Nadaljujemo serijo člankov o delu z novim modelom SMB CheckPoint, naj vas spomnimo, da v opisali smo značilnosti in zmožnosti novih modelov, upravljanje in načine upravljanja. Danes si bomo ogledali scenarij uvedbe za starejši model v seriji: CheckPoint 1590 NGFW. Tukaj je povzetek tega dela:
- Razpakiranje opreme (opis komponent, fizične in omrežne povezave).
- Začetna inicializacija naprave.
- Začetna nastavitev.
- Ocena uspešnosti.
Razpakiranje opreme
Spoznavanje opreme se začne z odstranitvijo opreme iz škatle, razstavljanjem komponent in namestitvijo delov, kliknite na spojler, kjer je na kratko predstavljen postopek
Dostava NGFW 1590
Na kratko o komponentah:
- NGFW 1590;
- Polnilec;
- 2 Wifi anteni (2.4 Hz in 5 Hz);
- 2 LTE anteni;
- Knjižice z dokumentacijo (kratek vodnik za prvo povezavo, licenčna pogodba itd.)
Kar zadeva omrežna vrata in vmesnike, obstajajo vse sodobne zmogljivosti za prenos in interakcijo prometa, ločena vrata za območje DMZ, USB 3.0 za sinhronizacijo z osebnim računalnikom.
Različica 1590 je prejela posodobljen dizajn, sodobne možnosti za brezžično komunikacijo in razširitev pomnilnika: 2 reži za delo z Micro/Nano SIM v načinu LTE. (o tej možnosti nameravamo podrobneje pisati v enem od naslednjih člankov v seriji, posvečeni brezžičnim povezavam); Reža za kartico SD.
Več o zmogljivostih 1590 NGFW in drugih novih modelov lahko preberete v iz serije člankov o rešitvah CheckPoint SMB. Nadaljevali bomo z začetno inicializacijo naprave.
Primarna inicializacija
Naši redni bralci bi se že morali zavedati, da linija SMB serije 1500 uporablja nov vgrajeni OS 80.20, ki vključuje posodobljen vmesnik in izboljšane zmogljivosti.
Za začetek inicializacije naprave morate:
- Zagotovite napajanje prehodu.
- Povežite omrežni kabel iz računalnika z LAN -1 na prehodu.
- Po želji lahko napravi takoj omogočite dostop do interneta s povezavo vmesnika na vrata WAN.
- Pojdite na portal Gaia Embedded:
Če ste sledili prej navedenim korakom, boste morali po obisku strani portala Gaia potrditi odprtje strani z nezaupljivim potrdilom, nakar se bo zagnal čarovnik za nastavitve portala:
Pozdravila vas bo stran, ki označuje model vaše naprave, morate iti na naslednji razdelek:
Za avtorizacijo bomo pozvani, da ustvarimo račun, za skrbnika je mogoče določiti visoke zahteve za geslo in navedemo državo, v kateri bomo uporabljali prehod.
Naslednje okno se nanaša na nastavitve datuma in časa; nastavite jih lahko ročno ali uporabite strežnik NTP podjetja.
Naslednji korak vključuje nastavitev imena za napravo in določitev domene podjetja, tako da storitve prehoda pravilno delujejo v internetu.
Naslednji korak zadeva izbiro vrste nadzora NGFW, tukaj je treba opozoriti:
- Lokalno upravljanje. To je razpoložljiva možnost za lokalno upravljanje prehoda s spletno stranjo portala Gaia.
- Centralno upravljanje. Tovrstno upravljanje vključuje sinhronizacijo z namenskim strežnikom CheckPoint Management, sinhronizacijo z oblakom Smart1-Cloud ali s SMP (storitev upravljanja za SMB).
V tem članku se bomo osredotočili na metodo lokalnega upravljanja; sami lahko določite metodo, ki je potrebna. Predlagamo, da se seznanite s postopkom sinhronizacije z namenskim strežnikom za upravljanje iz serije usposabljanj CheckPoint Getting Started, ki jo je pripravil TS Solution.
Nato se prikaže okno, ki določa način delovanja vmesnikov na prehodu:
- Preklopni način pomeni razpoložljivost podomrežja iz enega vmesnika v podomrežje drugega vmesnika.
- Način Onemogoči stikalo ustrezno onemogoči način stikala; vsaka vrata usmerjajo promet kot za ločen fragment omrežja.
Predlaga se tudi določitev skupine naslovov DHCP, ki se bodo uporabljali pri povezovanju z lokalnimi vmesniki prehoda.
Naslednji korak je konfiguracija prehoda za delo v brezžičnem načinu; o tem vidiku nameravamo podrobneje razpravljati v enem članku v seriji, zato smo konfiguracijo nastavitev preložili. Ustvarite lahko novo brezžično dostopno točko, nastavite geslo za povezavo z njo in določite način delovanja brezžičnega kanala (2.4 Hz ali 5 Hz).
Naslednji korak bo konfiguracija dostopa do prehoda za skrbnike podjetja. Pravice dostopa so privzeto dovoljene, če povezava prihaja iz:
- Notranje podomrežje podjetja
- Zaupanja vredno brezžično omrežje
- VPN tunel
Možnost povezovanja s prehodom prek interneta je privzeto onemogočena, to prinaša veliko tveganje in mora biti za vključitev utemeljeno, sicer je priporočljivo, da jo pustite kot v našem primeru.Možno je tudi določiti kateri IP naslovi bodo dovoljeni za povezavo s prehodom.
Naslednje okno se nanaša na aktivacijo licenc, po začetni inicializaciji naprave se vam prikaže 30-dnevno preskusno obdobje. Na voljo sta dva načina aktivacije:
- Če obstaja internetna povezava, se licenca samodejno aktivira.
- Če aktivirate licenco brez povezave, morate storiti naslednje: prenesti licenco iz uporabniškega središča, registrirati svojo napravo na posebnem . Nato boste morali v obeh primerih uvoziti ročno preneseno licenco.
Na koncu vas zadnje okno v čarovniku za nastavitve pozove, da izberete rezine, ki jih želite vklopiti; upoštevajte, da se rezina QOS vklopi šele po začetni inicializaciji. Na koncu bi morali dobiti okno za dokončanje, ki povzema vaše nastavitve.
Začetna nastavitev
Najprej priporočamo, da preverite stanje licenc, od tega bo odvisna nadaljnja konfiguracija. Pojdite na »DOMOV« → zavihek »Licenca«:
Če so licence aktivirane, priporočamo takojšnjo posodobitev na najnovejšo trenutno vdelano programsko opremo; za to pojdite na »NAPRAVA« → zavihek »Sistemske operacije«:
Sistemske posodobitve se nahajajo v elementu Firmware Upgrade. V našem primeru je nameščena trenutna in najnovejša različica vdelane programske opreme.
Nato predlagam, da na kratko spregovorim o zmožnostih in nastavitvah sistemskih rezin. Logično jih je mogoče razdeliti na politike ravni dostopa (požarni zid, nadzor aplikacij, filtriranje URL-jev) in preprečevanja groženj (IPS, protivirusni programi, protiboti, emulacija groženj).
Pojdimo na zavihek Access Policy → Blade Control:
Privzeto je uporabljen način STANDARD, ki dovoljuje odhodni promet v internet, promet znotraj lokalnega omrežja, hkrati pa blokira dohodni promet iz interneta.
Rezine APLIKACIJ IN FILTRIRANJE URL-jev so privzeto nastavljene tako, da blokirajo mesta z visoko stopnjo nevarnosti, blokirajo aplikacije za izmenjavo (Torrent, File Storage itd.). Poleg tega lahko ročno blokirate kategorije spletnih mest.
Preverimo možnost za uporabniški promet “Omeji aplikacije, ki porabljajo pasovno širino” z možnostjo omejitve hitrosti odhodnega/dohodnega prometa za skupine aplikacij.
Nato odprite pododdelek Politika, pravila se privzeto generirajo samodejno glede na predhodno opisane nastavitve.
Pododdelek NAT privzeto deluje v Global Hide Nat Automatic, kar pomeni, da bodo imeli vsi notranji gostitelji dostop do interneta prek javnega naslova IP. Možno je ročno nastaviti pravila NAT za objavo vaših spletnih aplikacij ali storitev.
Nato razdelek, ki se nanaša na preverjanje pristnosti uporabnika v omrežju, ponuja dve možnosti: poizvedbe imenika Active Directory (integracija z vašim oglasom), preverjanje pristnosti na podlagi brskalnika (uporabnik v portal vnese poverilnice domene).
Ločeno je treba omeniti inšpekcijo SSL, delež skupnega prometa HTTPS v globalnem omrežju aktivno narašča. Poglejmo, katere funkcije ponuja CheckPoint za rešitve SMB. Če želite to narediti, pojdite na razdelek SSL-Inspection → Policy:
V nastavitvah lahko pregledate promet HTTPS; potrdilo boste morali uvoziti in ga namestiti v zaupanja vrednem centru za potrdila na strojih končnih uporabnikov.
Menimo, da je način BYPASS za vnaprej določene kategorije priročna možnost, ki bistveno prihrani čas pri omogočanju pregleda.
Ko konfigurirate pravila na ravni požarnega zidu / aplikacije, morate nadaljevati s prilagajanjem varnostnih pravilnikov (preprečevanje groženj), če želite to narediti, pojdite na ustrezen razdelek:
Na odprti strani vidimo omogočene rezine, stanja podpisa in posodobitve baze podatkov. Prav tako smo pozvani, da izberemo profil za zaščito omrežnega perimetra in prikažejo se ustrezne nastavitve.
Ločen razdelek »IPS Protections« vam omogoča, da konfigurirate dejanje za določen varnostni podpis.
Nedolgo nazaj smo pisali na našem blogu za Windows Server - SigRed. Preverimo njegovo prisotnost v Gaia Embedded 80.20 tako, da vnesemo poizvedbo “CVE-2020-1350”
Za ta podpis je bil zaznan zapis, za katerega je mogoče uporabiti eno od dejanj. (privzeto Prepreči za stopnjo nevarnosti je Kritično). Skladno s tem, če imate rešitev za mala in srednja podjetja, ne boste izostavljeni v smislu posodobitev in podpore; to je popolna rešitev NGFW za podružnice do 200 ljudi iz CheckPointa.
Ocena uspešnosti
V zaključku članka bi rad opozoril na razpoložljivost orodij za odpravljanje težav po začetni inicializaciji in konfiguraciji rešitve SMB. Lahko greste v razdelek »DOMOV« → »Orodja«. Možne možnosti:
- spremljanje sistemskih virov;
- usmerjevalna tabela;
- preverjanje razpoložljivosti oblačnih storitev CheckPoint;
- generacija CPinfo;
Na voljo so tudi vgrajeni omrežni ukazi: Ping, Traceroute, Traffic Capture.
Tako smo danes pregledali in preučili začetno povezavo in konfiguracijo NGFW 1590, podobna dejanja boste izvedli za celotno serijo 1500 SMB Checkpoint. Razpoložljive možnosti so nam pokazale visoko variabilnost nastavitev, podporo sodobnim metodam zaščite prometa na omrežnem obodu.
Danes imajo rešitve CheckPoint za zaščito majhnih pisarn in poslovalnic (do 200 oseb) širok nabor orodij in uporabljajo najnovejše tehnologije (upravljanje v oblaku, podpora za SIM kartice, razširitev pomnilnika s SD karticami itd.). Še naprej bodite obveščeni in berite članke iz TS Solution, načrtujemo nadaljnje izdaje delov o NGFW CheckPoint družine SMB, se vidimo!
. Ostani na vezi (, , , , ).
Vir: www.habr.com