操作系统的下一个版本即将发布 盖亚R80.40。 几周前
什么是新的
让我们来看看官方宣布的创新。 信息取自网站
1.物联网安全。 与物联网相关的新功能
- 从经过认证的 IoT 发现引擎(当前支持 Medigate、CyberMDX、Cynerio、Claroty、Indegy、SAM 和 Armis)收集 IoT 设备和流量属性。
- 在策略管理中配置新的 IoT 专用策略层。
- 配置和管理基于 IoT 设备属性的安全规则。
2.TLS检查HTTP / 2:
- HTTP/2 是 HTTP 协议的更新。 此次更新提高了速度、效率和安全性,并带来了更好的用户体验。
- Check Point 的安全网关现在支持 HTTP/2,并具有更高的速度和效率,同时通过所有威胁防御和访问控制刀片以及针对 HTTP/2 协议的新保护获得全面的安全性。
- 支持明文和 SSL 加密流量,并与 HTTPS/TLS 完全集成
- 检验能力。
TLS 检查层。 HTTPS 检查方面的创新:
- SmartConsole 中的新策略层专用于 TLS 检查。
- 不同的策略包中可以使用不同的 TLS 检查层。
- 跨多个策略包共享 TLS 检查层。
- 用于 TLS 操作的 API。
3. 威胁防御
- 威胁防御流程和更新的整体效率提高。
- 自动更新威胁提取引擎。
- 动态、域和可更新对象现在可用于威胁防护和 TLS 检查策略。 可更新对象是代表外部服务或已知动态 IP 地址列表的网络对象,例如 Office365 / Google / Azure / AWS IP 地址和地理对象。
- 防病毒现在使用 SHA-1 和 SHA-256 威胁指示根据哈希值阻止文件。 从 SmartConsole 威胁指标视图或自定义情报源 CLI 导入新指标。
- 防病毒和 SandBlast 威胁仿真现在支持通过 POP3 协议检查电子邮件流量,并改进对通过 IMAP 协议的电子邮件流量检查。
- 防病毒和 SandBlast 威胁仿真现在使用新引入的 SSH 检查功能来检查通过 SCP 和 SFTP 协议传输的文件。
- 防病毒和 SandBlast 威胁仿真现在为 SMBv3 检查(3.0、3.0.2、3.1.1)提供改进的支持,其中包括多通道连接的检查。 Check Point 现在是唯一一家支持通过多个通道检查文件传输的供应商(该功能在所有 Windows 环境中默认启用)。 这使得客户在使用此性能增强功能时可以保持安全。
4. 身份意识
- 支持强制门户与 SAML 2.0 和第三方身份提供商集成。
- 支持身份代理,以在 PDP 之间实现可扩展且精细的身份信息共享以及跨域共享。
- 终端服务器代理的增强功能可实现更好的扩展和兼容性。
5.IPsec VPN
- 在属于多个 VPN 社区成员的安全网关上配置不同的 VPN 加密域。 这提供了:
- 改进的隐私性 — IKE 协议协商中不会公开内部网络。
- 改进的安全性和粒度 - 指定在指定 VPN 社区中可以访问哪些网络。
- 改进的互操作性 - 简化的基于路由的 VPN 定义(在使用空 VPN 加密域时推荐)。
- 借助 LSV 配置文件创建大规模 VPN (LSV) 环境并与之无缝协作。
6. URL过滤
- 提高了可扩展性和弹性。
- 扩展的故障排除功能。
7. 网络地址转换
- 增强的 NAT 端口分配机制 — 在具有 6 个或更多 CoreXL 防火墙实例的安全网关上,所有实例都使用相同的 NAT 端口池,从而优化了端口利用率和重用。
- 通过 CPView 和 SNMP 进行 NAT 端口利用率监控。
8. IP 语音 (VoIP)多个 CoreXL 防火墙实例处理 SIP 协议以增强性能。
9.远程访问VPN使用机器证书区分公司和非公司资产,并制定仅强制使用公司资产的政策。 强制执行可以是登录前(仅设备身份验证)或登录后(设备和用户身份验证)。
10.移动接入门户代理移动访问门户代理内按需增强端点安全性,支持所有主要 Web 浏览器。 有关详细信息,请参阅 sk113410。
11.CoreXL和多队列
- 支持自动分配 CoreXL SND 和防火墙实例,无需重新启动安全网关。
- 改进的开箱即用体验 - 安全网关会根据当前流量负载自动更改 CoreXL SND 和防火墙实例的数量以及多队列配置。
12. 聚类
- 支持单播模式下的集群控制协议,无需 CCP
广播或多播模式:
- 现在默认启用集群控制协议加密。
- 新的ClusterXL模式-Active/Active,支持不同地理位置、不同子网、不同IP地址的集群成员。
- 支持运行不同软件版本的 ClusterXL 集群成员。
- 当多个集群连接到同一子网时,无需进行 MAC Magic 配置。
13.VSX
- 支持 Gaia Portal 中使用 CPUSE 进行 VSX 升级。
- 支持 VSLS 中的 Active Up 模式。
- 支持每个虚拟系统的 CPView 统计报告
14. 零接触用于安装设备的简单即插即用设置过程 — 无需技术专业知识,也无需连接到设备进行初始配置。
15. 盖亚 REST APIGaia REST API 提供了一种读取信息并将信息发送到运行 Gaia 操作系统的服务器的新方法。 参见 sk143612。
16. 高级路由
- OSPF 和 BGP 的增强功能允许重置和重新启动每个 CoreXL 防火墙实例的 OSPF 邻居,而无需重新启动路由守护程序。
- 增强路由刷新以改进对 BGP 路由不一致的处理。
17.新的内核功能
- 升级Linux内核
- 新的分区系统(gpt):
- 支持超过2TB物理/逻辑驱动器
- 更快的文件系统 (xfs)
- 支持更大的系统存储(经测试高达 48TB)
- I/O 相关性能改进
- 多队列:
- Gaia Clish 对多队列命令的全面支持
- 自动“默认开启”配置
- 移动访问刀片中的 SMB v2/3 安装支持
- 添加了 NFSv4(客户端)支持(NFS v4.2 是默认使用的 NFS 版本)
- 支持用于调试、监控和配置系统的新系统工具
18. 云卫士控制器
- 与外部数据中心连接的性能增强。
- 与 VMware NSX-T 集成。
- 支持其他 API 命令来创建和编辑数据中心服务器对象。
19. 多域服务器
- 备份和恢复多域服务器上的单个域管理服务器。
- 将一台多域服务器上的域管理服务器迁移到另一台多域安全管理。
- 将安全管理服务器迁移为多域服务器上的域管理服务器。
- 将域管理服务器迁移为安全管理服务器。
- 将多域服务器或安全管理服务器上的域恢复到以前的版本以进行进一步编辑。
20. 智能任务和API
- 使用自动生成的 API 密钥的新管理 API 身份验证方法。
- 用于创建集群对象的新管理 API 命令。
- 通过 SmartConsole 或 API 集中部署 Jumbo Hotfix Accumulator 和 Hotfix,可以并行安装或升级多个安全网关和集群。
- SmartTasks — 配置由管理员任务触发的自动脚本或 HTTPS 请求,例如发布会话或安装策略。
21.部署通过 SmartConsole 或 API 集中部署 Jumbo Hotfix Accumulator 和 Hotfix,可以并行安装或升级多个安全网关和集群。
22. 智能赛事与其他管理员共享 SmartView 视图和报告。
23.日志导出器导出根据字段值过滤的日志。
24. 端点安全
- 支持全盘加密的 BitLocker 加密。
- 支持 Endpoint Security 客户端的外部证书颁发机构证书
- 与 Endpoint Security Management Server 进行身份验证和通信。
- 支持基于所选的 Endpoint Security 客户端包的动态大小
- 用于部署的功能。
- 策略现在可以控制向最终用户发出的通知级别。
- 支持端点策略管理中的持久 VDI 环境。
我们最喜欢什么(基于客户任务)
正如您所看到的,有很多创新。 但对于我们来说,至于
- 最后,出现了对物联网设备的全面支持。 已经很难找到一家没有这样设备的公司了。
- TLS检查现在被放置在一个单独的层(Layer)中。 比现在(80.30)方便多了。 不再运行旧的遗留仪表板。 另外,现在您可以在 HTTPS 检查策略中使用可更新对象,例如 Office365、Google、Azure、AWS 等服务。 当您需要设置例外时,这非常方便。 但是,仍然不支持 tls 1.3。 显然他们会“赶上”下一个修补程序。
- 防病毒和 SandBlast 的重大变化。 现在您可以检查 SCP、SFTP 和 SMBv3 等协议(顺便说一下,已经没有人可以检查这种多通道协议了)。
- Site-to-Site VPN 有很多改进。 现在,您可以在属于多个 VPN 社区的网关上配置多个 VPN 域。 非常方便,也安全得多。 此外,Check Point 终于记住了 Route Based VPN,并略微提高了其稳定性/兼容性。
- 一个非常受远程用户欢迎的功能已经出现。 现在,您不仅可以验证用户,还可以验证他连接的设备。 例如,我们希望仅允许来自公司设备的 VPN 连接。 当然,这是在证书的帮助下完成的。 还可以使用 VPN 客户端为远程用户自动挂载 (SMB v2/3) 文件共享。
- 集群的运行方式有很多变化。 但也许最有趣的之一是操作一个集群的可能性,其中网关具有不同版本的 Gaia。 这在计划更新时很方便。
- 改进了零接触功能。 对于那些经常安装“小型”网关(例如 ATM)的人来说,这是一个有用的东西。
- 对于日志,现在支持高达 48TB 的存储。
- 您可以与其他管理员共享您的 SmartEvent 仪表板。
- 日志导出器现在允许您使用必填字段预先过滤发送的消息。 那些。 只有必要的日志和事件才会传输到您的 SIEM 系统
更新
也许许多人已经在考虑更新。 没必要着急。 首先,版本 80.40 必须转为通用版本。 但即使在那之后,您也不应该立即更新。 最好至少等待第一个修补程序。
也许许多人都“坐在”旧版本上。 我可以说至少已经可以(甚至有必要)更新到80.30。 这已经是一个稳定且经过验证的系统!
您还可以订阅我们的公共页面(
只有注册用户才能参与调查。
您使用什么版本的盖亚?
-
R77.10
-
R77.30
-
R80.10
-
R80.20
-
R80.30
-
其他名称
13 位用户投票。 6 名用户弃权。
来源: habr.com