ہم نئے ایس ایم بی چیک پوائنٹ ماڈل رینج کے ساتھ کام کرنے پر مضامین کا سلسلہ جاری رکھتے ہیں، آئیے آپ کو یاد دلاتے ہیں کہ ہم نے نئے ماڈلز، انتظام اور انتظامیہ کے طریقوں کی خصوصیات اور صلاحیتوں کو بیان کیا۔ آج ہم سیریز میں پرانے ماڈل کے لیے تعیناتی کے منظر نامے کو دیکھیں گے: CheckPoint 1590 NGFW۔ اس حصے کا خلاصہ یہ ہے:
- پیکنگ کا سامان (اجزاء کی تفصیل، فزیکل اور نیٹ ورک کنکشن)۔
- آلہ کی ابتدائی شروعات۔
- ابتدائی ڈھانچہ.
- کارکردگی کی تشخیص.
سامان کھولنا۔
آلات کے بارے میں جاننا باکس سے سامان کو ہٹانے، اجزاء کو جدا کرنے اور پرزوں کو انسٹال کرنے سے شروع ہوتا ہے؛ اسپوائلر پر کلک کریں، جہاں عمل کو مختصراً پیش کیا گیا ہے۔
NGFW 1590 کی ترسیل
اجزاء کے بارے میں مختصر طور پر:
- NGFW 1590;
- پاور اڈاپٹر؛
- 2 وائی فائی اینٹینا (2.4 ہرٹز اور 5 ہرٹز)؛
- 2 LTE اینٹینا؛
- دستاویزات کے ساتھ کتابچے (ابتدائی کنکشن، لائسنس کا معاہدہ، وغیرہ کے لیے ایک مختصر گائیڈ)
جہاں تک نیٹ ورک پورٹس اور انٹرفیس کا تعلق ہے، ٹریفک کی ترسیل اور تعامل کے لیے تمام جدید صلاحیتیں موجود ہیں، DMZ زون کے لیے ایک علیحدہ پورٹ، PC کے ساتھ ہم آہنگی کے لیے USB 3.0۔
ورژن 1590 کو جدید ترین ڈیزائن، وائرلیس کمیونیکیشن اور میموری کی توسیع کے لیے جدید اختیارات موصول ہوئے: LTE موڈ میں مائیکرو/نینو سم کے ساتھ کام کرنے کے لیے 2 سلاٹس۔ (ہم وائرلیس کنکشن کے لیے وقف کردہ سیریز میں اپنے اگلے مضامین میں سے ایک میں اس اختیار کے بارے میں تفصیل سے لکھنے کا ارادہ رکھتے ہیں)؛ SD کارڈ سلاٹ۔
آپ 1590 NGFW اور دیگر نئے ماڈلز کی صلاحیتوں کے بارے میں مزید پڑھ سکتے ہیں۔ چیک پوائنٹ ایس ایم بی حل کے بارے میں مضامین کی ایک سیریز سے۔ ہم آلہ کے ابتدائی آغاز پر آگے بڑھیں گے۔
ابتدائی آغاز
ہمارے ریگولر قارئین کو پہلے ہی آگاہ ہونا چاہیے کہ 1500 سیریز SMB لائن نئے 80.20 ایمبیڈڈ OS کا استعمال کرتی ہے، جس میں ایک اپ ڈیٹ انٹرفیس اور بہتر صلاحیتیں شامل ہیں۔
ڈیوائس کو شروع کرنے کے لیے آپ کو:
- گیٹ وے کو بجلی فراہم کریں۔
- نیٹ ورک کیبل کو اپنے پی سی سے گیٹ وے پر LAN-1 سے جوڑیں۔
- اختیاری طور پر، آپ انٹرفیس کو WAN پورٹ سے جوڑ کر فوری طور پر آلہ کو انٹرنیٹ تک رسائی فراہم کر سکتے ہیں۔
- Gaia ایمبیڈڈ پورٹل پر جائیں:
اگر آپ نے پہلے بیان کردہ مراحل پر عمل کیا ہے، تو Gaia پورٹل کے صفحہ پر جانے کے بعد، آپ کو صفحہ کو غیر بھروسہ مند سرٹیفکیٹ کے ساتھ کھولنے کی تصدیق کرنی ہوگی، جس کے بعد پورٹل سیٹنگ وزرڈ شروع ہو جائے گا:
آپ کو آپ کے آلے کے ماڈل کی نشاندہی کرنے والے صفحہ کے ذریعہ استقبال کیا جائے گا، آپ کو اگلے حصے پر جانے کی ضرورت ہے:
ہم سے اجازت کے لیے ایک اکاؤنٹ بنانے کے لیے کہا جائے گا، منتظم کے لیے پاس ورڈ کے اعلی تقاضوں کی وضاحت کرنا ممکن ہے، اور ہم اس ملک کی نشاندہی کرتے ہیں جہاں ہم گیٹ وے استعمال کریں گے۔
اگلی ونڈو تاریخ اور وقت کی ترتیبات سے متعلق ہے؛ آپ اسے دستی طور پر سیٹ کر سکتے ہیں یا کمپنی کا NTP سرور استعمال کر سکتے ہیں۔
اگلے مرحلے میں ڈیوائس کے لیے ایک نام ترتیب دینا اور کمپنی کے ڈومین کی وضاحت کرنا شامل ہے تاکہ گیٹ وے سروسز انٹرنیٹ پر صحیح طریقے سے کام کر سکیں۔
اگلا مرحلہ NGFW کنٹرول قسم کے انتخاب سے متعلق ہے، یہاں یہ نوٹ کرنا چاہیے:
- مقامی انتظامیہ۔ Gaia Portal ویب صفحہ کا استعمال کرتے ہوئے مقامی طور پر گیٹ وے کا انتظام کرنے کے لیے یہ ایک دستیاب آپشن ہے۔
- مرکزی انتظام۔ اس قسم کے انتظام میں ایک وقف شدہ چیک پوائنٹ مینجمنٹ سرور کے ساتھ ہم آہنگی، Smart1-Cloud کلاؤڈ کے ساتھ یا SMP (SMB کے لیے مینجمنٹ سروس) کے ساتھ ہم آہنگی شامل ہے۔
اس مضمون میں، ہم مقامی انتظام کے طریقہ کار پر توجہ مرکوز کریں گے؛ آپ اس طریقہ کی وضاحت کر سکتے ہیں جو ضروری ہے۔ ایک سرشار مینجمنٹ سرور کے ساتھ ہم آہنگی کے عمل سے اپنے آپ کو واقف کرنے کے لیے، ہم تجویز کرتے ہیں۔ TS سلوشن کے ذریعہ تیار کردہ چیک پوائنٹ گیٹنگ اسٹارٹ ٹریننگ سیریز سے۔
اگلا، گیٹ وے پر انٹرفیس کے آپریٹنگ موڈ کی وضاحت کرتے ہوئے ایک ونڈو پیش کی جائے گی:
- سوئچ موڈ کا مطلب ایک انٹرفیس سے دوسرے انٹرفیس کے سب نیٹ میں سب نیٹ کی دستیابی ہے۔
- اس کے مطابق غیر فعال سوئچ موڈ سوئچ موڈ کو غیر فعال کرتا ہے؛ ہر پورٹ ٹریفک کو ایک علیحدہ نیٹ ورک کے ٹکڑے کی طرح روٹ کرتا ہے۔
یہ بھی تجویز ہے کہ ڈی ایچ سی پی ایڈریس کے ایک پول کی وضاحت کی جائے جو گیٹ وے کے مقامی انٹرفیس سے منسلک ہونے پر استعمال کیے جائیں گے۔
اگلا مرحلہ وائرلیس موڈ میں کام کرنے کے لیے گیٹ وے کو ترتیب دینا ہے؛ ہم سیریز کے ایک مضمون میں اس پہلو پر مزید تفصیل سے بات کرنے کا ارادہ رکھتے ہیں، اس لیے ہم نے ترتیبات کی ترتیب کو ملتوی کر دیا۔ آپ ایک نیا وائرلیس ایکسیس پوائنٹ بنا سکتے ہیں، اس سے منسلک ہونے کے لیے پاس ورڈ سیٹ کر سکتے ہیں اور وائرلیس چینل (2.4 ہرٹز یا 5 ہرٹز) کے آپریٹنگ موڈ کا تعین کر سکتے ہیں۔
اگلا مرحلہ کمپنی کے منتظمین کے لیے گیٹ وے تک رسائی کو ترتیب دینا ہوگا۔ پہلے سے طے شدہ طور پر، رسائی کے حقوق کی اجازت ہے اگر کنکشن اس سے آتا ہے:
- اندرونی کمپنی سب نیٹ
- قابل اعتماد وائرلیس نیٹ ورک
- وی پی این سرنگ
انٹرنیٹ کے ذریعے گیٹ وے سے جڑنے کا آپشن بطور ڈیفالٹ غیر فعال ہے، اس میں بڑے خطرات لاحق ہوتے ہیں اور اسے شامل کرنے کا جواز ہونا ضروری ہے، بصورت دیگر اس کو چھوڑنے کی سفارش کی جاتی ہے جیسا کہ ہماری مثال میں ہے۔ یہ بتانا بھی ممکن ہے کہ کن IP پتوں کو اجازت دی جائے گی۔ گیٹ وے سے جڑنے کے لیے۔
اگلی ونڈو لائسنسوں کے فعال ہونے سے متعلق ہے؛ ڈیوائس کے ابتدائی آغاز پر، آپ کو 30 دن کی آزمائشی مدت کے ساتھ پیش کیا جائے گا۔ چالو کرنے کے دو دستیاب طریقے ہیں:
- اگر انٹرنیٹ کنیکشن ہے تو لائسنس خود بخود چالو ہوجاتا ہے۔
- اگر آپ لائسنس کو آف لائن چالو کرتے ہیں، تو آپ کو درج ذیل کام کرنے کی ضرورت ہے: UserCenter سے لائسنس ڈاؤن لوڈ کریں، اپنے آلے کو ایک خصوصی پر رجسٹر کریں۔ . اگلا، دونوں صورتوں کے لیے، آپ کو دستی طور پر ڈاؤن لوڈ کردہ لائسنس درآمد کرنے کی ضرورت ہوگی۔
آخر میں، سیٹنگ وزرڈ میں آخری ونڈو آپ کو آن کرنے کے لیے بلیڈز کو منتخب کرنے کا اشارہ کرتی ہے؛ نوٹ کریں کہ QOS بلیڈ صرف ابتدائی آغاز کے بعد آن کیا جاتا ہے۔ آپ کو ایک تکمیلی ونڈو کے ساتھ ختم کرنا چاہئے جو آپ کی ترتیبات کا خلاصہ کرے۔
ابتدائی ڈھانچہ
سب سے پہلے، ہم لائسنس کی حیثیت کو چیک کرنے کی سفارش کرتے ہیں؛ مزید ترتیب اس پر منحصر ہوگی. "ہوم" → "لائسنس" ٹیب پر جائیں:
اگر لائسنس ایکٹیویٹ ہوتے ہیں، تو ہم فوری طور پر تازہ ترین موجودہ فرم ویئر کو اپ ڈیٹ کرنے کی تجویز کرتے ہیں؛ ایسا کرنے کے لیے، "ڈیوائس" → "سسٹم آپریشنز" ٹیب پر جائیں:
سسٹم اپ ڈیٹس فرم ویئر اپ گریڈ آئٹم میں موجود ہیں۔ ہمارے معاملے میں، موجودہ اور تازہ ترین فرم ویئر ورژن انسٹال ہے۔
اگلا، میں نظام بلیڈ کی صلاحیتوں اور ترتیبات کے بارے میں مختصر طور پر بات کرنے کی تجویز کرتا ہوں۔ منطقی طور پر، انہیں رسائی (فائر وال، ایپلیکیشن کنٹرول، یو آر ایل فلٹرنگ) اور تھریٹ پریوینشن (آئی پی ایس، اینٹی وائرس، اینٹی بوٹ، تھریٹ ایمولیشن) کی سطح کی پالیسیوں میں تقسیم کیا جا سکتا ہے۔
آئیے رسائی کی پالیسی → بلیڈ کنٹرول ٹیب پر جائیں:
پہلے سے طے شدہ طور پر، اسٹینڈرڈ موڈ استعمال ہوتا ہے، یہ انٹرنیٹ پر جانے والی ٹریفک، مقامی نیٹ ورک کے اندر ٹریفک کی اجازت دیتا ہے، لیکن ساتھ ہی انٹرنیٹ سے آنے والی ٹریفک کو روکتا ہے۔
جہاں تک ایپلی کیشنز اور یو آر ایل فلٹرنگ بلیڈز کا تعلق ہے، وہ پہلے سے طے شدہ طور پر ایسے سائٹس کو بلاک کرنے کے لیے سیٹ کیے جاتے ہیں جن میں خطرے کی ایک اعلی سطح، بلاک ایکسچینج ایپلی کیشنز (Torrent، File Storage، وغیرہ) ہیں۔ آپ سائٹس کے زمرے کو دستی طور پر بھی بلاک کر سکتے ہیں۔
آئیے یوزر ٹریفک کے لیے آپشن کو چیک کرتے ہیں "Limit bandwidth consuming applications" ایپلی کیشنز کے گروپس کے لیے آؤٹ گوئنگ/انکمنگ ٹریفک کی رفتار کو محدود کرنے کی صلاحیت کے ساتھ۔
اس کے بعد، پالیسی کے ذیلی حصے کو کھولیں؛ پہلے سے طے شدہ طور پر، پہلے بیان کردہ ترتیبات کے مطابق قواعد خود بخود تیار ہوتے ہیں۔
NAT ذیلی سیکشن بطور ڈیفالٹ گلوبل ہائیڈ نیٹ آٹومیٹک میں کام کرتا ہے، یعنی تمام اندرونی میزبانوں کو عوامی IP ایڈریس کے ذریعے انٹرنیٹ تک رسائی حاصل ہوگی۔ اپنی ویب ایپلیکیشنز یا خدمات کو شائع کرنے کے لیے NAT قوانین کو دستی طور پر ترتیب دینا ممکن ہے۔
اس کے بعد، نیٹ ورک پر صارف کی توثیق سے متعلق سیکشن دو اختیارات پیش کرتا ہے: ایکٹو ڈائرکٹری سوالات (آپ کے AD کے ساتھ انضمام)، براؤزر کی بنیاد پر توثیق (صارف پورٹل میں ڈومین کی اسناد داخل کرتا ہے)۔
SSL معائنہ کا الگ سے ذکر کرنا ضروری ہے؛ گلوبل نیٹ ورک پر کل HTTPS ٹریفک کا حصہ فعال طور پر بڑھ رہا ہے۔ آئیے دیکھتے ہیں کہ چیک پوائنٹ SMB حل کے لیے کون سی خصوصیات پیش کرتا ہے۔ ایسا کرنے کے لیے، SSL-Inspection → پالیسی سیکشن پر جائیں:
سیٹنگز میں آپ HTTPS ٹریفک کا معائنہ کر سکتے ہیں؛ آپ کو سرٹیفکیٹ درآمد کرنا ہوگا اور اسے صارف کی مشینوں پر قابل اعتماد سرٹیفکیٹ سینٹر میں انسٹال کرنا ہوگا۔
ہم پہلے سے طے شدہ زمرہ جات کے لیے بائی پاس موڈ کو ایک آسان آپشن سمجھتے ہیں؛ اس سے معائنے کو فعال کرتے وقت وقت کی کافی بچت ہوتی ہے۔
فائر وال / ایپلیکیشن کی سطح پر قواعد کو ترتیب دینے کے بعد، آپ کو حفاظتی پالیسیوں (خطرات کی روک تھام) کو ٹیوننگ کرنے کے لیے آگے بڑھنا چاہیے، ایسا کرنے کے لیے، مناسب سیکشن پر جائیں:
کھلے صفحہ پر ہم فعال بلیڈ، دستخط اور ڈیٹا بیس کی تازہ کاری کی حالتیں دیکھتے ہیں۔ ہمیں نیٹ ورک کے دائرے کی حفاظت کے لیے ایک پروفائل منتخب کرنے کے لیے بھی کہا جاتا ہے، اور متعلقہ ترتیبات ظاہر ہوتی ہیں۔
ایک علیحدہ سیکشن "IPS تحفظات" آپ کو ایک مخصوص حفاظتی دستخط کے لیے کارروائی کو ترتیب دینے کی اجازت دیتا ہے۔
کچھ عرصہ پہلے ہم نے اپنے بلاگ پر لکھا تھا۔ ونڈوز سرور کے لیے - SigRed. آئیے "CVE-80.20-2020" استفسار درج کرکے Gaia Embedded 1350 میں اس کی موجودگی کی جانچ کریں۔
اس دستخط کے لیے ایک ریکارڈ کا پتہ چلا ہے جس پر عمل میں سے ایک کا اطلاق کیا جا سکتا ہے۔ (بطور ڈیفالٹ خطرے کی سطح کی روک تھام اہم ہے)۔ اس کے مطابق، SMB حل ہونے سے، آپ کو اپ ڈیٹس اور سپورٹ کے معاملے میں چھوڑا نہیں جائے گا؛ یہ چیک پوائنٹ سے 200 لوگوں تک کے برانچ آفسز کے لیے ایک مکمل NGFW حل ہے۔
کارکردگی کی تشخیص
مضمون کو ختم کرتے ہوئے، میں SMB حل کی ابتدائی ابتدا اور ترتیب کے بعد مسائل کو حل کرنے کے لیے ٹولز کی دستیابی کو نوٹ کرنا چاہوں گا۔ آپ "ہوم" → "ٹولز" سیکشن میں جا سکتے ہیں۔ ممکنہ اختیارات:
- نظام کے وسائل کی نگرانی؛
- روٹنگ ٹیبل؛
- چیک پوائنٹ کلاؤڈ سروسز کی دستیابی کی جانچ کرنا؛
- CPinfo نسل؛
بلٹ ان نیٹ ورک کمانڈز بھی دستیاب ہیں: پنگ، ٹریسروٹ، ٹریفک کیپچر۔
اس طرح، آج ہم نے NGFW 1590 کے ابتدائی کنکشن اور کنفیگریشن کا جائزہ لیا اور اس کا مطالعہ کیا، آپ پوری 1500 SMB چیک پوائنٹ سیریز کے لیے اسی طرح کی کارروائیاں کریں گے۔ دستیاب اختیارات نے ہمیں سیٹنگز کے لیے اعلی تغیرات، نیٹ ورک کے دائرے پر ٹریفک کی حفاظت کے جدید طریقوں کے لیے سپورٹ دکھایا۔
آج، چھوٹے دفاتر اور شاخوں (200 افراد تک) کی حفاظت کے لیے چیک پوائنٹ کے حل کے پاس ٹولز کی ایک وسیع رینج ہے اور وہ جدید ترین ٹیکنالوجیز (کلاؤڈ مینجمنٹ، سم کارڈ سپورٹ، ایس ڈی کارڈز کا استعمال کرتے ہوئے میموری کی توسیع وغیرہ) استعمال کرتے ہیں۔ باخبر رہنا جاری رکھیں اور TS Solution کے مضامین پڑھیں، ہم SMB فیملی کے NGFW چیک پوائنٹ کے بارے میں مزید حصوں کی ریلیز کا منصوبہ بنا رہے ہیں، ملتے ہیں!
. دیکھتے رہنا (, , , , ).
ماخذ: www.habr.com