2. ننڍن ڪاروبار لاء NGFW. انباڪسنگ ۽ سيٽ اپ

اسان نئين SMB چيڪ پوائنٽ ماڊل رينج سان ڪم ڪرڻ تي آرٽيڪلز جو سلسلو جاري رکون ٿا، اچو ته توهان کي ياد ڏياريون ته پهريون حصو اسان نون ماڊل، انتظام ۽ انتظامي طريقن جي خاصيتن ۽ صلاحيتن کي بيان ڪيو. اڄ اسان سيريز ۾ پراڻن ماڊل لاء ترتيب ڏيڻ واري صورتحال تي نظر ڪنداسين: CheckPoint 1590 NGFW. هتي هن حصي جو هڪ خلاصو آهي:

1. Unpacking سامان (جزا جي وضاحت، جسماني ۽ نيٽ ورڪ ڪنيڪشن).
2. شروعاتي ڊوائيس جي شروعات.
3. شروعاتي سيٽنگ.
4. ڪارڪردگي جو جائزو.

سامان کولڻ جو سامان

سامان جي ڄاڻ حاصل ڪرڻ شروع ٿئي ٿي سامان کي دٻي مان هٽائڻ، اجزاء کي ڌار ڪرڻ ۽ حصن کي نصب ڪرڻ؛ اسپائيلر تي ڪلڪ ڪريو، جتي عمل مختصر طور تي پيش ڪيو ويو آهي.

NGFW 1590 جي ترسيل

اجزاء جي باري ۾ مختصر طور:

• NGFW 1590;
• پاور اڊاپٽر؛
• 2 وائي فائي اينٽينا (2.4 Hz ۽ 5 Hz)؛
• 2 LTE antennas؛
• دستاويزن سان گڏ ڪتاب (شروعاتي ڪنيڪشن لاءِ هڪ مختصر گائيڊ، لائسنس جو معاهدو، وغيره)

جيئن ته نيٽ ورڪ بندرگاهن ۽ انٽرفيس لاء، ٽرئفڪ جي منتقلي ۽ رابطي لاء تمام جديد صلاحيتون آهن، DMZ زون لاء هڪ الڳ پورٽ، USB 3.0 هڪ PC سان هم وقت سازي لاء.

نسخو 1590 حاصل ڪيو هڪ اپڊيٽ ڊيزائين، جديد آپشنز لاءِ وائرليس ڪميونيڪيشن ۽ ميموري توسيع: LTE موڊ ۾ مائڪرو/نانو سم سان ڪم ڪرڻ لاءِ 2 سلاٽ. (اسان هن اختيار جي باري ۾ تفصيل سان لکڻ جو ارادو رکون ٿا اسان جي ايندڙ مضمونن مان هڪ سيريز ۾ وائرليس ڪنيڪشن لاءِ وقف ٿيل)؛ SD ڪارڊ سلاٽ.

توهان 1590 NGFW ۽ ٻين نئين ماڊل جي صلاحيتن جي باري ۾ وڌيڪ پڙهي سگهو ٿا 1 حصا CheckPoint SMB حل بابت مضمونن جي هڪ سيريز مان. اسان ڊوائيس جي شروعاتي شروعات ڏانهن اڳتي وڌنداسين.

ابتدائي شروعات

اسان جي باقاعده پڙهندڙن کي اڳ ۾ ئي آگاهي ٿيڻ گهرجي ته 1500 سيريز SMB لائين نئين 80.20 ايمبيڊڊ او ايس استعمال ڪري ٿي، جنهن ۾ هڪ تازه ڪاري انٽرفيس ۽ بهتر صلاحيتون شامل آهن.

ڊوائيس کي شروع ڪرڻ شروع ڪرڻ لاء توهان کي ضرورت آهي:

1. گيٽ وي کي طاقت فراهم ڪريو.
2. نيٽ ورڪ ڪيبل کي پنهنجي PC کان LAN-1 سان ڳنڍيو گيٽ وي تي.
3. اختياري طور تي، توهان فوري طور تي انٽرنيٽ جي رسائي سان ڊوائيس مهيا ڪري سگهو ٿا انٽرفيس کي WAN بندرگاهه سان ڳنڍيندي.
4. وڃو Gaia Embedded portal: https://192.168.1.1:4434/

جيڪڏهن توهان اڳئين بيان ڪيل قدمن تي عمل ڪيو، ته پوءِ گيا پورٽل پيج تي وڃڻ کان پوءِ، توهان کي پڪ ڪرڻي پوندي ته صفحو کولڻ جي تصديق هڪ ناقابل اعتماد سرٽيفڪيٽ سان، جنهن کان پوءِ پورٽل سيٽنگ وزرڊ لانچ ڪندو:

توهان کي هڪ صفحي طرفان سلام ڪيو ويندو جيڪو توهان جي ڊوائيس جي ماڊل کي ظاهر ڪري ٿو، توهان کي ايندڙ حصي ڏانهن وڃڻ جي ضرورت آهي:

اسان کي اجازت ڏيڻ لاءِ هڪ اڪائونٽ ٺاهڻ لاءِ چيو ويندو، اهو ممڪن آهي ته منتظم لاءِ اعليٰ پاس ورڊ جون گهرجون بيان ڪيون وڃن، ۽ اسان ان ملڪ جي نشاندهي ڪنداسين جتي اسان گيٽ وي استعمال ڪنداسين.

ايندڙ ونڊو خدشات جي تاريخ ۽ وقت سيٽنگون؛ توھان ان کي دستي طور تي سيٽ ڪري سگھو ٿا يا ڪمپني جي NTP سرور کي استعمال ڪريو.

ايندڙ قدم ۾ ڊوائيس جو نالو مقرر ڪرڻ ۽ ڪمپني ڊومين جي وضاحت ڪرڻ شامل آهي ته جيئن گيٽ وي خدمتون انٽرنيٽ تي صحيح ڪم ڪن.

ايندڙ قدم NGFW ڪنٽرول قسم جي چونڊ جو خدشو آهي، هتي اهو نوٽ ڪيو وڃي:

1. مقامي انتظام. هي هڪ دستياب اختيار آهي گيٽ وي کي منظم ڪرڻ لاءِ مقامي طور تي استعمال ڪندي Gaia Portal ويب پيج.
2. مرڪزي انتظام. هن قسم جي انتظام ۾ شامل آهي هم وقت سازي هڪ وقف ڪيل چيڪ پوائنٽ مئنيجمينٽ سرور سان، هم وقت سازي سان Smart1-Cloud ڪلائوڊ سان يا SMP (SMB لاءِ انتظامي خدمت).

هن آرٽيڪل ۾، اسان لوڪل مئنيجمينٽ جي طريقي تي ڌيان ڏينداسين؛ توھان وضاحت ڪري سگھوٿا اھو طريقو جيڪو ضروري آھي. پاڻ کي واقف ڪرڻ جي عمل سان هم وقت سازي جي عمل سان وقف مئنيجمينٽ سرور سان، اسان مشورو ڏيون ٿا لنڪ CheckPoint Getting Started ٽريننگ سيريز مان TS Solution پاران تيار ڪيل.

اڳيون، هڪ ونڊو پيش ڪيو ويندو گيٽ وي تي انٽرفيس جي آپريٽنگ موڊ جي وضاحت ڪندي:

• سوئچ موڊ جو مطلب آھي سب نيٽ جي دستيابي ھڪڙي انٽرفيس کان ٻئي انٽرفيس جي سب نيٽ تائين.
• غير فعال سوئچ موڊ مطابق سوئچ موڊ کي غير فعال ڪري ٿو؛ هر بندرگاهه ٽرئفڪ کي الڳ ڪري ٿو جيئن هڪ الڳ نيٽ ورڪ جي ٽڪري لاءِ.

اهو پڻ تجويز ڪيو ويو آهي ته DHCP پتي جو هڪ تلاءُ جيڪو استعمال ڪيو ويندو جڏهن گيٽ وي جي مقامي انٽرفيس سان ڳنڍڻ.

اڳيون قدم وائرليس موڊ ۾ ڪم ڪرڻ لاء گيٽ وي کي ترتيب ڏيڻ آهي؛ اسان سيريز جي هڪ مضمون ۾ هن نقطي تي وڌيڪ تفصيل سان بحث ڪرڻ جو منصوبو ڪريون ٿا، تنهنڪري اسان سيٽنگن جي ترتيب کي ملتوي ڪيو. توهان هڪ نئون وائرليس رسائي پوائنٽ ٺاهي سگهو ٿا، ان سان ڳنڍڻ لاء پاسورڊ مقرر ڪريو ۽ وائرلیس چينل جي آپريٽنگ موڊ (2.4 Hz يا 5 Hz) جو تعين ڪريو.

ايندڙ قدم ڪمپني جي منتظمين لاء گيٽ وي تائين رسائي کي ترتيب ڏيڻ لاء هوندو. ڊفالٽ طور، رسائي جي حقن جي اجازت آهي جيڪڏهن ڪنيڪشن اچي ٿو:

1. اندروني ڪمپني ذيلي نيٽ
2. قابل اعتماد وائرليس نيٽ ورڪ
3. VPN سرنگ

انٽرنيٽ ذريعي گيٽ وي سان ڳنڍڻ جو اختيار ڊفالٽ طور تي بند ٿيل آهي، اهو وڏو خطرو آهي ۽ ان کي شامل ڪرڻ لاءِ جواز هجڻ ضروري آهي، ٻي صورت ۾ ان کي ڇڏي ڏيڻ جي سفارش ڪئي وئي آهي جيئن اسان جي مثال ۾، اهو پڻ بيان ڪرڻ ممڪن آهي ته ڪهڙن IP پتي جي اجازت ڏني ويندي. گيٽ وي سان ڳنڍڻ لاء.

ايندڙ ونڊو لائسنس جي چالو ڪرڻ جو خدشو آهي؛ ڊوائيس جي شروعاتي شروعات تي، توهان کي 30 ڏينهن جي آزمائشي مدت سان پيش ڪيو ويندو. فعال ٿيڻ جا ٻه طريقا موجود آهن:

1. جيڪڏهن ڪو انٽرنيٽ ڪنيڪشن آهي، لائسنس خودڪار طريقي سان چالو ڪيو ويندو آهي.
2. جيڪڏهن توهان هڪ لائسنس آف لائن چالو ڪيو ٿا، توهان کي هيٺين ڪرڻ جي ضرورت آهي: يوزر سينٽر کان لائسنس ڊائون لوڊ ڪريو، پنهنجي ڊوائيس کي خاص تي رجسٽر ڪريو پورٽ. اڳيون، ٻنهي صورتن لاء، توهان کي دستي طور تي ڊائون لوڊ ٿيل لائسنس درآمد ڪرڻ جي ضرورت پوندي.

آخرڪار، آخري ونڊو سيٽنگون وزرڊ ۾ توهان کي بليڊ چونڊڻ لاءِ اشارو ڪري ٿو آن ڪرڻ لاءِ؛ نوٽ ڪريو ته QOS بليڊ صرف شروعاتي شروعات کان پوءِ آن ڪيو ويو آهي. توهان کي مڪمل ٿيڻ واري ونڊو سان ختم ڪرڻ گهرجي جيڪا توهان جي سيٽنگن کي اختصار ڪري ٿي.

شروعاتي سيٽنگ

سڀ کان پهريان، اسان لائسنس جي صورتحال کي جانچڻ جي صلاح ڏيو ٿا؛ وڌيڪ ترتيب هن تي منحصر ٿيندي. ڏانھن وڃو "گھر" → "لائسنس" ٽيب:

جيڪڏهن لائسنس چالو آهن، اسان تجويز ڪريون ٿا فوري طور تي تازه ڪاري ڪرڻ لاءِ جديد فرم ویئر؛ ائين ڪرڻ لاءِ، وڃو "ڊيوائس" → "سسٽم آپريشنز" ٽيب:

سسٽم تازه ڪاريون فرم ويئر اپڊيٽ آئٽم ۾ واقع آهن. اسان جي صورت ۾، موجوده ۽ جديد firmware ورجن انسٽال ٿيل آهي.

اڳيون، آئون مختصر طور تي سسٽم بلڊ جي صلاحيتن ۽ سيٽنگن بابت ڳالهائڻ جو مشورو ڏيان ٿو. منطقي طور تي، انهن کي ورهائي سگهجي ٿو رسائي (فائر وال، ايپليڪيشن ڪنٽرول، URL فلٽرنگ) ۽ خطري جي روڪٿام (IPS، اينٽي وائرس، اينٽي بوٽ، خطري ايموليشن) سطح جي پاليسين.

اچو ته وڃو رسائي پاليسي → بليڊ ڪنٽرول ٽيب:

ڊفالٽ طور، معياري موڊ استعمال ڪيو ويندو آهي، اهو انٽرنيٽ ڏانهن نڪرڻ واري ٽرئفڪ جي اجازت ڏئي ٿو، ٽرئفڪ مقامي نيٽ ورڪ ۾، پر ساڳئي وقت انٽرنيٽ کان ايندڙ ٽرئفڪ کي بلاڪ ڪري ٿو.

جيئن ته APPLICATIONS ۽ URL FILTERING blades لاءِ، ڊفالٽ طور اهي سائيٽن کي بلاڪ ڪرڻ لاءِ مقرر ڪيا ويا آهن جن کي خطري جي وڏي سطح، بلاڪ ايڪسچينج ايپليڪيشنون (Torrent، File Storage، وغيره). توھان پڻ دستي طور تي سائيٽن جي زمرے کي بلاڪ ڪري سگھو ٿا.

اچو ته يوزر ٽريفڪ لاءِ آپشن چيڪ ڪريون “Limit bandwidth consuming applications” جي صلاحيت سان گڏ ايپليڪيشنن جي گروپن لاءِ ٻاهرئين / ايندڙ ٽرئفڪ جي رفتار کي محدود ڪرڻ جي.

اڳيون، کوليو پاليسي سبسيڪشن؛ ڊفالٽ طور، ضابطا پاڻمرادو ٺاهيا ويندا آھن اڳ بيان ڪيل سيٽنگن جي مطابق.

NAT ذيلي سيڪشن ڊفالٽ طور ڪم ڪري ٿو Global Hide Nat Automatic ۾، يعني سڀني اندروني ميزبانن کي عوامي IP پتي ذريعي انٽرنيٽ تائين رسائي هوندي. توهان جي ويب ايپليڪيشنن يا خدمتن کي شايع ڪرڻ لاء دستي طور تي NAT ضابطن کي ترتيب ڏيڻ ممڪن آهي.

اڳيون، سيڪشن جيڪو نيٽ ورڪ تي استعمال ڪندڙ جي تصديق جو خدشو آهي ٻه آپشن پيش ڪري ٿو: فعال ڊاريڪٽري سوالن (توهان جي AD سان انضمام)، برائوزر جي بنياد تي-تصديق (يوزر پورٽل ۾ ڊومين جي سند داخل ڪري ٿو).

اهو ذڪر ڪرڻ جي قابل آهي SSL معائنو الڳ الڳ؛ گلوبل نيٽورڪ تي ڪل HTTPS ٽرئفڪ جو حصو فعال طور تي وڌي رهيو آهي. اچو ته ڏسون ڪي خاصيتون چيڪ پوائنٽ پيش ڪري ٿو SMB حلن لاءِ. ائين ڪرڻ لاءِ، وڃو SSL-انسپيڪشن → پاليسي سيڪشن:

سيٽنگون ۾ توهان HTTPS ٽرئفڪ جو معائنو ڪري سگهو ٿا؛ توهان کي سرٽيفڪيٽ درآمد ڪرڻ ۽ ان کي انسٽال ڪرڻ جي ضرورت پوندي معتبر سرٽيفڪيٽ سينٽر تي آخري صارف مشينن تي.

اسان سمجھون ٿا BYPASS موڊ اڳواٽ بيان ڪيل ڀاڱن لاءِ ھڪڙو آسان اختيار آھي؛ اھو خاص طور تي وقت بچائيندو آھي جڏھن انسپيڪشن کي چالو ڪيو وڃي.

فائر وال / ايپليڪيشن جي سطح تي ضابطن کي ترتيب ڏيڻ کان پوء، توهان کي سيڪيورٽي پاليسين (خطرن جي روڪٿام) کي ترتيب ڏيڻ لاء اڳتي وڌڻ گهرجي، اهو ڪرڻ لاء، مناسب سيڪشن ڏانهن وڃو:

کليل صفحي تي اسان ڏسون ٿا فعال ٿيل بليڊ، دستخط ۽ ڊيٽابيس جي تازه ڪاري حالتون. اسان کي پڻ چيو ويو آهي ته نيٽ ورڪ جي حد جي حفاظت لاءِ پروفائل چونڊيو، ۽ لاڳاپيل سيٽنگون ڏيکاريون وڃن.

هڪ الڳ سيڪشن ”IPS تحفظات“ توهان کي اجازت ڏئي ٿو عمل کي ترتيب ڏيڻ لاءِ مخصوص سيڪيورٽي دستخط لاءِ.

گهڻو وقت اڳ اسان اسان جي بلاگ تي لکيو عالمي نقصان جي باري ۾ ونڊوز سرور لاءِ - SigRed. اچو ته ان جي موجودگي جي جانچ ڪريون Gaia Embedded 80.20 ۾ داخل ڪندي سوال “CVE-2020-1350”

هن دستخط لاءِ هڪ رڪارڊ ڳوليو ويو آهي جنهن تي عملن مان هڪ لاڳو ڪري سگهجي ٿو. (ڊفالٽ طور خطري جي سطح لاءِ روڪٿام نازڪ آهي). ان مطابق، هڪ SMB حل هجڻ سان، توهان کي اپڊيٽ ۽ سپورٽ جي لحاظ کان ٻاهر نه ڇڏيو ويندو؛ هي هڪ مڪمل NGFW حل آهي برانچ آفيسن لاءِ 200 تائين ماڻهن جي چيڪ پوائنٽ کان.

ڪارڪردگي جو جائزو

مضمون کي ختم ڪندي، مان SMB حل جي شروعاتي شروعاتي ۽ ترتيب ڏيڻ کان پوء مسئلن کي حل ڪرڻ لاء اوزار جي دستيابي کي نوٽ ڪرڻ چاهيندس. توھان وڃي سگھوٿا ”گھر“ → ”ٽولز“ سيڪشن. ممڪن اختيارن:

• نگراني نظام وسيلن؛
• رستي واري ٽيبل؛
• چيڪ پوائنٽ ڪلائوڊ سروسز جي دستيابي جي جانچ ڪندي؛
• CPinfo نسل؛

بلٽ ان نيٽ ورڪ ڪمانڊ پڻ موجود آهن: پنگ، ٽريڪروٽ، ٽريفڪ ڪيپچر.

اهڙيء طرح، اڄ اسان NGFW 1590 جي شروعاتي ڪنيڪشن ۽ ترتيب جو جائزو ورتو ۽ اڀياس ڪيو، توهان سڄي 1500 SMB چيڪ پوائنٽ سيريز لاء ساڳيا عمل ڪندا. دستياب اختيارن اسان کي ڏيکاريو سيٽنگون لاء اعلي متغير، نيٽ ورڪ جي فريم تي ٽرئفڪ جي حفاظت جي جديد طريقن جي حمايت.

اڄڪلهه، ننڍڙن آفيسن ۽ شاخن جي حفاظت لاءِ چيڪ پوائنٽ حل (200 ماڻهن تائين) وٽ وسيع رينج جا اوزار آهن ۽ جديد ٽيڪنالاجيون استعمال ڪن ٿا (ڪلائوڊ مئنيجمينٽ، سم ڪارڊ سپورٽ، SD ڪارڊ استعمال ڪندي ميموري توسيع وغيره). باخبر رهڻ ۽ TS حل کان آرٽيڪل پڙهڻ جاري رکو، اسان SMB خاندان جي NGFW چيڪ پوائنٽ بابت حصن جي وڌيڪ رليز جي منصوبابندي ڪري رهيا آهيون، توهان کي ڏسو!

TS حل مان چيڪ پوائنٽ تي مواد جو وڏو انتخاب. ڏسندا رهو (تار, ڪريو, VK, TS حل بلاگ, Yandex Zen).

جو ذريعو: www.habr.com