Ipinagpapatuloy namin ang serye ng mga artikulo sa pagtatrabaho sa bagong hanay ng modelo ng SMB CheckPoint, hayaan mong ipaalala namin sa iyo na sa inilarawan namin ang mga katangian at kakayahan ng mga bagong modelo, pamamaraan ng pamamahala at pangangasiwa. Ngayon, titingnan natin ang senaryo ng deployment para sa mas lumang modelo sa serye: CheckPoint 1590 NGFW. Narito ang isang buod ng bahaging ito:
- Mga kagamitan sa pag-unpack (paglalarawan ng mga bahagi, pisikal at mga koneksyon sa network).
- Paunang pagsisimula ng device.
- Paunang setup.
- Pagtatasa ng pagganap.
Pag-unpack ng Kagamitan
Ang pagkilala sa kagamitan ay nagsisimula sa pag-alis ng kagamitan mula sa kahon, pag-disassemble ng mga bahagi at pag-install ng mga bahagi; mag-click sa spoiler, kung saan ang proseso ay maikli na ipinakita
Paghahatid ng NGFW 1590
Maikling tungkol sa mga sangkap:
- NGFW 1590;
- Power adapter;
- 2 Wifi Antenna (2.4 Hz at 5 Hz);
- 2 LTE antenna;
- Mga booklet na may dokumentasyon (isang maikling gabay sa paunang koneksyon, kasunduan sa lisensya, atbp.)
Tulad ng para sa mga port ng network at mga interface, mayroong lahat ng mga modernong kakayahan para sa paghahatid at pakikipag-ugnayan ng trapiko, isang hiwalay na port para sa DMZ zone, USB 3.0 para sa pag-synchronize sa isang PC.
Nakatanggap ang Bersyon 1590 ng na-update na disenyo, mga modernong opsyon para sa wireless na komunikasyon at pagpapalawak ng memory: 2 slot para sa pagtatrabaho sa Micro/Nano SIM sa LTE mode. (Plano naming isulat ang tungkol sa opsyong ito nang detalyado sa isa sa aming mga susunod na artikulo sa serye na nakatuon sa mga wireless na koneksyon); Puwang ng SD card.
Maaari kang magbasa nang higit pa tungkol sa mga kakayahan ng 1590 NGFW at iba pang mga bagong modelo sa mula sa isang serye ng mga artikulo tungkol sa mga solusyon sa CheckPoint SMB. Magpapatuloy kami sa paunang pagsisimula ng device.
Pangunahing pagsisimula
Malalaman na ng aming mga regular na mambabasa na ang 1500 Series SMB line ay gumagamit ng bagong 80.20 Embedded OS, na may kasamang na-update na interface at pinahusay na mga kakayahan.
Upang simulan ang pagsisimula ng device kailangan mong:
- Magbigay ng kapangyarihan sa gateway.
- Ikonekta ang network cable mula sa iyong PC sa LAN -1 sa gateway.
- Opsyonal, maaari mong agad na ibigay ang device ng access sa Internet sa pamamagitan ng pagkonekta sa interface sa WAN port.
- Pumunta sa Gaia Embedded portal:
Kung sinunod mo ang mga naunang sinabing hakbang, pagkatapos ay pagkatapos pumunta sa Gaia portal page, kakailanganin mong kumpirmahin ang pagbubukas ng page gamit ang isang hindi pinagkakatiwalaang certificate, pagkatapos nito ay ilulunsad ang portal settings wizard:
Sasalubungin ka ng isang page na nagsasaad ng modelo ng iyong device, kailangan mong pumunta sa susunod na seksyon:
Hihilingin sa amin na lumikha ng isang account para sa awtorisasyon, posibleng tukuyin ang mataas na kinakailangan ng password para sa administrator, at ipinapahiwatig namin ang bansa kung saan namin gagamitin ang gateway.
Ang susunod na window ay tungkol sa mga setting ng petsa at oras; maaari mo itong itakda nang manu-mano o gamitin ang NTP server ng kumpanya.
Kasama sa susunod na hakbang ang pagtatakda ng pangalan para sa device at pagtukoy sa domain ng kumpanya para sa tamang operasyon ng mga serbisyo ng gateway sa Internet.
Ang susunod na hakbang ay may kinalaman sa pagpili ng uri ng kontrol ng NGFW, dito dapat tandaan:
- Lokal na Pamamahala. Isa itong available na opsyon upang pamahalaan ang gateway nang lokal gamit ang web page ng Gaia Portal.
- Pamamahala ng Sentral. Kasama sa ganitong uri ng pamamahala ang pag-synchronize sa isang dedikadong CheckPoint Management server, pag-synchronize sa Smart1-Cloud cloud o sa SMP (management service para sa SMB).
Sa artikulong ito, tututuon natin ang paraan ng Pamamahala ng Lokal; maaari mong tukuyin ang paraan na kinakailangan. Upang maging pamilyar sa proseso ng pag-synchronize sa isang dedikadong Management Server, iminumungkahi namin mula sa serye ng pagsasanay sa Pagsisimula ng CheckPoint na inihanda ng TS Solution.
Susunod, ipapakita ang isang window na tumutukoy sa operating mode ng mga interface sa gateway:
- Ang switch mode ay nagpapahiwatig ng pagkakaroon ng isang subnet mula sa isang interface patungo sa subnet ng isa pang interface.
- Ang Disable Switch mode ay naaayon na hindi pinapagana ang Switch mode; ang bawat port ay nagruruta ng trapiko bilang para sa isang hiwalay na fragment ng network.
Iminumungkahi din na tukuyin ang isang pool ng mga DHCP address na gagamitin kapag kumokonekta sa mga lokal na interface ng gateway.
Ang susunod na hakbang ay upang i-configure ang gateway upang gumana sa wireless mode; plano naming talakayin ang aspetong ito nang mas detalyado sa isang artikulo sa serye, kaya ipinagpaliban namin ang pagsasaayos ng mga setting. Maaari kang lumikha ng bagong wireless access point, magtakda ng password para sa pagkonekta dito at tukuyin ang operating mode ng wireless channel (2.4 Hz o 5 Hz).
Ang susunod na hakbang ay ang pag-configure ng access sa gateway para sa mga administrator ng kumpanya. Bilang default, pinapayagan ang mga karapatan sa pag-access kung ang koneksyon ay nagmula sa:
- Subnet ng panloob na kumpanya
- Pinagkakatiwalaang wireless network
- VPN tunnel
Ang opsyon upang kumonekta sa gateway sa pamamagitan ng Internet ay hindi pinagana bilang default, ito ay nagdadala ng malaking panganib at dapat na makatwiran para sa pagsasama, kung hindi, inirerekomenda na iwanan ito tulad ng sa aming halimbawa. Posible ring tukuyin kung aling mga IP address ang papayagan para kumonekta sa gateway.
Ang susunod na window ay tungkol sa pag-activate ng mga lisensya; sa unang pagsisimula ng device, bibigyan ka ng 30-araw na panahon ng pagsubok. Mayroong dalawang magagamit na paraan ng pag-activate:
- Kung mayroong koneksyon sa Internet, awtomatikong isinaaktibo ang lisensya.
- Kung nag-activate ka ng lisensya offline, kailangan mong gawin ang sumusunod: i-download ang lisensya mula sa UserCenter, irehistro ang iyong device sa isang espesyal na . Susunod, para sa parehong mga kaso, kakailanganin mong i-import ang manu-manong na-download na lisensya.
Sa wakas, ang huling window sa wizard ng mga setting ay nag-uudyok sa iyo na piliin ang mga blades na i-on; tandaan na ang QOS blade ay naka-on lamang pagkatapos ng unang pagsisimula. Dapat kang magkaroon ng window ng pagkumpleto na nagbubuod sa iyong mga setting.
Paunang setup
Una sa lahat, inirerekumenda namin na suriin ang katayuan ng mga lisensya; ang karagdagang pagsasaayos ay nakasalalay dito. Pumunta sa tab na βHOMEβ β βLisensyaβ:
Kung isinaaktibo ang mga lisensya, inirerekumenda namin ang pag-update kaagad sa pinakabagong kasalukuyang firmware; upang gawin ito, pumunta sa tab na "DEVICE" β "System Operations":
Ang mga pag-update ng system ay matatagpuan sa item ng Pag-upgrade ng Firmware. Sa aming kaso, ang kasalukuyan at pinakabagong bersyon ng firmware ay naka-install.
Susunod, iminumungkahi kong maikling pag-usapan ang tungkol sa mga kakayahan at setting ng mga blades ng system. Logically, maaari silang hatiin sa Access (Firewall, Application Control, URL Filtering) at Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation) na mga patakaran sa antas.
Pumunta tayo sa Access Policy β Blade Control tab:
Bilang default, ginagamit ang STANDARD mode, pinapayagan nito ang papalabas na trapiko sa Internet, trapiko sa loob ng lokal na network, ngunit sa parehong oras ay hinaharangan ang papasok na trapiko mula sa Internet.
Para naman sa mga APPLICATIONS & URL FILTERING blades, bilang default, nakatakda ang mga ito na harangan ang mga site na may mataas na antas ng panganib, i-block ang mga exchange application (Torrent, File Storage, atbp.). Maaari mo ring i-block nang manu-mano ang mga kategorya ng mga site.
Suriin natin ang opsyon para sa trapiko ng user na βLimitan ang mga application na gumagamit ng bandwidthβ na may kakayahang limitahan ang bilis ng papalabas/papasok na trapiko para sa mga pangkat ng mga application.
Susunod, buksan ang subsection ng Patakaran; bilang default, awtomatikong nabuo ang mga panuntunan ayon sa mga naunang inilarawang setting.
Ang NAT subsection bilang default ay gumagana sa Global Hide Nat Automatic, ibig sabihin, lahat ng panloob na host ay magkakaroon ng access sa Internet sa pamamagitan ng pampublikong IP address. Posibleng manu-manong magtakda ng mga panuntunan sa NAT para sa pag-publish ng iyong mga web application o serbisyo.
Susunod, ang seksyon na may kinalaman sa User Authentication sa network ay nag-aalok ng dalawang opsyon: Active Directory Query (pagsasama sa iyong AD), Browser-Based-Authentication (ang user ay pumapasok sa mga kredensyal ng domain sa portal).
Ito ay nagkakahalaga ng pagbanggit ng SSL inspeksyon nang hiwalay; ang bahagi ng kabuuang trapiko ng HTTPS sa Global Network ay aktibong lumalaki. Tingnan natin kung anong mga feature ang inaalok ng CheckPoint para sa mga solusyon sa SMB. Upang gawin ito, pumunta sa SSL-Inspection β Policy section:
Sa mga setting maaari mong suriin ang trapiko ng HTTPS; kakailanganin mong i-import ang certificate at i-install ito sa pinagkakatiwalaang certificate center sa mga end user machine.
Itinuturing namin na ang BYPASS mode para sa mga paunang natukoy na kategorya ay isang maginhawang opsyon; makabuluhang nakakatipid ito ng oras kapag pinapagana ang inspeksyon.
Pagkatapos i-configure ang mga patakaran sa antas ng Firewall / Application, dapat kang magpatuloy sa pag-tune ng mga patakaran sa seguridad (Pag-iwas sa Banta), upang gawin ito, pumunta sa naaangkop na seksyon:
Sa bukas na pahina makikita namin ang mga pinaganang blades, lagda at mga katayuan sa pag-update ng database. Hinihiling din sa amin na pumili ng isang profile para sa pagprotekta sa perimeter ng network, at ang kaukulang mga setting ay ipinapakita.
Ang isang hiwalay na seksyon na "Mga Proteksyon ng IPS" ay nagpapahintulot sa iyo na i-configure ang aksyon para sa isang partikular na lagda ng seguridad.
Hindi nagtagal nagsulat kami sa aming blog para sa Windows Server - SigRed. Tingnan natin ang presensya nito sa Gaia Embedded 80.20 sa pamamagitan ng paglalagay ng query na βCVE-2020-1350β
May nakitang talaan para sa lagdang ito kung saan maaaring ilapat ang isa sa mga aksyon. (sa pamamagitan ng default Pigilan para sa antas ng panganib ay Kritikal). Alinsunod dito, ang pagkakaroon ng solusyon sa SMB, hindi ka maiiwan sa mga tuntunin ng mga update at suporta; ito ay isang kumpletong solusyon ng NGFW para sa mga sangay na opisina ng hanggang 200 katao mula sa CheckPoint.
Pagtatasa ng pagganap
Sa pagtatapos ng artikulo, nais kong tandaan ang pagkakaroon ng mga tool para sa pag-troubleshoot ng mga problema pagkatapos ng paunang pagsisimula at pagsasaayos ng solusyon sa SMB. Maaari kang pumunta sa seksyong βHOMEβ β βToolsβ. Mga posibleng opsyon:
- mga mapagkukunan ng sistema ng pagsubaybay;
- talahanayan ng ruta;
- pagsuri sa pagkakaroon ng CheckPoint cloud services;
- henerasyon ng CPinfo;
Available din ang mga built-in na command sa network: Ping, Traceroute, Traffic Capture.
Kaya, ngayon ay sinuri at pinag-aralan namin ang paunang koneksyon at pagsasaayos ng NGFW 1590, magsasagawa ka ng mga katulad na aksyon para sa buong serye ng 1500 SMB Checkpoint. Ang mga magagamit na opsyon ay nagpakita sa amin ng mataas na pagkakaiba-iba para sa mga setting, suporta para sa mga modernong paraan ng pagprotekta sa trapiko sa perimeter ng network.
Ngayon, ang mga solusyon sa CheckPoint para sa pagprotekta sa maliliit na opisina at sangay (hanggang sa 200 tao) ay may malawak na hanay ng mga tool at gumagamit ng mga pinakabagong teknolohiya (pamamahala ng ulap, suporta sa SIM card, pagpapalawak ng memorya gamit ang mga SD card, atbp.). Patuloy na manatiling may kaalaman at magbasa ng mga artikulo mula sa TS Solution, nagpaplano kami ng mga karagdagang release ng mga bahagi tungkol sa NGFW CheckPoint ng pamilya ng SMB, see you!
. Manatiling nakatutok (, , , , ).
Pinagmulan: www.habr.com