Urang neruskeun runtuyan artikel dina gawé bareng rentang model SMB CheckPoint anyar, hayu urang ngingetan yén dina kami ngajelaskeun ciri sareng kamampuan modél anyar, manajemén sareng metode administrasi. Dinten ieu kami bakal ningali skenario panyebaran pikeun modél anu langkung lami dina séri: CheckPoint 1590 NGFW. Ieu kasimpulan bagian ieu:
- Ngabongkar alat (deskripsi komponén, sambungan fisik sareng jaringan).
- Inisialisasi alat awal.
- Setélan awal.
- Penilaian kinerja.
Ngabongkar Parabot
Ngauningaan alat dimimitian ku miceun alat tina kotak, ngabongkar komponén sareng masang bagian; klik dina spoiler, dimana prosésna dibere sakedap.
Pangiriman NGFW 1590
Sakeudeung ngeunaan komponén:
- NGFW 1590;
- adaptor kakuatan;
- 2 anteneu Wifi (2.4 Hz jeung 5 Hz);
- 2 anteneu LTE;
- Buklet sareng dokuméntasi (pituduh pondok pikeun sambungan awal, perjanjian lisénsi, jsb.)
Sedengkeun pikeun palabuhan jaringan sarta interfaces, aya sagala kamampuhan modern pikeun transmisi lalulintas sarta interaksi, port misah pikeun zone DMZ, USB 3.0 pikeun sinkronisasi jeung PC.
Vérsi 1590 nampi desain anu diropéa, pilihan modern pikeun komunikasi nirkabel sareng ékspansi mémori: 2 slot pikeun gawé bareng Micro / Nano SIM dina modeu LTE. (urang rencanana nulis ngeunaan pilihan ieu di jéntré dina salah sahiji artikel kami salajengna dina séri dedicated ka sambungan nirkabel); slot kartu SD.
Anjeun bisa maca leuwih lengkep tentang kamampuhan 1590 NGFW sarta model anyar lianna di ti runtuyan artikel ngeunaan solusi CheckPoint SMB. Urang bakal neruskeun ka initialization awal alat.
Initialization primér
Pamiarsa biasa urang kedah sadar yén garis SMB 1500 Series nganggo 80.20 Embedded OS énggal, anu kalebet antarbeungeut anu diropéa sareng kamampuan ningkat.
Pikeun ngamimitian ngamimitian alat anjeun kedah:
- Nyadiakeun kakuatan ka gateway.
- Sambungkeun kabel jaringan tina PC Anjeun ka LAN -1 on gateway nu.
- Optionally, Anjeun bisa langsung nyadiakeun alat jeung aksés Internet ku cara ngahubungkeun panganteur ka port WAN.
- Buka portal Gaia Embedded:
Upami anjeun nuturkeun léngkah-léngkah anu dinyatakeun sateuacana, teras saatos angkat ka halaman portal Gaia, anjeun kedah mastikeun muka halaman kalayan sertipikat anu teu dipercaya, saatos éta wizard setélan portal bakal diluncurkeun:
Anjeun bakal disambut ku halaman anu nunjukkeun modél alat anjeun, anjeun kedah angkat ka bagian salajengna:
Urang bakal dipenta pikeun nyieun hiji akun pikeun otorisasina, kasebut nyaéta dimungkinkeun pikeun nangtukeun syarat sandi tinggi pikeun administrator, sarta kami nunjukkeun nagara dimana urang bakal ngagunakeun gateway nu.
Jandéla salajengna ngeunaan setélan tanggal sareng waktos; anjeun tiasa nyetél sacara manual atanapi nganggo server NTP perusahaan.
Léngkah satuluyna ngalibatkeun netepkeun nami alat sareng netepkeun domain perusahaan supados jasa gateway tiasa dianggo leres dina Internét.
Léngkah salajengna ngeunaan pilihan jinis kontrol NGFW, di dieu kedah diperhatoskeun:
- Manajemén Lokal. Ieu mangrupikeun pilihan anu sayogi pikeun ngatur gateway sacara lokal nganggo halaman wéb Gaia Portal.
- Manajemén Tengah. Jenis manajemén ieu kalebet sinkronisasi sareng server CheckPoint Management khusus, sinkronisasi sareng awan Smart1-Cloud atanapi sareng SMP (layanan manajemén pikeun SMB).
Dina tulisan ieu, urang bakal difokuskeun metode Manajemén Lokal; anjeun tiasa netepkeun metode anu diperyogikeun. Pikeun familiarize diri sareng prosés singkronisasi sareng Manajemén Server khusus, kami nyarankeun ti séri latihan CheckPoint Ngamimitian disiapkeun ku TS Solution.
Salajengna, jandela bakal dibere nangtukeun mode operasi tina interfaces on gateway nu:
- Mode switch nunjukkeun kasadiaan subnet tina hiji panganteur ka subnet tina panganteur sejen.
- Modeu Pareuman Pindah sasuai nganonaktipkeun mode Pindah; unggal palabuhan ngarutekeun lalu lintas sapertos kanggo sempalan jaringan anu misah.
Ogé diusulkeun pikeun nangtukeun kolam renang alamat DHCP anu bakal dipaké nalika nyambungkeun ka interfaces lokal gateway nu.
Léngkah satuluyna nyaéta ngonpigurasikeun gateway pikeun dianggo dina modeu nirkabel; urang rencanana ngabahas aspék ieu dina leuwih jéntré dina hiji artikel dina séri, jadi urang nunda konfigurasi setelan. Anjeun tiasa nyiptakeun titik aksés nirkabel énggal, nyetél kecap konci pikeun nyambungkeunana sareng nangtukeun modeu operasi saluran nirkabel (2.4 Hz atanapi 5 Hz).
Lengkah saterusna nyaéta ngonpigurasikeun aksés ka gateway pikeun pangurus perusahaan. Sacara standar, hak aksés diidinan upami sambunganna asalna tina:
- Subnet perusahaan internal
- Jaringan nirkabel anu dipercaya
- torowongan VPN
Pilihan pikeun nyambung ka gateway via Internet ditumpurkeun sacara standar, ieu mawa resiko gede jeung kudu diyakinkeun pikeun citakan, disebutkeun eta disarankeun pikeun ninggalkeun eta saperti dina conto urang. pikeun nyambung ka gateway.
Jandéla salajengna ngeunaan aktivasina lisénsi; saatos mimiti alat, anjeun bakal dibere periode percobaan 30 dinten. Aya dua metode aktivasina anu sayogi:
- Upami aya sambungan Internét, lisénsina diaktipkeun sacara otomatis.
- Upami anjeun ngaktipkeun lisénsi offline, anjeun kedah ngalakukeun ieu: unduh lisénsi ti UserCenter, ngadaptarkeun alat anjeun dina tempat khusus. . Salajengna, pikeun dua kasus, anjeun kedah ngimpor lisénsi anu diunduh sacara manual.
Tungtungna, jandela anu terakhir dina wizard setélan nyarankeun anjeun milih wilah anu bakal dihurungkeun; perhatikeun yén sabeulah QOS dihurungkeun ngan saatos initialization awal. Anjeun kudu mungkas nepi ka jandela parantosan nu summarizes setelan Anjeun.
Setup awal
Anu mimiti, kami nyarankeun mariksa status lisénsi; konfigurasi salajengna bakal gumantung kana ieu. Pindah ka "HOME" → tab "Lisensi":
Upami lisénsina diaktipkeun, kami nyarankeun langsung ngapdet kana firmware anu pang anyarna; pikeun ngalakukeun ieu, angkat ka tab "ARANG" → "Operasi Sistem":
Apdet sistem aya dina item Ngaronjatkeun firmware. Dina kasus urang, versi firmware ayeuna sareng panganyarna dipasang.
Salajengna, kuring ngajukeun ngobrol sakeudeung ngeunaan kamampuan sareng setelan wilah sistem. Logis, aranjeunna tiasa dibagi kana Aksés (Firewall, Kontrol Aplikasi, Filtering URL) sareng Kabijakan Tingkat Ancaman (IPS, Antivirus, Anti-Bot, Threat Emulation).
Hayu urang angkat ka Kabijakan Aksés → tab Kontrol Blade:
Sacara standar, modeu STANDARD dianggo, ngamungkinkeun lalu lintas kaluar ka Internét, lalu lintas dina jaringan lokal, tapi dina waktos anu sami ngablokir lalu lintas asup tina Internét.
Sedengkeun pikeun APLIKASI & URL FILTERING wilah, sacara standar aranjeunna disetel pikeun meungpeuk situs kalayan tingkat bahaya luhur, meungpeuk aplikasi bursa (Torrent, Panyimpenan File, jsb). Anjeun ogé tiasa meungpeuk kategori situs sacara manual.
Hayu urang parios pilihan pikeun lalu lintas pangguna "Batesan aplikasi anu nganggo bandwidth" kalayan kamampuan ngabatesan laju lalu lintas kaluar / asup pikeun grup aplikasi.
Salajengna, buka subsection Kawijakan; sacara standar, aturan dihasilkeun sacara otomatis dumasar kana setélan anu dijelaskeun sateuacana.
Subseksi NAT sacara standar dianggo dina Global Hide Nat Automatic, nyaéta sadaya host internal bakal gaduh aksés ka Internét ngalangkungan alamat IP umum. Anjeun tiasa nyetél aturan NAT sacara manual pikeun nyebarkeun aplikasi atanapi jasa wéb anjeun.
Salajengna, bagian anu patali jeung Auténtikasi Pamaké dina jaringan nawiskeun dua pilihan: Active Directory Queries (integrasi sareng AD anjeun), Browser-Based-Authentication (pamaké asupkeun kredensial domain dina portal).
Perlu disebatkeun inspeksi SSL sacara misah; pangsa tina total lalu lintas HTTPS dina Jaringan Global aktip ngembang. Hayu urang tingali fitur naon anu ditawarkeun CheckPoint pikeun solusi SMB. Jang ngalampahkeun ieu, buka bagian SSL-Inspection → Policy:
Dina setélan anjeun tiasa mariksa lalu lintas HTTPS; anjeun kedah ngimpor sertipikat sareng pasang di pusat sertipikat anu dipercaya dina mesin pangguna akhir.
Kami nganggap mode BYPASS pikeun kategori anu tos disetel janten pilihan anu merenah; ieu sacara signifikan ngahemat waktos nalika ngaktipkeun pamariksaan.
Saatos ngonpigurasikeun aturan di tingkat Firewall / Aplikasi, anjeun kedah neraskeun kabijakan kaamanan (Pencegahan Ancaman), pikeun ngalakukeun ieu, angkat ka bagian anu luyu:
Dina kaca kabuka urang tingali wilah diaktipkeun, signature na status update database. Kami ogé dipenta pikeun milih profil pikeun ngajagi perimeter jaringan, sareng setélan anu saluyu ditampilkeun.
Bagian anu misah "Perlindungan IPS" ngamungkinkeun anjeun pikeun ngonpigurasikeun tindakan pikeun tanda tangan kaamanan khusus.
Teu kungsi lila urang nulis dina blog urang pikeun Windows Server - SigRed. Hayu urang parios ayana dina Gaia Embedded 80.20 ku ngalebetkeun pamundut "CVE-2020-1350"
Rékam parantos dideteksi pikeun tandatangan ieu anu mana salah sahiji tindakan tiasa diterapkeun. (sacara standar Nyegah pikeun tingkat bahaya nyaeta Kritis). Sasuai, gaduh solusi SMB, anjeun moal tinggaleun dina hal apdet sareng dukungan; ieu mangrupikeun solusi NGFW lengkep pikeun kantor cabang dugi ka 200 urang ti CheckPoint.
Penilaian kinerja
Nyimpulkeun tulisan, kuring hoyong perhatikeun kasadiaan alat pikeun ngungkulan masalah saatos initialization awal sareng konfigurasi solusi SMB. Anjeun tiasa angkat ka bagian "HOME" → "Alat". Pilihan anu mungkin:
- sumberdaya sistem monitoring;
- méja routing;
- mariksa kasadiaan jasa awan CheckPoint;
- generasi CPinfo;
Paréntah jaringan anu diwangun ogé sayogi: Ping, Traceroute, Traffic Capture.
Ku kituna, dinten ieu kami marios tur diajar sambungan awal jeung konfigurasi NGFW 1590, anjeun bakal ngalakukeun lampah sarupa pikeun sakabéh runtuyan 1500 SMB Checkpoint. Pilihan anu sayogi nunjukkeun kami variabilitas anu luhur pikeun setélan, dukungan pikeun metode modéren pikeun ngajagi lalu lintas dina perimeter jaringan.
Kiwari, solusi CheckPoint pikeun ngajaga kantor leutik sareng cabang (nepi ka 200 jalma) ngagaduhan rupa-rupa alat sareng nganggo téknologi pang anyarna (manajemén awan, dukungan kartu SIM, ékspansi mémori nganggo kartu SD, jsb.). Nuluykeun tetep informed jeung maca artikel ti TS Solusi, urang keur perencanaan release salajengna ngeunaan bagian ngeunaan NGFW CheckPoint kulawarga SMB, tingali anjeun!
. Tetep di dieu (, , , , ).
sumber: www.habr.com
