我们将继续撰写有关使用新的 SMB CheckPoint 型号系列的系列文章,让我们提醒您,在 我们描述了新模式、管理和行政方法的特点和能力。 今天我们将看看该系列中旧型号的部署场景:CheckPoint 1590 NGFW。 以下是这部分的摘要:
- 设备拆箱(组件、物理和网络连接的描述)。
- 初始设备初始化。
- 初始设置。
- 绩效评估。
开箱设备
了解设备从从包装箱中取出设备开始,拆解部件并安装零件;点击扰流板,其中简要介绍了该过程
NGFW 1590交付
简单介绍一下组件:
- 下一代防火墙 1590;
- 电源适配器;
- 2 个 Wifi 天线(2.4 Hz 和 5 Hz);
- 2 根 LTE 天线;
- 包含文档的小册子(初始连接的简短指南、许可协议等)
至于网络端口和接口,具有用于流量传输和交互的所有现代功能、用于 DMZ 区域的单独端口、用于与 PC 同步的 USB 3.0。
1590 版本采用了更新的设计、无线通信和内存扩展的现代选项:2 个插槽,用于在 LTE 模式下使用 Micro/Nano SIM 卡。 (我们计划在专门讨论无线连接的系列的下一篇文章中详细介绍此选项); SD 卡插槽。
您可以阅读有关 1590 NGFW 和其他新型号功能的更多信息 来自有关 CheckPoint SMB 解决方案的一系列文章。 我们将继续对设备进行初始初始化。
初级初始化
我们的老读者应该已经知道 1500 系列 SMB 系列使用新的 80.20 嵌入式操作系统,其中包括更新的界面和改进的功能。
要开始初始化设备,您需要:
- 为网关提供电源。
- 将网络电缆从您的 PC 连接到网关上的 LAN -1。
- 或者,您可以通过将接口连接到 WAN 端口来立即为设备提供 Internet 访问权限。
- 转到 Gaia 嵌入式门户:
如果您按照前面所述的步骤操作,则进入 Gaia 门户页面后,您需要确认使用不受信任的证书打开该页面,之后将启动门户设置向导:
您将看到一个指示您设备型号的页面,您需要进入下一部分:
我们将被要求创建一个帐户进行授权,可以为管理员指定高密码要求,并且我们指出我们将使用网关的国家/地区。
下一个窗口涉及日期和时间设置;您可以手动设置或使用公司的 NTP 服务器。
下一步包括设置设备名称并指定公司域,以便网关服务在 Internet 上正常工作。
接下来就是NGFW控制类型的选择,这里需要注意的是:
- 本地管理。 这是使用 Gaia Portal 网页本地管理网关的可用选项。
- 中央管理。 这种类型的管理包括与专用 CheckPoint 管理服务器同步、与 Smart1-Cloud 云或 SMP(中小企业管理服务)同步。
在本文中,我们将重点介绍本地管理方法;您可以指定必要的方法。 为了熟悉与专用管理服务器同步的过程,我们建议 摘自 TS Solution 准备的 CheckPoint 入门培训系列。
接下来,将出现一个窗口,定义网关上接口的操作模式:
- 交换机模式意味着从一个接口到另一接口的子网的子网的可用性。
- 禁用交换机模式相应地禁用交换机模式;每个端口为单独的网络片段路由流量。
还建议指定连接到网关本地接口时使用的 DHCP 地址池。
下一步是将网关配置为在无线模式下工作;我们计划在该系列的一篇文章中更详细地讨论这方面,因此我们推迟了设置的配置。 您可以创建新的无线接入点、设置连接密码并确定无线通道的工作模式(2.4 Hz 或 5 Hz)。
下一步将是为公司管理员配置对网关的访问权限。 默认情况下,如果连接来自以下位置,则允许访问权限:
- 公司内部子网
- 可信无线网络
- VPN隧道
默认情况下禁用通过 Internet 连接到网关的选项,这会带来很大的风险,并且必须证明包含的合理性,否则建议像我们的示例一样保留它。也可以指定允许哪些 IP 地址连接到网关。
下一个窗口涉及许可证的激活;在设备初始初始化后,您将看到 30 天的试用期。 有两种可用的激活方法:
- 如果有互联网连接,许可证将自动激活。
- 如果您离线激活License,您需要执行以下操作:从UserCenter下载License,在专用设备上注册您的设备。 。 接下来,对于这两种情况,您都需要导入手动下载的许可证。
最后,设置向导中的最后一个窗口会提示您选择要打开的刀片;请注意,QOS 刀片仅在初始初始化后才会打开。 您最终应该会看到一个总结您的设置的完成窗口。
最初设定
首先,我们建议检查许可证的状态;进一步的配置将取决于此。 转到“主页”→“许可证”选项卡:
如果许可证已激活,我们建议立即更新到最新的当前固件;为此,请转到“设备”→“系统操作”选项卡:
系统更新位于固件升级项中。 在我们的例子中,安装了当前最新的固件版本。
接下来,我建议简单谈谈系统刀片的功能和设置。 从逻辑上讲,它们可以分为访问(防火墙、应用程序控制、URL 过滤)和威胁防御(IPS、防病毒、防机器人、威胁仿真)级别策略。
让我们转到访问策略 → 刀片控制选项卡:
默认情况下,使用 STANDARD 模式,它允许传出互联网的流量、本地网络内的流量,但同时阻止来自互联网的传入流量。
至于应用程序和 URL 过滤刀片,默认情况下它们被设置为阻止具有高危险级别的站点、阻止交换应用程序(Torrent、文件存储等)。 您还可以另外手动阻止网站类别。
让我们检查用户流量的选项“限制占用带宽的应用程序”,该选项能够限制应用程序组传出/传入流量的速度。
接下来,打开策略子部分;默认情况下,规则是根据前面描述的设置自动生成的。
NAT 部分默认在全局隐藏 Nat 自动模式下工作,即所有内部主机都可以通过公共 IP 地址访问互联网。 可以手动设置 NAT 规则来发布 Web 应用程序或服务。
接下来,涉及网络上的用户身份验证的部分提供了两个选项:Active Directory 查询(与 AD 集成)、基于浏览器的身份验证(用户在门户中输入域凭据)。
值得一提的是 SSL 检查;全球网络上 HTTPS 总流量的份额正在积极增长。 让我们看看 CheckPoint 为 SMB 解决方案提供了哪些功能。为此,请转到 SSL-Inspection → 策略部分:
在设置中,您可以检查 HTTPS 流量;您需要导入证书并将其安装在最终用户计算机上的受信任证书中心中。
我们认为预定义类别的 BYPASS 模式是一个方便的选项;这在启用检查时可以显着节省时间。
在防火墙/应用程序级别设置规则后,您应该继续调整安全策略(威胁防护),为此,请转到相应的部分:
在打开的页面上,我们可以看到已启用的刀片、签名和数据库更新状态。 我们还被要求选择一个用于保护网络边界的配置文件,并显示相应的设置。
单独的“IPS 保护”部分允许您配置特定安全签名的操作。
不久前我们在博客上写道 对于 Windows Server - SigRed。 让我们通过输入查询“CVE-80.20-2020”来检查它是否存在于 Gaia Embedded 1350 中
已检测到此签名的记录,可以对其应用其中一项操作。 (默认情况下,“预防”的危险级别为“严重”)。 因此,拥有 SMB 解决方案后,您将不会在更新和支持方面被排除在外;这是 CheckPoint 为最多 200 人的分支机构提供的完整 NGFW 解决方案。
绩效评估
在结束本文时,我想指出在 SMB 解决方案初始初始化和配置之后,可使用用于排除问题的工具。 您可以转到“主页”→“工具”部分。 可能的选项:
- 监控系统资源;
- 路由表;
- 检查 CheckPoint 云服务的可用性;
- CPinfo生成;
还提供内置网络命令:Ping、Traceroute、Traffic Capture。
因此,今天我们回顾并研究了 NGFW 1590 的初始连接和配置,您将对整个 1500 SMB Checkpoint 系列执行类似的操作。 可用选项向我们展示了设置的高度可变性,支持保护网络边界流量的现代方法。
如今,用于保护小型办公室和分支机构(最多 200 人)的 CheckPoint 解决方案拥有广泛的工具并使用最新的技术(云管理、SIM 卡支持、使用 SD 卡进行内存扩展等)。 继续关注TS Solution的文章,我们正在计划进一步发布SMB系列NGFW CheckPoint的部分,再见!
。 敬请关注 (, , , , ).
来源: habr.com