Продовжуємо цикл статей з роботи з новим модельним рядом SMB CheckPoint, нагадаємо що в ми описали характеристики та можливості нових моделей, способи управління та адміністрування. Сьогодні розглянемо сценарій розгортання старшої моделі серії CheckPoint 1590 NGFW. Докладемо короткий зміст цієї частини:
- Розпакування обладнання (опис комплектуючих, фізичне та мережеве підключення).
- Первинна ініціалізація пристрою.
- Первинне налаштування.
- Оцінка працездатності.
Розпакування обладнання
Знайомство з обладнанням починається з вилучення обладнання з коробки, розбору комплектуючих та встановлення деталей, тисніть на спойлер, де коротко представлений процес
Постачання NGFW 1590
Коротко про комплектуючі:
- NGFW 1590;
- Адаптер живлення;
- 2 Wifi-антени (2.4 ГЦ та 5 ГЦ);
- 2 LTE-антени;
- Буклети з документацією (короткий гайд з первинного підключення, ліцензійна угода тощо)
Щодо мережевих портів та інтерфейсів, то тут є всі сучасні можливості для передачі трафіку та взаємодії, окремо виділений порт для DMZ-зони, USB 3.0 для синхронізації з ПК.
Версія 1590 отримала оновлений дизайн, сучасні опції для бездротового зв'язку та розширення пам'яті: 2 слоти для роботи з Micro/Nano SIM у режимі LTE. (про цю опцію ми плануємо докладно написати в одній із наступних наших статей циклу, присвяченої бездротовим підключенням); слот для картки SD.
Детально про можливості 1590 NGFW та про інші нові моделі можна прочитати в із циклу статей про рішення SMB CheckPoint. Ми ж розпочнемо первинну ініціалізацію пристрою.
Первинна ініціалізація
Постійні наші читачі повинні вже бути в курсі, що в лінійці 1500 серії SMB використовується нова ОС 80.20 Embedded, вона включає оновлений інтерфейс і вдосконалені можливості.
Для того щоб розпочати ініціалізацію пристрою необхідно:
- Забезпечити електроживлення для шлюзу.
- Підключити мережевий кабель від вашого пк в LAN-1 на шлюзі.
- Опціонально можна одразу забезпечити влаштування вихід в інтернет, підключивши інтерфейс у порт WAN.
- Перейти на портал Gaia Embedded:
Якщо були виконані раніше озвучені кроки, то після переходу на сторінку порталу Gaia вам необхідно буде підтвердити відкриття сторінки з недовіреним сертифікатом, після чого запуститься майстер налаштувань порталу:
Вас буде вітати сторінка із зазначенням моделі вашого пристрою, необхідно перейти до наступного розділу:
Нам запропонують створити обліковий запис для авторизації, є можливість вказати високі вимоги до паролю для адміністратора, вказуємо країну, де будемо використовувати шлюз.
Наступне вікно стосується налаштувань дати та часу, можна задати вручну або використовувати NTP-сервер компанії.
Наступний крок передбачає завдання імені пристрою та вказівку домену компанії для коректної роботи служб шлюзу в Інтернеті.
Наступний крок стосується вибору виду управління NGFW, тут слід зазначити:
- Local Management. Цей доступний варіант для локального керування шлюзом за допомогою веб-сторінки Gaia Portal.
- Central Management. Даний вид управління включає синхронізацію з виділеним Management сервером CheckPoint, синхронізацію з хмарою Smart1-Cloud або c SMP (сервіс управління для SMB).
Ми в рамках цієї статті зупинимося на способі управління Local Management, ви можете вказати, який спосіб необхідний. Для ознайомлення з процесом синхронізації з виділеним Management Server, пропонується із навчального циклу CheckPoint Getting Started, підготовленого компанією TS Solution.
Далі буде представлено вікно з визначенням режиму роботи інтерфейсів на шлюзі:
- Режим Switch передбачає доступність підмережі від одного інтерфейсу до підмережі іншого інтерфейсу.
- Режим Disable Switch відповідно відключає режим Switch, кожен порт маршрутизує трафік, як окремий фрагмент мережі.
Також пропонується встановити пул DHCP адрес, які будуть використовуватися при підключенні до локальних інтерфейсів шлюзу.
Наступний крок - це налаштування роботи шлюзу в бездротовому режимі, ми плануємо розібрати цей аспект більш детально в одній статті циклу, тому відклали конфігурацію налаштувань. Ви можете створити нову бездротову точку доступу, задати пароль для підключення до неї і визначити режим роботи бездротового каналу (2.4 Гц або 5 Гц).
Далі буде запропоновано крок налаштування доступу до шлюзу для адміністраторів компанії. За замовчуванням права доступу дозволені, якщо підключення відбувається від:
- Внутрішня підмережа компанії
- Довірена бездротова мережа
- VPN тунель
Опція для підключення до шлюзу через Інтернет за замовчуванням відключена, це несе за собою великі ризики і має бути обґрунтовано для включення, інакше рекомендується залишити як у нашому прикладі. Також є можливість вказати, які саме IP-адреси будуть дозволені для підключення до шлюзу.
Наступне вікно стосується активації ліцензій, при первинній ініціалізації пристрою буде представлено 30-денний тріальний період. Існує два доступні способи активації:
- Якщо є підключення до Інтернету, ліцензія активується автоматично.
- Якщо ви активуєте ліцензію офлайн, потрібно виконати наступне: завантажити ліцензію з UserCenter, зареєструвати ваш пристрій на спеціальному . Далі для обох випадків вам потрібно буде імпортувати вручну завантажену ліцензію.
Нарешті останнє вікно в майстрі налаштувань пропонує вибрати блейди, зазначимо що блейд QOS включається тільки після первинної ініціалізації. У результаті ви повинні отримати вікно завершення, яке підсумовує ваші налаштування.
Первинне налаштування
Насамперед рекомендуємо перевірити стан ліцензій, від цього залежатиме подальше налаштування. Перейдіть на вкладку “HOME” → “License” :
Якщо ліцензії активовані, рекомендуємо відразу оновитися до останньої актуальної прошивки, для цього перейдіть у вкладку “DEVICE” → “System Operations”:
Оновлення системи знаходяться у пункті Firmware Upgrade. У нашому випадку встановлена актуальна та остання версія прошивки.
Далі пропоную коротко розповісти про можливості та налаштування блейдів системи. Логічно можна розділити на політики рівня Access (Firewall, Application Control, URL Filtering) та Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).
Перейдіть у вкладку Access Policy → Blade Control:
За замовчуванням використовується режим STANDARD, він дозволяє: вихідний трафік до Інтернету, трафік усередині локальної мережі, але блокує вхідний трафік з Інтернету.
Що стосується блейдів APPLICATIONS & URL FILTERING, то для них встановлено блокування сайтів з високим рівнем небезпеки, блокування програм обміну (Torrent, File Storage і т.д.). Також додатково можна заблокувати категорії сайтів вручну.
Відзначимо опцію для користувача трафіку "Limit bandwidth consuming applications" з можливістю обмежити швидкість вихідного/вхідного трафіку для груп додатків.
Далі відкриємо підрозділ Policy, за умовчанням правила згенеровані автоматично згідно з раніше описаними налаштуваннями.
Підрозділ NAT за замовчуванням працює в Global Hide Nat Automatic, тобто всі внутрішні хости будуть мати доступ в Інтернет через публічну IP-адресу. Є можливість встановити правила NAT вручну для публікації ваших веб-додатків або сервісів.
Далі розділ, що стосується Аутентифікації користувачів у мережі, пропонується два варіанти: Active Directory Queries (інтеграція з вашим AD), Browser-Based-Authentication (користувач вводить доменні облікові дані в порталі).
Окремо варто торкнутися SSL-інспекції, частка загального HTTPS-трафіку у Глобальній мережі активно зростає. Давайте розглянемо які можливості пропонує CheckPoint для рішень SMB, для цього потрібно перейти в розділ SSL-Inspection → Policy:
У налаштуваннях є можливість інспектувати HTTPS-трафік, потрібно імпортувати сертифікат і встановити його в центр довірених сертифікатів на кінцеві машини користувача.
Зручною опцією вважаємо режим BYPASS для встановлених категорій, це значно економить час при включенні інспекції.
Після налаштування правил на рівні Firewall/Application слід перейти до тюнінгу політик безпеки (Threat Prevention), для цього заходимо у відповідний розділ:
На відкритій сторінці ми бачимо включені блейди, статуси оновлень сигнатур та баз. Також пропонується вибрати профіль для захисту периметра мережі, відображаються відповідні налаштування.
Окремий розділ IPS Protections дозволяє конфігурувати дію на певну сигнатуру безпеки.
Нещодавно ми у своєму блозі писали для Windows Server - SigRed. Перевіримо її наявність у Gaia Embedded 80.20, ввівши запит “CVE-2020-1350”
На цю сигнатуру виявлено запис, до якого можна застосувати одну з дій. (за умовчанням Prevent для рівня небезпеки - Critical). Відповідно, маючи SMB рішення, ви не будете обділеним у плані оновлень та підтримки, це повноцінне рішення NGFW для філіальних офісів до 200 осіб від СheckPoint.
Оцінка працездатності
Завершуючи статтю, хотілося б відзначити наявність інструментів для траблшутинг проблем після первинної ініціалізації та налаштування SMB рішення. Ви можете перейти до розділу “HOME” → “Tools”. Можливі опції:
- моніторинг системних ресурсів;
- таблиця маршрутизації;
- перевірка доступності хмарних сервісів CheckPoint;
- генерація CPinfo;
Також доступні вбудовані мережеві команди: Ping, Traceroute, Traffic Capture.
Таким чином, сьогодні ми розглянули та вивчили первинне підключення та налаштування NGFW 1590, аналогічні дії ви будете робити для всього ряду серії 1500 SMB Checkpoint. Доступні опції показали нам високу варіативність налаштувань, підтримку сучасних методів захисту трафіку на периметрі мережі.
На сьогоднішній день рішення СheckPoint для захисту малих офісів і філій (до 200 осіб) мають широкий набір коштів і використовують найновіші технології (хмарне управління, підтримка симкарт, розширення пам'яті за допомогою SD-карт тощо). Продовжуйте бути в курсі та читати статті від TS Solution, ми плануємо подальший випуск частин про NGFW СheckPoint сімейства SMB, до зустрічі!
. Слідкуйте за оновленнями (, , , , ).
Джерело: habr.com
