我們將繼續撰寫有關使用新的 SMB CheckPoint 型號系列的系列文章,讓我們提醒您,在 我們描述了新模式、管理和行政方法的特徵和能力。今天我們將看看系列中舊型號的部署場景:CheckPoint 1590 NGFW。以下是這部分的摘要:
- 設備拆箱(組件、實體和網路連接的描述)。
- 初始設備初始化。
- 初始設定。
- 績效評估。
開箱設備
了解設備從從包裝箱中取出設備開始,拆解部件並安裝零件;點擊擾流板,其中簡要介紹了該過程
NGFW 1590交付
簡單介紹一下組件:
- 下一代防火牆 1590;
- 電源適配器;
- 2 個 Wifi 天線(2.4 Hz 和 5 Hz);
- 2 根 LTE 天線;
- 包含文件的小冊子(初始連接的簡短指南、許可協議等)
至於網路連接埠和接口,具有用於流量傳輸和互動的所有現代功能、用於 DMZ 區域的單獨連接埠、用於與 PC 同步的 USB 3.0。
1590 版本採用了更新的設計、無線通訊和記憶體擴展的現代選項:2 個插槽,用於在 LTE 模式下使用 Micro/Nano SIM 卡。 (我們計劃在專門討論無線連接的系列的下一篇文章中詳細介紹此選項); SD 卡插槽。
您可以閱讀有關 1590 NGFW 和其他新型號功能的更多信息 來自有關 CheckPoint SMB 解決方案的一系列文章。我們將繼續對設備進行初始初始化。
初級初始化
我們的老讀者應該已經知道 1500 系列 SMB 系列使用新的 80.20 嵌入式作業系統,其中包括更新的介面和改進的功能。
要開始初始化設備,您需要:
- 為網關提供電源。
- 將網路連接線從您的 PC 連接到網關上的 LAN -1。
- 或者,您可以透過將介面連接到 WAN 連接埠來立即為裝置提供 Internet 存取權限。
- 前往 Gaia 嵌入式入口網站:
如果您按照前面所述的步驟操作,則進入 Gaia 入口網頁後,您需要確認使用不受信任的憑證開啟該頁面,之後將啟動入口網站設定精靈:
您將看到一個頁面,指示您的設備型號,您需要進入下一部分:
我們將被要求建立一個帳戶進行授權,可以為管理員指定高密碼要求,並且我們指出我們將使用網關的國家/地區。
下一個視窗涉及日期和時間設定;您可以手動設定或使用公司的 NTP 伺服器。
下一步包括設定設備名稱並指定公司域,以便網關服務在 Internet 上正常運作。
接下來就是NGFW控制類型的選擇,這裡要注意的是:
- 本地管理。這是使用 Gaia Portal 網頁本地管理網關的可用選項。
- 中央管理。這種類型的管理包括與專用 CheckPoint 管理伺服器同步、與 Smart1-Cloud 雲端或 SMP(中小企業管理服務)同步。
在本文中,我們將重點放在本地管理方法;您可以指定必要的方法。為了熟悉與專用管理伺服器同步的過程,我們建議 摘自 TS Solution 準備的 CheckPoint 入門訓練系列。
接下來,將出現一個窗口,定義網關上介面的操作模式:
- 交換器模式意味著從一個介面到另一個介面的子網路的子網路的可用性。
- 停用交換器模式會相應地停用交換器模式;每個連接埠為單獨的網路片段路由流量。
也建議指定連接到網關本地介面時使用的 DHCP 位址池。
下一步是將網關配置為在無線模式下工作;我們計劃在該系列的一篇文章中更詳細地討論這方面,因此我們推遲了設定的配置。您可以建立新的無線存取點、設定連線密碼並確定無線通道的工作模式(2.4 Hz 或 5 Hz)。
下一步將是為公司管理員配置對網關的存取權限。預設情況下,如果連線來自下列位置,則允許存取權限:
- 公司內部子網
- 可信任無線網路
- VPN隧道
預設會停用透過 Internet 連接到網關的選項,這會帶來很大的風險,並且必須證明包含的合理性,否則建議像我們的範例一樣保留它。也可以指定允許哪些 IP 位址連接到網關。
下一個視窗涉及許可證的啟動;在設備初始初始化後,您將看到 30 天的試用期。有兩種可用的激活方法:
- 如果有網路連接,許可證將自動啟動。
- 如果您離線啟動License,您需要執行以下操作:從UserCenter下載License,在專用裝置上註冊您的裝置。 。接下來,對於這兩種情況,您都需要匯入手動下載的許可證。
最後,設定精靈中的最後一個視窗會提示您選擇要開啟的刀片;請注意,QOS 刀片僅在初始初始化後才會開啟。您最終應該會看到一個總結您的設定的完成視窗。
初始設定
首先,我們建議檢查許可證的狀態;進一步的配置將取決於此。轉到“主頁”→“許可證”選項卡:
如果許可證已激活,我們建議立即更新至最新的目前韌體;為此,請前往「裝置」→「系統操作」標籤:
系統更新位於韌體升級項中。在我們的例子中,安裝了目前最新的韌體版本。
接下來,我建議簡單談談系統刀片的功能和設定。從邏輯上講,它們可以分為存取(防火牆、應用程式控制、URL 過濾)和威脅防禦(IPS、防毒、防機器人、威脅模擬)等級策略。
讓我們轉到訪問策略 → 刀片控制選項卡:
預設情況下,使用 STANDARD 模式,它允許傳出互聯網的流量、本地網路內的流量,但同時阻止來自互聯網的傳入流量。
至於應用程式和 URL 過濾刀片,預設情況下它們被設定為阻止具有高危險等級的網站、阻止交換應用程式(Torrent、文件儲存等)。您也可以另外手動封鎖網站類別。
讓我們檢查用戶流量的選項“限制佔用頻寬的應用程式”,該選項能夠限制應用程式群組傳出/傳入流量的速度。
接下來,開啟策略子部分;預設情況下,規則是根據前面所述的設定自動產生的。
NAT 部分預設在全域隱藏 Nat 自動模式下運作,即所有內部主機都可以透過公用 IP 位址存取網際網路。可以手動設定 NAT 規則來發布 Web 應用程式或服務。
接下來,涉及網路上的使用者驗證的部分提供了兩個選項:Active Directory 查詢(與 AD 整合)、基於瀏覽器的身份驗證(使用者在入口網站中輸入網域憑證)。
值得一提的是 SSL 檢查;全球網路上 HTTPS 總流量的份額正在積極增長。讓我們看看 CheckPoint 為 SMB 解決方案提供了哪些功能。為此,請前往 SSL-Inspection → 政策部分:
在設定中,您可以檢查 HTTPS 流量;您需要匯入憑證並將其安裝在最終使用者電腦上的受信任憑證中心中。
我們認為預先定義類別的 BYPASS 模式是一個方便的選項;這在啟用檢查時可以顯著節省時間。
在防火牆/應用程式層級設定規則後,您應該繼續調整安全性原則(威脅防護),為此,請前往對應的部分:
在開啟的頁面上,我們可以看到已啟用的刀片、簽名和資料庫更新狀態。我們還被要求選擇一個用於保護網路邊界的配置文件,並顯示相應的設定。
單獨的「IPS 保護」部分可讓您設定特定安全簽名的操作。
不久前我們在部落格上寫道 對於 Windows Server - SigRed。讓我們透過輸入查詢「CVE-80.20-2020」來檢查它是否存在於 Gaia Embedded 1350 中
已偵測到此簽章的記錄,可以對其套用其中一項操作。 (預設情況下,「預防」的危險等級為「嚴重」)。因此,擁有 SMB 解決方案後,您將不會在更新和支援方面被排除在外;這是 CheckPoint 為最多 200 人的分支機構提供的完整 NGFW 解決方案。
績效評估
在結束本文時,我想指出在 SMB 解決方案初始初始化和配置之後,可使用用於排除問題的工具。您可以前往“主頁”→“工具”部分。可能的選項:
- 監控系統資源;
- 路由表;
- 檢查 CheckPoint 雲端服務的可用性;
- CPinfo生成;
另提供內建網路指令:Ping、Traceroute、Traffic Capture。
因此,今天我們回顧並研究了 NGFW 1590 的初始連接和配置,您將對整個 1500 SMB Checkpoint 系列執行類似的操作。可用選項向我們展示了設定的高度可變性,支援保護網路邊界流量的現代方法。
如今,用於保護小型辦公室和分支機構(最多 200 人)的 CheckPoint 解決方案擁有廣泛的工具並使用最新的技術(雲端管理、SIM 卡支援、使用 SD 卡進行記憶體擴展等)。繼續關注TS Solution的文章,我們正在計劃進一步發布SMB系列NGFW CheckPoint的部分,再見!
。 敬請關注 (, , , , ).
來源: www.habr.com