Prohoster > Blog > quản lý > Điểm kiểm tra Gaia R80.40. Có gì mới?

Điểm kiểm tra Gaia R80.40. Có gì mới?

Điểm kiểm tra Gaia R80.40. Có gì mới?

Phiên bản tiếp theo của hệ điều hành đang đến gần Gaia R80.40. Vài tuần trước Chương trình truy cập sớm đã bắt đầu, nơi bạn có thể truy cập để kiểm tra phân phối. Như thường lệ, chúng tôi công bố thông tin về những điểm mới và cũng nêu bật những điểm thú vị nhất theo quan điểm của chúng tôi. Nhìn về phía trước, tôi có thể nói rằng những đổi mới thực sự có ý nghĩa. Vì vậy, cần chuẩn bị cho thủ tục cập nhật sớm. Trước đây chúng tôi đã đã xuất bản một bài báo về cách thực hiện việc này (để biết thêm thông tin, vui lòng truy cập liên hệ tại đây). Chúng ta hãy đi vào chủ đề...

Có gì mới

Hãy cùng xem những đổi mới được công bố chính thức tại đây. Thông tin được lấy từ trang web Kiểm tra bạn bè (cộng đồng Check Point chính thức). Với sự cho phép của bạn, tôi sẽ không dịch văn bản này, rất may là khán giả Habr cho phép điều đó. Thay vào đó tôi sẽ để lại nhận xét của mình cho chương tiếp theo.

1. Bảo mật IoT. Các tính năng mới liên quan đến Internet of Things

  • Thu thập các thiết bị IoT và thuộc tính lưu lượng truy cập từ các công cụ khám phá IoT được chứng nhận (hiện hỗ trợ Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM và Armis).
  • Định cấu hình Lớp chính sách dành riêng cho IoT mới trong quản lý chính sách.
  • Định cấu hình và quản lý các quy tắc bảo mật dựa trên thuộc tính của thiết bị IoT.

2.Kiểm tra TLSHTTP / 2:

  • HTTP/2 là bản cập nhật cho giao thức HTTP. Bản cập nhật cung cấp các cải tiến về tốc độ, hiệu quả, bảo mật và mang lại trải nghiệm người dùng tốt hơn.
  • Cổng bảo mật của Check Point hiện hỗ trợ HTTP/2 và mang lại tốc độ cũng như hiệu quả tốt hơn trong khi vẫn có được mức bảo mật đầy đủ, với tất cả các lưỡi Ngăn chặn mối đe dọa và Kiểm soát truy cập, cũng như các biện pháp bảo vệ mới cho giao thức HTTP/2.
  • Hỗ trợ dành cho cả lưu lượng truy cập rõ ràng và mã hóa SSL và được tích hợp hoàn toàn với HTTPS/TLS
  • Khả năng kiểm tra.

Lớp kiểm tra TLS. Những đổi mới về kiểm tra HTTPS:

  • Lớp chính sách mới trong SmartConsole dành riêng cho Kiểm tra TLS.
  • Các lớp Kiểm tra TLS khác nhau có thể được sử dụng trong các gói chính sách khác nhau.
  • Chia sẻ lớp Kiểm tra TLS trên nhiều gói chính sách.
  • API cho hoạt động TLS.

3. Phòng chống mối đe dọa

  • Nâng cao hiệu quả tổng thể cho các quy trình và cập nhật Ngăn chặn mối đe dọa.
  • Tự động cập nhật Công cụ trích xuất mối đe dọa.
  • Các đối tượng động, miền và có thể cập nhật hiện có thể được sử dụng trong các chính sách Ngăn chặn mối đe dọa và Kiểm tra TLS. Đối tượng có thể cập nhật là các đối tượng mạng đại diện cho một dịch vụ bên ngoài hoặc danh sách địa chỉ IP động đã biết, ví dụ: - Địa chỉ IP Office365 / Google / Azure / AWS và đối tượng Geo.
  • Anti-Virus hiện sử dụng các dấu hiệu đe dọa SHA-1 và SHA-256 để chặn các tệp dựa trên hàm băm của chúng. Nhập các chỉ báo mới từ chế độ xem Chỉ báo mối đe dọa của SmartConsole hoặc CLI Nguồn cấp dữ liệu thông minh tùy chỉnh.
  • Mô phỏng mối đe dọa chống vi-rút và SandBlast hiện hỗ trợ kiểm tra lưu lượng e-mail qua giao thức POP3, cũng như cải thiện việc kiểm tra lưu lượng e-mail qua giao thức IMAP.
  • Mô phỏng mối đe dọa chống vi-rút và SandBlast hiện sử dụng tính năng kiểm tra SSH mới được giới thiệu để kiểm tra các tệp được truyền qua giao thức SCP và SFTP.
  • Mô phỏng mối đe dọa chống vi-rút và SandBlast hiện cung cấp hỗ trợ cải tiến cho việc kiểm tra SMBv3 (3.0, 3.0.2, 3.1.1), bao gồm kiểm tra các kết nối đa kênh. Check Point hiện là nhà cung cấp duy nhất hỗ trợ kiểm tra việc truyền tệp qua nhiều kênh (một tính năng được bật theo mặc định trong tất cả các môi trường Windows). Điều này cho phép khách hàng được an toàn khi làm việc với tính năng nâng cao hiệu suất này.

4. Nhận thức về bản sắc

  • Hỗ trợ tích hợp Captive Portal với SAML 2.0 và Nhà cung cấp danh tính bên thứ ba.
  • Hỗ trợ Nhà môi giới nhận dạng để chia sẻ thông tin nhận dạng chi tiết và có thể mở rộng giữa các PDP cũng như chia sẻ giữa các miền.
  • Các cải tiến đối với Terminal Servers Agent để mở rộng và tương thích tốt hơn.

5. VPN IPsec

  • Định cấu hình các miền mã hóa VPN khác nhau trên Cổng bảo mật là thành viên của nhiều cộng đồng VPN. Điều này cung cấp:
  • Cải thiện quyền riêng tư - Mạng nội bộ không được tiết lộ trong các cuộc đàm phán giao thức IKE.
  • Cải thiện tính bảo mật và mức độ chi tiết – Chỉ định mạng nào có thể truy cập được trong cộng đồng VPN được chỉ định.
  • Cải thiện khả năng tương tác - Định nghĩa VPN dựa trên tuyến được đơn giản hóa (được khuyến nghị khi bạn làm việc với miền mã hóa VPN trống).
  • Tạo và làm việc liền mạch với môi trường VPN quy mô lớn (LSV) với sự trợ giúp của cấu hình LSV.

6. Lọc URL

  • Cải thiện khả năng mở rộng và khả năng phục hồi.
  • Khả năng khắc phục sự cố mở rộng.

7.NAT

  • Cơ chế phân bổ cổng NAT nâng cao — trên Cổng bảo mật có 6 phiên bản Tường lửa CoreXL trở lên, tất cả các phiên bản đều sử dụng cùng một nhóm cổng NAT, giúp tối ưu hóa việc sử dụng và tái sử dụng cổng.
  • Giám sát việc sử dụng cổng NAT trong CPView và với SNMP.

8. Thoại qua IP (VoIP)Nhiều phiên bản Tường lửa CoreXL xử lý giao thức SIP để nâng cao hiệu suất.

9. VPN truy cập từ xaSử dụng chứng chỉ máy để phân biệt giữa tài sản của công ty và tài sản phi công ty và để thiết lập chính sách chỉ thực thi việc sử dụng tài sản của công ty. Việc thực thi có thể là đăng nhập trước (chỉ xác thực thiết bị) hoặc đăng nhập sau (xác thực thiết bị và người dùng).

10. Đại lý cổng truy cập di độngBảo mật điểm cuối nâng cao theo yêu cầu trong Tác nhân cổng truy cập di động để hỗ trợ tất cả các trình duyệt web chính. Để biết thêm thông tin, xem sk113410.

11.CoreXL và nhiều hàng đợi

  • Hỗ trợ phân bổ tự động các phiên bản CoreXL SND và Tường lửa không yêu cầu khởi động lại Cổng bảo mật.
  • Cải thiện trải nghiệm ngay lập tức — Cổng bảo mật tự động thay đổi số lượng phiên bản Tường lửa và CoreXL SND cũng như cấu hình Nhiều hàng đợi dựa trên lưu lượng truy cập hiện tại.

12. Phân cụm

  • Hỗ trợ Giao thức điều khiển cụm ở chế độ Unicast giúp loại bỏ sự cần thiết của CCP

Chế độ phát sóng hoặc đa phương tiện:

  • Mã hóa Giao thức điều khiển cụm hiện được bật theo mặc định.
  • Chế độ ClusterXL mới -Active/Active, hỗ trợ các Thành viên cụm ở các vị trí địa lý khác nhau nằm trên các mạng con khác nhau và có các địa chỉ IP khác nhau.
  • Hỗ trợ các Thành viên Cụm ClusterXL chạy các phiên bản phần mềm khác nhau.
  • Loại bỏ nhu cầu cấu hình MAC Magic khi một số cụm được kết nối với cùng một mạng con.

13. VSX

  • Hỗ trợ nâng cấp VSX bằng CPUSE trong Gaia Portal.
  • Hỗ trợ chế độ Active Up trong VSLS.
  • Hỗ trợ báo cáo thống kê CPView cho từng Hệ thống ảo

14. Không chạmQuy trình thiết lập Plug & Play đơn giản để cài đặt thiết bị — loại bỏ nhu cầu về chuyên môn kỹ thuật và phải kết nối với thiết bị để cấu hình ban đầu.

15. API Gaia RESTAPI Gaia REST cung cấp một cách mới để đọc và gửi thông tin đến các máy chủ chạy Hệ điều hành Gaia. Xem sk143612.

16. Định tuyến nâng cao

  • Các cải tiến đối với OSPF và BGP cho phép đặt lại và khởi động lại OSPF lân cận cho mỗi phiên bản Tường lửa CoreXL mà không cần phải khởi động lại trình nền được định tuyến.
  • Tăng cường làm mới tuyến đường để cải thiện khả năng xử lý sự không nhất quán trong định tuyến BGP.

17. Khả năng hạt nhân mới

  • Hạt nhân Linux được nâng cấp
  • Hệ thống phân vùng mới (gpt):
  • Hỗ trợ nhiều ổ đĩa vật lý/logic hơn 2TB
  • Hệ thống tập tin nhanh hơn (xfs)
  • Hỗ trợ lưu trữ hệ thống lớn hơn (đã thử nghiệm lên tới 48TB)
  • Cải thiện hiệu suất liên quan đến I/O
  • Nhiều hàng đợi:
  • Hỗ trợ Gaia Clish đầy đủ cho các lệnh Nhiều hàng đợi
  • Cấu hình “bật theo mặc định” tự động
  • Hỗ trợ gắn SMB v2/3 trong lưỡi Truy cập di động
  • Đã thêm hỗ trợ NFSv4 (máy khách) (NFS v4.2 là phiên bản NFS mặc định được sử dụng)
  • Hỗ trợ các công cụ hệ thống mới để gỡ lỗi, giám sát và cấu hình hệ thống

18. Bộ điều khiển CloudGuard

  • Cải tiến hiệu suất để kết nối với Trung tâm dữ liệu bên ngoài.
  • Tích hợp với VMware NSX-T.
  • Hỗ trợ các lệnh API bổ sung để tạo và chỉnh sửa các đối tượng Máy chủ Trung tâm Dữ liệu.

19. Máy chủ đa miền

  • Sao lưu và khôi phục một Máy chủ quản lý miền riêng lẻ trên Máy chủ nhiều miền.
  • Di chuyển Máy chủ quản lý miền trên một Máy chủ nhiều miền sang Quản lý bảo mật đa miền khác.
  • Di chuyển Máy chủ quản lý bảo mật để trở thành Máy chủ quản lý miền trên Máy chủ nhiều miền.
  • Di chuyển Máy chủ quản lý miền thành Máy chủ quản lý bảo mật.
  • Hoàn nguyên Miền trên Máy chủ nhiều miền hoặc Máy chủ quản lý bảo mật về bản sửa đổi trước đó để chỉnh sửa thêm.

20. Nhiệm vụ thông minh và API

  • Phương thức xác thực API quản lý mới sử dụng Khóa API được tạo tự động.
  • Các lệnh API quản lý mới để tạo các đối tượng cụm.
  • Triển khai tập trung Bộ tích lũy Hotfix Jumbo và Hotfix từ SmartConsole hoặc bằng API cho phép cài đặt hoặc nâng cấp song song nhiều Cổng và Cụm bảo mật.
  • SmartTasks — Định cấu hình tập lệnh tự động hoặc yêu cầu HTTPS được kích hoạt bởi tác vụ của quản trị viên, chẳng hạn như xuất bản phiên hoặc cài đặt chính sách.

21. Triển khaiTriển khai tập trung Bộ tích lũy Hotfix Jumbo và Hotfix từ SmartConsole hoặc bằng API cho phép cài đặt hoặc nâng cấp song song nhiều Cổng và Cụm bảo mật.

22. Sự kiện thông minhChia sẻ chế độ xem và báo cáo SmartView với các quản trị viên khác.

23.Nhà xuất khẩu nhật kýXuất nhật ký được lọc theo giá trị trường.

24. Bảo mật điểm cuối

  • Hỗ trợ mã hóa BitLocker cho Mã hóa toàn bộ đĩa.
  • Hỗ trợ các chứng chỉ của Tổ chức phát hành chứng chỉ bên ngoài cho máy khách Bảo mật điểm cuối
  • xác thực và liên lạc với Máy chủ quản lý bảo mật điểm cuối.
  • Hỗ trợ kích thước động của các gói Máy khách Bảo mật Điểm cuối dựa trên các gói đã chọn
  • các tính năng để triển khai.
  • Chính sách hiện có thể kiểm soát mức độ thông báo cho người dùng cuối.
  • Hỗ trợ môi trường VDI liên tục trong Quản lý chính sách điểm cuối.

Điều chúng tôi thích nhất (dựa trên nhiệm vụ của khách hàng)

Như bạn có thể thấy, có rất nhiều đổi mới. Nhưng đối với chúng tôi, đối với Hệ thống tích hợp, có một số điểm rất thú vị (cũng rất thú vị đối với khách hàng của chúng tôi). Top 10 của chúng tôi:

  1. Cuối cùng, sự hỗ trợ đầy đủ cho các thiết bị IoT đã xuất hiện. Đã khá khó để tìm được một công ty không có những thiết bị như vậy.
  2. Kiểm tra TLS hiện được đặt trong một lớp (Layer) riêng biệt. Nó thuận tiện hơn nhiều so với bây giờ (lúc 80.30:365). Không còn chạy Bảng điều khiển Legasy cũ nữa. Ngoài ra, giờ đây bạn có thể sử dụng các đối tượng có thể cập nhật trong chính sách kiểm tra HTTPS, chẳng hạn như các dịch vụ Office1.3, Google, Azure, AWS, v.v. Điều này rất thuận tiện khi bạn cần thiết lập ngoại lệ. Tuy nhiên, vẫn không có hỗ trợ cho tls XNUMX. Rõ ràng họ sẽ “bắt kịp” với hotfix tiếp theo.
  3. Những thay đổi đáng kể đối với Anti-Virus và SandBlast. Bây giờ bạn có thể kiểm tra các giao thức như SCP, SFTP và SMBv3 (nhân tiện, không ai có thể kiểm tra giao thức đa kênh này nữa).
  4. Có rất nhiều cải tiến liên quan đến VPN Site-to-Site. Bây giờ bạn có thể định cấu hình một số miền VPN trên một cổng là một phần của một số cộng đồng VPN. Nó rất thuận tiện và an toàn hơn nhiều. Ngoài ra, Check Point cuối cùng đã ghi nhớ Route Based VPN và cải thiện một chút tính ổn định/khả năng tương thích của nó.
  5. Một tính năng rất phổ biến cho người dùng từ xa đã xuất hiện. Giờ đây, bạn có thể xác thực không chỉ người dùng mà còn cả thiết bị mà người đó kết nối. Ví dụ: chúng tôi muốn chỉ cho phép kết nối VPN từ các thiết bị của công ty. Tất nhiên, điều này được thực hiện với sự trợ giúp của các chứng chỉ. Cũng có thể tự động gắn kết chia sẻ tệp (SMB v2/3) cho người dùng từ xa bằng máy khách VPN.
  6. Có rất nhiều thay đổi trong hoạt động của cụm. Nhưng có lẽ một trong những điều thú vị nhất là khả năng vận hành một cụm nơi các cổng có các phiên bản Gaia khác nhau. Điều này thuận tiện khi lập kế hoạch cập nhật.
  7. Cải thiện khả năng Zero Touch. Một điều hữu ích cho những ai thường xuyên lắp đặt các cổng “nhỏ” (ví dụ như cho máy ATM).
  8. Đối với nhật ký, hiện đã hỗ trợ dung lượng lưu trữ lên tới 48TB.
  9. Bạn có thể chia sẻ bảng thông tin SmartEvent của mình với các quản trị viên khác.
  10. Trình xuất nhật ký hiện cho phép bạn lọc trước các tin nhắn đã gửi bằng cách sử dụng các trường bắt buộc. Những thứ kia. Chỉ những nhật ký và sự kiện cần thiết mới được truyền đến hệ thống SIEM của bạn

Cập nhật

Có lẽ nhiều người đã nghĩ đến việc cập nhật. Không cần phải vội vàng. Để bắt đầu, phiên bản 80.40 phải chuyển sang Sẵn có chung. Nhưng ngay cả sau đó, bạn cũng không nên cập nhật ngay. Tốt hơn hết là hãy đợi ít nhất là bản sửa lỗi đầu tiên.
Có lẽ nhiều người đang “ngồi” trên những phiên bản cũ hơn. Tôi có thể nói rằng ở mức tối thiểu thì đã có thể (và thậm chí là cần thiết) cập nhật lên 80.30. Đây đã là một hệ thống ổn định và đã được chứng minh!

Bạn cũng có thể đăng ký vào các trang công khai của chúng tôi (Telegram, Facebook, VK, Blog giải pháp TS), nơi bạn có thể theo dõi sự xuất hiện của các tài liệu mới trên Check Point và các sản phẩm bảo mật khác.

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Bạn đang sử dụng phiên bản Gaia nào?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • Nền tảng khác

13 người dùng bình chọn. 6 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com

Thêm một lời nhận xét