Vi fortsetter serien med artikler om å jobbe med den nye SMB CheckPoint-modellserien, la oss minne deg om at i vi beskrev egenskapene og egenskapene til de nye modellene, ledelsen og administrasjonsmetodene. I dag skal vi se på distribusjonsscenarioet for den eldre modellen i serien: CheckPoint 1590 NGFW. Her er et sammendrag av denne delen:
- Utpakking av utstyr (beskrivelse av komponenter, fysiske og nettverkstilkoblinger).
- Initialisering av enheten.
- Førstegangs oppsett.
- Prestasjonsvurdering.
Utpakking av utstyr
Å bli kjent med utstyret begynner med å ta utstyret ut av esken, demontere komponenter og installere deler; klikk på spoileren, hvor prosessen presenteres kort.
Levering av NGFW 1590
Kort om komponentene:
- NGFW 1590;
- Strømadapter;
- 2 Wifi-antenner (2.4 Hz og 5 Hz);
- 2 LTE-antenner;
- Hefter med dokumentasjon (en kort veiledning til innledende tilkobling, lisensavtale osv.)
Når det gjelder nettverksporter og grensesnitt, er det alle moderne muligheter for trafikkoverføring og interaksjon, en egen port for DMZ-sonen, USB 3.0 for synkronisering med en PC.
Versjon 1590 fikk en oppdatert design, moderne alternativer for trådløs kommunikasjon og minneutvidelse: 2 spor for arbeid med Micro/Nano SIM i LTE-modus. (vi planlegger å skrive om dette alternativet i detalj i en av våre neste artikler i serien om trådløse tilkoblinger); SD-kortspor.
Du kan lese mer om egenskapene til 1590 NGFW og andre nye modeller i fra en serie artikler om CheckPoint SMB-løsninger. Vi fortsetter til initialiseringen av enheten.
Primær initialisering
Våre vanlige lesere bør allerede være klar over at 1500 Series SMB-linjen bruker det nye 80.20 Embedded OS, som inkluderer et oppdatert grensesnitt og forbedrede muligheter.
For å begynne å initialisere enheten må du:
- Gi strøm til gatewayen.
- Koble nettverkskabelen fra PC-en til LAN -1 på gatewayen.
- Eventuelt kan du umiddelbart gi enheten Internett-tilgang ved å koble grensesnittet til WAN-porten.
- Gå til Gaia Embedded-portalen:
Hvis du fulgte de tidligere angitte trinnene, etter å ha gått til Gaia-portalsiden, må du bekrefte å åpne siden med et ikke-klarert sertifikat, hvoretter veiviseren for portalinnstillinger vil starte:
Du vil bli møtt av en side som indikerer modellen til enheten din, du må gå til neste seksjon:
Vi vil bli bedt om å opprette en konto for autorisasjon, det er mulig å spesifisere høye passordkrav for administratoren, og vi angir landet der vi skal bruke gatewayen.
Det neste vinduet gjelder dato- og klokkeslettinnstillinger; du kan stille inn det manuelt eller bruke selskapets NTP-server.
Det neste trinnet innebærer å sette et navn for enheten og spesifisere firmaets domene slik at gatewaytjenestene fungerer riktig på Internett.
Det neste trinnet gjelder valg av NGFW-kontrolltype, her bør det bemerkes:
- Lokal ledelse. Dette er et tilgjengelig alternativ for å administrere gatewayen lokalt ved å bruke Gaia Portal-nettsiden.
- Sentral ledelse. Denne typen administrasjon inkluderer synkronisering med en dedikert CheckPoint Management-server, synkronisering med Smart1-Cloud-skyen eller med SMP (administrasjonstjeneste for SMB).
I denne artikkelen vil vi fokusere på metoden for lokal administrasjon; du kan spesifisere metoden som er nødvendig. For å gjøre deg kjent med prosessen med synkronisering med en dedikert Management Server, foreslår vi fra CheckPoint Getting Started-treningsserien utarbeidet av TS Solution.
Deretter vil et vindu bli presentert som definerer driftsmodusen til grensesnittene på gatewayen:
- Byttemodus innebærer tilgjengeligheten av et undernett fra ett grensesnitt til undernettet til et annet grensesnitt.
- Deaktiver svitsjmodus deaktiverer følgelig svitsjmodus; hver port ruter trafikk som for et separat nettverksfragment.
Det foreslås også å spesifisere en pool med DHCP-adresser som skal brukes ved tilkobling til de lokale grensesnittene til gatewayen.
Det neste trinnet er å konfigurere porten til å fungere i trådløs modus; vi planlegger å diskutere dette aspektet mer detaljert i en artikkel i serien, så vi utsatte konfigurasjonen av innstillingene. Du kan opprette et nytt trådløst tilgangspunkt, angi et passord for å koble til det og bestemme driftsmodusen til den trådløse kanalen (2.4 Hz eller 5 Hz).
Neste trinn vil være å konfigurere tilgang til gatewayen for bedriftsadministratorer. Som standard er tilgangsrettigheter tillatt hvis tilkoblingen kommer fra:
- Internt firmaundernett
- Pålitelig trådløst nettverk
- VPN-tunnel
Alternativet for å koble til gatewayen via Internett er deaktivert som standard, dette medfører store risikoer og må begrunnes for inkludering, ellers anbefales det å la det være som i vårt eksempel.Det er også mulig å spesifisere hvilke IP-adresser som skal tillates for å koble til gatewayen.
Det neste vinduet gjelder aktivering av lisenser; ved initialisering av enheten vil du bli presentert med en 30-dagers prøveperiode. Det er to tilgjengelige aktiveringsmetoder:
- Hvis det er en Internett-tilkobling, aktiveres lisensen automatisk.
- Hvis du aktiverer en lisens offline, må du gjøre følgende: last ned lisensen fra UserCenter, registrer enheten din på en spesiell . Deretter, for begge tilfeller, må du importere den manuelt nedlastede lisensen.
Til slutt, det siste vinduet i innstillingsveiviseren ber deg velge bladene som skal slås på; merk at QOS-bladet slås på først etter initialisering. Du bør ende opp med et fullføringsvindu som oppsummerer innstillingene dine.
Førstegangs oppsett
Først av alt anbefaler vi å sjekke statusen til lisensene; videre konfigurasjon vil avhenge av dette. Gå til "HJEM" → "Lisens"-fanen:
Hvis lisensene er aktivert, anbefaler vi umiddelbart å oppdatere til den nyeste gjeldende fastvaren; for å gjøre dette, gå til "ENHET" → "Systemoperasjoner"-fanen:
Systemoppdateringer er plassert i Firmware Upgrade-elementet. I vårt tilfelle er gjeldende og nyeste fastvareversjon installert.
Deretter foreslår jeg å kort snakke om funksjonene og innstillingene til systembladene. Logisk sett kan de deles inn i tilgangs- (brannmur, applikasjonskontroll, URL-filtrering) og trusselforebygging (IPS, antivirus, anti-bot, trusselemulering).
La oss gå til fanen Tilgangspolicy → Bladkontroll:
Som standard brukes STANDARD-modus, den tillater utgående trafikk til Internett, trafikk innenfor det lokale nettverket, men blokkerer samtidig innkommende trafikk fra Internett.
Når det gjelder APPLIKASJONER & URL-FILTERING-bladene, er de som standard satt til å blokkere nettsteder med et høyt farenivå, blokkere utvekslingsapplikasjoner (Torrent, Fillagring, etc.). Du kan også blokkere kategorier av nettsteder manuelt.
La oss sjekke alternativet for brukertrafikk "Begrens båndbreddeforbrukende applikasjoner" med muligheten til å begrense hastigheten på utgående/innkommende trafikk for grupper av applikasjoner.
Deretter åpner du underseksjonen Policy; som standard genereres reglene automatisk i henhold til de tidligere beskrevne innstillingene.
NAT-underseksjonen fungerer som standard i Global Hide Nat Automatic, det vil si at alle interne verter vil ha tilgang til Internett via den offentlige IP-adressen. Det er mulig å angi NAT-regler manuelt for publisering av webapplikasjoner eller tjenester.
Deretter tilbyr delen som omhandler brukerautentisering på nettverket to alternativer: Active Directory Queries (integrasjon med din AD), nettleserbasert autentisering (brukeren legger inn domenelegitimasjon i portalen).
Det er verdt å nevne SSL-inspeksjon separat; andelen av total HTTPS-trafikk på det globale nettverket vokser aktivt. La oss se på hvilke funksjoner CheckPoint tilbyr for SMB-løsninger. For å gjøre dette, gå til SSL-inspeksjon → Policy-delen:
I innstillingene kan du inspisere HTTPS-trafikk; du må importere sertifikatet og installere det i det klarerte sertifikatsenteret på sluttbrukermaskiner.
Vi anser BYPASS-modus for forhåndsdefinerte kategorier for å være et praktisk alternativ; dette sparer betydelig tid når du aktiverer inspeksjon.
Etter å ha konfigurert reglene på brannmur-/applikasjonsnivå, bør du fortsette med å justere sikkerhetspolicyer (trusselsforebygging), for å gjøre dette, gå til den aktuelle delen:
På den åpne siden ser vi aktiverte blader, signatur- og databaseoppdateringsstatuser. Vi blir også bedt om å velge en profil for å beskytte nettverkets perimeter, og de tilsvarende innstillingene vises.
En egen del "IPS-beskyttelser" lar deg konfigurere handlingen for en spesifikk sikkerhetssignatur.
For ikke lenge siden skrev vi på bloggen vår for Windows Server - SigRed. La oss se etter dens tilstedeværelse i Gaia Embedded 80.20 ved å skrive inn søket "CVE-2020-1350"
Det er oppdaget en post for denne signaturen som en av handlingene kan brukes på. (Forhindre som standard for farenivået er Kritisk). Med en SMB-løsning vil du derfor ikke bli utelatt når det gjelder oppdateringer og support, dette er en komplett NGFW-løsning for avdelingskontorer på opptil 200 personer fra CheckPoint.
Prestasjonsvurdering
Avslutningsvis av artikkelen vil jeg legge merke til tilgjengeligheten av verktøy for feilsøking av problemer etter den første initialiseringen og konfigurasjonen av SMB-løsningen. Du kan gå til delen "HJEM" → "Verktøy". Mulige alternativer:
- overvåking av systemressurser;
- ruting tabellen;
- sjekke tilgjengeligheten av CheckPoint-skytjenester;
- CPinfo generasjon;
Innebygde nettverkskommandoer er også tilgjengelige: Ping, Traceroute, Traffic Capture.
Derfor har vi i dag gjennomgått og studert den første tilkoblingen og konfigurasjonen av NGFW 1590, du vil utføre lignende handlinger for hele 1500 SMB Checkpoint-serien. De tilgjengelige alternativene viste oss høy variasjon for innstillinger, støtte for moderne metoder for å beskytte trafikk på nettverksperimeteren.
I dag har CheckPoint-løsninger for beskyttelse av små kontorer og filialer (opptil 200 personer) et bredt spekter av verktøy og bruker de nyeste teknologiene (skyhåndtering, SIM-kortstøtte, minneutvidelse ved bruk av SD-kort, etc.). Fortsett å holde deg informert og les artikler fra TS Solution, vi planlegger ytterligere utgivelser av deler om NGFW CheckPoint fra SMB-familien, vi sees!
. Følg med (, , , , ).
Kilde: www.habr.com