks, opgesteld door TS Solution.
Vervolgens wordt een venster weergegeven waarin de werkingsmodus van de interfaces op de gateway wordt gedefinieerd:
- De schakelmodus impliceert de beschikbaarheid van een subnet van de ene interface naar het subnet van een andere interface.
- De Disable Switch-modus schakelt dienovereenkomstig de Switch-modus uit; elke poort routeert het verkeer als voor een afzonderlijk netwerkfragment.
Er wordt ook voorgesteld om een pool van DHCP-adressen te specificeren die zullen worden gebruikt bij het verbinden met de lokale interfaces van de gateway.
De volgende stap is het configureren van de gateway zodat deze in draadloze modus werkt; we zijn van plan dit aspect in meer detail te bespreken in één artikel in de serie, dus hebben we de configuratie van de instellingen uitgesteld. U kunt een nieuw draadloos toegangspunt maken, een wachtwoord instellen om er verbinding mee te maken en de bedrijfsmodus van het draadloze kanaal bepalen (2.4 Hz of 5 Hz).
De volgende stap is het configureren van de toegang tot de gateway voor bedrijfsbeheerders. Standaard zijn toegangsrechten toegestaan als de verbinding afkomstig is van:
- Intern bedrijfssubnet
- Vertrouwd draadloos netwerk
- VPN-tunnel
De optie om via internet verbinding te maken met de gateway staat standaard uitgeschakeld, dit brengt grote risico's met zich mee en moet gerechtvaardigd zijn om deze op te nemen, anders is het aan te raden om deze te laten zoals in ons voorbeeld. Ook is het mogelijk om aan te geven welke IP-adressen zullen worden toegestaan om verbinding te maken met de gateway.
Het volgende venster betreft de activering van licenties; bij de eerste initialisatie van het apparaat krijgt u een proefperiode van 30 dagen te zien. Er zijn twee beschikbare activeringsmethoden:
- Als er een internetverbinding is, wordt de licentie automatisch geactiveerd.
- Als u een licentie offline activeert, moet u het volgende doen: de licentie downloaden van UserCenter, uw apparaat registreren op een speciaal . Vervolgens moet u voor beide gevallen de handmatig gedownloade licentie importeren.
Ten slotte wordt u in het laatste venster van de instellingenwizard gevraagd de blades te selecteren die u wilt inschakelen; houd er rekening mee dat de QOS-blade pas wordt ingeschakeld na de initiële initialisatie. U zou een voltooiingsvenster moeten krijgen waarin uw instellingen worden samengevat.
Initiële setup
Allereerst raden wij aan om de status van de licenties te controleren; de verdere configuratie zal hiervan afhangen. Ga naar het tabblad “HOME” → “Licentie”:
Als de licenties zijn geactiveerd, raden we aan om onmiddellijk te updaten naar de nieuwste huidige firmware; ga hiervoor naar het tabblad “APPARAAT” → “Systeembewerkingen”:
Systeemupdates bevinden zich in het item Firmware Upgrade. In ons geval is de huidige en nieuwste firmwareversie geïnstalleerd.
Vervolgens stel ik voor om kort te praten over de mogelijkheden en instellingen van de systeemblades. Logischerwijs kunnen ze worden onderverdeeld in beleid op het niveau van Toegang (Firewall, Applicatiecontrole, URL-filtering) en Bedreigingspreventie (IPS, Antivirus, Anti-Bot, Bedreigingsemulatie).
Laten we naar het tabblad Toegangsbeleid → Blade Control gaan:
Standaard wordt de STANDAARD-modus gebruikt, deze staat uitgaand verkeer naar internet en verkeer binnen het lokale netwerk toe, maar blokkeert tegelijkertijd inkomend verkeer van internet.
De Blades APPLICATIONS & URL FILTERING zijn standaard ingesteld om sites met een hoog risico te blokkeren en uitwisselingstoepassingen te blokkeren (Torrent, Bestandsopslag, enz.). U kunt ook categorieën sites handmatig blokkeren.
Laten we de optie voor gebruikersverkeer eens bekijken “Beperk bandbreedte verbruikende applicaties” met de mogelijkheid om de snelheid van uitgaand/inkomend verkeer voor groepen applicaties te beperken.
Open vervolgens de subsectie Beleid; standaard worden de regels automatisch gegenereerd volgens de eerder beschreven instellingen.
De NAT-subsectie werkt standaard in Global Hide Nat Automatic, dat wil zeggen dat alle interne hosts toegang hebben tot internet via het openbare IP-adres. Het is mogelijk om handmatig NAT-regels in te stellen voor het publiceren van uw webapplicaties of diensten.
Vervolgens biedt het gedeelte dat gaat over gebruikersauthenticatie op het netwerk twee opties: Active Directory Queries (integratie met uw AD), Browser-Based-Authentication (de gebruiker voert domeinreferenties in de portal in).
Het is de moeite waard om SSL-inspectie apart te vermelden; het aandeel van het totale HTTPS-verkeer op het Global Network groeit actief. Laten we eens kijken welke functies CheckPoint biedt voor MKB-oplossingen. Ga hiervoor naar de sectie SSL-inspectie → Beleid:
In de instellingen kunt u HTTPS-verkeer inspecteren; u moet het certificaat importeren en installeren in het vertrouwde certificaatcentrum op machines van eindgebruikers.
Wij beschouwen de BYPASS-modus voor vooraf gedefinieerde categorieën als een handige optie; dit bespaart aanzienlijk tijd bij het inschakelen van inspectie.
Nadat u de regels op firewall-/applicatieniveau hebt geconfigureerd, moet u doorgaan met het afstemmen van het beveiligingsbeleid (bedreigingspreventie). Ga hiervoor naar de juiste sectie:
Op de geopende pagina zien we ingeschakelde blades, handtekeningen en database-updatestatussen. We worden ook gevraagd een profiel te selecteren voor het beschermen van de netwerkperimeter, en de bijbehorende instellingen worden weergegeven.
In een aparte sectie “IPS-beveiligingen” kunt u de actie voor een specifieke beveiligingshandtekening configureren.
Nog niet zo lang geleden schreven we op onze blog voor Windows Server - SigRed. Laten we controleren of deze aanwezig is in Gaia Embedded 80.20 door de zoekopdracht “CVE-2020-1350” in te voeren
Voor deze handtekening is een record gedetecteerd waarop een van de acties kan worden toegepast. (standaard Voorkomen voor het gevaarsniveau is Kritiek). Met een MKB-oplossing zit u dus niet buitengesloten op het gebied van updates en ondersteuning; dit is een volwaardige NGFW-oplossing voor vestigingen tot 200 personen van CheckPoint.
Prestatiebeoordeling
Ter afsluiting van het artikel zou ik willen wijzen op de beschikbaarheid van hulpmiddelen voor het oplossen van problemen na de initiële initialisatie en configuratie van de SMB-oplossing. U kunt naar de sectie “HOME” → “Extra” gaan. Mogelijke opties:
- het monitoren van systeembronnen;
- routeringstabel;
- het controleren van de beschikbaarheid van CheckPoint-clouddiensten;
- CPinfo-generatie;
Ingebouwde netwerkopdrachten zijn ook beschikbaar: Ping, Traceroute, Traffic Capture.
Dus vandaag hebben we de initiële verbinding en configuratie van de NGFW 1590 beoordeeld en bestudeerd. U zult soortgelijke acties uitvoeren voor de gehele 1500 SMB Checkpoint-serie. De beschikbare opties lieten ons een grote variabiliteit zien in instellingen, ondersteuning voor moderne methoden om verkeer op de netwerkperimeter te beschermen.
Tegenwoordig beschikken de oplossingen van CheckPoint voor de beveiliging van kleine kantoren en filialen (tot 200 personen) over een breed scala aan tools en maken ze gebruik van de nieuwste technologieën (cloudbeheer, ondersteuning voor simkaarten, geheugenuitbreiding met SD-kaarten, enz.). Blijf op de hoogte en lees artikelen van TS Solution, we plannen verdere releases van onderdelen over NGFW CheckPoint van de SMB-familie, tot ziens!
. Blijf kijken (, , , , ).
Bron: www.habr.com