Biz yangi SMB CheckPoint model diapazoni bilan ishlash bo'yicha maqolalar seriyasini davom ettiramiz, buni eslatib o'tamiz biz yangi modellarning xususiyatlari va imkoniyatlarini, boshqaruv va boshqaruv usullarini tasvirlab berdik. Bugun biz seriyadagi eski modelni joylashtirish stsenariysini ko'rib chiqamiz: CheckPoint 1590 NGFW. Mana bu qismning qisqacha mazmuni:
- Uskunani o'rash (komponentlarning tavsifi, jismoniy va tarmoq ulanishlari).
- Qurilmani dastlabki ishga tushirish.
- Dastlabki sozlash.
- Ish faoliyatini baholash.
Uskunani qadoqdan chiqarish
Uskuna bilan tanishish uskunani qutidan olib tashlash, komponentlarni qismlarga ajratish va qismlarni o'rnatishdan boshlanadi; jarayon qisqacha ko'rsatilgan spoylerni bosing.
NGFW 1590 yetkazib berish
Komponentlar haqida qisqacha:
- NGFW 1590;
- Quvvat adapteri;
- 2 ta Wi-Fi antennalari (2.4 Gts va 5 Gts);
- 2 ta LTE antennalari;
- Hujjatlar bilan bukletlar (dastlabki ulanish bo'yicha qisqacha qo'llanma, litsenziya shartnomasi va boshqalar)
Tarmoq portlari va interfeyslariga kelsak, trafikni uzatish va o'zaro ta'sir qilish uchun barcha zamonaviy imkoniyatlar, DMZ zonasi uchun alohida port, shaxsiy kompyuter bilan sinxronlash uchun USB 3.0 mavjud.
1590-versiya yangilangan dizaynni, simsiz aloqa va xotirani kengaytirishning zamonaviy imkoniyatlarini oldi: LTE rejimida Micro/Nano SIM bilan ishlash uchun 2 slot. (biz ushbu variant haqida simsiz ulanishga bag'ishlangan seriyadagi keyingi maqolalarimizdan birida batafsil yozishni rejalashtirmoqdamiz); SD karta uyasi.
1590 NGFW va boshqa yangi modellarning imkoniyatlari haqida ko'proq ma'lumotni ushbu sahifada o'qishingiz mumkin CheckPoint SMB yechimlari haqidagi bir qator maqolalardan. Qurilmani dastlabki ishga tushirishga o'tamiz.
Birlamchi ishga tushirish
Bizning doimiy o'quvchilarimiz allaqachon bilishlari kerakki, 1500 Series SMB liniyasi yangilangan interfeys va yaxshilangan imkoniyatlarni o'z ichiga olgan yangi 80.20 Embedded OS dan foydalanadi.
Qurilmani ishga tushirishni boshlash uchun sizga kerak:
- Shlyuzni quvvat bilan ta'minlang.
- Kompyuteringizdan tarmoq kabelini shlyuzdagi LAN -1 ga ulang.
- Ixtiyoriy ravishda, interfeysni WAN portiga ulab, qurilmani darhol Internetga kirishni ta'minlashingiz mumkin.
- Gaia Embedded portaliga o'ting:
Agar siz ilgari ko'rsatilgan amallarni bajargan bo'lsangiz, Gaia portal sahifasiga o'tganingizdan so'ng, sahifani ishonchsiz sertifikat bilan ochishni tasdiqlashingiz kerak, shundan so'ng portal sozlamalari ustasi ishga tushadi:
Sizni qurilmangiz modeli ko'rsatadigan sahifa kutib oladi, siz keyingi bo'limga o'tishingiz kerak:
Bizdan avtorizatsiya uchun hisob yaratish so'raladi, administrator uchun yuqori parol talablarini belgilash mumkin va biz shlyuzdan foydalanadigan mamlakatni ko'rsatamiz.
Keyingi oyna sana va vaqt sozlamalariga tegishli bo'lib, uni qo'lda o'rnatishingiz yoki kompaniyaning NTP serveridan foydalanishingiz mumkin.
Keyingi qadam, shlyuz xizmatlari Internetda to'g'ri ishlashi uchun qurilma nomini o'rnatish va kompaniya domenini ko'rsatishni o'z ichiga oladi.
Keyingi qadam NGFW boshqaruv turini tanlash bilan bog'liq, bu erda quyidagilarni ta'kidlash kerak:
- Mahalliy boshqaruv. Bu Gaia Portal veb-sahifasidan foydalanib, shlyuzni mahalliy boshqarish uchun mavjud variant.
- Markaziy boshqaruv. Ushbu turdagi boshqaruv maxsus CheckPoint Management serveri bilan sinxronlashni, Smart1-Cloud buluti yoki SMP (SMB uchun boshqaruv xizmati) bilan sinxronlashni o'z ichiga oladi.
Ushbu maqolada biz mahalliy boshqaruv usuliga e'tibor qaratamiz, siz kerakli usulni belgilashingiz mumkin. Maxsus boshqaruv serveri bilan sinxronizatsiya jarayoni bilan tanishish uchun biz taklif qilamiz TS Solution tomonidan tayyorlangan CheckPoint Getting Started oΚ»quv turkumidan.
Keyinchalik, shlyuzdagi interfeyslarning ishlash rejimini belgilaydigan oyna paydo bo'ladi:
- Switch rejimi bir interfeysdan boshqa interfeysning pastki tarmog'iga quyi tarmoq mavjudligini nazarda tutadi.
- O'chirish rejimini o'chirish mos ravishda Switch rejimini o'chiradi; har bir port alohida tarmoq fragmenti kabi trafikni yo'naltiradi.
Shuningdek, shlyuzning mahalliy interfeyslariga ulanishda foydalaniladigan DHCP manzillar pulini belgilash taklif etiladi.
Keyingi qadam simsiz rejimda ishlash uchun shlyuzni sozlashdir, biz ushbu jihatni seriyadagi bitta maqolada batafsilroq muhokama qilishni rejalashtirmoqdamiz, shuning uchun biz sozlamalarni sozlashni keyinga qoldirdik. Siz yangi simsiz kirish nuqtasini yaratishingiz, unga ulanish uchun parol o'rnatishingiz va simsiz kanalning ishlash rejimini (2.4 Gts yoki 5 Gts) aniqlashingiz mumkin.
Keyingi qadam kompaniya ma'murlari uchun shlyuzga kirishni sozlash bo'ladi. Odatiy bo'lib, ulanish quyidagi manbalardan kelib chiqsa, kirish huquqlariga ruxsat beriladi:
- Kompaniyaning ichki quyi tarmog'i
- Ishonchli simsiz tarmoq
- VPN tunnel
Internet orqali shlyuzga ulanish opsiyasi sukut bo'yicha o'chirib qo'yilgan, bu katta xavf tug'diradi va qo'shilish uchun asoslanishi kerak, aks holda uni bizning misolimizdagidek qoldirish tavsiya etiladi.Shuningdek, qaysi IP manzillarga ruxsat berilishini ham belgilash mumkin. shlyuzga ulanish uchun.
Keyingi oyna litsenziyalarni faollashtirish bilan bog'liq; qurilmani ishga tushirishda sizga 30 kunlik sinov muddati taqdim etiladi. Ikkita faollashtirish usuli mavjud:
- Agar Internetga ulanish mavjud bo'lsa, litsenziya avtomatik ravishda faollashadi.
- Agar siz litsenziyani oflayn rejimda faollashtirsangiz, quyidagilarni qilishingiz kerak: litsenziyani UserCenter-dan yuklab oling, qurilmangizni maxsus ro'yxatdan o'tkazing. . Keyinchalik, ikkala holatda ham qo'lda yuklab olingan litsenziyani import qilishingiz kerak bo'ladi.
Nihoyat, sozlash ustasidagi oxirgi oyna sizga yoqiladigan pichoqlarni tanlashni taklif qiladi; QOS blade faqat dastlabki ishga tushirilgandan so'ng yoqilganligini unutmang. Sozlamalaringizni umumlashtiradigan tugatish oynasi bilan yakunlashingiz kerak.
Dastlabki sozlash
Avvalo, litsenziyalar holatini tekshirishni tavsiya etamiz, keyingi konfiguratsiya bunga bog'liq bo'ladi. "UY" β "Litsenziya" yorlig'iga o'ting:
Agar litsenziyalar faollashtirilgan bo'lsa, biz darhol so'nggi joriy dasturiy ta'minotni yangilashni tavsiya qilamiz, buning uchun "QURILMA" β "Tizim operatsiyalari" yorlig'iga o'ting:
Tizim yangilanishlari Firmware Upgrade elementida joylashgan. Bizning holatda, joriy va so'nggi proshivka versiyasi o'rnatilgan.
Keyinchalik, men tizim pichoqlarining imkoniyatlari va sozlamalari haqida qisqacha gapirishni taklif qilaman. Mantiqiy jihatdan ularni kirish (xavfsizlik devori, ilovalarni boshqarish, URL filtrlash) va tahdidlarning oldini olish (IPS, antivirus, anti-bot, tahdid emulyatsiyasi) darajasidagi siyosatlarga bo'lish mumkin.
Keling, kirish siyosati β Blade Control yorlig'iga o'tamiz:
Odatiy bo'lib, STANDART rejimi ishlatiladi, u Internetga chiquvchi trafikni, mahalliy tarmoq ichidagi trafikni ta'minlaydi, lekin ayni paytda Internetdan kiruvchi trafikni bloklaydi.
ILOVALAR VA URL FILTERING bloklariga kelsak, ular sukut bo'yicha yuqori darajadagi xavfli saytlarni blokirovka qilish, almashish ilovalarini (Torrent, fayllarni saqlash va boshqalar) blokirovka qilish uchun o'rnatiladi. Bundan tashqari, qo'shimcha ravishda saytlar toifalarini qo'lda bloklashingiz mumkin.
Ilovalar guruhlari uchun chiquvchi/kiruvchi trafik tezligini cheklash imkoniyati bilan foydalanuvchi trafigining βO'tkazish qobiliyatini iste'mol qiluvchi ilovalarni cheklashβ variantini tekshirib ko'raylik.
Keyin, "Siyosat" bo'limini oching; sukut bo'yicha, qoidalar oldindan tavsiflangan sozlamalarga muvofiq avtomatik ravishda yaratiladi.
NAT bo'limi sukut bo'yicha Global Hide Nat Automatic'da ishlaydi, ya'ni barcha ichki xostlar umumiy IP manzil orqali Internetga kirish imkoniga ega bo'ladi. Veb-ilovalar yoki xizmatlarni nashr qilish uchun NAT qoidalarini qo'lda o'rnatish mumkin.
Keyinchalik, tarmoqdagi foydalanuvchi autentifikatsiyasiga tegishli bo'lim ikkita variantni taklif qiladi: Active Directory so'rovlari (AD bilan integratsiya), Brauzerga asoslangan autentifikatsiya (foydalanuvchi portalga domen hisob ma'lumotlarini kiritadi).
SSL tekshiruvini alohida ta'kidlab o'tish joiz; Global tarmoqdagi umumiy HTTPS trafikining ulushi faol ravishda o'sib bormoqda. Keling, CheckPoint SMB yechimlari uchun qanday xususiyatlarni taklif qilishini ko'rib chiqaylik.Buni amalga oshirish uchun SSL-Inspection β Policy bo'limiga o'ting:
Sozlamalarda siz HTTPS trafigini tekshirishingiz mumkin; sertifikatni import qilishingiz va oxirgi foydalanuvchi mashinalaridagi ishonchli sertifikat markaziga o'rnatishingiz kerak bo'ladi.
Biz oldindan belgilangan toifalar uchun BYPASS rejimini qulay variant deb hisoblaymiz; bu tekshirishni yoqishda vaqtni sezilarli darajada tejaydi.
Xavfsizlik devori / Ilova darajasida qoidalarni sozlaganingizdan so'ng, siz xavfsizlik siyosatini sozlashga o'tishingiz kerak (tahdidni oldini olish), buning uchun tegishli bo'limga o'ting:
Ochiq sahifada biz yoqilgan pichoqlar, imzo va ma'lumotlar bazasini yangilash holatini ko'ramiz. Shuningdek, bizdan tarmoq perimetrini himoya qilish uchun profilni tanlash so'raladi va tegishli sozlamalar ko'rsatiladi.
"IPS himoyasi" alohida bo'limi sizga ma'lum bir xavfsizlik imzosi uchun harakatni sozlash imkonini beradi.
Yaqinda biz blogimizda yozdik Windows Server uchun - SigRed. βCVE-80.20-2020β soΚ»rovini kiritish orqali uning Gaia Embedded 1350 da mavjudligini tekshirib koΚ»raylik.
Ushbu imzo uchun amallardan biri qo'llanilishi mumkin bo'lgan yozuv aniqlandi. (odatda xavf darajasi uchun Prevent kritik hisoblanadi). Shunga ko'ra, SMB yechimiga ega bo'lsangiz, siz yangilanishlar va qo'llab-quvvatlash nuqtai nazaridan chetda qolmaysiz; bu CheckPoint-dan 200 kishigacha bo'lgan filiallar uchun to'liq huquqli NGFW yechimidir.
Samaradorlikni baholash
Maqolani yakunlab, SMB yechimining dastlabki ishga tushirilishi va konfiguratsiyasidan so'ng muammolarni bartaraf etish uchun vositalar mavjudligini ta'kidlamoqchiman. Siz "Uy" β "Asboblar" bo'limiga o'tishingiz mumkin. Mumkin variantlar:
- monitoring tizimi resurslari;
- marshrut jadvali;
- CheckPoint bulut xizmatlarining mavjudligini tekshirish;
- CPinfo yaratish;
O'rnatilgan tarmoq buyruqlari ham mavjud: Ping, Traceroute, Traffic Capture.
Shunday qilib, bugun biz NGFW 1590 ning dastlabki ulanishi va konfiguratsiyasini ko'rib chiqdik va o'rgandik, siz 1500 SMB Checkpoint seriyasining barcha seriyalari uchun shunga o'xshash amallarni bajarasiz. Mavjud variantlar bizga sozlamalarning yuqori o'zgaruvchanligini, tarmoq perimetrida trafikni himoya qilishning zamonaviy usullarini qo'llab-quvvatlashni ko'rsatdi.
Bugungi kunda kichik ofislar va filiallarni (200 kishigacha) himoya qilish uchun CheckPoint yechimlari keng ko'lamli vositalarga ega va eng yangi texnologiyalardan (bulutni boshqarish, SIM-kartalarni qo'llab-quvvatlash, SD-kartalar yordamida xotirani kengaytirish va boshqalar) foydalanadi. TS Solution-dan xabardor bo'lishda va maqolalarni o'qishda davom eting, biz SMB oilasining NGFW CheckPoint haqidagi keyingi qismlarini chiqarishni rejalashtirmoqdamiz, ko'rishguncha!
. Yangiliklarni kuzatib boring, xabardor bo'lib boring; Biz bilan qoling (, , , , ).
Manba: www.habr.com