Chúng tôi tiếp tục loạt bài viết về cách làm việc với phạm vi mô hình SMB CheckPoint mới, hãy để chúng tôi nhắc bạn rằng trong chúng tôi đã mô tả các đặc điểm và khả năng của các mô hình, phương pháp quản lý và điều hành mới. Hôm nay chúng ta sẽ xem xét kịch bản triển khai cho mô hình cũ hơn trong loạt sản phẩm: CheckPoint 1590 NGFW. Dưới đây là tóm tắt của phần này:
- Giải nén thiết bị (mô tả các thành phần, kết nối vật lý và mạng).
- Khởi tạo thiết bị ban đầu.
- Thiết lập ban đầu.
- Đánh giá hiệu suất.
Mở gói thiết bị
Làm quen với thiết bị bắt đầu bằng việc tháo thiết bị ra khỏi hộp, tháo rời các bộ phận và lắp đặt các bộ phận; nhấp vào spoiler, nơi trình bày ngắn gọn quy trình
Giao NGFW 1590
Sơ lược về các thành phần:
- NGFW 1590;
- Bộ chuyển đổi điện;
- 2 Anten Wifi (2.4 Hz và 5 Hz);
- 2 ăng-ten LTE;
- Sách nhỏ có tài liệu (hướng dẫn ngắn gọn về kết nối ban đầu, thỏa thuận cấp phép, v.v.)
Đối với các cổng và giao diện mạng, có tất cả các khả năng hiện đại để truyền tải và tương tác lưu lượng, một cổng riêng cho vùng DMZ, USB 3.0 để đồng bộ hóa với PC.
Phiên bản 1590 nhận được thiết kế cập nhật, các tùy chọn hiện đại cho giao tiếp không dây và mở rộng bộ nhớ: 2 khe cắm để hoạt động với Micro/Nano SIM ở chế độ LTE. (chúng tôi dự định viết chi tiết về tùy chọn này ở một trong những bài viết tiếp theo trong loạt bài dành riêng cho kết nối không dây); Khe cắm thẻ SD.
Bạn có thể đọc thêm về khả năng của 1590 NGFW và các mẫu mới khác trong từ loạt bài viết về giải pháp CheckPoint SMB. Chúng tôi sẽ tiến hành khởi tạo ban đầu của thiết bị.
Khởi tạo chính
Độc giả thường xuyên của chúng tôi hẳn đã biết rằng dòng SMB 1500 Series sử dụng Hệ điều hành nhúng 80.20 mới, bao gồm giao diện cập nhật và các khả năng được cải thiện.
Để bắt đầu khởi tạo thiết bị, bạn cần:
- Cung cấp năng lượng cho cổng.
- Kết nối cáp mạng từ PC của bạn với mạng LAN -1 trên cổng.
- Tùy chọn, bạn có thể cung cấp ngay cho thiết bị khả năng truy cập Internet bằng cách kết nối giao diện với cổng WAN.
- Đi tới cổng thông tin nhúng Gaia:
Nếu bạn đã làm theo các bước đã nêu trước đó thì sau khi truy cập trang cổng thông tin Gaia, bạn sẽ cần xác nhận việc mở trang bằng chứng chỉ không đáng tin cậy, sau đó trình hướng dẫn cài đặt cổng thông tin sẽ khởi chạy:
Bạn sẽ được chào đón bởi một trang cho biết kiểu thiết bị của bạn, bạn cần chuyển sang phần tiếp theo:
Chúng tôi sẽ được yêu cầu tạo một tài khoản để ủy quyền, có thể chỉ định các yêu cầu mật khẩu cao cho quản trị viên và chúng tôi cho biết quốc gia nơi chúng tôi sẽ sử dụng cổng.
Cửa sổ tiếp theo liên quan đến cài đặt ngày và giờ; bạn có thể đặt thủ công hoặc sử dụng máy chủ NTP của công ty.
Bước tiếp theo liên quan đến việc đặt tên cho thiết bị và chỉ định miền công ty để các dịch vụ cổng hoạt động chính xác trên Internet.
Bước tiếp theo liên quan đến việc lựa chọn loại điều khiển NGFW, ở đây cần lưu ý:
- Quản trị địa phương. Đây là một tùy chọn có sẵn để quản lý cổng cục bộ bằng trang web Cổng thông tin Gaia.
- Quản lý trung tâm. Loại quản lý này bao gồm đồng bộ hóa với máy chủ Quản lý điểm kiểm tra chuyên dụng, đồng bộ hóa với đám mây Smart1-Cloud hoặc với SMP (dịch vụ quản lý dành cho SMB).
Trong bài viết này, chúng tôi sẽ tập trung vào phương pháp Quản lý cục bộ; bạn có thể chỉ định phương pháp cần thiết. Để làm quen với quy trình đồng bộ hóa với Máy chủ quản lý chuyên dụng, chúng tôi khuyên bạn nên từ chuỗi đào tạo Bắt đầu CheckPoint do TS Solution biên soạn.
Tiếp theo, một cửa sổ sẽ xuất hiện xác định chế độ hoạt động của các giao diện trên cổng:
- Chế độ chuyển đổi ngụ ý tính khả dụng của mạng con từ giao diện này sang mạng con của giao diện khác.
- Chế độ Tắt chuyển đổi tương ứng sẽ vô hiệu hóa chế độ Chuyển đổi; mỗi cổng định tuyến lưu lượng truy cập như đối với một đoạn mạng riêng biệt.
Người ta cũng đề xuất chỉ định một nhóm địa chỉ DHCP sẽ được sử dụng khi kết nối với các giao diện cục bộ của cổng.
Bước tiếp theo là định cấu hình cổng để hoạt động ở chế độ không dây; chúng tôi dự định thảo luận khía cạnh này chi tiết hơn trong một bài viết trong loạt bài này, vì vậy chúng tôi đã hoãn lại việc định cấu hình cài đặt. Bạn có thể tạo điểm truy cập không dây mới, đặt mật khẩu để kết nối với điểm truy cập đó và xác định chế độ hoạt động của kênh không dây (2.4 Hz hoặc 5 Hz).
Bước tiếp theo sẽ là định cấu hình quyền truy cập vào cổng cho quản trị viên công ty. Theo mặc định, quyền truy cập được cho phép nếu kết nối đến từ:
- Mạng con nội bộ công ty
- Mạng không dây đáng tin cậy
- Đường hầm VPN
Tùy chọn kết nối với cổng qua Internet bị tắt theo mặc định, điều này mang lại rủi ro lớn và phải hợp lý để đưa vào, nếu không thì nên để nguyên như trong ví dụ của chúng tôi. Cũng có thể chỉ định địa chỉ IP nào sẽ được phép để kết nối với cổng.
Cửa sổ tiếp theo liên quan đến việc kích hoạt giấy phép; khi khởi tạo thiết bị lần đầu, bạn sẽ có thời gian dùng thử 30 ngày. Có hai phương pháp kích hoạt có sẵn:
- Nếu có kết nối Internet, giấy phép sẽ tự động được kích hoạt.
- Nếu bạn kích hoạt giấy phép ngoại tuyến, bạn cần thực hiện các bước sau: tải xuống giấy phép từ UserCenter, đăng ký thiết bị của bạn trên một chương trình đặc biệt . Tiếp theo, đối với cả hai trường hợp, bạn sẽ cần nhập giấy phép được tải xuống theo cách thủ công.
Cuối cùng, cửa sổ cuối cùng trong trình hướng dẫn cài đặt sẽ nhắc bạn chọn các lưỡi dao cần bật; lưu ý rằng lưỡi QOS chỉ được bật sau lần khởi tạo đầu tiên. Bạn sẽ kết thúc với một cửa sổ hoàn thành tóm tắt các cài đặt của bạn.
Thiết lập ban đầu
Trước hết, chúng tôi khuyên bạn nên kiểm tra trạng thái của giấy phép; việc cấu hình thêm sẽ phụ thuộc vào điều này. Vào tab “HOME” → “Giấy phép”:
Nếu giấy phép được kích hoạt, chúng tôi khuyên bạn nên cập nhật ngay lên chương trình cơ sở mới nhất hiện tại; để thực hiện việc này, hãy chuyển đến tab “THIẾT BỊ” → “Hoạt động hệ thống”:
Các bản cập nhật hệ thống nằm trong mục Nâng cấp chương trình cơ sở. Trong trường hợp của chúng tôi, phiên bản chương trình cơ sở hiện tại và mới nhất đã được cài đặt.
Tiếp theo, tôi đề xuất nói ngắn gọn về khả năng và cài đặt của các lưỡi hệ thống. Về mặt logic, chúng có thể được chia thành các chính sách cấp độ Truy cập (Tường lửa, Kiểm soát ứng dụng, Lọc URL) và Ngăn chặn mối đe dọa (IPS, Chống vi-rút, Chống Bot, Mô phỏng mối đe dọa).
Chúng ta hãy chuyển đến tab Chính sách truy cập → Kiểm soát lưỡi:
Theo mặc định, chế độ STANDARD được sử dụng, nó cho phép lưu lượng truy cập ra Internet, lưu lượng truy cập trong mạng cục bộ, nhưng đồng thời chặn lưu lượng truy cập đến từ Internet.
Đối với các lưỡi LỌC ỨNG DỤNG & URL, theo mặc định, chúng được đặt để chặn các trang web có mức độ nguy hiểm cao, chặn các ứng dụng trao đổi (Torrent, File Storage, v.v.). Bạn cũng có thể chặn thêm các danh mục trang web theo cách thủ công.
Hãy kiểm tra tùy chọn lưu lượng người dùng “Giới hạn các ứng dụng tiêu tốn băng thông” với khả năng giới hạn tốc độ lưu lượng đi/đến cho các nhóm ứng dụng.
Tiếp theo, mở tiểu mục Chính sách; theo mặc định, các quy tắc được tạo tự động theo cài đặt được mô tả trước đó.
Phần phụ NAT theo mặc định hoạt động trong Global Hide Nat Automation, tức là tất cả các máy chủ nội bộ sẽ có quyền truy cập Internet thông qua địa chỉ IP công cộng. Có thể đặt thủ công các quy tắc NAT để xuất bản các ứng dụng hoặc dịch vụ web của bạn.
Tiếp theo, phần liên quan đến Xác thực người dùng trên mạng cung cấp hai tùy chọn: Truy vấn Active Directory (tích hợp với AD của bạn), Xác thực dựa trên trình duyệt (người dùng nhập thông tin xác thực tên miền vào cổng).
Điều đáng nói là riêng việc kiểm tra SSL; tỷ trọng của tổng lưu lượng HTTPS trên Mạng Toàn cầu đang tăng lên tích cực. Hãy xem những tính năng mà CheckPoint cung cấp cho các giải pháp SMB. Để thực hiện việc này, hãy đi tới phần Kiểm tra SSL → Chính sách:
Trong cài đặt, bạn có thể kiểm tra lưu lượng HTTPS; bạn sẽ cần nhập chứng chỉ và cài đặt nó trong trung tâm chứng chỉ đáng tin cậy trên máy của người dùng cuối.
Chúng tôi coi chế độ BỎ QUA cho các danh mục được xác định trước là một lựa chọn thuận tiện; điều này giúp tiết kiệm đáng kể thời gian khi cho phép kiểm tra.
Sau khi định cấu hình các quy tắc ở cấp độ Tường lửa/Ứng dụng, bạn nên tiến hành điều chỉnh các chính sách bảo mật (Threat Prevention), để thực hiện việc này, hãy chuyển đến phần thích hợp:
Trên trang mở, chúng ta thấy các trạng thái cập nhật cơ sở dữ liệu, chữ ký và lưỡi dao được kích hoạt. Chúng tôi cũng được yêu cầu chọn một cấu hình để bảo vệ chu vi mạng và các cài đặt tương ứng sẽ được hiển thị.
Một phần riêng biệt “Bảo vệ IPS” cho phép bạn định cấu hình hành động cho một chữ ký bảo mật cụ thể.
Cách đây không lâu chúng tôi đã viết trên blog của mình dành cho Windows Server - SigRed. Hãy kiểm tra sự hiện diện của nó trong Gaia Embedded 80.20 bằng cách nhập truy vấn “CVE-2020-1350”
Một bản ghi đã được phát hiện cho chữ ký này mà một trong các hành động có thể được áp dụng. (mặc định Ngăn chặn đối với mức độ nguy hiểm là Nguy hiểm). Theo đó, sở hữu giải pháp SMB, bạn sẽ không bị bỏ sót về mặt cập nhật và hỗ trợ, đây là giải pháp NGFW hoàn chỉnh dành cho các văn phòng chi nhánh lên tới 200 người từ CheckPoint.
Đánh giá hiệu suất
Kết thúc bài viết, tôi muốn lưu ý sự sẵn có của các công cụ để khắc phục sự cố sau lần khởi tạo và cấu hình ban đầu của giải pháp SMB. Bạn có thể vào phần “HOME” → “Tools”. Các tùy chọn có thể:
- giám sát tài nguyên hệ thống;
- bảng định tuyến;
- kiểm tra tính khả dụng của dịch vụ đám mây CheckPoint;
- Tạo CPinfo;
Các lệnh mạng tích hợp cũng có sẵn: Ping, Traceroute, Traffic Capture.
Vì vậy, hôm nay chúng ta đã xem xét, nghiên cứu kết nối và cấu hình ban đầu của NGFW 1590, các bạn sẽ thực hiện các thao tác tương tự cho toàn bộ chuỗi 1500 SMB Checkpoint. Các tùy chọn có sẵn cho chúng tôi thấy khả năng thay đổi cao về cài đặt, hỗ trợ các phương pháp hiện đại để bảo vệ lưu lượng truy cập trên phạm vi mạng.
Ngày nay, các giải pháp CheckPoint để bảo vệ các văn phòng và chi nhánh nhỏ (lên tới 200 người) có nhiều công cụ và sử dụng các công nghệ mới nhất (quản lý đám mây, hỗ trợ thẻ SIM, mở rộng bộ nhớ bằng thẻ SD, v.v.). Tiếp tục cập nhật thông tin và đọc các bài viết từ TS Solution, chúng tôi đang lên kế hoạch phát hành thêm các phần về NGFW CheckPoint của dòng SMB, hẹn gặp lại!
. Giữ nguyên (, , , , ).
Nguồn: www.habr.com