Prohoster > Blog > quản lý > điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính
Xin chào, độc giả thân yêu của habr! Đây là blog công ty của công ty Giải Pháp T.S. Chúng tôi là nhà tích hợp hệ thống và chủ yếu chuyên về các giải pháp bảo mật cơ sở hạ tầng CNTT (Check Point, Fortinet) và hệ thống phân tích dữ liệu máy (Splunk). Chúng tôi sẽ bắt đầu blog của mình với phần giới thiệu ngắn về công nghệ Check Point.

Chúng tôi đã suy nghĩ rất lâu về việc có nên viết bài này hay không, bởi vì. không có gì mới trong đó mà không thể tìm thấy trên Internet. Tuy nhiên, dù thông tin phong phú như vậy nhưng khi làm việc với khách hàng, đối tác, chúng tôi vẫn thường nghe những câu hỏi giống nhau. Do đó, người ta đã quyết định viết một số loại giới thiệu về thế giới công nghệ Check Point và tiết lộ bản chất kiến ​​trúc của các giải pháp của họ. Và tất cả những điều này nằm trong khuôn khổ của một bài viết “nhỏ”, có thể nói là một sự lạc đề nhanh chóng. Và chúng tôi sẽ cố gắng không tham gia vào các cuộc chiến tiếp thị, bởi vì. chúng tôi không phải là nhà cung cấp mà chỉ là nhà tích hợp hệ thống (mặc dù chúng tôi rất yêu thích Check Point) và chỉ lướt qua những điểm chính mà không so sánh chúng với các nhà sản xuất khác (chẳng hạn như Palo Alto, Cisco, Fortinet, v.v.). Bài viết khá đồ sộ nhưng lại lược bỏ hầu hết các câu hỏi ở giai đoạn làm quen với Check Point. Nếu bạn quan tâm, thì hãy chào mừng dưới con mèo…

UTM/NGFW

Khi bắt đầu cuộc trò chuyện về Điểm kiểm tra, điều đầu tiên cần bắt đầu là giải thích UTM, NGFW là gì và chúng khác nhau như thế nào. Chúng tôi sẽ làm điều này rất ngắn gọn để bài đăng không quá lớn (có lẽ trong tương lai chúng tôi sẽ xem xét vấn đề này chi tiết hơn một chút)

UTM - Quản lý mối đe dọa hợp nhất

Nói tóm lại, bản chất của UTM là sự hợp nhất của một số công cụ bảo mật trong một giải pháp. Những thứ kia. tất cả trong một hộp hoặc một số bao gồm tất cả. "Nhiều biện pháp khắc phục" có nghĩa là gì? Tùy chọn phổ biến nhất là: Tường lửa, IPS, Proxy (lọc URL), Chống vi-rút truyền trực tuyến, Chống thư rác, VPN, v.v. Tất cả điều này được kết hợp trong một giải pháp UTM, dễ dàng hơn về mặt tích hợp, cấu hình, quản trị và giám sát, và điều này, đến lượt nó, có tác động tích cực đến bảo mật tổng thể của mạng. Khi các giải pháp UTM lần đầu tiên xuất hiện, chúng được coi là dành riêng cho các công ty nhỏ, bởi vì. UTM không thể xử lý lưu lượng lớn. Điều này là vì hai lý do:

  1. Cách các gói được xử lý. Các phiên bản đầu tiên của giải pháp UTM xử lý các gói theo tuần tự, theo từng “mô-đun”. Ví dụ: đầu tiên gói được xử lý bởi tường lửa, sau đó bởi IPS, sau đó nó được kiểm tra bởi Anti-Virus, v.v. Đương nhiên, một cơ chế như vậy đã gây ra sự chậm trễ nghiêm trọng cho lưu lượng truy cập và tiêu tốn nhiều tài nguyên hệ thống (bộ xử lý, bộ nhớ).
  2. Phần cứng yếu. Như đã đề cập ở trên, quá trình xử lý gói tuần tự đã ngốn tài nguyên và phần cứng của thời điểm đó (1995-2005) đơn giản là không thể đối phó với lưu lượng truy cập cao.

Nhưng tiến độ không đứng yên. Kể từ đó, dung lượng phần cứng đã tăng lên đáng kể và quá trình xử lý gói đã thay đổi (phải thừa nhận rằng không phải nhà cung cấp nào cũng có) và bắt đầu cho phép phân tích gần như đồng thời trong một số mô-đun (ME, IPS, AntiVirus, v.v.). Các giải pháp UTM hiện đại có thể “tiêu hóa” hàng chục, thậm chí hàng trăm gigabit ở chế độ phân tích sâu, điều này cho phép sử dụng chúng trong phân khúc doanh nghiệp lớn hoặc thậm chí là trung tâm dữ liệu.

Dưới đây là Magic Quadrant nổi tiếng của Gartner cho các giải pháp UTM cho tháng 2016 năm XNUMX:

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

Tôi sẽ không bình luận mạnh mẽ về bức ảnh này, tôi sẽ chỉ nói rằng có các nhà lãnh đạo ở góc trên bên phải.

NGFW - Tường lửa thế hệ tiếp theo

Cái tên đã nói lên điều đó - tường lửa thế hệ tiếp theo. Khái niệm này xuất hiện muộn hơn nhiều so với UTM. Ý tưởng chính của NGFW là kiểm tra gói sâu (DPI) sử dụng IPS tích hợp và kiểm soát truy cập ở cấp ứng dụng (Application Control). Trong trường hợp này, IPS chỉ là thứ cần thiết để xác định ứng dụng này hoặc ứng dụng kia trong luồng gói, cho phép bạn cho phép hoặc từ chối nó. Ví dụ: Chúng tôi có thể cho phép Skype hoạt động nhưng ngăn truyền tệp. Chúng tôi có thể cấm sử dụng Torrent hoặc RDP. Các ứng dụng web cũng được hỗ trợ: Bạn có thể cho phép truy cập VK.com, nhưng ngăn trò chơi, tin nhắn hoặc xem video. Về cơ bản, chất lượng của NGFW phụ thuộc vào số lượng ứng dụng mà nó có thể xác định. Nhiều người tin rằng sự xuất hiện của khái niệm NGFW là một mánh khóe tiếp thị phổ biến mà Palo Alto bắt đầu phát triển nhanh chóng.

Tháng 2016 năm XNUMX Gartner Magic Quadrant cho NGFW:

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

UTM so với NGFW

Một câu hỏi rất phổ biến, cái nào tốt hơn? Không có câu trả lời duy nhất ở đây và không thể được. Đặc biệt là khi bạn xem xét thực tế rằng hầu hết tất cả các giải pháp UTM hiện đại đều chứa chức năng NGFW và hầu hết các NGFW đều chứa các chức năng vốn có trong UTM (Antivirus, VPN, Anti-Bot, v.v.). Như mọi khi, "ma quỷ ở trong các chi tiết", vì vậy trước hết bạn cần quyết định cụ thể những gì bạn cần, quyết định ngân sách. Dựa trên những quyết định này, một số tùy chọn có thể được chọn. Và mọi thứ cần phải được kiểm tra rõ ràng, không tin vào các tài liệu tiếp thị.

Đến lượt mình, trong khuôn khổ một số bài viết, chúng tôi sẽ cố gắng cho bạn biết về Check Point, cách bạn có thể dùng thử và về nguyên tắc, bạn có thể thử những gì (gần như tất cả các chức năng).

Ba thực thể điểm kiểm tra

Khi làm việc với Check Point, chắc chắn bạn sẽ bắt gặp XNUMX thành phần của sản phẩm này:

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

  1. Cổng bảo mật (SG) - bản thân cổng bảo mật, thường được đặt trên vành đai mạng và thực hiện các chức năng của tường lửa, chống vi-rút trực tuyến, chống bot, IPS, v.v.
  2. Máy chủ quản lý bảo mật (SMS) - máy chủ quản lý cổng. Hầu như tất cả các cài đặt trên cổng (SG) đều được thực hiện bằng máy chủ này. SMS cũng có thể hoạt động như một Máy chủ nhật ký và xử lý chúng bằng hệ thống tương quan và phân tích sự kiện tích hợp sẵn - Sự kiện thông minh (tương tự như SIEM cho Điểm kiểm tra), nhưng sẽ nói thêm về điều đó sau. SMS được sử dụng để quản lý tập trung nhiều cổng (số lượng cổng tùy thuộc vào kiểu SMS hoặc giấy phép), nhưng bạn phải sử dụng nó ngay cả khi bạn chỉ có một cổng. Cần lưu ý ở đây rằng Check Point là một trong những công ty đầu tiên sử dụng hệ thống quản lý tập trung như vậy, hệ thống này đã được công nhận là “tiêu chuẩn vàng” theo báo cáo của Gartner trong nhiều năm liên tiếp. Thậm chí còn có câu nói đùa rằng: “Nếu Cisco có một hệ thống điều khiển bình thường thì Check Point đã không bao giờ xuất hiện”.
  3. Bảng điều khiển thông minh — bảng điều khiển máy khách để kết nối với máy chủ quản lý (SMS). Thường được cài đặt trên máy tính của quản trị viên. Thông qua bảng điều khiển này, tất cả các thay đổi được thực hiện trên máy chủ quản lý và sau đó, bạn có thể áp dụng các cài đặt cho cổng bảo mật (Chính sách cài đặt).

    điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

Hệ điều hành Điểm kiểm tra

Nói về hệ điều hành Check Point, có thể nhớ lại ba hệ điều hành cùng một lúc: IPSO, SPLAT và GAIA.

  1. IPSSO là hệ điều hành của Ipsilon Networks, thuộc sở hữu của Nokia. Năm 2009, Check Point đã mua doanh nghiệp này. Không còn phát triển nữa.
  2. TẠO - tự phát triển Check Point, dựa trên nhân RedHat. Không còn phát triển nữa.
  3. Gaia - hệ điều hành hiện tại từ Check Point, xuất hiện do sự hợp nhất của IPSO và SPLAT, kết hợp tất cả những gì tốt nhất. Xuất hiện vào năm 2012 và tiếp tục phát triển tích cực.

Nói về Gaia, cần phải nói rằng tại thời điểm này, phiên bản phổ biến nhất là R77.30. Gần đây, phiên bản R80 đã xuất hiện, khác biệt đáng kể so với phiên bản trước (cả về chức năng và điều khiển). Chúng tôi sẽ dành một bài viết riêng cho chủ đề về sự khác biệt của chúng. Một điểm quan trọng nữa là hiện tại chỉ có phiên bản R77.10 có chứng chỉ FSTEC và phiên bản R77.30 đang được chứng nhận.

Tùy chọn (Thiết bị kiểm tra điểm, Máy ảo, OpenServer)

Không có gì đáng ngạc nhiên ở đây, vì nhiều nhà cung cấp Check Point có một số tùy chọn sản phẩm:

  1. gia dụng - thiết bị phần cứng và phần mềm, tức là "miếng sắt" của riêng mình. Có rất nhiều kiểu máy khác nhau về hiệu suất, chức năng và thiết kế (có các tùy chọn cho mạng công nghiệp).

    điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

  2. Máy ảo - Check Point máy ảo với Gaia OS. Hypervisors ESXi, Hyper-V, KVM được hỗ trợ. Được cấp phép bởi số lượng lõi bộ xử lý.
  3. máy chủ mở - Cài đặt Gaia trực tiếp trên máy chủ làm hệ điều hành chính (cái gọi là "Bare metal"). Chỉ một số phần cứng được hỗ trợ. Có những khuyến nghị cho phần cứng này phải được tuân theo, nếu không có thể có vấn đề với trình điều khiển và những thứ đó. hỗ trợ có thể từ chối dịch vụ cho bạn.

Tùy chọn triển khai (Phân phối hoặc Độc lập)

Cao hơn một chút, chúng ta đã thảo luận về cổng (SG) và máy chủ quản lý (SMS) là gì. Bây giờ hãy thảo luận về các tùy chọn để thực hiện chúng. Có hai cách chính:

  1. Độc lập (SG+SMS) - một tùy chọn khi cả cổng và máy chủ quản lý được cài đặt trong cùng một thiết bị (hoặc máy ảo).

    điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

    Tùy chọn này phù hợp khi bạn chỉ có một cổng được tải nhẹ với lưu lượng người dùng. Tùy chọn này là kinh tế nhất, bởi vì. không cần mua máy chủ quản lý (SMS). Tuy nhiên, nếu cổng được tải nhiều, hệ thống điều khiển của bạn có thể hoạt động chậm. Vì vậy, trước khi lựa chọn giải pháp Standalone, tốt nhất bạn nên tham khảo hoặc thậm chí thử nghiệm phương án này.

  2. Phân phối — máy chủ quản lý được cài đặt riêng biệt với cổng.

    điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

    Tùy chọn tốt nhất về sự tiện lợi và hiệu suất. Nó được sử dụng khi cần quản lý nhiều cổng cùng một lúc, chẳng hạn như cổng trung tâm và cổng chi nhánh. Trong trường hợp này, bạn cần mua một máy chủ quản lý (SMS), máy chủ này cũng có thể ở dạng thiết bị (miếng sắt) hoặc máy ảo.

Như tôi đã nói ở trên, Check Point có hệ thống SIEM của riêng mình - Sự kiện thông minh. Bạn chỉ có thể sử dụng nó trong trường hợp cài đặt Phân tán.

Chế độ hoạt động (Bridge, Routed)
Cổng bảo mật (SG) có thể hoạt động ở hai chế độ cơ bản:

  • Định tuyến - tùy chọn phổ biến nhất. Trong trường hợp này, cổng được sử dụng như một thiết bị L3 và định tuyến lưu lượng qua chính nó, tức là Check Point là cổng mặc định cho mạng được bảo vệ.
  • Cầu - chế độ trong suốt. Trong trường hợp này, cổng được cài đặt như một "cầu nối" bình thường và truyền lưu lượng qua nó ở lớp thứ hai (OSI). Tùy chọn này thường được sử dụng khi không có khả năng (hoặc mong muốn) thay đổi cơ sở hạ tầng hiện có. Bạn thực tế không phải thay đổi cấu trúc liên kết mạng và không phải suy nghĩ về việc thay đổi địa chỉ IP.

Tôi muốn lưu ý rằng có một số hạn chế về chức năng trong chế độ Cầu nối, do đó, với tư cách là nhà tích hợp, chúng tôi khuyên tất cả khách hàng của mình nên sử dụng chế độ Định tuyến, tất nhiên, nếu có thể.

Phần mềm Blades (Check Point Software Blades)

Chúng tôi gần như đã đến chủ đề Điểm kiểm tra quan trọng nhất, chủ đề này đặt ra nhiều câu hỏi nhất từ ​​​​khách hàng. Những "lưỡi mềm" này là gì? Các lưỡi đề cập đến các chức năng Điểm kiểm tra nhất định.

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

Các tính năng này có thể được bật hoặc tắt tùy thuộc vào nhu cầu của bạn. Đồng thời, có các phiến được kích hoạt riêng trên cổng (An ninh mạng) và chỉ trên máy chủ quản lý (Quản lý). Những hình ảnh dưới đây cho thấy ví dụ cho cả hai trường hợp:

1) Đối với An ninh mạng (chức năng cổng)

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

Hãy để chúng tôi mô tả ngắn gọn, bởi vì mỗi lưỡi dao xứng đáng là một bài báo riêng biệt.

  • Tường lửa - chức năng tường lửa;
  • IPSec VPN - xây dựng mạng ảo riêng;
  • Mobile Access - truy cập từ xa từ thiết bị di động;
  • IPS - hệ thống ngăn chặn xâm nhập;
  • Anti-Bot - bảo vệ chống lại các mạng botnet;
  • AntiVirus - chống vi-rút trực tuyến;
  • AntiSpam & Email Security - bảo vệ thư công ty;
  • Nhận thức về danh tính - tích hợp với dịch vụ Active Directory;
  • Giám sát - giám sát hầu hết tất cả các tham số cổng (tải, băng thông, trạng thái VPN, v.v.)
  • Kiểm soát ứng dụng - tường lửa cấp ứng dụng (chức năng NGFW);
  • Lọc URL - Bảo mật web (+chức năng proxy);
  • Data Loss Prevention - chống rò rỉ thông tin (DLP);
  • Threat Emulation - công nghệ hộp cát (SandBox);
  • Threat Extraction - công nghệ dọn dẹp tập tin;
  • QoS - ưu tiên lưu lượng.

Chỉ trong một vài bài viết nữa thôi, chúng ta sẽ xem xét kỹ hơn về các lưỡi Threat Emulation và Threat Extraction, tôi chắc rằng nó sẽ rất thú vị.

2) Đối với Quản lý (chức năng máy chủ quản lý)

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

  • Network Policy Management - quản lý chính sách tập trung;
  • Quản lý chính sách điểm cuối - quản lý tập trung các tác nhân Check Point (vâng, Check Point tạo ra các giải pháp không chỉ để bảo vệ mạng mà còn để bảo vệ máy trạm (PC) và điện thoại thông minh);
  • Ghi nhật ký & Trạng thái - tập trung thu thập và xử lý nhật ký;
  • Cổng quản lý - quản lý bảo mật từ trình duyệt;
  • Quy trình làm việc - kiểm soát các thay đổi chính sách, kiểm tra các thay đổi, v.v.;
  • Danh mục người dùng - tích hợp với LDAP;
  • Cung cấp - tự động hóa quản lý cổng;
  • Smart Reporter - hệ thống báo cáo;
  • Smart Event - phân tích và tương quan các sự kiện (SIEM);
  • Tuân thủ - tự động kiểm tra cài đặt và đưa ra khuyến nghị.

Bây giờ chúng tôi sẽ không xem xét chi tiết các vấn đề cấp phép, để không làm bài báo bị thổi phồng và gây nhầm lẫn cho người đọc. Nhiều khả năng chúng tôi sẽ đưa nó ra trong một bài riêng.

Kiến trúc phiến cho phép bạn chỉ sử dụng các chức năng bạn thực sự cần, điều này ảnh hưởng đến ngân sách của giải pháp và hiệu suất tổng thể của thiết bị. Điều hợp lý là bạn kích hoạt càng nhiều cánh thì lưu lượng truy cập có thể bị “đuổi đi” càng ít. Đó là lý do tại sao bảng hiệu suất sau đây được đính kèm với từng mô hình Điểm kiểm tra (ví dụ: chúng tôi đã lấy các đặc điểm của mô hình 5400):

điểm kiểm tra. Nó là gì, nó được ăn với cái gì, hoặc ngắn gọn về điều chính

Như bạn có thể thấy, có hai loại thử nghiệm ở đây: trên lưu lượng truy cập tổng hợp và trên thực tế - hỗn hợp. Nói chung, Check Point chỉ đơn giản là buộc phải xuất bản các bài kiểm tra tổng hợp, bởi vì. một số nhà cung cấp sử dụng các bài kiểm tra đó làm điểm chuẩn mà không kiểm tra hiệu suất của các giải pháp của họ trên lưu lượng truy cập thực (hoặc cố tình ẩn dữ liệu đó do không đạt yêu cầu).

Trong mỗi loại thử nghiệm, bạn có thể nhận thấy một số tùy chọn:

  1. chỉ kiểm tra Tường lửa;
  2. Kiểm tra tường lửa + IPS;
  3. Kiểm tra tường lửa+IPS+NGFW (Kiểm soát ứng dụng);
  4. Tường lửa+Kiểm soát ứng dụng+Lọc URL+IPS+Antivirus+Anti-Bot+SandBlast test (sandbox)

Xem xét cẩn thận các thông số này khi chọn giải pháp của bạn hoặc liên hệ để biết tư vấn.

Tôi nghĩ rằng đây là phần cuối của bài viết giới thiệu về công nghệ Check Point. Tiếp theo, chúng tôi sẽ xem xét cách bạn có thể kiểm tra Check Point và cách đối phó với các mối đe dọa bảo mật thông tin hiện đại (vi rút, lừa đảo, ransomware, zero-day).

PS Một điểm quan trọng. Mặc dù có nguồn gốc nước ngoài (Israel), giải pháp này được chứng nhận tại Liên bang Nga bởi các cơ quan giám sát, điều này tự động hợp pháp hóa sự hiện diện của chúng trong các tổ chức nhà nước (nhận xét của từ chối).

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Bạn sử dụng công cụ UTM/NGFW nào?

  • Check Point

  • hỏa lực của Cisco

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Canh gác

  • Cây bách xù

  • Cổng người dùng

  • thanh tra giao thông

  • Rubicon

  • lý tưởng

  • giải pháp mã nguồn mở

  • Khác

134 người dùng bình chọn. 78 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com

Thêm một lời nhận xét