ProHoster > Blog > Ma'muriyat > Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha
Salom, aziz Habr o'quvchilari! Bu kompaniyaning korporativ blogi TS yechimi. Biz tizim integratorimiz va asosan IT infratuzilmasi xavfsizligi yechimlariga ixtisoslashganmiz (kabinetga narxlarning, Fortinet) va mashina ma'lumotlarini tahlil qilish tizimlari (Splunk). Biz blogimizni Check Point texnologiyalariga qisqacha kirish bilan boshlaymiz.

Biz ushbu maqolani yozishga arziydimi, deb uzoq o'yladik, chunki... unda internetda topib bo'lmaydigan yangilik yo'q. Biroq, bunday ko'p ma'lumotlarga qaramay, mijozlar va hamkorlar bilan ishlashda biz bir xil savollarni tez-tez eshitamiz. Shu sababli, Check Point texnologiyalari dunyosiga qandaydir kirishni yozish va ularning echimlari arxitekturasining mohiyatini ochib berishga qaror qilindi. Va bularning barchasi bitta "kichik" post, tezkor ekskursiya, ta'bir joiz bo'lsa, doirasida. Bundan tashqari, biz marketing urushlariga kirmaslikka harakat qilamiz, chunki... Biz sotuvchi emasmiz, balki oddiygina tizim integratori (garchi biz Check Point-ni juda yaxshi ko'ramiz) va boshqa ishlab chiqaruvchilar (masalan, Palo Alto, Cisco, Fortinet va boshqalar) bilan solishtirmasdan asosiy fikrlarni ko'rib chiqamiz. Maqola juda uzun bo'lib chiqdi, ammo u Check Point bilan tanishish bosqichidagi savollarning ko'pini qamrab oladi. Agar qiziqsangiz, mushukka xush kelibsiz...

UTM/NGFW

Check Point haqida suhbatni boshlaganingizda, birinchi navbatda UTM va NGFW nima ekanligini va ular qanday farq qilishini tushuntirishdan boshlash kerak. Post juda uzun bo'lib qolmasligi uchun biz buni juda ixcham qilamiz (ehtimol kelajakda biz bu masalani biroz batafsilroq ko'rib chiqamiz)

UTM - Yagona tahdidlarni boshqarish

Muxtasar qilib aytganda, UTMning mohiyati bir nechta xavfsizlik vositalarini bitta yechimda birlashtirishdir. Bular. hamma narsa bitta qutida yoki all inklyuzivning bir turi. "Ko'p dori vositalari" deganda nimani anglatadi? Eng keng tarqalgan variant: xavfsizlik devori, IPS, proksi (URL filtrlash), oqimli antivirus, anti-spam, VPN va boshqalar. Bularning barchasi bir UTM yechimi doirasida birlashtirilgan, bu integratsiya, konfiguratsiya, boshqaruv va monitoring nuqtai nazaridan osonroqdir va bu o'z navbatida tarmoqning umumiy xavfsizligiga ijobiy ta'sir ko'rsatadi. UTM yechimlari birinchi marta paydo bo'lganida, ular faqat kichik kompaniyalar uchun ko'rib chiqilgan, chunki... UTMlar katta hajmdagi trafikka bardosh bera olmadi. Buning ikkita sababi bor edi:

  1. Paketlarni qayta ishlash usuli. UTM yechimlarining birinchi versiyalari paketlarni ketma-ket qayta ishladi, har bir "modul". Misol: avval paket xavfsizlik devori tomonidan qayta ishlanadi, keyin IPS, so'ngra Antivirus tomonidan skanerlanadi va hokazo. Tabiiyki, bunday mexanizm trafikda jiddiy kechikishlarni keltirib chiqardi va tizim resurslarini (protsessor, xotira) juda ko'p iste'mol qildi.
  2. Zaif apparat. Yuqorida ta'kidlab o'tilganidek, paketlarni ketma-ket qayta ishlash juda ko'p resurslarni sarflagan va o'sha davrlarning texnik vositalari (1995-2005) katta trafik bilan bardosh bera olmadi.

Ammo taraqqiyot hali to'xtamaydi. O'shandan beri apparat sig'imi sezilarli darajada oshdi va paketlarni qayta ishlash o'zgardi (tan olish kerakki, hamma sotuvchilarda ham mavjud emas) va bir vaqtning o'zida bir nechta modullarda (ME, IPS, AntiVirus va boshqalar) deyarli bir vaqtning o'zida tahlil qilish imkonini bera boshladi. Zamonaviy UTM echimlari chuqur tahlil rejimida o'nlab va hatto yuzlab gigabitlarni "hazm qilishi" mumkin, bu esa ularni yirik korxonalar yoki hatto ma'lumotlar markazlari segmentida ishlatish imkonini beradi.

Quyida 2016 yil avgust oyidagi UTM yechimlari uchun mashhur Gartner Magic Quadrant:

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Men bu rasmga ko'p izoh bermayman, faqat etakchilar o'ng yuqori burchakda ekanligini aytaman.

NGFW - Keyingi avlod xavfsizlik devori

Ism o'zi uchun gapiradi - yangi avlod xavfsizlik devori. Bu kontseptsiya UTM dan ancha keyin paydo bo'lgan. NGFW ning asosiy g'oyasi - o'rnatilgan IPS va dastur darajasida kirishni boshqarish (Ilovalarni boshqarish) yordamida chuqur paketli tahlil (DPI). Bunday holda, IPS paket oqimidagi u yoki bu dasturni aniqlash uchun zarur bo'lgan narsadir, bu sizga ruxsat berish yoki rad etish imkonini beradi. Misol: Biz Skype ishlashiga ruxsat berishimiz mumkin, lekin fayllarni uzatishni taqiqlashimiz mumkin. Torrent yoki RDP dan foydalanishni taqiqlashimiz mumkin. Veb-ilovalar ham qo'llab-quvvatlanadi: VK.com saytiga kirishga ruxsat berishingiz mumkin, lekin o'yinlar, xabarlar yoki videolarni tomosha qilishni taqiqlashingiz mumkin. Aslida, NGFW sifati u aniqlay oladigan ilovalar soniga bog'liq. Ko'pchilikning fikricha, NGFW kontseptsiyasining paydo bo'lishi Palo Alto kompaniyasi o'zining tez o'sishini boshlagan umumiy marketing hiylasi edi.

2016 yil may oyi uchun NGFW uchun Gartner Magic Quadrant:

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

UTM va NGFW

Juda keng tarqalgan savol, qaysi biri yaxshiroq? Bu erda aniq javob yo'q va bo'lishi ham mumkin emas. Ayniqsa, deyarli barcha zamonaviy UTM yechimlari NGFW funksiyasini o'z ichiga olishini va ko'pchilik NGFWlar UTMga xos bo'lgan funksiyalarni (Antivirus, VPN, Anti-Bot va boshqalar) o'z ichiga olishini hisobga olsak. Har doimgidek, "shayton tafsilotlarda", shuning uchun birinchi navbatda siz aniq nima kerakligini hal qilishingiz va byudjetingizni hal qilishingiz kerak. Ushbu qarorlar asosida siz bir nechta variantni tanlashingiz mumkin. Va marketing materiallariga ishonmasdan, hamma narsa aniq sinovdan o'tkazilishi kerak.

Biz, o'z navbatida, bir nechta maqolalar doirasida, Check Point haqida, uni qanday qilib sinab ko'rishingiz va nimani sinab ko'rishingiz mumkinligi (deyarli barcha funktsiyalar) haqida aytib berishga harakat qilamiz.

Uchta nazorat punkti ob'ektlari

Check Point bilan ishlashda siz ushbu mahsulotning uchta komponentiga duch kelasiz:

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

  1. Xavfsizlik shlyuzi (SG) — xavfsizlik shlyuzining o'zi, odatda tarmoq perimetriga o'rnatiladi va xavfsizlik devori, oqimli antivirus, antibot, IPS va boshqalar funktsiyalarini bajaradi.
  2. Xavfsizlikni boshqarish serveri (SMS) — shlyuzni boshqarish serveri. Shlyuzdagi (SG) deyarli barcha sozlamalar ushbu server yordamida amalga oshiriladi. SMS, shuningdek, jurnal serveri vazifasini bajarishi va ularni o‘rnatilgan voqealar tahlili va korrelyatsiya tizimi – Smart Event (Tekshirish nuqtasi uchun SIEM’ga o‘xshash) yordamida qayta ishlashi mumkin, lekin keyinroq bu haqda ko‘proq ma’lumot beradi. SMS bir nechta shlyuzlarni markazlashtirilgan boshqarish uchun ishlatiladi (shlyuzlar soni SMS modeli yoki litsenziyasiga bog'liq), lekin sizda faqat bitta shlyuz bo'lsa ham undan foydalanish talab qilinadi. Shuni ta'kidlash kerakki, Check Point ko'p yillar ketma-ket Gartner hisobotlariga ko'ra "oltin standart" sifatida tan olingan bunday markazlashtirilgan boshqaruv tizimidan birinchilardan bo'lib foydalandi. Hatto hazil ham bor: "Agar Cisco-ning oddiy boshqaruv tizimi bo'lganida, Check Point hech qachon paydo bo'lmasdi".
  3. Smart konsol — boshqaruv serveriga (SMS) ulanish uchun mijoz konsoli. Odatda administratorning kompyuteriga o'rnatiladi. Boshqaruv serveridagi barcha o'zgarishlar ushbu konsol orqali amalga oshiriladi va shundan so'ng siz sozlamalarni xavfsizlik shlyuzlariga qo'llashingiz mumkin (O'rnatish siyosati).

    Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Check Point operatsion tizimi

Check Point operatsion tizimi haqida gapirganda, biz bir vaqtning o'zida uchtasini eslashimiz mumkin: IPSO, SPLAT va GAIA.

  1. IPSO - Nokia kompaniyasiga tegishli bo'lgan Ipsilon Networks operatsion tizimi. 2009 yilda Check Point bu biznesni sotib oldi. Endi rivojlanmaydi.
  2. SPLAT - RedHat yadrosiga asoslangan Check Point-ning o'z ishlanmasi. Endi rivojlanmaydi.
  3. Gaia - IPSO va SPLATning birlashishi natijasida paydo bo'lgan, eng yaxshisini o'zida mujassam etgan Check Point-dan joriy operatsion tizim. U 2012 yilda paydo bo'lgan va faol rivojlanishda davom etmoqda.

Gaia haqida gapirganda, shuni aytish kerakki, hozirgi vaqtda eng keng tarqalgan versiya R77.30. Nisbatan yaqinda R80 versiyasi paydo bo'ldi, u avvalgisidan sezilarli darajada farq qiladi (funktsionallik va boshqaruv nuqtai nazaridan). Biz ularning farqlari mavzusiga alohida post bag'ishlaymiz. Yana bir muhim jihat shundaki, hozirda faqat R77.10 versiyasi FSTEC sertifikatiga ega va R77.30 versiyasi sertifikatlanmoqda.

Amalga oshirish imkoniyatlari (Check Point Appliance, Virtual machine, OpenServer)

Bu erda ajablanarli narsa yo'q, ko'plab sotuvchilar singari, Check Point bir nechta mahsulot variantlariga ega:

  1. jihoz — apparat va dasturiy taʼminot qurilmasi, yaʼni. o'zining "temir bo'lagi". Ishlash, funksionallik va dizayn jihatidan farq qiluvchi ko'plab modellar mavjud (sanoat tarmoqlari uchun variantlar mavjud).

    Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

  2. Virtual mashina — Gaia OS bilan Check Point virtual mashinasi. ESXi, Hyper-V, KVM gipervisorlari qo'llab-quvvatlanadi. Protsessor yadrolari soni bo'yicha litsenziyalangan.
  3. OpenServer — Gaia-ni to'g'ridan-to'g'ri serverga asosiy operatsion tizim sifatida o'rnatish ("Yalang'och metall" deb ataladi). Faqat ma'lum bir apparat qo'llab-quvvatlanadi. Ushbu apparat uchun tavsiyalar mavjud, ularga rioya qilish kerak, aks holda haydovchilar va texnik jihozlar bilan bog'liq muammolar paydo bo'lishi mumkin. qo'llab-quvvatlash sizga xizmat ko'rsatishdan bosh tortishi mumkin.

Amalga oshirish imkoniyatlari (tarqatilgan yoki mustaqil)

Biroz yuqoriroqda biz shlyuz (SG) va boshqaruv serveri (SMS) nima ekanligini muhokama qildik. Endi ularni amalga oshirish variantlarini muhokama qilaylik. Ikkita asosiy yo'l bor:

  1. Mustaqil (SG+SMS) - shlyuz ham, boshqaruv serveri ham bitta qurilma (yoki virtual mashina) ichida o'rnatilgan variant.

    Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

    Ushbu parametr foydalanuvchi trafigiga ozgina yuklangan faqat bitta shlyuzga ega bo'lsangiz mos keladi. Bu variant eng tejamkor, chunki... boshqaruv serverini (SMS) sotib olishning hojati yo'q. Biroq, agar shlyuz og'ir yuklangan bo'lsa, siz "sekin" boshqaruv tizimiga ega bo'lishingiz mumkin. Shuning uchun, mustaqil yechim tanlashdan oldin, ushbu variantni maslahatlash yoki hatto sinab ko'rish yaxshidir.

  2. Tarqatilgan — boshqaruv serveri shlyuzdan alohida o‘rnatiladi.

    Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

    Qulaylik va ishlash nuqtai nazaridan eng yaxshi variant. Bir vaqtning o'zida bir nechta shlyuzlarni, masalan, markaziy va filiallarni boshqarish kerak bo'lganda foydalaniladi. Bunday holda siz boshqaruv serverini (SMS) sotib olishingiz kerak, u ham qurilma yoki virtual mashina shaklida bo'lishi mumkin.

Yuqorida aytganimdek, Check Point o'zining SIEM tizimiga ega - Smart Event. Siz uni faqat taqsimlangan o'rnatishda ishlatishingiz mumkin.

Ishlash rejimlari (ko'prik, marshrutlangan)
Xavfsizlik shlyuzi (SG) ikkita asosiy rejimda ishlashi mumkin:

  • Yo‘naltirildi - eng keng tarqalgan variant. Bunday holda, shlyuz L3 qurilmasi sifatida ishlatiladi va trafikni o'zi orqali yo'naltiradi, ya'ni. Tekshirish nuqtasi himoyalangan tarmoq uchun standart shlyuzdir.
  • ko'prik - shaffof rejim. Bunday holda, shlyuz oddiy "ko'prik" sifatida o'rnatiladi va ikkinchi darajadagi (OSI) transport orqali o'tadi. Ushbu parametr odatda mavjud infratuzilmani o'zgartirish imkoniyati (yoki istagi) bo'lmaganda qo'llaniladi. Siz deyarli tarmoq topologiyasini o'zgartirishingiz shart emas va IP manzilini o'zgartirish haqida o'ylashingiz shart emas.

Shuni ta'kidlashni istardimki, Bridge rejimida funksionallik nuqtai nazaridan ba'zi cheklovlar mavjud, shuning uchun biz integrator sifatida barcha mijozlarimizga Routed rejimidan foydalanishni maslahat beramiz, albatta, iloji bo'lsa.

Check Point dasturiy ta'minot pichoqlari

Biz mijozlar orasida eng ko'p savollar tug'diradigan Check Point-ning eng muhim mavzusiga deyarli etib keldik. Bu "dasturiy ta'minot pichoqlari" nima? Pichoqlar muayyan Tekshirish nuqtasi funksiyalariga ishora qiladi.

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Bu funksiyalar sizning ehtiyojlaringizga qarab yoqilishi yoki o'chirilishi mumkin. Shu bilan birga, faqat shlyuzda (Tarmoq xavfsizligi) va faqat boshqaruv serverida faollashtirilgan pichoqlar mavjud. Quyidagi rasmlarda ikkala holat uchun misollar ko'rsatilgan:

1) Tarmoq xavfsizligi uchun (shlyuz funksiyasi)

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Keling, buni qisqacha tasvirlab beraylik, chunki ... har bir pichoq o'z maqolasiga loyiqdir.

  • Faervol - xavfsizlik devori funksionalligi;
  • IPSec VPN - xususiy virtual tarmoqlarni qurish;
  • Mobil kirish - mobil qurilmalardan masofadan kirish;
  • IPS - buzg'unchilikni oldini olish tizimi;
  • Anti-Bot - botnet tarmoqlaridan himoya qilish;
  • AntiVirus - oqimli antivirus;
  • AntiSpam & Email Security - korporativ elektron pochtani himoya qilish;
  • Identity Awareness - Active Directory xizmati bilan integratsiya;
  • Monitoring - deyarli barcha shlyuz parametrlarini (yuk, tarmoqli kengligi, VPN holati va boshqalar) monitoringi.
  • Ilovalarni boshqarish - dastur darajasidagi xavfsizlik devori (NGFW funksionalligi);
  • URL filtrlash - Veb xavfsizligi (+proksi funksiyasi);
  • Ma'lumotlar yo'qolishining oldini olish - ma'lumotlarning sizib chiqishidan himoya qilish (DLP);
  • Tahdid emulyatsiyasi - sandbox texnologiyasi (SandBox);
  • Threat Extraction - fayllarni tozalash texnologiyasi;
  • QoS - trafik ustuvorligi.

Bir nechta maqolalarda biz tahdid emulyatsiyasi va tahdidni chiqarib tashlash pichoqlarini batafsil ko'rib chiqamiz, bu qiziqarli bo'lishiga aminman.

2) Boshqaruv uchun (server funksiyasini boshqarish)

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

  • Tarmoq siyosatini boshqarish - markazlashtirilgan siyosatni boshqarish;
  • Endpoint Policy Management - Check Point agentlarini markazlashtirilgan boshqarish (ha, Check Point nafaqat tarmoqni himoya qilish, balki ish stantsiyalari (kompyuterlar) va smartfonlarni himoya qilish uchun ham echimlar ishlab chiqaradi);
  • Logging & Status - jurnallarni markazlashtirilgan yig'ish va qayta ishlash;
  • Boshqaruv portali - brauzerdan xavfsizlikni boshqarish;
  • Ish jarayoni - siyosat o'zgarishlarini nazorat qilish, o'zgarishlar auditi va boshqalar;
  • Foydalanuvchilar katalogi - LDAP bilan integratsiya;
  • Provisioning - shlyuzlarni boshqarishni avtomatlashtirish;
  • Smart Reporter - hisobot tizimi;
  • Smart Event - hodisalar tahlili va korrelyatsiyasi (SIEM);
  • Muvofiqlik - avtomatik ravishda sozlamalarni tekshiradi va tavsiyalar beradi.

Maqolani ko'paytirmaslik va o'quvchini chalg'itmaslik uchun hozir litsenziyalash masalalarini batafsil ko'rib chiqmaymiz. Katta ehtimol bilan biz buni alohida postda joylashtiramiz.

Pichoqlarning arxitekturasi faqat sizga haqiqatan ham kerak bo'lgan funktsiyalardan foydalanishga imkon beradi, bu yechimning byudjetiga va qurilmaning umumiy ishlashiga ta'sir qiladi. Qanchalik ko'p pichoqlarni faollashtirsangiz, siz "haydash"ingiz mumkin bo'lgan trafik kamroq bo'lishi mantiqan. Shuning uchun har bir Check Point modeliga quyidagi ishlash jadvali biriktirilgan (misol sifatida biz 5400 modelining xususiyatlarini oldik):

Tekshirish nuqtasi. Bu nima, u nima bilan iste'mol qilinadi yoki asosiy narsa haqida qisqacha

Ko'rib turganingizdek, bu erda testlarning ikkita toifasi mavjud: sintetik trafik bo'yicha va real trafik bo'yicha - aralash. Umuman olganda, Check Point sintetik testlarni nashr etishga majbur, chunki... ba'zi sotuvchilar o'zlarining echimlarining haqiqiy trafik bo'yicha ishlashini o'rganmasdan (yoki qoniqarsiz tabiati tufayli bunday ma'lumotlarni ataylab yashirish) bunday testlardan benchmark sifatida foydalanadilar.

Har bir test turida siz bir nechta variantni ko'rishingiz mumkin:

  1. faqat xavfsizlik devori uchun sinov;
  2. Xavfsizlik devori + IPS testi;
  3. Faervol+IPS+NGFW (Ilova nazorati) testi;
  4. test xavfsizlik devori+Ilova boshqaruvi+URL filtrlash+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Yechimingizni tanlashda ushbu parametrlarga diqqat bilan qarang yoki murojaat qiling maslahatlashuv.

Menimcha, bu erda biz Check Point texnologiyalari haqidagi kirish maqolasini yakunlashimiz mumkin. Keyinchalik, Check Point-ni qanday sinovdan o'tkazishingiz va zamonaviy axborot xavfsizligi tahdidlari (viruslar, fishing, to'lov dasturi, nol kun) bilan qanday kurashishni ko'rib chiqamiz.

PS Muhim nuqta. Chet el (Isroil) kelib chiqishiga qaramay, yechim Rossiya Federatsiyasida nazorat qiluvchi organlar tomonidan sertifikatlangan bo'lib, uning davlat muassasalarida mavjudligini avtomatik ravishda qonuniylashtiradi (sharh tomonidan). Denyemall).

So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. tizimga kirishiltimos.

Qaysi UTM/NGFW vositalaridan foydalanasiz?

  • kabinetga narxlarning

  • Cisco FirePower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Juniper

  • UserGate

  • Yo'l harakati inspektori

  • Rubikon

  • Ideko

  • OpenSource yechimi

  • boshqa

134 foydalanuvchi ovoz berdi. 78 nafar foydalanuvchi betaraf qoldi.

Manba: www.habr.com

a Izoh qo'shish