Kontynuujemy cykl artykułów na temat pracy z nową gamą modeli SMB CheckPoint, przypomnijmy, że w opisaliśmy cechy i możliwości nowych modeli, metod zarządzania i administrowania. Dzisiaj przyjrzymy się scenariuszowi wdrożenia starszego modelu z serii: CheckPoint 1590 NGFW. Oto podsumowanie tej części:
- Rozpakowanie sprzętu (opis komponentów, połączeń fizycznych i sieciowych).
- Początkowa inicjalizacja urządzenia.
- Początkowe ustawienia.
- Ocena wydajności.
Rozpakowywanie sprzętu
Zapoznanie się ze sprzętem rozpoczyna się od wyjęcia sprzętu z pudełka, rozebrania podzespołów i zamontowania części; kliknij w spoiler, gdzie pokrótce przedstawiony jest proces
Dostawa NGFW 1590
Krótko o komponentach:
- NGFW 1590;
- Zasilacz;
- 2 anteny Wi-Fi (2.4 Hz i 5 Hz);
- 2 anteny LTE;
- Broszury z dokumentacją (krótki przewodnik dotyczący pierwszego podłączenia, umowa licencyjna itp.)
Jeśli chodzi o porty i interfejsy sieciowe, dostępne są wszystkie nowoczesne możliwości transmisji ruchu i interakcji, oddzielny port dla strefy DMZ, USB 3.0 do synchronizacji z komputerem.
Wersja 1590 otrzymała zaktualizowany design, nowoczesne opcje komunikacji bezprzewodowej i rozbudowy pamięci: 2 sloty do pracy z Micro/Nano SIM w trybie LTE. (o tej opcji planujemy szczegółowo napisać w jednym z kolejnych artykułów z serii o połączeniach bezprzewodowych); Gniazdo karty SD.
Więcej o możliwościach 1590 NGFW i innych nowych modeli przeczytasz w z cyklu artykułów o rozwiązaniach CheckPoint dla małych i średnich przedsiębiorstw. Przejdziemy do wstępnej inicjalizacji urządzenia.
Inicjalizacja pierwotna
Nasi stali czytelnicy powinni już wiedzieć, że linia SMB serii 1500 korzysta z nowego wbudowanego systemu operacyjnego 80.20, który zawiera zaktualizowany interfejs i ulepszone możliwości.
Aby rozpocząć inicjalizację urządzenia należy:
- Dostarcz zasilanie do bramy.
- Podłącz kabel sieciowy z komputera do sieci LAN -1 na bramce.
- Opcjonalnie możesz od razu zapewnić urządzeniu dostęp do Internetu podłączając interfejs do portu WAN.
- Przejdź do portalu Gaia Embedded:
Jeśli wykonałeś wcześniej opisane kroki, to po przejściu na stronę portalu Gaia będziesz musiał potwierdzić otwarcie strony z niezaufanym certyfikatem, po czym uruchomi się kreator ustawień portalu:
Zostaniesz przywitany stroną wskazującą model Twojego urządzenia, musisz przejść do następnej sekcji:
Zostaniemy poproszeni o założenie konta do autoryzacji, istnieje możliwość określenia wysokich wymagań dotyczących hasła dla administratora, a także wskazujemy kraj, w którym będziemy korzystać z bramki.
Kolejne okno dotyczy ustawień daty i godziny, można je ustawić ręcznie lub skorzystać z firmowego serwera NTP.
Kolejny krok polega na nadaniu nazwy urządzeniu i określeniu domeny firmowej, aby usługi bramy działały poprawnie w Internecie.
Kolejny krok dotyczy wyboru typu sterowania NGFW, tutaj należy zwrócić uwagę na:
- Zarządzanie lokalne. Jest to dostępna opcja lokalnego zarządzania bramą za pomocą strony internetowej Gaia Portal.
- Zarządzanie Centralne. Ten rodzaj zarządzania obejmuje synchronizację z dedykowanym serwerem CheckPoint Management, synchronizację z chmurą Smart1-Cloud lub z SMP (usługa zarządzania dla SMB).
W tym artykule skupimy się na metodzie zarządzania lokalnego; możesz określić, która metoda jest konieczna. Sugerujemy zapoznanie się z procesem synchronizacji z dedykowanym Management Serverem z cyklu szkoleń CheckPoint Getting Started przygotowanego przez TS Solution.
Następnie zostanie zaprezentowane okno określające tryb pracy interfejsów na bramce:
- Tryb przełączania oznacza dostępność podsieci z jednego interfejsu do podsieci innego interfejsu.
- Tryb Disable Switch odpowiednio wyłącza tryb Switch; każdy port kieruje ruchem jak dla oddzielnego fragmentu sieci.
Proponuje się także określenie puli adresów DHCP, które będą wykorzystywane przy łączeniu się z lokalnymi interfejsami bramy.
Kolejnym krokiem jest skonfigurowanie bramki do pracy w trybie bezprzewodowym, planujemy omówić ten aspekt szerzej w jednym artykule z serii, dlatego konfigurację ustawień odłożyliśmy na później. Możesz utworzyć nowy bezprzewodowy punkt dostępowy, ustawić hasło do połączenia z nim i określić tryb pracy kanału bezprzewodowego (2.4 Hz lub 5 Hz).
Kolejnym krokiem będzie skonfigurowanie dostępu do bramy dla administratorów firmy. Domyślnie prawa dostępu są dozwolone jeśli połączenie pochodzi z:
- Wewnętrzna podsieć firmy
- Zaufana sieć bezprzewodowa
- Tunel VPN
Opcja łączenia się z bramką przez Internet jest domyślnie wyłączona, niesie to ze sobą duże ryzyko i jej włączenie musi być uzasadnione, w przeciwnym razie zaleca się pozostawienie jej jak w naszym przykładzie.Możliwe jest również określenie, które adresy IP będą dozwolone aby połączyć się z bramką.
Kolejne okno dotyczy aktywacji licencji, po wstępnej inicjalizacji urządzenia zostanie wyświetlony 30-dniowy okres próbny. Dostępne są dwie metody aktywacji:
- Jeśli istnieje połączenie z Internetem, licencja jest aktywowana automatycznie.
- Jeśli aktywujesz licencję w trybie offline, musisz wykonać następujące czynności: pobrać licencję z UserCenter, zarejestrować swoje urządzenie na specjalnym . Następnie w obu przypadkach konieczne będzie zaimportowanie ręcznie pobranej licencji.
Na koniec ostatnie okno kreatora ustawień monituje o wybranie serwerów kasetowych, które mają zostać włączone; należy pamiętać, że moduł QOS blade jest włączany dopiero po początkowej inicjalizacji. Powinieneś otrzymać okno zakończenia podsumowujące ustawienia.
Początkowe ustawienia
W pierwszej kolejności zalecamy sprawdzenie stanu licencji, od tego będzie zależeć dalsza konfiguracja. Przejdź do zakładki „HOME” → „Licencja”:
Jeżeli licencje są aktywowane, zalecamy natychmiastową aktualizację oprogramowania do najnowszej aktualnej wersji, w tym celu należy przejść do zakładki „URZĄDZENIE” → „Operacje Systemu”:
Aktualizacje systemu znajdują się w pozycji Aktualizacja oprogramowania sprzętowego. W naszym przypadku zainstalowana jest aktualna i najnowsza wersja oprogramowania.
Następnie proponuję krótko omówić możliwości i ustawienia systemowych ostrzy. Logicznie rzecz biorąc, można je podzielić na zasady na poziomie dostępu (zapora sieciowa, kontrola aplikacji, filtrowanie adresów URL) i zapobiegania zagrożeniom (IPS, antywirus, antybot, emulacja zagrożeń).
Przejdźmy do zakładki Polityka dostępu → Kontrola ostrza:
Domyślnie używany jest tryb STANDARD, który umożliwia ruch wychodzący do Internetu, ruch w sieci lokalnej, ale jednocześnie blokuje ruch przychodzący z Internetu.
Jeśli chodzi o bloki APLIKACJE I FILTROWANIE adresów URL, domyślnie są one ustawione tak, aby blokować witryny o wysokim poziomie zagrożenia, blokować aplikacje do wymiany (Torrent, przechowywanie plików itp.). Możesz także dodatkowo ręcznie zablokować kategorie witryn.
Sprawdźmy opcję dla ruchu użytkowników „Ogranicz aplikacje zużywające pasmo” z możliwością ograniczenia prędkości ruchu wychodzącego/przychodzącego dla grup aplikacji.
Następnie otwórz podsekcję Polityka; domyślnie reguły są generowane automatycznie, zgodnie z wcześniej opisanymi ustawieniami.
Podsekcja NAT domyślnie działa w Global Hide Nat Automatic, czyli wszystkie hosty wewnętrzne będą miały dostęp do Internetu poprzez publiczny adres IP. Możliwe jest ręczne ustawienie reguł NAT w celu publikowania aplikacji lub usług internetowych.
Następnie sekcja dotycząca uwierzytelniania użytkowników w sieci oferuje dwie opcje: Zapytania Active Directory (integracja z Twoją usługą AD), Uwierzytelnianie oparte na przeglądarce (użytkownik wprowadza dane uwierzytelniające domeny w portalu).
Osobno warto wspomnieć o inspekcji SSL, udział całkowitego ruchu HTTPS w sieci globalnej aktywnie rośnie. Przyjrzyjmy się jakie funkcje oferuje CheckPoint dla rozwiązań SMB.W tym celu przejdź do sekcji SSL-Inspection →Polityka:
W ustawieniach możesz sprawdzić ruch HTTPS; będziesz musiał zaimportować certyfikat i zainstalować go w zaufanym centrum certyfikatów na komputerach użytkowników końcowych.
Uważamy, że tryb BYPASS dla predefiniowanych kategorii jest wygodną opcją, co znacznie oszczędza czas przy umożliwieniu kontroli.
Po skonfigurowaniu reguł na poziomie Zapory sieciowej/Aplikacji należy przystąpić do dostrajania polityk bezpieczeństwa (Zapobieganie zagrożeniom), w tym celu należy przejść do odpowiedniej sekcji:
Na otwartej stronie widzimy włączone moduły blade, statusy aktualizacji sygnatur i baz danych. Jesteśmy również proszeni o wybranie profilu ochrony obwodu sieci i wyświetlane są odpowiednie ustawienia.
Odrębna sekcja „Ochrona IPS” umożliwia skonfigurowanie akcji dla konkretnego podpisu bezpieczeństwa.
Nie tak dawno temu pisaliśmy na naszym blogu dla Windows Server - SigRed. Sprawdźmy jego obecność w Gaia Embedded 80.20 wpisując zapytanie „CVE-2020-1350”
Dla tego podpisu wykryto rekord, do którego można zastosować jedną z akcji. (domyślnie Zapobiegaj dla poziomu zagrożenia Krytycznego). W związku z tym, mając rozwiązanie dla małych i średnich firm, nie zostaniesz pominięty w zakresie aktualizacji i wsparcia; jest to kompletne rozwiązanie NGFW dla oddziałów firmy CheckPoint liczących do 200 osób.
Ocena wydajności
Kończąc artykuł, chciałbym zwrócić uwagę na dostępność narzędzi do rozwiązywania problemów po wstępnej inicjalizacji i konfiguracji rozwiązania SMB. Możesz przejść do sekcji „STRONA GŁÓWNA” → „Narzędzia”. Możliwe opcje:
- monitorowanie zasobów systemu;
- Tabela routingu;
- sprawdzanie dostępności usług chmurowych CheckPoint;
- Generowanie CPinfo;
Dostępne są również wbudowane polecenia sieciowe: Ping, Traceroute, Przechwytywanie ruchu.
Dlatego dzisiaj sprawdziliśmy i przestudiowaliśmy wstępne podłączenie i konfigurację NGFW 1590, podobne czynności wykonasz dla całej serii 1500 SMB Checkpoint. Dostępne opcje wykazały nam dużą zmienność ustawień, obsługę nowoczesnych metod ochrony ruchu na obwodzie sieci.
Dziś rozwiązania CheckPoint służące do ochrony małych biur i oddziałów (do 200 osób) dysponują szeroką gamą narzędzi i wykorzystują najnowsze technologie (zarządzanie chmurą, obsługa kart SIM, rozbudowa pamięci za pomocą kart SD itp.). Bądź na bieżąco i czytaj artykuły z TS Solution, planujemy kolejne wydania części o NGFW CheckPoint z rodziny SMB, do zobaczenia!
. Czekać na dalsze informacje (, , , , ).
Źródło: www.habr.com