Мо силсилаи мақолаҳоро дар бораи кор бо диапазони нави модели SMB CheckPoint идома медиҳем, биёед ба шумо хотиррасон кунем, ки дар характеристика ва имкониятхои моделхои нав, усулхои идоракунй ва идоракуниро тавсиф намудем. Имрӯз мо сенарияи густариши модели кӯҳнаро дар силсила дида мебароем: CheckPoint 1590 NGFW. Ин аст мухтасари ин қисм:
- Таҷҳизоти бастабандӣ (тафсири ҷузъҳо, пайвастҳои физикӣ ва шабакавӣ).
- Оғозкунии ибтидоии дастгоҳ.
- Танзимоти ибтидоӣ.
- Арзёбии фаъолият.
Таҷҳизотро кушодан
Шинос шудан бо таҷҳизот аз хориҷ кардани таҷҳизот аз қуттӣ, ҷудо кардани ҷузъҳо ва насби қисмҳо оғоз мешавад; спойлерро клик кунед, ки дар он раванд ба таври мухтасар пешниҳод карда мешавад.
Интиқоли NGFW 1590
Дар бораи ҷузъҳо мухтасар:
- NGFW 1590;
- Адаптери барқ;
- 2 мавҷгирҳои Wifi (2.4 Гц ва 5 Гц);
- 2 мавҷгирҳои LTE;
- Буклетҳо бо ҳуҷҷатҳо (дастури мухтасар барои пайвасти аввалия, шартномаи литсензия ва ғ.)
Дар мавриди портҳо ва интерфейсҳои шабакавӣ, ҳама имкониятҳои муосир барои интиқол ва ҳамкории трафик, порти алоҳида барои минтақаи DMZ, USB 3.0 барои ҳамоҳангсозӣ бо компютер мавҷуданд.
Версияи 1590 тарҳи навшуда, имконоти муосири алоқаи бесим ва тавсеаи хотираро гирифт: 2 слот барои кор бо Micro/Nano SIM дар реҷаи LTE. (мо нақша дорем, ки дар бораи ин вариант дар яке аз мақолаҳои навбатии худ дар силсилаи бахшида ба пайвастҳои бесим муфассал нависем); Ковокии корти SD.
Шумо метавонед дар бораи қобилиятҳои 1590 NGFW ва дигар моделҳои нав бештар хонед аз як қатор мақолаҳо дар бораи ҳалли CheckPoint SMB. Мо ба оғозкунии ибтидоии дастгоҳ идома медиҳем.
Оғозсозии ибтидоӣ
Хонандагони доимии мо бояд аллакай дарк кунанд, ки хати 1500 Series SMB OS-и нави 80.20 Embedded-ро истифода мебарад, ки интерфейси навшуда ва қобилиятҳои беҳтаршударо дар бар мегирад.
Барои оғоз кардани оғоз кардани дастгоҳ ба шумо лозим аст:
- Ба дарвозаи барқ таъмин кунед.
- Сими шабакаро аз компютери худ ба LAN -1 дар шлюз пайваст кунед.
- Ихтиёрӣ, шумо метавонед фавран тавассути пайваст кардани интерфейс ба порти WAN дастгоҳро бо дастрасии Интернет таъмин кунед.
- Ба портали Embedded Gaia равед:
Агар шумо қадамҳои қаблан зикршударо иҷро карда бошед, пас аз гузаштан ба саҳифаи портали Gaia, шумо бояд кушодани саҳифаро бо шаҳодатномаи боваринок тасдиқ кунед, ки пас аз он устоди танзимоти портал оғоз мешавад:
Шуморо саҳифае пешвоз мегирад, ки модели дастгоҳи худро нишон медиҳад, шумо бояд ба бахши навбатӣ гузаред:
Аз мо хоҳиш карда мешавад, ки ҳисоб барои авторизатсия эҷод кунем, мумкин аст талаботи баланди паролро барои мудир муайян кунем ва мо кишвареро, ки дар он шлюз истифода мебарем, нишон медиҳем.
Равзанаи навбатӣ ба танзимоти сана ва вақт дахл дорад; шумо метавонед онро дастӣ танзим кунед ё сервери NTP-и ширкатро истифода баред.
Қадами навбатӣ гузоштани ном барои дастгоҳ ва муайян кардани домени ширкатро дар бар мегирад, то ки хидматҳои шлюз дар Интернет дуруст кор кунанд.
Қадами навбатӣ ба интихоби навъи назорати NGFW дахл дорад, дар ин ҷо бояд қайд кард:
- Идоракунии маҳаллӣ. Ин як варианти дастрас барои идоракунии шлюз бо истифода аз веб саҳифаи Gaia Portal аст.
- Идоракунии марказӣ. Ин намуди идоракунӣ ҳамоҳангсозӣ бо сервери махсуси идоракунии CheckPoint, ҳамоҳангсозӣ бо абри Smart1-Cloud ё SMP (хидмати идоракунӣ барои SMB) иборат аст.
Дар ин мақола мо ба усули идоракунии маҳаллӣ диққат медиҳем; шумо метавонед усули заруриро муайян кунед. Барои шиносоӣ бо раванди ҳамоҳангсозӣ бо сервери идоракунии бахшидашуда, мо пешниҳод мекунем аз силсилаи омӯзишии CheckPoint Getting Started, ки аз ҷониби TS Solution таҳия шудааст.
Минбаъд, равзанаи муайян кардани режими кори интерфейсҳо дар шлюз пешниҳод карда мешавад:
- Ҳолати гузариш мавҷудияти зершабақа аз як интерфейс ба зершабакаи интерфейси дигарро дар назар дорад.
- Ҳолати Гузаришро Хомӯш кардан мувофиқан режими Гузаришро ғайрифаъол мекунад; ҳар як порт трафикро ҳамчун порчаи алоҳидаи шабака масир мекунад.
Инчунин пешниҳод карда мешавад, ки ҳавзи суроғаҳои DHCP, ки ҳангоми пайвастшавӣ ба интерфейсҳои маҳаллии шлюз истифода хоҳанд шуд.
Қадами навбатӣ танзим кардани шлюз барои кор дар реҷаи бесим аст; мо нақша дорем, ки ин ҷанбаро дар як мақолаи силсила ба таври муфассал баррасӣ кунем, бинобар ин конфигуратсияи танзимотро ба таъхир гузоштем. Шумо метавонед нуқтаи нави дастрасии бесимро эҷод кунед, барои пайвастшавӣ ба он парол таъин кунед ва режими кори канали бесимро (2.4 Гц ё 5 Гц) муайян кунед.
Қадами навбатӣ танзим кардани дастрасӣ ба дарвоза барои маъмурони ширкат хоҳад буд. Бо нобаёнӣ, ҳуқуқҳои дастрасӣ иҷозат дода мешаванд, агар пайвастшавӣ аз:
- Зершабакаи дохилии ширкат
- Шабакаи бесими боэътимод
- нақби VPN
Опсияи пайвастшавӣ ба шлюз тавассути Интернет ба таври нобаёнӣ ғайрифаъол аст, ин хатарҳои калон дорад ва бояд барои дохилшавӣ асоснок карда шавад, вагарна тавсия дода мешавад, ки онро тавре дар мисоли мо тарк кунед.Инчунин метавон муайян кард, ки кадом суроғаҳои IP иҷозат дода мешаванд. барои пайваст шудан ба дарвоза.
Равзанаи навбатӣ ба фаъолсозии литсензияҳо дахл дорад; ҳангоми оғозёбии дастгоҳ, ба шумо давраи озмоишии 30-рӯза пешниҳод карда мешавад. Ду усули фаъолсозӣ мавҷуд аст:
- Агар пайвасти интернет мавҷуд бошад, иҷозатнома ба таври худкор фаъол мешавад.
- Агар шумо литсензияро офлайн фаъол созед, шумо бояд амалҳои зеринро иҷро кунед: иҷозатномаро аз UserCenter зеркашӣ кунед, дастгоҳи худро дар барномаи махсус сабти ном кунед. . Минбаъд, барои ҳарду ҳолат, ба шумо лозим меояд, ки иҷозатномаи дастӣ зеркашидашударо ворид кунед.
Ниҳоят, равзанаи охирини устоди танзимот аз шумо хоҳиш мекунад, ки лавҳаҳои фурӯзоншавандаро интихоб кунед; дар хотир доред, ки майсаи QOS танҳо пас аз оғози оғозёбӣ фаъол мешавад. Шумо бояд бо равзанаи анҷомёбӣ, ки танзимоти шуморо ҷамъбаст мекунад, хотима диҳед.
Танзимоти ибтидоӣ
Пеш аз ҳама, мо тавсия медиҳем, ки ҳолати иҷозатномаҳоро тафтиш кунем, конфигуратсияи минбаъда аз ин вобаста аст. Ба ҷадвали "HOME" → "Литсензия" гузаред:
Агар иҷозатномаҳо фаъол карда шаванд, мо тавсия медиҳем, ки фавран ба нармафзори охирини ҷорӣ навсозӣ кунем; барои ин ба ҷадвали "ДАСТГОҲ" → "Амалиёти система" гузаред:
Навсозиҳои система дар банди Навсозии нармафзор ҷойгир шудаанд. Дар ҳолати мо, версияи ҷорӣ ва охирини нармафзор насб карда шудааст.
Минбаъд ман пешниҳод мекунам, ки ба таври мухтасар дар бораи қобилиятҳо ва танзимоти blades система сӯҳбат кунам. Аз ҷиҳати мантиқ, онҳоро метавон ба сиёсатҳои сатҳи дастрасӣ (Север, назорати барнома, филтркунии URL) ва пешгирии таҳдид (IPS, Антивирус, Анти-бот, Эмуляцияи таҳдид) тақсим кард.
Биёед ба ҷадвали Сиёсати дастрасӣ → Идоракунии Blade равем:
Бо нобаёнӣ, реҷаи СТАНДАРТ истифода мешавад, он имкон медиҳад трафики содиротӣ ба Интернет, трафик дар дохили шабакаи маҳаллӣ, аммо ҳамзамон трафики воридотӣ аз Интернетро манъ мекунад.
Дар мавриди БАРНОМАҲО ва ФИЛТРОНИИ URL, ба таври нобаёнӣ, онҳо барои бастани сайтҳои сатҳи баланди хатар, бастани замимаҳои мубодила (Torrent, Storage File ва ғайра) муқаррар карда шудаанд. Шумо инчунин метавонед ба таври дастӣ категорияҳои сайтҳоро маҳкам кунед.
Биёед варианти трафики корбарро "Маҳдуд кардани фарохмаҷрои истеъмолкунанда" -ро бо қобилияти маҳдуд кардани суръати трафики содиротӣ/даромад барои гурӯҳҳои барномаҳо тафтиш кунем.
Баъдан, зербахши Сиёсатро кушоед; ба таври нобаёнӣ, қоидаҳо мувофиқи танзимоти қаблан тавсифшуда ба таври худкор тавлид мешаванд.
Зерфасли NAT ба таври нобаёнӣ дар Global Hide Nat Automatic кор мекунад, яъне ҳама ҳостҳои дохилӣ тавассути суроғаи IP умумӣ ба Интернет дастрасӣ доранд. Қоидаҳои NAT-ро барои интишори барномаҳои веб ё хидматҳои худ дастӣ муқаррар кардан мумкин аст.
Минбаъд, бахше, ки ба аутентификатсияи корбар дар шабака дахл дорад, ду интихобро пешниҳод мекунад: Дархостҳои директорияи фаъол (ҳамгироӣ бо AD шумо), аутентификатсия дар асоси браузер (корбар маълумотҳои доменро дар портал ворид мекунад).
Нозироти SSL-ро алоҳида қайд кардан лозим аст; ҳиссаи трафики умумии HTTPS дар Шабакаи Глобалӣ фаъолона афзоиш меёбад. Биёед бубинем, ки CheckPoint кадом хусусиятҳоро барои ҳалли SMB пешниҳод мекунад Барои ин ба бахши SSL-Inspection → Policy гузаред:
Дар танзимот шумо метавонед трафики HTTPS-ро тафтиш кунед; ба шумо лозим меояд, ки сертификатро ворид кунед ва онро дар маркази шаҳодатномаи боэътимоди мошинҳои корбари ниҳоӣ насб кунед.
Мо режими BYPASS-ро барои категорияҳои пешакӣ муайяншуда як варианти қулай мешуморем; ин ҳангоми имкон додани санҷиш вақтро сарфа мекунад.
Пас аз танзим кардани қоидаҳо дар сатҳи Сипар / Ариза, шумо бояд ба танзими сиёсати амниятӣ (Пешгирии таҳдид) гузаред, барои ин ба бахши мувофиқ гузаред:
Дар саҳифаи кушода мо blades фаъолшуда, имзо ва ҳолати навсозии пойгоҳи додаҳоро мебинем. Аз мо инчунин хоҳиш карда мешавад, ки профили муҳофизати периметри шабакаро интихоб кунем ва танзимоти мувофиқ нишон дода мешаванд.
Бахши алоҳидаи "Ҳифзи IPS" ба шумо имкон медиҳад, ки амалро барои имзои махсуси амниятӣ танзим кунед.
Чанде пеш мо дар блоги худ навиштем барои Windows Server - SigRed. Биёед мавҷудияти онро дар Gaia Embedded 80.20 тавассути ворид кардани дархости "CVE-2020-1350" тафтиш кунем
Барои ин имзо сабт муайян карда шуд, ки ба он яке аз амалҳоро татбиқ кардан мумкин аст. (ба таври нобаёнӣ Пешгирӣ барои сатҳи хатар муҳим аст). Ҳамин тариқ, бо доштани ҳалли SMB, шумо аз ҷиҳати навсозӣ ва дастгирӣ дар канор нахоҳед монд; ин як ҳалли мукаммали NGFW барои филиалҳои то 200 нафар аз CheckPoint мебошад.
Арзёбии фаъолият
Дар анҷоми мақола, ман мехоҳам мавҷудияти асбобҳоро барои бартараф кардани мушкилот пас аз оғозёбӣ ва конфигуратсияи ҳалли SMB қайд намоям. Шумо метавонед ба бахши "ХОНА" → "Асбобҳо" гузаред. Вариантҳои имконпазир:
- захираҳои системаи мониторинг;
- ҷадвали масир;
- тафтиши мавҷудияти хидматҳои абрии CheckPoint;
- Насли CPinfo;
Фармонҳои шабакавии дарунсохт низ дастрасанд: Ping, Traceroute, Traffic Capture.
Ҳамин тариқ, имрӯз мо пайвастшавӣ ва конфигуратсияи ибтидоии NGFW 1590-ро баррасӣ ва омӯхтаем, шумо амалҳои шабеҳро барои тамоми силсилаи 1500 SMB Checkpoint иҷро хоҳед кард. Вариантҳои мавҷуда ба мо тағирёбии баланди танзимот, дастгирии усулҳои муосири ҳифзи трафикро дар периметри шабака нишон доданд.
Имрӯз, қарорҳои CheckPoint барои ҳифзи офисҳо ва филиалҳои хурд (то 200 нафар) дорои доираи васеи асбобҳо ва истифодаи технологияҳои навтарин мебошанд (идоракунии абрҳо, дастгирии SIM кортҳо, тавсеаи хотира бо истифода аз кортҳои SD ва ғайра). Огоҳ буданро идома диҳед ва мақолаҳоро аз TS Solution хонед, мо нақшаи нашри минбаъдаи қисмҳоро дар бораи NGFW CheckPoint оилаи SMB дорем, вохӯред!
. Гӯш ба занг бош (, , , , ).
Манбаъ: will.com