2. NGFW ganacsiyada yaryar. Unboxing and Setup

Waxaan sii wadeynaa taxanaha maqaallada ku saabsan la shaqeynta nooca cusub ee SMB CheckPoint kala duwan, aan ku xasuusinno taas qaybta koowaad waxaanu sharaxnay sifooyinka iyo kartida moodooyinka cusub, maamulka iyo hababka maamulka. Maanta waxaan eegi doonaa muuqaalka geynta ee qaabkii hore ee taxanaha: CheckPoint 1590 NGFW. Waa kan qaybtan oo kooban:

1. Qalabka baakadaha (sharaxaadda qaybaha, isku xirka jirka iyo shabakada).
2. Qalabaynta bilowga ah
3. Habaynta hore
4. Qiimaynta waxqabadka.

Qalabka Furashada

Barashada qalabku waxay ku bilaabataa in qalabka laga saaro sanduuqa, kala furfurida qaybaha iyo rakibidda qaybaha; dhagsii qaswadayaasha, halkaas oo habka si kooban loo soo bandhigay

Gaarsiinta NGFW 1590

Si kooban oo ku saabsan qaybaha:

• NGFW 1590;
• adabtarada awooda;
• 2 Wifi anteeno (2.4 Hz iyo 5 Hz);
• 2 anteenooyinkooda LTE;
• Buug-yaro leh dukumeenti (hage gaaban oo ku saabsan xiriirka bilowga ah, heshiiska shatiga, iwm.)

Sida dekedaha shabakadaha iyo is-dhexgalka, waxaa jira dhammaan awoodaha casriga ah ee gudbinta taraafikada iyo isdhexgalka, deked gooni ah oo loogu talagalay aagga DMZ, USB 3.0 oo loogu talagalay la-shaqeynta PC.

Nooca 1590 wuxuu helay naqshad la cusboonaysiiyay, xulashooyinka casriga ah ee isgaarsiinta wireless-ka iyo ballaarinta xusuusta: 2 boosaska la shaqeynta Micro/Nano SIM ee qaabka LTE. (waxaanu qorshaynaynaa inaanu si faahfaahsan ugu qorno doorashadan mid ka mid ah maqaaladayada soo socda ee taxanaha ah ee loogu talagalay isku xirka wireless); booska kaadhka SD.

Waxaad ka akhrisan kartaa wax badan oo ku saabsan awoodaha 1590 NGFW iyo moodooyinka kale ee cusub ee gudaha 1 qaybood laga soo bilaabo maqaallo taxane ah oo ku saabsan xalalka CheckPoint SMB. Waxaan sii wadi doonaa bilowga bilowga aaladda.

Bilawga aasaasiga ah

Akhristeyaasheena caadiga ah waa inay hore u ogaadaan in 1500 Series SMB line uu isticmaalo 80.20 Embedded OS cusub, kaas oo ay ku jiraan is-dhexgal la cusboonaysiiyay iyo awoodaha la hagaajiyay.

Si aad u bilowdo bilawga qalabka waxaad u baahan tahay:

1. Awood sii albaabka.
2. Ku xidh fiilada shabakada kombuyutarkaaga LAN-1 ee albaabka.
3. Ikhtiyaar ahaan, waxaad isla markiiba siin kartaa aaladda marin u helka internetka adoo ku xiraya isdhexgalka dekedda WAN.
4. Aad bogga Gaia Embedded: https://192.168.1.1:4434/

Haddii aad raacdo tillaabooyinka hore loo sheegay, ka dib markaad aado bogga Gaia portal, waxaad u baahan doontaa inaad xaqiijiso furitaanka bogga shahaado aan la aamini karin, ka dib saaxir Settings portal ayaa bilaabi doona:

Waxaa lagugu salaami doona bog tilmaamaya qaabka qalabkaaga, waxaad u baahan tahay inaad aado qaybta xigta:

Waxaa naloo waydiin doonaa inaan abuurno akoon ogolaansho, waxaa suurtagal ah in la qeexo shuruudaha sirta ah ee maamulaha, waxaanan tilmaamaynaa waddanka aan isticmaali doono albaabka.

Daaqada soo socota waxay khusaysaa taariikhda iyo wakhtiga dejinta; waxaad u dejisan kartaa gacanta ama waxaad isticmaali kartaa server-ka NTP ee shirkadda.

Talaabada xigta waxay ku lug leedahay samaynta magaca aaladda iyo qeexida domainka shirkadda si adeegyada albaabadu ay si sax ah ugu shaqeeyaan internetka.

Tallaabada xigta waxay khusaysaa doorashada nooca xakamaynta NGFW, halkan waa in lagu xuso:

1. Maamulka Deegaanka. Tani waa ikhtiyaar la heli karo si loogu maareeyo albaabka gudaha iyadoo la adeegsanayo bogga shabakadda Gaia Portal.
2. Maamulka Dhexe. Maaraynta noocaan ah waxaa ka mid ah la shaqaynta server-ka Maaraynta CheckPoint, la shaqaynta daruuraha Smart1-Cloud ama SMP (adeegga maamulka ee SMB).

Maqaalkan, waxaan diirada saari doonaa habka Maareynta Deegaanka; waxaad qeexi kartaa habka loo baahan yahay. Si aad naftaada u barato habka wada shaqaynta ee Server-ka Maaraynta u go'an, waxaanu soo jeedinaynaa ссылка laga bilaabo CheckPoint Taxanaha Bilowga Tababarka ee ay diyaarisay TS Solution.

Marka xigta, daaqad ayaa la soo bandhigi doonaa oo qeexaysa qaabka ay u shaqaynayso is-dhexgalka ee iridda:

• Qaabka beddelku waxa uu tusinayaa in la heli karo shabakad hoose oo ka socota hal interface ilaa subnet-ka interface kale.
• Habka 'Disable Switch mode' wuxuu si toos ah u baabi'iyaa habka 'Switch'; deked kastaa waxay marinaysaa taraafikada sida jajab shabakad gooni ah.

Waxa kale oo la soo jeediyay in la qeexo barkad ciwaannada DHCP ah oo la isticmaali doono marka la isku xidho is dhex galka degaanka ee kadinka.

Tallaabada xigta waa in la habeeyo albaabka si uu ugu shaqeeyo habka wireless-ka; waxaan qorsheyneynaa inaan si faahfaahsan uga wada hadalno dhinacan hal maqaal oo taxane ah, sidaas darteed waxaan dib u dhignay qaabeynta goobaha. Waxaad samayn kartaa barta gelitaanka wireless-ka cusub, samee furaha sirta ah si aad ugu xidhidhdo oo aad go'aamiso qaabka uu u shaqeeyo kanaalka wireless-ka (2.4 Hz ama 5 Hz).

Tallaabada xigta waxay noqon doontaa in la habeeyo gelitaanka albaabka maamulayaasha shirkadda. Sida caadiga ah, xuquuqda gelitaanka waa la oggol yahay haddii xidhiidhku ka yimaaddo:

1. Subnet shirkadda gudaha
2. Shabakad wireless ah oo la aamini karo
3. tunnel VPN

Ikhtiyaarka ah in lagu xidho albaabka laga galo internetka waa naafo, tani waxay wadataa khataro badan waana in loo caddeeyaa in lagu daro, haddii kale waxaa lagula talinayaa in loo daayo sida tusaale ahaan. in lagu xidho kadinka.

Daaqadda xigta waxay khusaysaa hawlgelinta shatiyada; marka bilawga bilawga ah ee qalabka, waxaa lagu soo bandhigi doonaa muddo tijaabo ah oo 30 maalmood ah. Waxaa jira laba hab oo la heli karo:

1. Haddii uu jiro xiriir internet, shatiga si toos ah ayaa loo hawlgelinayaa.
2. Haddii aad ka shaqeysiiso shatiga offline, waxaad u baahan tahay inaad sameyso waxa soo socda: kala soo bax shatiga UserCenter, ku diwaangeli qalabkaaga mid gaar ah portal. Marka xigta, labada xaaladood, waxaad u baahan doontaa inaad soo dejiso shatiga gacanta lagu soo dejiyo.

Ugu dambeyntii, daaqada ugu dambeysa ee saaxiraha goobaha ayaa kugu dhiirigelinaya inaad doorato daabyada la shidinayo; ogow in daabkii QOS uu shidmay kaliya ka dib bilowga bilowga. Waa inaad ku dhammaataa daaqad dhammaystiran oo soo koobaysa habayntaada.

Habaynta hore

Ugu horreyntii, waxaan kugula talineynaa inaad hubiso heerka shatiyada; qaabeynta dheeraadka ah waxay ku xirnaan doontaa tan. Tag "HOME" → "License" tab:

Haddii shatiyada la hawlgeliyo, waxaan kugula talineynaa in isla markiiba la cusbooneysiiyo firmware-kii ugu dambeeyay; si tan loo sameeyo, tag "QALABKA" → "Hawlgallada Nidaamka" tab:

Cusbooneysiinta nidaamka waxay ku yaalliin shayga cusboonaysiinta Firmware. Xaaladeena, nooca firmware-ka hadda iyo kan ugu dambeeyay ayaa lagu rakibay.

Marka xigta, waxaan soo jeedinayaa in aan si kooban uga hadlo kartida iyo goobaha hababka nidaamka. Si macquul ah, waxaa loo qaybin karaa gelitaanka (Firewall, Xakamaynta Codsiga, Shaandhaynta URL) iyo Kahortagga Khatarta (IPS, Antivirus, Anti-Bot, Emulation Hanjabaadda) siyaasadaha heerka.

Aan tagno Siyaasadda Helitaanka → tab Control Blade:

Sida caadiga ah, qaabka STANDARD ayaa loo isticmaalaa, waxay u ogolaataa taraafikada ka baxa internetka, taraafikada gudaha shabakada maxaliga ah, laakiin isla mar ahaantaana waxay xannibaysaa taraafikada ka imanaysa internetka.

Dhanka CODSIGA & URL FILTERING blades, sida caadiga ah waxaa loo dejiyay inay xannibaan goobaha khatarta sare leh, xannibaadda codsiyada isweydaarsiga (Torrent, Kaydinta Faylka, iwm.). Waxa kale oo aad sidoo kale gacanta ku joojin kartaa qaybaha boggaga.

Aynu eegno ikhtiyaarka taraafikada isticmaalaha "Yaree arjiyada isticmaaleya bandwidth" iyadoo awood u leh inay xaddido xawaaraha taraafikada ee baxaya/soo galaya kooxaha codsiyada.

Marka xigta, fur qaybta-Siyaasiga; sida caadiga ah, xeerarka si toos ah ayaa loo soo saaray iyadoo la raacayo goobaha hore loo sharraxay.

Qaybta NAT sida caadiga ah waxay u shaqeysaa Global Hide Nat Automatic, ie. dhammaan martigaliyayaasha gudaha waxay marin u heli doonaan internetka iyada oo loo marayo cinwaanka IP-ga dadweynaha. Waxaa suurtogal ah in gacanta lagu dejiyo xeerarka NAT ee daabacaadda codsiyadaada ama adeegyadaaga shabakadda.

Marka xigta, qaybta khusaysa Xaqiijinta Isticmaalaha ee shabakada waxay bixisaa laba ikhtiyaar: Weydiimaha Hagaha Active (isdhexgalka AD-kaaga), Browser-based-Authentication (isticmaalku wuxuu galaa aqoonsiga domain ee bogga).

Waxaa mudan in si gaar ah loo xuso kormeerka SSL; saamiga guud ee taraafikada HTTPS ee Shabakadda Caalamiga ah ayaa si firfircoon u koraysa. Aynu eegno sifooyinka CheckPoint waxay bixisaa xalalka SMB Si tan loo sameeyo, tag SSL-Inspection → Qaybta Siyaasadda:

Goobaha waxaad ku baari kartaa taraafikada HTTPS; waxaad u baahan doontaa inaad soo dejiso shahaadada oo aad ku rakibto xarunta shahaadada lagu kalsoon yahay ee mashiinada isticmaalaha dhamaadka.

Waxaan u aragnaa habka BYPASS ee qaybaha horay loo sii qeexay inay yihiin ikhtiyaar ku habboon; tani waxay si weyn u badbaadinaysaa waqtiga marka ay suurtagelinayso kormeerka.

Ka dib markaad dejiso xeerarka heerka Firewall / Codsiga, waa inaad sii wadaa hagaajinta siyaasadaha amniga (Kahortagga Khatarta ah), si tan loo sameeyo, tag qaybta ku habboon:

Bogga furan waxaan ku aragnaa daab karti leh, saxiix iyo cusboonaysiinta xaaladaha xogta. Waxaa sidoo kale nala weydiistay inaan dooranno profile si loo ilaaliyo wareegga shabakadda, iyo goobaha u dhigma ayaa la soo bandhigay.

Qayb gaar ah "IPS Ilaalinta" waxay kuu ogolaaneysaa inaad u habayso ficilka saxeex ammaan oo gaar ah.

Muddo aan fogayn ayaan ku qornay blog-keena ku saabsan baylahnimada caalamiga ah loogu talagalay Windows Server - SigRed. Aynu eegno joogitaankeeda Gaia Embedded 80.20 annagoo gelinayna weydiinta "CVE-2020-1350"

Saxeexan ayaa loo helay diiwaanka mid ka mid ah falalka lagu dabaqi karo. (sida caadiga ah Kahortagga heerka khatarta waa Halis). Sidaa darteed, helitaanka xalka SMB, lagaagama tagi doono dhinaca cusboonaysiinta iyo taageerada; tani waa xal NGFW dhamaystiran oo loogu talagalay xafiisyada laanta ilaa 200 oo qof oo ka socda CheckPoint.

Qiimaynta waxqabadka

Gebagebada maqaalka, waxaan jeclaan lahaa in aan ogaado helitaanka qalabyada dhibaatooyinka cilad-bixinta ka dib bilowga bilowga iyo qaabeynta xalka SMB. Waxaad aadi kartaa qaybta "GURI" → "Tools". Doorashooyinka suurtagalka ah:

• ilaha nidaamka la socodka;
• miiska marinka;
• hubinta helitaanka adeegyada daruuraha ee CheckPoint;
• Jiilka CPinfo;

Awaamiirta shabakadda ee la dhisay ayaa sidoo kale la heli karaa: Ping, Traceroute, Qabsashada Gaadiidka.

Sidaa darteed, maanta waxaan dib u eegnay oo aan baranay xiriirka bilowga ah iyo qaabeynta NGFW 1590, waxaad sameyn doontaa ficillo la mid ah dhammaan taxanaha 1500 SMB Checkpoint. Fursadaha la heli karo waxay na tuseen kala duwanaanshiyaha sare ee goobaha, taageerada hababka casriga ah ee ilaalinta taraafikada wareegga shabakada.

Maanta, xalalka CheckPoint ee ilaalinta xafiisyada yaryar iyo laamaha (ilaa 200 oo qof) waxay leeyihiin qalabyo kala duwan waxayna isticmaalaan tignoolajiyada ugu dambeeyay (maamulka daruuraha, taageerada kaararka SIM, ballaarinta xusuusta iyadoo la adeegsanayo kaararka SD, iwm.). Sii wad inaad la socodsiiso oo aad akhrido maqaallada TS Solution, waxaan qorsheyneynaa sii deyno dheeri ah oo qaybo ah oo ku saabsan NGFW CheckPoint ee qoyska SMB, waan ku aragnaa!

Xulasho badan oo agab ah oo ku taal Check Point ka TS Solution. la socotelegraam, Facebook, VK, TS Solution Blog, Yandex Zen).

Source: www.habr.com