Ne vazhdojmë serinë e artikujve mbi punën me gamën e re të modeleve SMB CheckPoint, le t'ju kujtojmë se në kemi përshkruar karakteristikat dhe aftësitë e modeleve të reja, metodat e menaxhimit dhe administrimit. Sot do të shikojmë skenarin e vendosjes për modelin më të vjetër të serisë: CheckPoint 1590 NGFW. Këtu është një përmbledhje e kësaj pjese:
- Shpaketimi i pajisjeve (përshkrimi i komponentëve, lidhjet fizike dhe rrjeti).
- Inicializimi fillestar i pajisjes.
- Konfigurimi fillestar.
- Vlerësimi i performancës.
Shpaketimi i pajisjeve
Njohja me pajisjen fillon me heqjen e pajisjeve nga kutia, çmontimin e komponentëve dhe instalimin e pjesëve; klikoni në spoiler, ku procesi është paraqitur shkurtimisht.
Dorëzimi i NGFW 1590
Shkurtimisht për komponentët:
- NGFW 1590;
- Adapter i rrymës;
- 2 antena Wifi (2.4 Hz dhe 5 Hz);
- 2 antena LTE;
- Broshura me dokumentacion (një udhëzues i shkurtër për lidhjen fillestare, marrëveshjen e licencës, etj.)
Sa i përket porteve dhe ndërfaqeve të rrjetit, ekzistojnë të gjitha aftësitë moderne për transmetimin dhe ndërveprimin e trafikut, një portë të veçantë për zonën DMZ, USB 3.0 për sinkronizimin me një PC.
Versioni 1590 mori një dizajn të përditësuar, opsione moderne për komunikimin me valë dhe zgjerimin e memories: 2 slota për të punuar me Micro/Nano SIM në modalitetin LTE. (ne planifikojmë të shkruajmë për këtë opsion në detaje në një nga artikujt tanë të ardhshëm në serinë kushtuar lidhjeve me valë); Vendi i kartës SD.
Mund të lexoni më shumë rreth aftësive të 1590 NGFW dhe modeleve të tjera të reja në nga një seri artikujsh rreth zgjidhjeve të CheckPoint SMB. Ne do të vazhdojmë me inicializimin fillestar të pajisjes.
Inicializimi primar
Lexuesit tanë të rregullt tashmë duhet të jenë të vetëdijshëm se linja SMB e Serisë 1500 përdor sistemin e ri 80.20 Embedded OS, i cili përfshin një ndërfaqe të përditësuar dhe aftësi të përmirësuara.
Për të filluar inicializimin e pajisjes ju duhet:
- Siguroni energji në portë.
- Lidhni kabllon e rrjetit nga kompjuteri juaj me LAN -1 në portë.
- Opsionale, mund t'i siguroni pajisjes menjëherë akses në internet duke lidhur ndërfaqen me portën WAN.
- Shkoni në portalin Gaia Embedded:
Nëse keni ndjekur hapat e deklaruar më parë, atëherë pasi të keni shkuar në faqen e portalit Gaia, do t'ju duhet të konfirmoni hapjen e faqes me një certifikatë të pabesueshme, pas së cilës do të hapet magjistari i cilësimeve të portalit:
Do të përshëndeteni nga një faqe që tregon modelin e pajisjes tuaj, duhet të shkoni në seksionin tjetër:
Do të na kërkohet të krijojmë një llogari për autorizim, është e mundur të specifikojmë kërkesat e larta të fjalëkalimit për administratorin dhe ne tregojmë vendin ku do të përdorim portën.
Dritarja tjetër ka të bëjë me cilësimet e datës dhe orës; mund ta vendosni manualisht ose të përdorni serverin NTP të kompanisë.
Hapi tjetër përfshin vendosjen e një emri për pajisjen dhe specifikimin e domenit të kompanisë në mënyrë që shërbimet e portës të funksionojnë siç duhet në internet.
Hapi tjetër ka të bëjë me zgjedhjen e llojit të kontrollit NGFW, këtu duhet të theksohet:
- Menaxhimi lokal. Ky është një opsion i disponueshëm për të menaxhuar portën në nivel lokal duke përdorur faqen e internetit të Portalit Gaia.
- Menaxhimi Qendror. Ky lloj menaxhimi përfshin sinkronizimin me një server të dedikuar të Menaxhimit të CheckPoint, sinkronizimin me renë kompjuterike Smart1-Cloud ose me SMP (shërbim menaxhimi për SMB).
Në këtë artikull, ne do të përqendrohemi në metodën e Menaxhimit Lokal; ju mund të specifikoni metodën që është e nevojshme. Për t'u njohur me procesin e sinkronizimit me një server të dedikuar të menaxhimit, ne sugjerojmë nga seria e trajnimeve CheckPoint Getting Started e përgatitur nga TS Solution.
Më pas, do të paraqitet një dritare që përcakton mënyrën e funksionimit të ndërfaqeve në portë:
- Modaliteti i ndërrimit nënkupton disponueshmërinë e një nënrrjeti nga një ndërfaqe në nënrrjetin e një ndërfaqeje tjetër.
- Modaliteti Disable Switch në përputhje me rrethanat çaktivizon modalitetin Switch; çdo portë drejton trafikun si për një fragment të veçantë rrjeti.
Gjithashtu propozohet të specifikohet një grup adresash DHCP që do të përdoren kur lidheni me ndërfaqet lokale të portës.
Hapi tjetër është konfigurimi i portës për të punuar në modalitetin pa tel; ne planifikojmë ta diskutojmë këtë aspekt në mënyrë më të detajuar në një artikull të serisë, kështu që e shtymë konfigurimin e cilësimeve. Mund të krijoni një pikë të re aksesi me valë, të vendosni një fjalëkalim për t'u lidhur me të dhe të përcaktoni mënyrën e funksionimit të kanalit me valë (2.4 Hz ose 5 Hz).
Hapi tjetër do të jetë konfigurimi i hyrjes në portë për administratorët e kompanisë. Si parazgjedhje, të drejtat e aksesit lejohen nëse lidhja vjen nga:
- Nënrrjeti i brendshëm i kompanisë
- Rrjet pa tel i besuar
- Tuneli VPN
Opsioni për t'u lidhur me portën nëpërmjet internetit është i çaktivizuar si parazgjedhje, kjo mbart rreziqe të mëdha dhe duhet të justifikohet për t'u përfshirë, përndryshe rekomandohet ta lini atë si në shembullin tonë. Gjithashtu është e mundur të specifikoni se cilat adresa IP do të lejohen për t'u lidhur me portën.
Dritarja tjetër ka të bëjë me aktivizimin e licencave; pas inicializimit fillestar të pajisjes, do t'ju paraqitet një periudhë prove 30-ditore. Ekzistojnë dy mënyra të disponueshme aktivizimi:
- Nëse ka një lidhje interneti, licenca aktivizohet automatikisht.
- Nëse aktivizoni një licencë jashtë linje, duhet të bëni sa më poshtë: shkarkoni licencën nga UserCenter, regjistroni pajisjen tuaj në një speciale . Më pas, për të dyja rastet, do t'ju duhet të importoni licencën e shkarkuar manualisht.
Më në fund, dritarja e fundit në magjistarin e cilësimeve ju kërkon të zgjidhni tehet që do të ndizen; vini re se tehu i QOS ndizet vetëm pas inicializimit fillestar. Duhet të përfundoni me një dritare përfundimi që përmbledh cilësimet tuaja.
Konfigurimi fillestar
Para së gjithash, ju rekomandojmë të kontrolloni statusin e licencave; konfigurimi i mëtejshëm do të varet nga kjo. Shkoni te skedari "HOME" → "Licenca":
Nëse licencat janë aktivizuar, ju rekomandojmë të përditësoni menjëherë firmware-in më të fundit aktual; për ta bërë këtë, shkoni te skedari "PAJISJE" → "Operacionet e sistemit":
Përditësimet e sistemit ndodhen në artikullin Përmirësimi i firmuerit. Në rastin tonë, është instaluar versioni aktual dhe i fundit i firmuerit.
Tjetra, unë propozoj të flasim shkurtimisht për aftësitë dhe cilësimet e teheve të sistemit. Logjikisht, ato mund të ndahen në politikat e nivelit të Access (Firewall, Kontrolli i aplikacionit, Filtrimi i URL-së) dhe Parandalimi i Kërcënimeve (IPS, Antivirus, Anti-Bot, Emulation Kërcënimi).
Le të shkojmë te skeda Politika e hyrjes → Kontrolli i tehut:
Si parazgjedhje, përdoret modaliteti STANDARD, ai lejon trafikun dalës në internet, trafikun brenda rrjetit lokal, por në të njëjtën kohë bllokon trafikun hyrës nga Interneti.
Për sa i përket blades APLIKACIONE & FILTERING URL, si parazgjedhje ato janë vendosur të bllokojnë faqet me nivel të lartë rreziku, të bllokojnë aplikacionet e shkëmbimit (Torrent, File Storage, etj.). Ju gjithashtu mund të bllokoni kategoritë e faqeve me dorë.
Le të kontrollojmë opsionin për trafikun e përdoruesve “Limit bandwidth konsuming applications” me aftësinë për të kufizuar shpejtësinë e trafikut dalës/hyrës për grupe aplikacionesh.
Më pas, hapni nënseksionin Politika; si parazgjedhje, rregullat gjenerohen automatikisht sipas cilësimeve të përshkruara më parë.
Nënseksioni NAT si parazgjedhje funksionon në Global Hide Nat Automatic, domethënë të gjithë hostet e brendshëm do të kenë akses në internet përmes adresës IP publike. Është e mundur të vendosni manualisht rregullat NAT për publikimin e aplikacioneve ose shërbimeve tuaja në ueb.
Më pas, seksioni që ka të bëjë me Autentifikimin e Përdoruesit në rrjet ofron dy opsione: Pyetjet e Drejtorisë Active (integrimi me AD-në tuaj), Autentifikimi i bazuar në shfletues (përdoruesi fut kredencialet e domenit në portal).
Vlen të përmendet veçmas inspektimi SSL; pjesa e trafikut total HTTPS në Rrjetin Global po rritet në mënyrë aktive. Le të shohim se cilat veçori ofron CheckPoint për zgjidhjet SMB. Për ta bërë këtë, shkoni te seksioni SSL-Inspection → Policy:
Në cilësimet mund të inspektoni trafikun HTTPS; do t'ju duhet të importoni certifikatën dhe ta instaloni atë në qendrën e besuar të certifikatave në makinat e përdoruesve fundorë.
Ne e konsiderojmë mënyrën BYPASS për kategoritë e paracaktuara si një opsion të përshtatshëm; kjo kursen ndjeshëm kohë kur mundëson inspektimin.
Pas konfigurimit të rregullave në nivelin Firewall / Aplikacioni, duhet të vazhdoni me akordimin e politikave të sigurisë (Parandalimi i Kërcënimeve), për ta bërë këtë, shkoni te seksioni përkatës:
Në faqen e hapur ne shohim blades të aktivizuara, nënshkrime dhe statuse të përditësimit të bazës së të dhënave. Na kërkohet gjithashtu të zgjedhim një profil për mbrojtjen e perimetrit të rrjetit dhe shfaqen cilësimet përkatëse.
Një seksion i veçantë "Mbrojtja IPS" ju lejon të konfiguroni veprimin për një nënshkrim specifik sigurie.
Jo shumë kohë më parë kemi shkruar në blogun tonë për Windows Server - SigRed. Le të kontrollojmë praninë e tij në Gaia Embedded 80.20 duke futur pyetjen "CVE-2020-1350"
Për këtë nënshkrim është zbuluar një rekord për të cilin mund të zbatohet një nga veprimet. (si parazgjedhje Parandalimi për nivelin e rrezikut është Kritik). Prandaj, duke pasur një zgjidhje SMB, nuk do të mbeteni jashtë për sa i përket përditësimeve dhe mbështetjes; kjo është një zgjidhje e plotë NGFW për zyrat e degëve deri në 200 persona nga CheckPoint.
Vlerësimi i performancës
Në përfundim të artikullit, do të doja të shënoja disponueshmërinë e mjeteve për zgjidhjen e problemeve pas inicializimit dhe konfigurimit fillestar të zgjidhjes SMB. Mund të shkoni te seksioni "HOME" → "Vegla". Opsionet e mundshme:
- burimet e sistemit të monitorimit;
- tabela e drejtimit;
- kontrollimi i disponueshmërisë së shërbimeve cloud të CheckPoint;
- gjenerimi i CPinfo;
Komandat e integruara të rrjetit janë gjithashtu të disponueshme: Ping, Traceroute, Traffic Capture.
Kështu, sot kemi shqyrtuar dhe studiuar lidhjen fillestare dhe konfigurimin e NGFW 1590, ju do të kryeni veprime të ngjashme për të gjithë serinë 1500 SMB Checkpoint. Opsionet e disponueshme na treguan ndryshueshmëri të lartë për cilësimet, mbështetje për metodat moderne të mbrojtjes së trafikut në perimetrin e rrjetit.
Sot, zgjidhjet CheckPoint për mbrojtjen e zyrave dhe degëve të vogla (deri në 200 persona) kanë një gamë të gjerë mjetesh dhe përdorin teknologjitë më të fundit (menaxhimi i resë kompjuterike, mbështetja e kartave SIM, zgjerimi i memories duke përdorur karta SD, etj.). Vazhdoni të qëndroni të informuar dhe të lexoni artikuj nga TS Solution, ne po planifikojmë publikime të mëtejshme të pjesëve rreth NGFW CheckPoint të familjes SMB, shihemi!
. Qëndroni të sintonizuar (, , , , ).
Burimi: www.habr.com