Pokračujeme v sérii článkov o práci s novým modelovým radom SMB CheckPoint, pripomeňme, že v prvá časť popísali sme vlastnosti a možnosti nových modelov, metódy riadenia a správy. Dnes sa pozrieme na scenár nasadenia pre starší model zo série: CheckPoint 1590 NGFW. Tu je zhrnutie tejto časti:
Vybalenie zariadenia (popis komponentov, fyzické a sieťové pripojenia).
Počiatočná inicializácia zariadenia.
Pôvodné nastavenie.
Hodnotenie výkonu.
Rozbaľovacie vybavenie
Zoznámenie sa so zariadením začína vybratím zariadenia z krabice, demontážou komponentov a inštaláciou dielov; kliknite na spojler, kde je stručne predstavený proces
Dodanie 1590 NGFW
Stručne o komponentoch:
NGFW 1590;
Nabíjačka;
2 Wifi antény (2.4 Hz a 5 Hz);
2 LTE antény;
Brožúry s dokumentáciou (krátky návod na prvé pripojenie, licenčná zmluva atď.)
Čo sa týka sieťových portov a rozhraní, sú tu všetky moderné možnosti pre prenos a interakciu prevádzky, samostatný port pre zónu DMZ, USB 3.0 pre synchronizáciu s PC.
Verzia 1590 dostala aktualizovaný dizajn, moderné možnosti bezdrôtovej komunikácie a rozšírenia pamäte: 2 sloty pre prácu s Micro/Nano SIM v LTE režime. (o tejto možnosti plánujeme podrobne písať v jednom z našich ďalších článkov zo série venovanej bezdrôtovým pripojeniam); slot na SD kartu.
Viac o schopnostiach 1590 NGFW a ďalších nových modelov si môžete prečítať v Časti 1 zo série článkov o riešeniach CheckPoint SMB. Pristúpime k úvodnej inicializácii zariadenia.
Primárna inicializácia
Naši pravidelní čitatelia by si už mali byť vedomí toho, že rad 1500 SMB používa nový vstavaný operačný systém 80.20, ktorý obsahuje aktualizované rozhranie a vylepšené funkcie.
Ak chcete začať inicializovať zariadenie, musíte:
Zabezpečte napájanie brány.
Pripojte sieťový kábel z počítača do siete LAN -1 na bráne.
Voliteľne môžete zariadeniu okamžite poskytnúť prístup na internet pripojením rozhrania k portu WAN.
Ak ste postupovali podľa vyššie uvedených krokov, potom po prechode na stránku portálu Gaia budete musieť potvrdiť otvorenie stránky s nedôveryhodným certifikátom, po čom sa spustí sprievodca nastavením portálu:
Uvíta vás stránka s uvedením modelu vášho zariadenia, musíte prejsť na ďalšiu časť:
Budeme vyzvaní na vytvorenie účtu na autorizáciu, je možné zadať vysoké požiadavky na heslo pre administrátora a uvedieme krajinu, kde budeme bránu používať.
Ďalšie okno sa týka nastavenia dátumu a času, môžete ho nastaviť manuálne alebo použiť firemný NTP server.
Ďalším krokom je nastavenie názvu zariadenia a špecifikácia firemnej domény, aby služby brány fungovali na internete správne.
Ďalší krok sa týka výberu typu ovládania NGFW, tu je potrebné poznamenať:
Miestny manažment. Toto je dostupná možnosť spravovať bránu lokálne pomocou webovej stránky Gaia Portal.
Centrálne riadenie. Tento typ správy zahŕňa synchronizáciu s vyhradeným serverom CheckPoint Management, synchronizáciu s cloudom Smart1-Cloud alebo s SMP (služba správy pre SMB).
V tomto článku sa zameriame na metódu lokálnej správy, môžete určiť metódu, ktorá je potrebná. Odporúčame vám, aby ste sa oboznámili s procesom synchronizácie s vyhradeným serverom na správu odkaz zo série školení CheckPoint Getting Started, ktorú pripravila spoločnosť TS Solution.
Ďalej sa zobrazí okno definujúce prevádzkový režim rozhraní na bráne:
Režim prepínania znamená dostupnosť podsiete z jedného rozhrania do podsiete iného rozhrania.
Režim Disable Switch zodpovedajúcim spôsobom deaktivuje režim Switch; každý port smeruje prevádzku ako samostatný sieťový fragment.
Navrhuje sa tiež špecifikovať skupinu adries DHCP, ktoré sa budú používať pri pripájaní k lokálnym rozhraniam brány.
Ďalším krokom je nakonfigurovať bránu tak, aby fungovala v bezdrôtovom režime, tento aspekt plánujeme podrobnejšie rozobrať v jednom článku zo série, preto sme konfiguráciu nastavení odložili. Môžete vytvoriť nový bezdrôtový prístupový bod, nastaviť heslo na pripojenie k nemu a určiť prevádzkový režim bezdrôtového kanála (2.4 Hz alebo 5 Hz).
Ďalším krokom bude konfigurácia prístupu k bráne pre správcov spoločnosti. V predvolenom nastavení sú prístupové práva povolené, ak pripojenie pochádza z:
Interná firemná podsieť
Dôveryhodná bezdrôtová sieť
VPN tunel
Možnosť pripojiť sa k bráne cez internet je štandardne zakázaná, to so sebou nesie veľké riziká a treba to zdôvodniť, v opačnom prípade sa odporúča ponechať to ako v našom príklade.Je tiež možné určiť, ktoré IP adresy budú povolené na pripojenie k bráne.
Ďalšie okno sa týka aktivácie licencií, po úvodnej inicializácii zariadenia vám bude ponúknutá 30-dňová skúšobná doba. K dispozícii sú dva spôsoby aktivácie:
Ak je k dispozícii internetové pripojenie, licencia sa aktivuje automaticky.
Ak aktivujete licenciu offline, musíte urobiť nasledovné: stiahnuť licenciu z UserCenter, zaregistrovať svoje zariadenie na špeciálnom portál. Ďalej v oboch prípadoch budete musieť importovať manuálne stiahnutú licenciu.
Nakoniec, posledné okno v sprievodcovi nastavením vás vyzve, aby ste vybrali čepele, ktoré sa majú zapnúť; všimnite si, že čepeľ QOS sa zapne až po počiatočnej inicializácii. Mali by ste skončiť s oknom dokončenia, v ktorom sú zhrnuté vaše nastavenia.
Pôvodné nastavenie
V prvom rade odporúčame skontrolovať stav licencií, od toho bude závisieť ďalšia konfigurácia. Prejdite na kartu „DOMOV“ → „Licencia“:
Ak sú licencie aktivované, odporúčame ihneď aktualizovať na najnovší aktuálny firmvér, ak to chcete urobiť, prejdite na kartu „ZARIADENIE“ → „Operácie systému“:
Aktualizácie systému sa nachádzajú v položke Firmware Upgrade. V našom prípade je nainštalovaná aktuálna a najnovšia verzia firmvéru.
Ďalej navrhujem stručne hovoriť o možnostiach a nastaveniach čepelí systému. Logicky ich možno rozdeliť na politiky úrovne Prístup (Firewall, Kontrola aplikácií, Filtrovanie URL) a Prevencia hrozieb (IPS, Antivírus, Anti-Bot, Emulácia hrozieb).
Poďme na kartu Prístupová politika → Kontrola čepele:
Štandardne sa používa režim STANDARD, umožňuje odchádzajúcu prevádzku do internetu, prevádzku v rámci lokálnej siete, no zároveň blokuje prichádzajúcu komunikáciu z internetu.
Čo sa týka listov APPLICATIONS & URL FILTERING, štandardne sú nastavené na blokovanie stránok s vysokou mierou nebezpečenstva, blokovanie výmenných aplikácií (torrent, File Storage atď.). Kategórie stránok môžete dodatočne zablokovať aj manuálne.
Pozrime sa na možnosť pre používateľskú prevádzku „Obmedziť aplikácie náročné na šírku pásma“ s možnosťou obmedziť rýchlosť odchádzajúcej/prichádzajúcej prevádzky pre skupiny aplikácií.
Ďalej otvorte podsekciu Politika, štandardne sa pravidlá generujú automaticky podľa vyššie popísaných nastavení.
Podsekcia NAT štandardne funguje v Global Hide Nat Automatic, t. j. všetci interní hostitelia budú mať prístup na internet prostredníctvom verejnej IP adresy. Je možné manuálne nastaviť pravidlá NAT pre publikovanie vašich webových aplikácií alebo služieb.
Ďalej sekcia, ktorá sa týka autentifikácie užívateľa v sieti, ponúka dve možnosti: Active Directory Queries (integrácia s vašou AD), Browser-Based-Authentication (používateľ zadá prihlasovacie údaje domény do portálu).
Samostatne stojí za zmienku kontrola SSL, podiel celkovej návštevnosti HTTPS na globálnej sieti aktívne rastie. Pozrime sa, aké funkcie ponúka CheckPoint pre riešenia SMB. Ak to chcete urobiť, prejdite do časti Kontrola SSL → Zásady:
V nastaveniach môžete kontrolovať HTTPS prenos; budete musieť importovať certifikát a nainštalovať ho do dôveryhodného certifikačného centra na počítačoch koncových používateľov.
Za pohodlnú možnosť považujeme režim BYPASS pre preddefinované kategórie, ktorý výrazne šetrí čas pri povolení kontroly.
Po konfigurácii pravidiel na úrovni Firewall/Aplikácie by ste mali pristúpiť k ladeniu bezpečnostných politík (Prevencia hrozieb), aby ste tak urobili, prejdite do príslušnej sekcie:
Na otvorenej stránke vidíme povolené blade, podpisy a stavy aktualizácie databázy. Tiež sa zobrazí výzva na výber profilu na ochranu perimetra siete a zobrazia sa príslušné nastavenia.
Samostatná časť „Ochrany IPS“ vám umožňuje nakonfigurovať akciu pre konkrétny bezpečnostný podpis.
Nie je to tak dávno, čo sme písali na našom blogu o globálnej zraniteľnosti pre Windows Server - SigRed. Skontrolujte jeho prítomnosť v Gaia Embedded 80.20 zadaním dotazu „CVE-2020-1350“
Pre tento podpis bol zistený záznam, na ktorý možno použiť jednu z akcií. (predvolene Prevencia pre úroveň nebezpečenstva je Kritická). V súlade s tým, s riešením pre malé a stredné podniky, nebudete vynechaní z hľadiska aktualizácií a podpory; ide o kompletné riešenie NGFW pre pobočky do 200 ľudí od spoločnosti CheckPoint.
Hodnotenie výkonu
Na záver článku by som chcel poznamenať dostupnosť nástrojov na riešenie problémov po počiatočnej inicializácii a konfigurácii riešenia SMB. Môžete prejsť do časti „DOMOV“ → „Nástroje“. Možné možnosti:
zdroje monitorovacieho systému;
smerovacia tabuľka;
kontrola dostupnosti cloudových služieb CheckPoint;
generovanie CPinfo;
K dispozícii sú aj vstavané sieťové príkazy: Ping, Traceroute, Traffic Capture.
Preto sme dnes skontrolovali a preštudovali počiatočné pripojenie a konfiguráciu NGFW 1590, budete vykonávať podobné akcie pre celú sériu 1500 SMB Checkpoint. Dostupné možnosti nám ukázali vysokú variabilitu pre nastavenia, podporu moderných spôsobov ochrany prevádzky na perimetri siete.
Riešenia CheckPoint na ochranu malých kancelárií a pobočiek (do 200 osôb) dnes disponujú širokou škálou nástrojov a využívajú najnovšie technológie (cloud management, podpora SIM kariet, rozšírenie pamäte pomocou SD kariet a pod.). Zostaňte informovaní a čítajte články z TS Solution, plánujeme ďalšie vydania častí o NGFW CheckPoint z rodiny SMB, uvidíme sa!