เราจะดำเนินการต่อในซีรีส์บทความเกี่ยวกับการทำงานกับกลุ่มผลิตภัณฑ์ SMB CheckPoint ใหม่ ให้เราเตือนคุณอีกครั้ง
- การแกะอุปกรณ์ (คำอธิบายส่วนประกอบ การเชื่อมต่อทางกายภาพและเครือข่าย)
- การเริ่มต้นอุปกรณ์เบื้องต้น
- ตั้งค่าเริ่มต้น.
- การประเมินประสิทธิภาพ
อุปกรณ์แกะกล่อง
ทำความรู้จักอุปกรณ์เริ่มต้นด้วยการถอดอุปกรณ์ออกจากกล่อง การแยกส่วนประกอบ และติดตั้งชิ้นส่วน คลิกสปอยเลอร์ ซึ่งมีขั้นตอนการนำเสนอสั้นๆ
การส่งมอบ NGFW 1590
สั้น ๆ เกี่ยวกับส่วนประกอบ:
- เอ็นจีเอฟดับบลิว 1590;
- อะแดปเตอร์ไฟ;
- เสาอากาศ Wifi 2 เสา (2.4 Hz และ 5 Hz);
- 2 เสาอากาศ LTE;
- หนังสือพร้อมเอกสารประกอบ (คำแนะนำสั้นๆ เกี่ยวกับการเชื่อมต่อเบื้องต้น ข้อตกลงใบอนุญาต ฯลฯ)
สำหรับพอร์ตเครือข่ายและอินเทอร์เฟซมีความสามารถที่ทันสมัยในการรับส่งข้อมูลและการโต้ตอบพอร์ตแยกต่างหากสำหรับโซน DMZ, USB 3.0 สำหรับการซิงโครไนซ์กับพีซี
เวอร์ชัน 1590 ได้รับการออกแบบที่อัปเดต ตัวเลือกที่ทันสมัยสำหรับการสื่อสารไร้สายและการขยายหน่วยความจำ: 2 ช่องสำหรับการทำงานกับ Micro/Nano SIM ในโหมด LTE (เราวางแผนที่จะเขียนรายละเอียดเกี่ยวกับตัวเลือกนี้ในบทความถัดไปของเราในซีรีส์เกี่ยวกับการเชื่อมต่อไร้สาย) ช่องเสียบการ์ด SD
คุณสามารถอ่านเพิ่มเติมเกี่ยวกับความสามารถของ 1590 NGFW และรุ่นใหม่อื่นๆ ได้ใน
การเริ่มต้นหลัก
ผู้อ่านขาประจำของเราควรทราบแล้วว่ากลุ่มผลิตภัณฑ์ SMB ซีรีส์ 1500 ใช้ระบบปฏิบัติการฝังตัว 80.20 ใหม่ ซึ่งรวมถึงอินเทอร์เฟซที่อัปเดตและความสามารถที่ได้รับการปรับปรุง
ในการเริ่มเตรียมใช้งานอุปกรณ์ คุณต้อง:
- จ่ายไฟให้กับเกตเวย์
- เชื่อมต่อสายเคเบิลเครือข่ายจากพีซีของคุณเข้ากับ LAN -1 บนเกตเวย์
- คุณสามารถเลือกให้อุปกรณ์เข้าถึงอินเทอร์เน็ตได้ทันทีโดยเชื่อมต่ออินเทอร์เฟซเข้ากับพอร์ต WAN
- ไปที่พอร์ทัล Gaia Embedded:
https://192.168.1.1:4434/
หากคุณทำตามขั้นตอนที่ระบุไว้ก่อนหน้านี้ หลังจากไปที่หน้าพอร์ทัล Gaia คุณจะต้องยืนยันการเปิดหน้าด้วยใบรับรองที่ไม่น่าเชื่อถือ หลังจากนั้นวิซาร์ดการตั้งค่าพอร์ทัลจะเปิดขึ้น:
คุณจะได้รับการต้อนรับจากหน้าระบุรุ่นอุปกรณ์ของคุณ คุณต้องไปที่ส่วนถัดไป:
เราจะถูกขอให้สร้างบัญชีเพื่อขออนุมัติ คุณสามารถระบุข้อกำหนดรหัสผ่านที่สูงสำหรับผู้ดูแลระบบได้ และเราระบุประเทศที่เราจะใช้เกตเวย์
หน้าต่างถัดไปเกี่ยวข้องกับการตั้งค่าวันที่และเวลา คุณสามารถตั้งค่าด้วยตนเองหรือใช้เซิร์ฟเวอร์ NTP ของบริษัท
ขั้นตอนต่อไปเกี่ยวข้องกับการตั้งชื่อให้กับอุปกรณ์และการระบุโดเมนของบริษัทเพื่อให้บริการเกตเวย์ทำงานได้อย่างถูกต้องบนอินเทอร์เน็ต
ขั้นตอนต่อไปเกี่ยวข้องกับการเลือกประเภทการควบคุม NGFW ควรสังเกตที่นี่:
- การจัดการท้องถิ่น นี่เป็นตัวเลือกที่ใช้ได้ในการจัดการเกตเวย์ในเครื่องโดยใช้หน้าเว็บ Gaia Portal
- การจัดการจากส่วนกลาง การจัดการประเภทนี้รวมถึงการซิงโครไนซ์กับเซิร์ฟเวอร์ CheckPoint Management เฉพาะ การซิงโครไนซ์กับคลาวด์ Smart1-Cloud หรือกับ SMP (บริการการจัดการสำหรับ SMB)
ในบทความนี้เราจะเน้นที่วิธี Local Management โดยคุณสามารถระบุวิธีการที่จำเป็นได้ เราขอแนะนำเพื่อทำความคุ้นเคยกับกระบวนการซิงโครไนซ์กับเซิร์ฟเวอร์การจัดการเฉพาะ
ถัดไป หน้าต่างจะแสดงการกำหนดโหมดการทำงานของอินเทอร์เฟซบนเกตเวย์:
- โหมดสวิตช์แสดงถึงความพร้อมใช้งานของเครือข่ายย่อยจากอินเทอร์เฟซหนึ่งไปยังเครือข่ายย่อยของอินเทอร์เฟซอื่น
- โหมด Disable Switch จะปิดใช้งานโหมด Switch ตามลำดับ โดยแต่ละพอร์ตจะกำหนดเส้นทางการรับส่งข้อมูลสำหรับส่วนของเครือข่ายที่แยกจากกัน
นอกจากนี้ยังเสนอให้ระบุกลุ่มที่อยู่ DHCP ที่จะใช้เมื่อเชื่อมต่อกับอินเทอร์เฟซภายในของเกตเวย์
ขั้นตอนต่อไปคือการกำหนดค่าเกตเวย์ให้ทำงานในโหมดไร้สายเราวางแผนที่จะหารือเกี่ยวกับประเด็นนี้โดยละเอียดในบทความหนึ่งในซีรีส์ดังนั้นเราจึงเลื่อนการกำหนดค่าการตั้งค่าออกไป คุณสามารถสร้างจุดเชื่อมต่อไร้สายใหม่ ตั้งรหัสผ่านสำหรับการเชื่อมต่อ และกำหนดโหมดการทำงานของช่องสัญญาณไร้สาย (2.4 Hz หรือ 5 Hz)
ขั้นตอนต่อไปคือการกำหนดค่าการเข้าถึงเกตเวย์สำหรับผู้ดูแลระบบของบริษัท ตามค่าเริ่มต้น สิทธิ์การเข้าถึงจะได้รับอนุญาตหากการเชื่อมต่อมาจาก:
- ซับเน็ตภายในบริษัท
- เครือข่ายไร้สายที่เชื่อถือได้
- อุโมงค์ VPN
ตัวเลือกในการเชื่อมต่อเกตเวย์ผ่านอินเทอร์เน็ตถูกปิดใช้งานโดยค่าเริ่มต้นซึ่งมีความเสี่ยงสูงและต้องได้รับการพิสูจน์เพื่อรวมไว้มิฉะนั้นขอแนะนำให้ปล่อยไว้ตามตัวอย่างของเรา นอกจากนี้ยังสามารถระบุที่อยู่ IP ที่จะได้รับอนุญาต เพื่อเชื่อมต่อกับเกตเวย์
หน้าต่างถัดไปเกี่ยวข้องกับการเปิดใช้งานใบอนุญาต เมื่อเริ่มต้นอุปกรณ์ คุณจะพบกับช่วงทดลองใช้งาน 30 วัน มีสองวิธีในการเปิดใช้งาน:
- หากมีการเชื่อมต่ออินเทอร์เน็ต ใบอนุญาตจะเปิดใช้งานโดยอัตโนมัติ
- หากคุณเปิดใช้งานใบอนุญาตแบบออฟไลน์ คุณจะต้องดำเนินการดังต่อไปนี้: ดาวน์โหลดใบอนุญาตจาก UserCenter ลงทะเบียนอุปกรณ์ของคุณในโปรแกรมพิเศษ
พอร์ทัล . ถัดไป สำหรับทั้งสองกรณี คุณจะต้องนำเข้าใบอนุญาตที่ดาวน์โหลดด้วยตนเอง
สุดท้าย หน้าต่างสุดท้ายในตัวช่วยสร้างการตั้งค่าจะแจ้งให้คุณเลือกเบลดที่จะเปิด โปรดทราบว่าเบลด QOS จะเปิดหลังจากการกำหนดค่าเริ่มต้นเท่านั้น คุณควรจะได้หน้าต่างเสร็จสิ้นซึ่งสรุปการตั้งค่าของคุณ
ตั้งค่าเริ่มต้น
ก่อนอื่นเราขอแนะนำให้ตรวจสอบสถานะของใบอนุญาต การกำหนดค่าเพิ่มเติมจะขึ้นอยู่กับสิ่งนี้ ไปที่แท็บ "หน้าแรก" → "ใบอนุญาต":
หากเปิดใช้งานใบอนุญาต เราขอแนะนำให้อัปเดตเป็นเฟิร์มแวร์ปัจจุบันล่าสุดทันที โดยไปที่แท็บ "อุปกรณ์" → "การทำงานของระบบ":
การอัปเดตระบบจะอยู่ในรายการอัปเกรดเฟิร์มแวร์ ในกรณีของเรา มีการติดตั้งเฟิร์มแวร์เวอร์ชันปัจจุบันและล่าสุด
ต่อไปฉันเสนอให้พูดคุยสั้น ๆ เกี่ยวกับความสามารถและการตั้งค่าของเบลดระบบ ตามตรรกะ พวกเขาสามารถแบ่งออกเป็นนโยบายระดับการเข้าถึง (ไฟร์วอลล์, การควบคุมแอปพลิเคชัน, การกรอง URL) และการป้องกันภัยคุกคาม (IPS, Antivirus, Anti-Bot, Threat Emulation)
ไปที่นโยบายการเข้าถึง → แท็บการควบคุมใบมีด:
ตามค่าเริ่มต้น จะใช้โหมด STANDARD ซึ่งอนุญาตการรับส่งข้อมูลขาออกไปยังอินเทอร์เน็ต การรับส่งข้อมูลภายในเครือข่ายท้องถิ่น แต่ในขณะเดียวกันก็บล็อกการรับส่งข้อมูลขาเข้าจากอินเทอร์เน็ต
สำหรับเบลดแอปพลิเคชัน & การกรอง URL ตามค่าเริ่มต้นจะถูกตั้งค่าให้บล็อกไซต์ที่มีอันตรายระดับสูง บล็อกแอปพลิเคชันแลกเปลี่ยน (Torrent, File Storage ฯลฯ ) คุณยังสามารถบล็อกหมวดหมู่ของไซต์เพิ่มเติมได้ด้วยตนเอง
เรามาตรวจสอบตัวเลือกสำหรับการรับส่งข้อมูลผู้ใช้ “จำกัดแอปพลิเคชันที่ใช้แบนด์วิธ” ด้วยความสามารถในการจำกัดความเร็วของการรับส่งข้อมูลขาออก/ขาเข้าสำหรับกลุ่มแอปพลิเคชัน
จากนั้น เปิดส่วนย่อยนโยบาย โดยค่าเริ่มต้น กฎจะถูกสร้างขึ้นโดยอัตโนมัติตามการตั้งค่าที่อธิบายไว้ก่อนหน้านี้
ส่วนย่อย NAT ตามค่าเริ่มต้นทำงานใน Global Hide Nat Automatic กล่าวคือ โฮสต์ภายในทั้งหมดจะสามารถเข้าถึงอินเทอร์เน็ตผ่านที่อยู่ IP สาธารณะ คุณสามารถตั้งค่ากฎ NAT ด้วยตนเองสำหรับการเผยแพร่แอปพลิเคชันเว็บหรือบริการของคุณได้
ถัดไป ส่วนที่เกี่ยวข้องกับการตรวจสอบสิทธิ์ผู้ใช้บนเครือข่ายมีสองตัวเลือก: Active Directory Queries (บูรณาการกับโฆษณาของคุณ), การตรวจสอบสิทธิ์บนเบราว์เซอร์ (ผู้ใช้ป้อนข้อมูลรับรองโดเมนในพอร์ทัล)
เป็นมูลค่าการกล่าวขวัญถึงการตรวจสอบ SSL แยกกัน ส่วนแบ่งของการรับส่งข้อมูล HTTPS ทั้งหมดบนเครือข่ายทั่วโลกกำลังเติบโตอย่างแข็งขัน มาดูกันว่าฟีเจอร์ที่ CheckPoint นำเสนอสำหรับโซลูชัน SMB มีอะไรบ้าง โดยไปที่ส่วนการตรวจสอบ SSL → นโยบาย:
ในการตั้งค่า คุณสามารถตรวจสอบการรับส่งข้อมูล HTTPS ได้ คุณจะต้องนำเข้าใบรับรองและติดตั้งในศูนย์ใบรับรองที่เชื่อถือได้บนเครื่องของผู้ใช้ปลายทาง
เราถือว่าโหมด BYPASS สำหรับหมวดหมู่ที่กำหนดไว้ล่วงหน้าเป็นตัวเลือกที่สะดวก ซึ่งช่วยประหยัดเวลาได้มากเมื่อเปิดใช้การตรวจสอบ
หลังจากกำหนดค่ากฎที่ระดับไฟร์วอลล์ / แอปพลิเคชันคุณควรดำเนินการปรับนโยบายความปลอดภัย (การป้องกันภัยคุกคาม) โดยไปที่ส่วนที่เหมาะสม:
ในหน้าเปิด เราจะเห็นสถานะการอัพเดตเบลด ลายเซ็น และฐานข้อมูลที่เปิดใช้งาน นอกจากนี้เรายังขอให้เลือกโปรไฟล์สำหรับปกป้องขอบเขตเครือข่ายและการตั้งค่าที่เกี่ยวข้องจะปรากฏขึ้น
ส่วนที่แยกต่างหาก "การป้องกัน IPS" ช่วยให้คุณสามารถกำหนดค่าการดำเนินการสำหรับลายเซ็นความปลอดภัยเฉพาะได้
ไม่นานมานี้เราเขียนในบล็อกของเรา
ตรวจพบบันทึกสำหรับลายเซ็นนี้ซึ่งสามารถใช้การดำเนินการอย่างใดอย่างหนึ่งได้ (โดยค่าเริ่มต้น การป้องกันสำหรับระดับอันตรายคือระดับวิกฤต) ดังนั้น การมีโซลูชัน SMB คุณจะไม่พลาดในแง่ของการอัปเดตและการสนับสนุน นี่เป็นโซลูชัน NGFW ที่สมบูรณ์แบบสำหรับสำนักงานสาขาที่มีผู้คนมากถึง 200 คนจาก CheckPoint
การประเมินประสิทธิภาพ
โดยสรุปบทความนี้ ฉันต้องการทราบถึงความพร้อมของเครื่องมือสำหรับการแก้ไขปัญหาหลังจากการเริ่มต้นและการกำหนดค่าโซลูชัน SMB คุณสามารถไปที่ส่วน "บ้าน" → "เครื่องมือ" ตัวเลือกที่เป็นไปได้:
- ทรัพยากรระบบการตรวจสอบ
- ตารางเส้นทาง
- ตรวจสอบความพร้อมใช้งานของบริการคลาวด์ CheckPoint
- การสร้าง CPinfo;
คำสั่งเครือข่ายในตัวยังมีให้ใช้งานได้: Ping, Traceroute, Traffic Capture
ดังนั้น วันนี้เราได้ตรวจสอบและศึกษาการเชื่อมต่อเริ่มต้นและการกำหนดค่าของ NGFW 1590 คุณจะดำเนินการที่คล้ายกันสำหรับซีรีส์ 1500 SMB Checkpoint ทั้งหมด ตัวเลือกที่มีอยู่แสดงให้เราเห็นว่าการตั้งค่ามีความแปรปรวนสูง รองรับวิธีการสมัยใหม่ในการปกป้องการรับส่งข้อมูลบนขอบเขตเครือข่าย
ปัจจุบัน โซลูชัน CheckPoint สำหรับการปกป้องสำนักงานขนาดเล็กและสาขา (สูงสุด 200 คน) มีเครื่องมือที่หลากหลายและใช้เทคโนโลยีล่าสุด (การจัดการระบบคลาวด์ การรองรับซิมการ์ด การขยายหน่วยความจำโดยใช้การ์ด SD ฯลฯ) ติดตามข่าวสารและอ่านบทความจาก TS Solution ต่อไป เรากำลังวางแผนเผยแพร่ส่วนต่างๆ เกี่ยวกับ NGFW CheckPoint ของกลุ่ม SMB เพิ่มเติม แล้วพบกัน!
ที่มา: will.com