Yeni SMB CheckPoint model serisiyle çalışmaya yönelik yazı serimize devam ediyoruz, şunu da hatırlatalım: yeni modellerin, yönetim ve yönetim yöntemlerinin özelliklerini ve yeteneklerini anlattık. Bugün serideki eski modelin dağıtım senaryosuna bakacağız: CheckPoint 1590 NGFW. İşte bu bölümün özeti:
- Ekipmanın ambalajından çıkarılması (bileşenlerin açıklaması, fiziksel ve ağ bağlantıları).
- İlk cihaz başlatma.
- İlk kurulum.
- Performans değerlendirme.
Ambalajdan Çıkarma Ekipmanı
Ekipmanı tanımak, ekipmanın kutudan çıkarılması, bileşenlerin sökülmesi ve parçaların takılmasıyla başlar; sürecin kısaca sunulduğu spoiler'a tıklayın.
NGFW 1590'ın Teslimatı
Kısaca bileşenler hakkında:
- NGFW 1590;
- Güç adaptörü;
- 2 Wifi Anteni (2.4 Hz ve 5 Hz);
- 2 LTE anteni;
- Belgeleri içeren kitapçıklar (ilk bağlantı için kısa bir kılavuz, lisans sözleşmesi vb.)
Ağ bağlantı noktaları ve arayüzlere gelince, trafik iletimi ve etkileşimi için tüm modern yetenekler, DMZ bölgesi için ayrı bir bağlantı noktası, bir PC ile senkronizasyon için USB 3.0 bulunmaktadır.
Sürüm 1590, güncellenmiş bir tasarım, kablosuz iletişim ve bellek genişletme için modern seçenekler aldı: LTE modunda Mikro/Nano SIM ile çalışmak için 2 yuva. (kablosuz bağlantılara ayrılmış serideki sonraki makalelerimizden birinde bu seçenek hakkında ayrıntılı olarak yazmayı planlıyoruz); SD kart yuvası.
1590 NGFW ve diğer yeni modellerin yetenekleri hakkında daha fazla bilgiyi şurada bulabilirsiniz: CheckPoint KOBİ çözümleri hakkındaki bir dizi makaleden. Cihazın ilk başlatılmasına devam edeceğiz.
Birincil başlatma
Düzenli okuyucularımız, 1500 Serisi SMB serisinin, güncellenmiş bir arayüz ve geliştirilmiş yetenekler içeren yeni 80.20 Gömülü İşletim Sistemini kullandığını zaten biliyor olmalıdır.
Cihazı başlatmaya başlamak için yapmanız gerekenler:
- Ağ geçidine güç sağlayın.
- Ağ kablosunu PC'nizden ağ geçidindeki LAN -1'e bağlayın.
- İsteğe bağlı olarak arayüzü WAN bağlantı noktasına bağlayarak cihaza anında İnternet erişimi sağlayabilirsiniz.
- Gaia Embedded portalına gidin:
Daha önce belirtilen adımları izlediyseniz Gaia portal sayfasına gittikten sonra, güvenilmeyen bir sertifikayla sayfayı açmayı onaylamanız gerekir; ardından portal ayarları sihirbazı başlatılır:
Cihazınızın modelini belirten bir sayfa sizi karşılayacak, bir sonraki bölüme geçmeniz gerekiyor:
Yetkilendirme için bir hesap oluşturmamız istenecek, yönetici için yüksek şifre gereksinimleri belirlemek mümkün ve ağ geçidini kullanacağımız ülkeyi belirtiyoruz.
Bir sonraki pencere tarih ve saat ayarlarıyla ilgilidir; manuel olarak ayarlayabilir veya şirketin NTP sunucusunu kullanabilirsiniz.
Bir sonraki adım, ağ geçidi hizmetlerinin İnternette düzgün çalışması için cihaz için bir ad ayarlamayı ve şirket etki alanını belirtmeyi içerir.
Bir sonraki adım NGFW kontrol tipinin seçimiyle ilgilidir; burada şunu belirtmek gerekir:
- Yerel Yönetim. Bu, Gaia Portal web sayfasını kullanarak ağ geçidini yerel olarak yönetmek için mevcut bir seçenektir.
- Merkezi Yönetim. Bu yönetim türü, özel bir CheckPoint Yönetim sunucusuyla senkronizasyonu, Smart1-Cloud bulutu veya SMP (KOBİ için yönetim hizmeti) ile senkronizasyonu içerir.
Bu yazımızda Yerel Yönetim yöntemine odaklanacağız; gerekli olan yöntemi belirleyebilirsiniz. Özel bir Yönetim Sunucusu ile senkronizasyon sürecine aşina olmanız için şunları yapmanızı öneririz: TS Solution tarafından hazırlanan CheckPoint Başlarken eğitim serisinden.
Daha sonra, ağ geçidindeki arayüzlerin çalışma modunu tanımlayan bir pencere sunulacaktır:
- Anahtar modu, bir arayüzden başka bir arayüzün alt ağına bir alt ağın kullanılabilirliğini ifade eder.
- Anahtarı Devre Dışı Bırak modu buna göre Anahtar modunu devre dışı bırakır; her bağlantı noktası trafiği ayrı bir ağ parçasına yönlendirir.
Ayrıca, ağ geçidinin yerel arayüzlerine bağlanırken kullanılacak bir DHCP adres havuzunun belirlenmesi de önerilmektedir.
Bir sonraki adım, ağ geçidini kablosuz modda çalışacak şekilde yapılandırmak; bu konuyu serideki bir makalede daha ayrıntılı olarak ele almayı planladığımız için ayarların yapılandırılmasını erteledik. Yeni bir kablosuz erişim noktası oluşturabilir, ona bağlanmak için bir şifre belirleyebilir ve kablosuz kanalın çalışma modunu (2.4 Hz veya 5 Hz) belirleyebilirsiniz.
Bir sonraki adım, şirket yöneticilerinin ağ geçidine erişimini yapılandırmak olacaktır. Varsayılan olarak, bağlantının aşağıdakilerden gelmesi durumunda erişim haklarına izin verilir:
- Şirket içi alt ağ
- Güvenilir kablosuz ağ
- VPN tüneli
Ağ geçidine İnternet üzerinden bağlanma seçeneği varsayılan olarak devre dışıdır, bu büyük riskler taşır ve dahil edilmesi için gerekçelendirilmesi gerekir, aksi takdirde örneğimizde olduğu gibi bırakılması önerilir.Hangi IP adreslerine izin verileceğini de belirlemek mümkündür. Ağ geçidine bağlanmak için.
Bir sonraki pencere lisansların etkinleştirilmesiyle ilgilidir; cihazın ilk başlatılmasından sonra size 30 günlük bir deneme süresi sunulacaktır. Kullanılabilir iki etkinleştirme yöntemi vardır:
- İnternet bağlantısı varsa lisans otomatik olarak etkinleştirilir.
- Bir lisansı çevrimdışı etkinleştirirseniz aşağıdakileri yapmanız gerekir: lisansı UserCenter'dan indirin, cihazınızı özel bir . Daha sonra, her iki durumda da manuel olarak indirilen lisansı içe aktarmanız gerekecektir.
Son olarak, ayarlar sihirbazındaki son pencere, açılacak blade'leri seçmenizi ister; QOS blade'in yalnızca ilk başlatma sonrasında açıldığını unutmayın. Ayarlarınızı özetleyen bir tamamlama penceresiyle karşılaşmalısınız.
İlk kurulum
Öncelikle lisansların durumunu kontrol etmenizi öneririz; daha fazla yapılandırma buna bağlı olacaktır. “ANA SAYFA” → “Lisans” sekmesine gidin:
Lisanslar etkinleştirilirse, derhal en güncel aygıt yazılımına güncelleme yapmanızı öneririz; bunu yapmak için “CİHAZ” → “Sistem İşlemleri” sekmesine gidin:
Sistem güncellemeleri Ürün Yazılımı Yükseltme öğesinde bulunur. Bizim durumumuzda güncel ve en son ürün yazılımı sürümü yüklüdür.
Daha sonra sistem blade'lerinin yeteneklerinden ve ayarlarından kısaca bahsetmeyi öneriyorum. Mantıksal olarak Erişim (Güvenlik Duvarı, Uygulama Kontrolü, URL Filtreleme) ve Tehdit Önleme (IPS, Antivirüs, Anti-Bot, Tehdit Emülasyonu) düzeyindeki politikalara ayrılabilirler.
Erişim Politikası → Blade Kontrolü sekmesine gidelim:
Varsayılan olarak STANDART mod kullanılır, İnternet'e giden trafiğe, yerel ağ içindeki trafiğe izin verir, ancak aynı zamanda İnternet'ten gelen trafiği de engeller.
UYGULAMALAR VE URL FİLTRELEME dikey pencerelerine gelince, bunlar varsayılan olarak yüksek düzeyde tehlike içeren siteleri, değişim uygulamalarını (Torrent, Dosya Depolama vb.) engelleyecek şekilde ayarlanmıştır. Ayrıca site kategorilerini manuel olarak da engelleyebilirsiniz.
Uygulama grupları için giden/gelen trafiğin hızını sınırlandırma özelliği ile kullanıcı trafiği için "Bant genişliği tüketen uygulamaları sınırla" seçeneğini kontrol edelim.
Ardından, Politika alt bölümünü açın; varsayılan olarak kurallar, daha önce açıklanan ayarlara göre otomatik olarak oluşturulur.
NAT alt bölümü varsayılan olarak Global Hide Nat Otomatik'te çalışır, yani tüm dahili ana bilgisayarlar genel IP adresi aracılığıyla İnternet'e erişebilir. Web uygulamalarınızı veya hizmetlerinizi yayınlamak için NAT kurallarını manuel olarak ayarlamak mümkündür.
Daha sonra, ağdaki Kullanıcı Kimlik Doğrulaması ile ilgili bölüm iki seçenek sunar: Aktif Dizin Sorguları (AD'nizle entegrasyon), Tarayıcı Tabanlı Kimlik Doğrulaması (kullanıcı, portala etki alanı kimlik bilgilerini girer).
SSL denetiminden ayrıca bahsetmeye değer; Global Ağdaki toplam HTTPS trafiğinin payı aktif olarak artıyor. CheckPoint'in KOBİ çözümleri için hangi özelliklere sunduğuna bakalım.Bunu yapmak için SSL-Denetim → Politika bölümüne gidin:
Ayarlarda HTTPS trafiğini inceleyebilirsiniz; sertifikayı içe aktarmanız ve son kullanıcı makinelerindeki güvenilir sertifika merkezine yüklemeniz gerekecektir.
Önceden tanımlanmış kategoriler için BYPASS modunun uygun bir seçenek olduğunu düşünüyoruz; bu, incelemeyi etkinleştirirken önemli ölçüde zaman tasarrufu sağlar.
Güvenlik Duvarı / Uygulama düzeyinde kuralları yapılandırdıktan sonra, güvenlik politikalarını (Tehdit Önleme) ayarlamaya devam etmeli, bunu yapmak için uygun bölüme gitmelisiniz:
Açık sayfada etkin blade'leri, imza ve veritabanı güncelleme durumlarını görüyoruz. Ayrıca ağ çevresini korumak için bir profil seçmemiz istenir ve ilgili ayarlar görüntülenir.
Ayrı bir "IPS Korumaları" bölümü, eylemi belirli bir güvenlik imzası için yapılandırmanıza olanak tanır.
Kısa bir süre önce blogumuzda yazdık Windows Sunucusu için - SigRed. “CVE-80.20-2020” sorgusunu girerek Gaia Embedded 1350'deki varlığını kontrol edelim.
Bu imza için eylemlerden birinin uygulanabileceği bir kayıt algılandı. (Tehlike düzeyi için Önleme varsayılan olarak Kritik'tir). Buna göre KOBİ çözümüne sahip olduğunuzda güncelleme ve destek konusunda da eksik kalmayacaksınız; CheckPoint'ten 200 kişiye kadar şubeler için eksiksiz bir NGFW çözümüdür.
Performans değerlendirme
Makaleyi sonlandırırken, KOBİ çözümünün ilk başlatılmasından ve yapılandırılmasından sonra sorunları gidermeye yönelik araçların mevcut olduğunu belirtmek isterim. “ANA SAYFA” → “Araçlar” bölümüne gidebilirsiniz. Olası seçenekler:
- sistem kaynaklarının izlenmesi;
- yönlendirme tablosu;
- CheckPoint bulut hizmetlerinin kullanılabilirliğini kontrol etmek;
- CPinfo üretimi;
Yerleşik ağ komutları da mevcuttur: Ping, Traceroute, Traffic Capture.
Bu nedenle, bugün NGFW 1590'ın ilk bağlantısını ve konfigürasyonunu inceledik ve inceledik, 1500 SMB Checkpoint serisinin tamamı için benzer eylemleri gerçekleştireceksiniz. Mevcut seçenekler bize ayarlarda yüksek değişkenlik ve ağ çevresindeki trafiği korumaya yönelik modern yöntemlere destek gösterdi.
Bugün CheckPoint'in küçük ofisleri ve şubeleri (200 kişiye kadar) korumaya yönelik çözümleri geniş bir araç yelpazesine sahiptir ve en son teknolojileri (bulut yönetimi, SIM kart desteği, SD kartları kullanarak bellek genişletme vb.) kullanır. TS Çözümü'nden haberdar olmaya ve makaleleri okumaya devam edin, SMB ailesinin NGFW CheckPoint'i ile ilgili yeni bölümlerin yayınlanmasını planlıyoruz, görüşürüz!
. Bizi izlemeye devam edin (, , , , ).
Kaynak: habr.com