2. د کوچنیو کاروبارونو لپاره NGFW. ان باکسینګ او تنظیم کول

موږ د نوي SMB چیک پواینټ ماډل رینج سره کار کولو په اړه د مقالو لړۍ ته دوام ورکوو، اجازه راکړئ تاسو ته یادونه وکړو چې په لومړی برخه موږ د نوي ماډلونو ځانګړتیاوې او وړتیاوې بیان کړې، د مدیریت او ادارې میتودونه. نن ورځ موږ به په لړۍ کې د زاړه ماډل لپاره د ګمارنې سناریو وګورو: چیک پواینټ 1590 NGFW. دلته د دې برخې لنډیز دی:

1. د بسته بندۍ تجهیزات (د اجزاو توضیحات، فزیکي او د شبکې اړیکې).
2. د وسیلې ابتدايي پیل کول.
3. ابتدايي ترتیب.
4. د فعالیت ارزونه.

د تجهیزاتو خلاصول

د تجهیزاتو پیژندل د بکس څخه د تجهیزاتو لرې کولو، د برخو جلا کولو او د برخو نصبولو سره پیل کیږي؛ په سپیلر باندې کلیک وکړئ، چیرې چې پروسه په لنډه توګه وړاندې کیږي.

د NGFW 1590 تحویلي

د اجزاو په اړه په لنډه توګه:

• NGFW 1590;
• د بریښنا اډاپټر؛
• 2 وائی فای انتنونه (2.4 Hz او 5 Hz)؛
• 2 LTE انتن؛
• د اسنادو سره کتابچه (د ابتدايي پیوستون لنډ لارښود، د جواز تړون، او نور)

لکه څنګه چې د شبکې بندرونو او انٹرفیسونو لپاره ، د ترافیک لیږد او تعامل لپاره ټول عصري وړتیاوې شتون لري ، د DMZ زون لپاره جلا بندر ، د کمپیوټر سره همغږي کولو لپاره USB 3.0.

نسخه 1590 یو تازه ډیزاین ترلاسه کړ، د بې سیمه اړیکو او حافظې پراخولو لپاره عصري اختیارونه: په LTE حالت کې د مایکرو/نانو سیم سره کار کولو لپاره 2 سلاټونه. (موږ پلان لرو چې د دې اختیار په اړه په تفصیل سره زموږ په یوه راتلونکي مقاله کې د بې سیم اتصالاتو لپاره وقف شوي لړۍ کې ولیکئ) د SD کارت سلاټ.

تاسو کولی شئ د 1590 NGFW او نورو نوي ماډلونو وړتیاو په اړه نور ولولئ د 1 برخې د چیک پواینټ SMB حلونو په اړه د مقالو لړۍ څخه. موږ به د وسیلې لومړني پیل ته لاړ شو.

لومړني ابتکار

زموږ منظم لوستونکي باید دمخه خبر وي چې د 1500 لړۍ SMB لاین نوی 80.20 ایمبیډ شوی OS کاروي ، کوم چې تازه انٹرفیس او پرمختللي وړتیاوې پکې شاملې دي.

د وسیله پیل کولو لپاره تاسو اړتیا لرئ:

1. دروازې ته بریښنا ورکړئ.
2. د شبکې کیبل د خپل کمپیوټر څخه LAN -1 ته په ګیټ وی کې وصل کړئ.
3. په اختیاري توګه، تاسو کولی شئ سمدلاسه وسیله د انټرنیټ لاسرسي سره د WAN بندر سره د انٹرفیس سره وصل کړئ.
4. د ګیا ایمبیډ شوي پورټل ته لاړشئ: https://192.168.1.1:4434/

که تاسو مخکې ذکر شوي مرحلې تعقیب کړئ ، نو د ګییا پورټل پا pageې ته د تګ وروسته ، تاسو اړتیا لرئ د غیر باوري سند سره د پا pageې خلاصول تایید کړئ ، له هغې وروسته به د پورټل تنظیماتو وزرډ پیل شي:

تاسو ته به د یوې پاڼې لخوا ښه راغلاست درکړل شي چې ستاسو د وسیلې ماډل په ګوته کوي ، تاسو اړتیا لرئ بلې برخې ته لاړشئ:

له موږ څخه به وغوښتل شي چې د اجازې لپاره حساب جوړ کړو، دا ممکنه ده چې د مدیر لپاره د لوړ پاسورډ اړتیاوې مشخصې کړو، او موږ هغه هیواد په ګوته کوو چیرې چې موږ به د دروازې څخه کار واخلو.

بله کړکۍ د نیټې او وخت ترتیباتو پورې اړه لري؛ تاسو کولی شئ دا په لاسي ډول تنظیم کړئ یا د شرکت NTP سرور وکاروئ.

بل ګام کې د وسیلې لپاره نوم ترتیب کول او د شرکت ډومین مشخص کول شامل دي ترڅو د ګیټ ویز خدمات په انټرنیټ کې په سمه توګه کار وکړي.

بل ګام د NGFW کنټرول ډول انتخاب پورې اړه لري، دلته باید یادونه وشي:

1. سیمه ایز مدیریت. دا د ګیا پورټل ویب پا pageې په کارولو سره په سیمه ایزه توګه د ګیټ وے اداره کولو لپاره شتون لري.
2. مرکزي مدیریت. پدې ډول مدیریت کې د وقف شوي چیک پواینټ مدیریت سرور سره همغږي کول ، د Smart1-Cloud کلاوډ سره همغږي کول یا SMP (د SMB لپاره مدیریت خدمت) شامل دي.

پدې مقاله کې به موږ د سیمه ایز مدیریت میتود باندې تمرکز وکړو؛ تاسو کولی شئ هغه میتود مشخص کړئ چې اړین وي. د وقف شوي مدیریت سرور سره د همغږي کولو پروسې سره ځان آشنا کولو لپاره ، موږ وړاندیز کوو لینک د چیک پواینټ د پیل کولو روزنې لړۍ څخه چې د TS حل لخوا چمتو شوی.

بیا، یوه کړکۍ به وړاندې شي چې په دروازه کې د انٹرفیس عملیاتي حالت تعریفوي:

• د سویچ حالت د یو انٹرفیس څخه د بل انٹرفیس فرعي نیټ ته د فرعي نیټ شتون په ګوته کوي.
• د غیر فعال سویچ حالت د دې مطابق د سویچ حالت غیر فعال کوي؛ هر بندر د جلا شبکې برخې لپاره ترافیک ته لاره هواروي.

دا هم وړاندیز شوی چې د DHCP پتې یو حوض مشخص کړي چې د ګیټ وے سیمه ایز انٹرفیسونو سره د وصل کیدو پرمهال به وکارول شي.

بل ګام د بې سیم حالت کې د کار کولو لپاره د دروازې تنظیم کول دي؛ موږ پلان لرو چې په دې برخه کې په یوه مقاله کې په ډیر تفصیل سره بحث وکړو، نو موږ د ترتیباتو تنظیم کول وځنډول. تاسو کولی شئ د نوي بې سیم لاسرسي نقطه رامینځته کړئ ، د دې سره وصل کولو لپاره پټنوم تنظیم کړئ او د بې سیم چینل عملیاتي حالت وټاکئ (2.4 Hz یا 5 Hz).

بل ګام به د شرکت مدیرانو لپاره دروازې ته د لاسرسي تنظیم کول وي. په ډیفالټ ډول، د لاسرسي حقونه اجازه لري که چیرې اړیکه له دې څخه راشي:

1. د داخلي شرکت فرعي نیټ
2. د باور وړ بې سیم شبکه
3. د VPN تونل

د انټرنیټ له لارې د دروازې سره د نښلولو اختیار د ډیفالټ لخوا غیر فعال دی، دا لوی خطرونه لري او باید د شاملولو لپاره توجیه شي، که نه نو دا سپارښتنه کیږي چې دا پریږدئ لکه څنګه چې زموږ په مثال کې دا هم ممکنه ده چې مشخص کړئ چې کوم IP پتې ته اجازه ورکول کیږي. د دروازې سره د نښلولو لپاره.

بله کړکۍ د جوازونو د فعالولو په اړه اندیښنه لري؛ د وسیلې په پیل کې، تاسو به د 30 ورځو آزموینې دورې سره وړاندې شي. د فعالولو دوه لارې شتون لري:

1. که چیرې د انټرنیټ اتصال شتون ولري ، جواز په اوتومات ډول فعال کیږي.
2. که تاسو لایسنس آفلاین فعال کړئ ، تاسو اړتیا لرئ لاندې کارونه وکړئ: د یوزر سینټر څخه جواز ډاونلوډ کړئ ، خپل وسیله په ځانګړي کې راجسټر کړئ پورټل. بیا، د دواړو قضیو لپاره، تاسو به د لاسي ډاونلوډ جواز واردولو ته اړتیا ولرئ.

په نهایت کې ، د تنظیماتو وزرډ کې وروستنۍ کړکۍ تاسو ته هڅوي چې بلیډونه غوره کړئ چې چالان شي؛ په یاد ولرئ چې د QOS بلیډ یوازې د لومړني پیل کولو وروسته فعال شوی. تاسو باید د بشپړولو کړکۍ سره پای ته ورسیږئ چې ستاسو ترتیبات لنډیز کوي.

ابتدايي ترتیب

له هرڅه دمخه ، موږ د جوازونو حالت چیک کولو وړاندیز کوو؛ نور تشکیلات به پدې پورې اړه ولري. د "کور" → "لایسنس" ټب ته لاړ شئ:

که جوازونه فعال شوي وي، موږ وړاندیز کوو چې سمدستي وروستي اوسني فرم ویئر ته تازه کړئ؛ د دې کولو لپاره، د "وسیلې" → ​​"سیسټم عملیات" ټب ته لاړ شئ:

د سیسټم تازه معلومات د فرم ویئر اپ گریڈ توکي کې موقعیت لري. زموږ په قضیه کې، اوسنی او وروستی فرم ویئر نسخه نصب شوی.

بیا، زه وړاندیز کوم چې د سیسټم بلیډونو وړتیاوو او ترتیباتو په اړه په لنډه توګه وغږیږم. په منطقي توګه، دوی د لاسرسي (فیروال، غوښتنلیک کنټرول، URL فلټر کول) او د ګواښ مخنیوي (IPS، انټي ویروس، انټي بوټ، د ګواښ ایمولیشن) کچې پالیسۍ ویشل کیدی شي.

راځئ چې د لاسرسي پالیسۍ ته لاړ شو → د بلیډ کنټرول ټب:

په ډیفالټ کې، سټنډرډ حالت کارول کیږي، دا انټرنیټ ته د وتلو ټرافیک ته اجازه ورکوي، په محلي شبکه کې ټرافيک، مګر په ورته وخت کې د انټرنیټ څخه راتلونکی ټرافیک بندوي.

لکه څنګه چې د غوښتنلیکونو او URL فلټر کولو بلیډونو لپاره ، په ډیفالټ ډول دوی د لوړې کچې خطر سره سایټونو بلاک کولو لپاره تنظیم شوي ، د تبادلې غوښتنلیکونه بلاک کوي (تورنټ ، د فایل ذخیره ، او داسې نور). تاسو کولی شئ په لاسي ډول د سایټونو کټګورۍ هم بلاک کړئ.

راځئ چې د کارونکي ترافیک لپاره اختیار وګورو "د بینډ ویت مصرف کونکي غوښتنلیکونه محدود کړئ" د دې وړتیا سره چې د غوښتنلیکونو ډلو لپاره د وتلو / راتلوونکي ترافیک سرعت محدود کړي.

بیا، د پالیسۍ فرعي برخه پرانیزئ؛ د ډیفالټ په واسطه، مقررات په اتوماتيک ډول د مخکې بیان شوي ترتیباتو سره سم تولید شوي.

د NAT فرعي برخه په ډیفالټ کې په ګلوبل هایډ نیټ اتوماتیک کې کار کوي ، د بیلګې په توګه ټول داخلي کوربه به د عامه IP پتې له لارې انټرنیټ ته لاسرسی ولري. دا ممکنه ده چې په لاسي ډول ستاسو د ویب غوښتنلیکونو یا خدماتو خپرولو لپاره د NAT مقررات تنظیم کړئ.

بیا، هغه برخه چې په شبکه کې د کاروونکي تصدیق کولو اندیښنه لري دوه اختیارونه وړاندې کوي: د فعال لارښود پوښتنې (ستاسو د AD سره یوځای کول)، د براوزر پر بنسټ تصدیق (کاروونکي په پورټل کې د ډومین اسناد داخلوي).

دا په جلا توګه د SSL تفتیش د یادولو وړ ده؛ په نړیواله شبکه کې د HTTPS ټول ټرافیک ونډه په فعاله توګه وده کوي. راځئ وګورو چې چیک پواینټ کوم ځانګړتیاوې د SMB حلونو لپاره وړاندیز کوي. د دې کولو لپاره، د SSL-تحقیق → د پالیسۍ برخې ته لاړ شئ:

په ترتیباتو کې تاسو کولی شئ د HTTPS ترافیک معاینه کړئ؛ تاسو به اړتیا ولرئ سند وارد کړئ او د پای کارونکي ماشینونو کې د باوري سند مرکز کې یې نصب کړئ.

موږ د مخکې ټاکل شوي کټګوریو لپاره د بای پاس حالت یو مناسب انتخاب ګڼو؛ دا د پام وړ وخت خوندي کوي کله چې د تفتیش وړ کول.

د فایروال / غوښتنلیک په کچه د مقرراتو تنظیم کولو وروسته ، تاسو باید د امنیت پالیسیو (د ګواښ مخنیوي) تنظیم کولو ته لاړشئ ، د دې کولو لپاره ، مناسبې برخې ته لاړشئ:

په خلاص پاڼه کې موږ فعال شوي بلیډونه، لاسلیک او ډیټابیس تازه حالتونه ګورو. موږ ته دا هم ویل کیږي چې د شبکې محیط ساتنې لپاره پروفایل غوره کړئ ، او اړونده تنظیمات ښودل شوي.

یوه جلا برخه "IPS محافظتونه" تاسو ته اجازه درکوي د ځانګړي امنیتي لاسلیک لپاره عمل تنظیم کړئ.

ډیر وخت دمخه موږ په خپل بلاګ کې لیکلي وو د نړیوال زیان په اړه د وینډوز سرور لپاره - SigRed. راځئ چې د "CVE-80.20-2020" پوښتنې ته په ننوتلو سره په ګیا ایمبیډډ 1350 کې د دې شتون وګورو

د دې لاسلیک لپاره یو ریکارډ کشف شوی چې کوم یو عمل پلي کیدی شي. (د ډیفالټ په واسطه د خطر کچې مخنیوی خورا مهم دی). په دې اساس، د SMB حل په درلودلو سره، تاسو به د تازه معلوماتو او مالتړ په برخه کې پاتې نه شئ؛ دا د چیک پواینټ څخه تر 200 پورې خلکو د څانګو دفترونو لپاره د NGFW بشپړ حل دی.

د فعالیت ارزونه

د مقالې په پای کې ، زه غواړم د SMB حل لومړني پیل او تنظیم کولو وروسته د ستونزو حل کولو لپاره د وسیلو شتون یادونه وکړم. تاسو کولی شئ "کور" → "وسیلې" برخې ته لاړ شئ. احتمالي انتخابونه:

• د څارنې سیسټم سرچینې؛
• روټینګ جدول؛
• د چیک پواینټ کلاوډ خدماتو شتون چیک کول؛
• د CPinfo نسل؛

د شبکې جوړ شوي کمانډونه هم شتون لري: پینګ، ټریسروټ، د ترافیک نیول.

په دې توګه، نن ورځ موږ د NGFW 1590 ابتدايي ارتباط او ترتیب بیاکتنه او مطالعه کړې، تاسو به د 1500 SMB پوستې ټولیز لړۍ لپاره ورته کړنې ترسره کړئ. شته اختیارونه موږ ته د ترتیباتو لپاره لوړ تغیرات وښودل، د شبکې په محیط کې د ټرافیک ساتنې عصري میتودونو ملاتړ.

نن ورځ، د وړو دفترونو او څانګو (تر 200 کسانو پورې) د ساتنې لپاره د چیک پواینټ حلونه پراخه وسایل لري او وروستي ټیکنالوژي کاروي (د بادل مدیریت، د سیم کارت ملاتړ، د SD کارتونو په کارولو سره د حافظې پراخول، او نور). خبرتیا ته دوام ورکړئ او د TS حل څخه مقالې ولولئ، موږ د SMB کورنۍ د NGFW چیک پواینټ په اړه د نورو برخو خپریدو پلان لرو، تاسو وګورو!

د TS محلول څخه په چیک پوائنټ کې د موادو لوی انتخاب. سره اوسئ (Telegram, فیسبوک, VK, د TS حل بلاګ, Yandex.Zen).

سرچینه: www.habr.com