2. NGFW สำหรับธุรกิจขนาดเล็ก การแกะกล่องและการตั้งค่า

เราจะดำเนินการต่อในซีรีส์บทความเกี่ยวกับการทำงานกับกลุ่มผลิตภัณฑ์ SMB CheckPoint ใหม่ ให้เราเตือนคุณอีกครั้ง ส่วนแรก เราได้อธิบายคุณลักษณะและความสามารถของโมเดลใหม่ วิธีการจัดการและการบริหารระบบ วันนี้เราจะดูสถานการณ์การปรับใช้สำหรับรุ่นเก่าในซีรีส์: CheckPoint 1590 NGFW นี่คือบทสรุปของส่วนนี้:

1. การแกะอุปกรณ์ (คำอธิบายส่วนประกอบ การเชื่อมต่อทางกายภาพและเครือข่าย)
2. การเริ่มต้นอุปกรณ์เบื้องต้น
3. ตั้งค่าเริ่มต้น.
4. การประเมินประสิทธิภาพ

อุปกรณ์แกะกล่อง

ทำความรู้จักอุปกรณ์เริ่มต้นด้วยการถอดอุปกรณ์ออกจากกล่อง การแยกส่วนประกอบ และติดตั้งชิ้นส่วน คลิกสปอยเลอร์ ซึ่งมีขั้นตอนการนำเสนอสั้นๆ

การส่งมอบ NGFW 1590

สั้น ๆ เกี่ยวกับส่วนประกอบ:

• เอ็นจีเอฟดับบลิว 1590;
• อะแดปเตอร์ไฟ;
• เสาอากาศ Wifi 2 เสา (2.4 Hz และ 5 Hz);
• 2 เสาอากาศ LTE;
• หนังสือพร้อมเอกสารประกอบ (คำแนะนำสั้นๆ เกี่ยวกับการเชื่อมต่อเบื้องต้น ข้อตกลงใบอนุญาต ฯลฯ)

สำหรับพอร์ตเครือข่ายและอินเทอร์เฟซมีความสามารถที่ทันสมัยในการรับส่งข้อมูลและการโต้ตอบพอร์ตแยกต่างหากสำหรับโซน DMZ, USB 3.0 สำหรับการซิงโครไนซ์กับพีซี

เวอร์ชัน 1590 ได้รับการออกแบบที่อัปเดต ตัวเลือกที่ทันสมัยสำหรับการสื่อสารไร้สายและการขยายหน่วยความจำ: 2 ช่องสำหรับการทำงานกับ Micro/Nano SIM ในโหมด LTE (เราวางแผนที่จะเขียนรายละเอียดเกี่ยวกับตัวเลือกนี้ในบทความถัดไปของเราในซีรีส์เกี่ยวกับการเชื่อมต่อไร้สาย) ช่องเสียบการ์ด SD

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับความสามารถของ 1590 NGFW และรุ่นใหม่อื่นๆ ได้ใน ชิ้นส่วน 1 จากชุดบทความเกี่ยวกับโซลูชัน CheckPoint SMB เราจะดำเนินการเริ่มต้นอุปกรณ์ต่อไป

การเริ่มต้นหลัก

ผู้อ่านขาประจำของเราควรทราบแล้วว่ากลุ่มผลิตภัณฑ์ SMB ซีรีส์ 1500 ใช้ระบบปฏิบัติการฝังตัว 80.20 ใหม่ ซึ่งรวมถึงอินเทอร์เฟซที่อัปเดตและความสามารถที่ได้รับการปรับปรุง

ในการเริ่มเตรียมใช้งานอุปกรณ์ คุณต้อง:

1. จ่ายไฟให้กับเกตเวย์
2. เชื่อมต่อสายเคเบิลเครือข่ายจากพีซีของคุณเข้ากับ LAN -1 บนเกตเวย์
3. คุณสามารถเลือกให้อุปกรณ์เข้าถึงอินเทอร์เน็ตได้ทันทีโดยเชื่อมต่ออินเทอร์เฟซเข้ากับพอร์ต WAN
4. ไปที่พอร์ทัล Gaia Embedded: https://192.168.1.1:4434/

หากคุณทำตามขั้นตอนที่ระบุไว้ก่อนหน้านี้ หลังจากไปที่หน้าพอร์ทัล Gaia คุณจะต้องยืนยันการเปิดหน้าด้วยใบรับรองที่ไม่น่าเชื่อถือ หลังจากนั้นวิซาร์ดการตั้งค่าพอร์ทัลจะเปิดขึ้น:

คุณจะได้รับการต้อนรับจากหน้าระบุรุ่นอุปกรณ์ของคุณ คุณต้องไปที่ส่วนถัดไป:

เราจะถูกขอให้สร้างบัญชีเพื่อขออนุมัติ คุณสามารถระบุข้อกำหนดรหัสผ่านที่สูงสำหรับผู้ดูแลระบบได้ และเราระบุประเทศที่เราจะใช้เกตเวย์

หน้าต่างถัดไปเกี่ยวข้องกับการตั้งค่าวันที่และเวลา คุณสามารถตั้งค่าด้วยตนเองหรือใช้เซิร์ฟเวอร์ NTP ของบริษัท

ขั้นตอนต่อไปเกี่ยวข้องกับการตั้งชื่อให้กับอุปกรณ์และการระบุโดเมนของบริษัทเพื่อให้บริการเกตเวย์ทำงานได้อย่างถูกต้องบนอินเทอร์เน็ต

ขั้นตอนต่อไปเกี่ยวข้องกับการเลือกประเภทการควบคุม NGFW ควรสังเกตที่นี่:

1. การจัดการท้องถิ่น นี่เป็นตัวเลือกที่ใช้ได้ในการจัดการเกตเวย์ในเครื่องโดยใช้หน้าเว็บ Gaia Portal
2. การจัดการจากส่วนกลาง การจัดการประเภทนี้รวมถึงการซิงโครไนซ์กับเซิร์ฟเวอร์ CheckPoint Management เฉพาะ การซิงโครไนซ์กับคลาวด์ Smart1-Cloud หรือกับ SMP (บริการการจัดการสำหรับ SMB)

ในบทความนี้เราจะเน้นที่วิธี Local Management โดยคุณสามารถระบุวิธีการที่จำเป็นได้ เราขอแนะนำเพื่อทำความคุ้นเคยกับกระบวนการซิงโครไนซ์กับเซิร์ฟเวอร์การจัดการเฉพาะ ลิงค์ จากชุดการฝึกอบรม CheckPoint Getting Started ที่จัดทำโดย TS Solution

ถัดไป หน้าต่างจะแสดงการกำหนดโหมดการทำงานของอินเทอร์เฟซบนเกตเวย์:

• โหมดสวิตช์แสดงถึงความพร้อมใช้งานของเครือข่ายย่อยจากอินเทอร์เฟซหนึ่งไปยังเครือข่ายย่อยของอินเทอร์เฟซอื่น
• โหมด Disable Switch จะปิดใช้งานโหมด Switch ตามลำดับ โดยแต่ละพอร์ตจะกำหนดเส้นทางการรับส่งข้อมูลสำหรับส่วนของเครือข่ายที่แยกจากกัน

นอกจากนี้ยังเสนอให้ระบุกลุ่มที่อยู่ DHCP ที่จะใช้เมื่อเชื่อมต่อกับอินเทอร์เฟซภายในของเกตเวย์

ขั้นตอนต่อไปคือการกำหนดค่าเกตเวย์ให้ทำงานในโหมดไร้สายเราวางแผนที่จะหารือเกี่ยวกับประเด็นนี้โดยละเอียดในบทความหนึ่งในซีรีส์ดังนั้นเราจึงเลื่อนการกำหนดค่าการตั้งค่าออกไป คุณสามารถสร้างจุดเชื่อมต่อไร้สายใหม่ ตั้งรหัสผ่านสำหรับการเชื่อมต่อ และกำหนดโหมดการทำงานของช่องสัญญาณไร้สาย (2.4 Hz หรือ 5 Hz)

ขั้นตอนต่อไปคือการกำหนดค่าการเข้าถึงเกตเวย์สำหรับผู้ดูแลระบบของบริษัท ตามค่าเริ่มต้น สิทธิ์การเข้าถึงจะได้รับอนุญาตหากการเชื่อมต่อมาจาก:

1. ซับเน็ตภายในบริษัท
2. เครือข่ายไร้สายที่เชื่อถือได้
3. อุโมงค์ VPN

ตัวเลือกในการเชื่อมต่อเกตเวย์ผ่านอินเทอร์เน็ตถูกปิดใช้งานโดยค่าเริ่มต้นซึ่งมีความเสี่ยงสูงและต้องได้รับการพิสูจน์เพื่อรวมไว้มิฉะนั้นขอแนะนำให้ปล่อยไว้ตามตัวอย่างของเรา นอกจากนี้ยังสามารถระบุที่อยู่ IP ที่จะได้รับอนุญาต เพื่อเชื่อมต่อกับเกตเวย์

หน้าต่างถัดไปเกี่ยวข้องกับการเปิดใช้งานใบอนุญาต เมื่อเริ่มต้นอุปกรณ์ คุณจะพบกับช่วงทดลองใช้งาน 30 วัน มีสองวิธีในการเปิดใช้งาน:

1. หากมีการเชื่อมต่ออินเทอร์เน็ต ใบอนุญาตจะเปิดใช้งานโดยอัตโนมัติ
2. หากคุณเปิดใช้งานใบอนุญาตแบบออฟไลน์ คุณจะต้องดำเนินการดังต่อไปนี้: ดาวน์โหลดใบอนุญาตจาก UserCenter ลงทะเบียนอุปกรณ์ของคุณในโปรแกรมพิเศษ พอร์ทัล. ถัดไป สำหรับทั้งสองกรณี คุณจะต้องนำเข้าใบอนุญาตที่ดาวน์โหลดด้วยตนเอง

สุดท้าย หน้าต่างสุดท้ายในตัวช่วยสร้างการตั้งค่าจะแจ้งให้คุณเลือกเบลดที่จะเปิด โปรดทราบว่าเบลด QOS จะเปิดหลังจากการกำหนดค่าเริ่มต้นเท่านั้น คุณควรจะได้หน้าต่างเสร็จสิ้นซึ่งสรุปการตั้งค่าของคุณ

ตั้งค่าเริ่มต้น

ก่อนอื่นเราขอแนะนำให้ตรวจสอบสถานะของใบอนุญาต การกำหนดค่าเพิ่มเติมจะขึ้นอยู่กับสิ่งนี้ ไปที่แท็บ "หน้าแรก" → "ใบอนุญาต":

หากเปิดใช้งานใบอนุญาต เราขอแนะนำให้อัปเดตเป็นเฟิร์มแวร์ปัจจุบันล่าสุดทันที โดยไปที่แท็บ "อุปกรณ์" → "การทำงานของระบบ":

การอัปเดตระบบจะอยู่ในรายการอัปเกรดเฟิร์มแวร์ ในกรณีของเรา มีการติดตั้งเฟิร์มแวร์เวอร์ชันปัจจุบันและล่าสุด

ต่อไปฉันเสนอให้พูดคุยสั้น ๆ เกี่ยวกับความสามารถและการตั้งค่าของเบลดระบบ ตามตรรกะ พวกเขาสามารถแบ่งออกเป็นนโยบายระดับการเข้าถึง (ไฟร์วอลล์, การควบคุมแอปพลิเคชัน, การกรอง URL) และการป้องกันภัยคุกคาม (IPS, Antivirus, Anti-Bot, Threat Emulation)

ไปที่นโยบายการเข้าถึง → แท็บการควบคุมใบมีด:

ตามค่าเริ่มต้น จะใช้โหมด STANDARD ซึ่งอนุญาตการรับส่งข้อมูลขาออกไปยังอินเทอร์เน็ต การรับส่งข้อมูลภายในเครือข่ายท้องถิ่น แต่ในขณะเดียวกันก็บล็อกการรับส่งข้อมูลขาเข้าจากอินเทอร์เน็ต

สำหรับเบลดแอปพลิเคชัน & การกรอง URL ตามค่าเริ่มต้นจะถูกตั้งค่าให้บล็อกไซต์ที่มีอันตรายระดับสูง บล็อกแอปพลิเคชันแลกเปลี่ยน (Torrent, File Storage ฯลฯ ) คุณยังสามารถบล็อกหมวดหมู่ของไซต์เพิ่มเติมได้ด้วยตนเอง

เรามาตรวจสอบตัวเลือกสำหรับการรับส่งข้อมูลผู้ใช้ “จำกัดแอปพลิเคชันที่ใช้แบนด์วิธ” ด้วยความสามารถในการจำกัดความเร็วของการรับส่งข้อมูลขาออก/ขาเข้าสำหรับกลุ่มแอปพลิเคชัน

จากนั้น เปิดส่วนย่อยนโยบาย โดยค่าเริ่มต้น กฎจะถูกสร้างขึ้นโดยอัตโนมัติตามการตั้งค่าที่อธิบายไว้ก่อนหน้านี้

ส่วนย่อย NAT ตามค่าเริ่มต้นทำงานใน Global Hide Nat Automatic กล่าวคือ โฮสต์ภายในทั้งหมดจะสามารถเข้าถึงอินเทอร์เน็ตผ่านที่อยู่ IP สาธารณะ คุณสามารถตั้งค่ากฎ NAT ด้วยตนเองสำหรับการเผยแพร่แอปพลิเคชันเว็บหรือบริการของคุณได้

ถัดไป ส่วนที่เกี่ยวข้องกับการตรวจสอบสิทธิ์ผู้ใช้บนเครือข่ายมีสองตัวเลือก: Active Directory Queries (บูรณาการกับโฆษณาของคุณ), การตรวจสอบสิทธิ์บนเบราว์เซอร์ (ผู้ใช้ป้อนข้อมูลรับรองโดเมนในพอร์ทัล)

เป็นมูลค่าการกล่าวขวัญถึงการตรวจสอบ SSL แยกกัน ส่วนแบ่งของการรับส่งข้อมูล HTTPS ทั้งหมดบนเครือข่ายทั่วโลกกำลังเติบโตอย่างแข็งขัน มาดูกันว่าฟีเจอร์ที่ CheckPoint นำเสนอสำหรับโซลูชัน SMB มีอะไรบ้าง โดยไปที่ส่วนการตรวจสอบ SSL → นโยบาย:

ในการตั้งค่า คุณสามารถตรวจสอบการรับส่งข้อมูล HTTPS ได้ คุณจะต้องนำเข้าใบรับรองและติดตั้งในศูนย์ใบรับรองที่เชื่อถือได้บนเครื่องของผู้ใช้ปลายทาง

เราถือว่าโหมด BYPASS สำหรับหมวดหมู่ที่กำหนดไว้ล่วงหน้าเป็นตัวเลือกที่สะดวก ซึ่งช่วยประหยัดเวลาได้มากเมื่อเปิดใช้การตรวจสอบ

หลังจากกำหนดค่ากฎที่ระดับไฟร์วอลล์ / แอปพลิเคชันคุณควรดำเนินการปรับนโยบายความปลอดภัย (การป้องกันภัยคุกคาม) โดยไปที่ส่วนที่เหมาะสม:

ในหน้าเปิด เราจะเห็นสถานะการอัพเดตเบลด ลายเซ็น และฐานข้อมูลที่เปิดใช้งาน นอกจากนี้เรายังขอให้เลือกโปรไฟล์สำหรับปกป้องขอบเขตเครือข่ายและการตั้งค่าที่เกี่ยวข้องจะปรากฏขึ้น

ส่วนที่แยกต่างหาก "การป้องกัน IPS" ช่วยให้คุณสามารถกำหนดค่าการดำเนินการสำหรับลายเซ็นความปลอดภัยเฉพาะได้

ไม่นานมานี้เราเขียนในบล็อกของเรา เกี่ยวกับความเปราะบางระดับโลก สำหรับ Windows Server - SigRed มาตรวจสอบการมีอยู่ของ Gaia Embedded 80.20 โดยการป้อนคำค้นหา “CVE-2020-1350”

ตรวจพบบันทึกสำหรับลายเซ็นนี้ซึ่งสามารถใช้การดำเนินการอย่างใดอย่างหนึ่งได้ (โดยค่าเริ่มต้น การป้องกันสำหรับระดับอันตรายคือระดับวิกฤต) ดังนั้น การมีโซลูชัน SMB คุณจะไม่พลาดในแง่ของการอัปเดตและการสนับสนุน นี่เป็นโซลูชัน NGFW ที่สมบูรณ์แบบสำหรับสำนักงานสาขาที่มีผู้คนมากถึง 200 คนจาก CheckPoint

การประเมินประสิทธิภาพ

โดยสรุปบทความนี้ ฉันต้องการทราบถึงความพร้อมของเครื่องมือสำหรับการแก้ไขปัญหาหลังจากการเริ่มต้นและการกำหนดค่าโซลูชัน SMB คุณสามารถไปที่ส่วน "บ้าน" → "เครื่องมือ" ตัวเลือกที่เป็นไปได้:

• ทรัพยากรระบบการตรวจสอบ
• ตารางเส้นทาง
• ตรวจสอบความพร้อมใช้งานของบริการคลาวด์ CheckPoint
• การสร้าง CPinfo;

คำสั่งเครือข่ายในตัวยังมีให้ใช้งานได้: Ping, Traceroute, Traffic Capture

ดังนั้น วันนี้เราได้ตรวจสอบและศึกษาการเชื่อมต่อเริ่มต้นและการกำหนดค่าของ NGFW 1590 คุณจะดำเนินการที่คล้ายกันสำหรับซีรีส์ 1500 SMB Checkpoint ทั้งหมด ตัวเลือกที่มีอยู่แสดงให้เราเห็นว่าการตั้งค่ามีความแปรปรวนสูง รองรับวิธีการสมัยใหม่ในการปกป้องการรับส่งข้อมูลบนขอบเขตเครือข่าย

ปัจจุบัน โซลูชัน CheckPoint สำหรับการปกป้องสำนักงานขนาดเล็กและสาขา (สูงสุด 200 คน) มีเครื่องมือที่หลากหลายและใช้เทคโนโลยีล่าสุด (การจัดการระบบคลาวด์ การรองรับซิมการ์ด การขยายหน่วยความจำโดยใช้การ์ด SD ฯลฯ) ติดตามข่าวสารและอ่านบทความจาก TS Solution ต่อไป เรากำลังวางแผนเผยแพร่ส่วนต่างๆ เกี่ยวกับ NGFW CheckPoint ของกลุ่ม SMB เพิ่มเติม แล้วพบกัน!

วัสดุที่มีให้เลือกมากมายบน Check Point จาก TS Solution. คอยติดตาม (Telegram, Facebook, VK, บล็อกโซลูชัน TS, Yandex Zen).

ที่มา: will.com