Vi fortsätter serien med artiklar om att arbeta med den nya SMB CheckPoint-modellserien, låt oss påminna dig om att i vi beskrev egenskaperna och kapaciteten hos de nya modellerna, förvaltningen och administrationsmetoderna. Idag ska vi titta på installationsscenariot för den äldre modellen i serien: CheckPoint 1590 NGFW. Här är en sammanfattning av denna del:
- Uppackning av utrustning (beskrivning av komponenter, fysiska och nätverksanslutningar).
- Initial initiering av enheten.
- Första installationen.
- Prestationsbedömning.
Uppackning av utrustning
Att lära känna utrustningen börjar med att ta ut utrustningen ur kartongen, demontera komponenter och installera delar; klicka på spoilern, där processen presenteras kortfattat
Leverans av NGFW 1590
Kort om komponenterna:
- NGFW 1590;
- Strömadapter;
- 2 wifi-antenner (2.4 Hz och 5 Hz);
- 2 LTE-antenner;
- Häften med dokumentation (en kort guide till första anslutning, licensavtal, etc.)
När det gäller nätverksportar och gränssnitt finns alla moderna möjligheter för trafiköverföring och interaktion, en separat port för DMZ-zonen, USB 3.0 för synkronisering med en PC.
Version 1590 fick en uppdaterad design, moderna alternativ för trådlös kommunikation och minnesexpansion: 2 platser för att arbeta med Micro/Nano SIM i LTE-läge. (vi planerar att skriva om detta alternativ i detalj i en av våra nästa artiklar i serien dedikerad till trådlösa anslutningar); SD-kortplats.
Du kan läsa mer om funktionerna hos 1590 NGFW och andra nya modeller i från en serie artiklar om CheckPoint SMB-lösningar. Vi fortsätter till den initiala initieringen av enheten.
Primär initiering
Våra vanliga läsare bör redan vara medvetna om att 1500-seriens SMB-linje använder det nya 80.20 Embedded OS, som inkluderar ett uppdaterat gränssnitt och förbättrade möjligheter.
För att börja initiera enheten måste du:
- Ge ström till gatewayen.
- Anslut nätverkskabeln från din PC till LAN -1 på gatewayen.
- Alternativt kan du omedelbart förse enheten med Internetåtkomst genom att ansluta gränssnittet till WAN-porten.
- Gå till Gaia Embedded-portalen:
Om du följde de tidigare angivna stegen måste du efter att ha gått till Gaia-portalsidan bekräfta att sidan öppnas med ett opålitligt certifikat, varefter guiden för portalinställningar startas:
Du kommer att mötas av en sida som anger enhetens modell, du måste gå till nästa avsnitt:
Vi kommer att bli ombedda att skapa ett konto för auktorisering, det är möjligt att ange höga lösenordskrav för administratören och vi anger det land där vi kommer att använda gatewayen.
Nästa fönster gäller datum- och tidsinställningar; du kan ställa in det manuellt eller använda företagets NTP-server.
Nästa steg innebär att sätta ett namn på enheten och ange företagsdomänen så att gatewaytjänsterna fungerar korrekt på Internet.
Nästa steg gäller valet av NGFW-kontrolltyp, här bör det noteras:
- Lokal ledning. Detta är ett tillgängligt alternativ för att hantera gatewayen lokalt med hjälp av Gaia Portals webbsida.
- Central ledning. Denna typ av hantering inkluderar synkronisering med en dedikerad CheckPoint Management-server, synkronisering med Smart1-Cloud-molnet eller med SMP (hanteringstjänst för SMB).
I den här artikeln kommer vi att fokusera på den lokala hanteringsmetoden; du kan ange den metod som är nödvändig. För att bekanta dig med processen för synkronisering med en dedikerad Management Server, föreslår vi från CheckPoint Getting Started-utbildningsserien utarbetad av TS Solution.
Därefter kommer ett fönster att presenteras som definierar driftsläget för gränssnitten på gatewayen:
- Växlingsläge innebär att ett undernät är tillgängligt från ett gränssnitt till undernätet i ett annat gränssnitt.
- Inaktivera Switch-läget inaktiverar därför Switch-läget; varje port dirigerar trafik som för ett separat nätverksfragment.
Det föreslås också att specificera en pool av DHCP-adresser som kommer att användas vid anslutning till gatewayens lokala gränssnitt.
Nästa steg är att konfigurera gatewayen för att fungera i trådlöst läge; vi planerar att diskutera denna aspekt mer i detalj i en artikel i serien, så vi sköt upp konfigurationen av inställningarna. Du kan skapa en ny trådlös åtkomstpunkt, ställa in ett lösenord för att ansluta till den och bestämma driftläget för den trådlösa kanalen (2.4 Hz eller 5 Hz).
Nästa steg blir att konfigurera åtkomst till gatewayen för företagsadministratörer. Som standard är åtkomsträttigheter tillåtna om anslutningen kommer från:
- Internt företagsundernät
- Pålitligt trådlöst nätverk
- VPN-tunnel
Möjligheten att ansluta till gatewayen via Internet är inaktiverad som standard, detta medför stora risker och måste motiveras för inkludering, annars rekommenderas att lämna det som i vårt exempel.Det går även att ange vilka IP-adresser som ska tillåtas för att ansluta till gatewayen.
Nästa fönster gäller aktivering av licenser; vid initial initiering av enheten kommer du att presenteras med en 30-dagars provperiod. Det finns två tillgängliga aktiveringsmetoder:
- Om det finns en Internetanslutning aktiveras licensen automatiskt.
- Om du aktiverar en licens offline måste du göra följande: ladda ner licensen från UserCenter, registrera din enhet på en speciell . Därefter måste du för båda fallen importera den manuellt nedladdade licensen.
Slutligen, det sista fönstret i inställningsguiden uppmanar dig att välja de blad som ska slås på; observera att QOS-bladet slås på först efter initial initiering. Du bör sluta med ett kompletteringsfönster som sammanfattar dina inställningar.
Första installationen
Först och främst rekommenderar vi att du kontrollerar licensernas status, ytterligare konfiguration beror på detta. Gå till fliken "HEM" → "Licens":
Om licenserna är aktiverade rekommenderar vi att du omedelbart uppdaterar till den senaste aktuella firmwaren; för att göra detta, gå till fliken "ENHET" → "Systemdrift":
Systemuppdateringar finns i objektet Firmware Upgrade. I vårt fall är den aktuella och senaste firmwareversionen installerad.
Därefter föreslår jag att jag kort pratar om funktionerna och inställningarna för systembladen. Logiskt sett kan de delas in i policyer på åtkomst (brandvägg, programkontroll, URL-filtrering) och hotförebyggande (IPS, antivirus, anti-bot, hotemulering).
Låt oss gå till Åtkomstpolicy → Bladkontroll-fliken:
Som standard används STANDARD-läget, det tillåter utgående trafik till Internet, trafik inom det lokala nätverket, men blockerar samtidigt inkommande trafik från Internet.
När det gäller APPLICATIONS & URL FILTERING-bladen är de som standard inställda på att blockera webbplatser med en hög risknivå, blockera utbytesapplikationer (Torrent, File Storage, etc.). Du kan också blockera kategorier av webbplatser manuellt.
Låt oss kontrollera alternativet för användartrafik "Begränsa bandbreddskrävande applikationer" med möjligheten att begränsa hastigheten för utgående/inkommande trafik för grupper av applikationer.
Öppna sedan undersektionen Policy; som standard genereras reglerna automatiskt enligt de tidigare beskrivna inställningarna.
NAT-undersektionen fungerar som standard i Global Hide Nat Automatic, dvs alla interna värdar kommer att ha tillgång till Internet via den offentliga IP-adressen. Det är möjligt att manuellt ställa in NAT-regler för publicering av dina webbapplikationer eller tjänster.
Därefter erbjuder avsnittet som rör användarautentisering på nätverket två alternativ: Active Directory Queries (integration med din AD), webbläsarbaserad autentisering (användaren anger domänuppgifter i portalen).
Det är värt att nämna SSL-inspektionen separat; andelen av den totala HTTPS-trafiken på det globala nätverket växer aktivt. Låt oss titta på vilka funktioner CheckPoint erbjuder för SMB-lösningar. För att göra detta, gå till avsnittet SSL-inspektion → Policy:
I inställningarna kan du inspektera HTTPS-trafik; du måste importera certifikatet och installera det i det betrodda certifikatcentret på slutanvändarmaskiner.
Vi anser att BYPASS-läget för fördefinierade kategorier är ett bekvämt alternativ; detta sparar avsevärt tid när du möjliggör inspektion.
Efter att ha konfigurerat reglerna på brandväggs-/applikationsnivå, bör du fortsätta med att justera säkerhetspolicyer (hotförebyggande), för att göra detta, gå till lämpligt avsnitt:
På den öppna sidan ser vi aktiverade blad, signatur- och databasuppdateringsstatusar. Vi ombeds också att välja en profil för att skydda nätverksperimetern, och motsvarande inställningar visas.
I ett separat avsnitt "IPS-skydd" kan du konfigurera åtgärden för en specifik säkerhetssignatur.
För inte länge sedan skrev vi på vår blogg för Windows Server - SigRed. Låt oss kontrollera dess närvaro i Gaia Embedded 80.20 genom att ange frågan "CVE-2020-1350"
En post har upptäckts för denna signatur som en av åtgärderna kan tillämpas på. (som standard är Förhindra för risknivån Kritisk). Med en SMB-lösning kommer du därför inte att lämnas utanför vad gäller uppdateringar och support, detta är en komplett NGFW-lösning för filialkontor med upp till 200 personer från CheckPoint.
Prestationsbedömning
Avslutningsvis artikeln skulle jag vilja notera tillgängligheten av verktyg för felsökning av problem efter den första initialiseringen och konfigurationen av SMB-lösningen. Du kan gå till avsnittet "HEM" → "Verktyg". Möjliga alternativ:
- övervakningssystemresurser;
- rutttabell;
- kontrollera tillgängligheten av CheckPoints molntjänster;
- Generering av CPinfo;
Inbyggda nätverkskommandon är också tillgängliga: Ping, Traceroute, Traffic Capture.
Så idag har vi granskat och studerat den initiala anslutningen och konfigurationen av NGFW 1590, du kommer att utföra liknande åtgärder för hela 1500 SMB Checkpoint-serien. De tillgängliga alternativen visade oss stor variation för inställningar, stöd för moderna metoder för att skydda trafik på nätverksperimetern.
Idag har CheckPoint-lösningar för att skydda små kontor och filialer (upp till 200 personer) ett brett utbud av verktyg och använder den senaste tekniken (molnhantering, SIM-kortstöd, minnesutbyggnad med SD-kort, etc.). Fortsätt att hålla dig informerad och läsa artiklar från TS Solution, vi planerar ytterligare releaser av delar om NGFW CheckPoint från SMB-familjen, vi ses!
. Håll utkik (, , , , ).
Källa: will.com