主持人 > 博客 > 管理 > 檢查點蓋亞 R80.40。 什麼是新的?

檢查點蓋亞 R80.40。 什麼是新的?

檢查點蓋亞 R80.40。 什麼是新的?

作業系統的下一個版本即將發布 蓋亞R80.40。 幾週前 搶先體驗計畫已啟動,您可以在其中存取測試分發。 像往常一樣,我們發布有關新內容的信息,並突出顯示我們認為最有趣的觀點。 展望未來,我可以說這些創新確實意義重大。 因此,儘早準備更新程序是值得的。 我們已經 發表了一篇文章 如何執行此操作(有關更多信息,請訪問 聯絡這裡)。 讓我們進入主題吧...

什麼是新的

讓我們來看看官方宣布的創新。 資料取自網站 檢查配合 (官方 Check Point 社群)。 如果你允許,我不會翻譯這段文字,幸運的是哈布爾觀眾允許。 相反,我將在下一章留下我的評論。

1.物聯網安全。 與物聯網相關的新功能

  • 從經過認證的 IoT 發現引擎(目前支援 Medigate、Cyber​​MDX、Cynerio、Claroty、Indegy、SAM 和 Armis)收集 IoT 設備和流量屬性。
  • 在策略管理中配置新的 IoT 專用策略層。
  • 配置和管理基於 IoT 設備屬性的安全規則。

2.TLS檢查HTTP/2:

  • HTTP/2 是 HTTP 協定的更新。 此次更新提高了速度、效率和安全性,並帶來了更好的使用者體驗。
  • Check Point 的安全閘道現在支援 HTTP/2,並具有更高的速度和效率,同時透過所有威脅防禦和存取控製刀片以及針對 HTTP/2 協定的新保護獲得全面的安全性。
  • 支援明文和 SSL 加密流量,並與 HTTPS/TLS 完全集成
  • 檢驗能力。

TLS 檢查層。 HTTPS 檢查方面的創新:

  • SmartConsole 中的新策略層專用於 TLS 檢查。
  • 不同的策略包中可以使用不同的 TLS 檢查層。
  • 跨多個策略包共用 TLS 檢查層。
  • 用於 TLS 操作的 API。

3. 威脅防禦

  • 威脅防禦流程和更新的整體效率提高。
  • 自動更新威脅提取引擎。
  • 動態、網域和可更新物件現在可用於威脅防護和 TLS 檢查策略。 可更新對像是代表外部服務或已知動態 IP 位址清單的網路對象,例如 Office365 / Google / Azure / AWS IP 位址和地理對象。
  • 防毒現在使用 SHA-1 和 SHA-256 威脅指示根據雜湊值阻止檔案。 從 SmartConsole 威脅指標視圖或自訂情報來源 CLI 匯入新指標。
  • 防毒和 SandBlast 威脅模擬現在支援透過 POP3 協定檢查電子郵件流量,並改善透過 IMAP 協定的電子郵件流量檢查。
  • 防毒和 SandBlast 威脅模擬現在使用新引入的 SSH 檢查功能來檢查透過 SCP 和 SFTP 協定傳輸的檔案。
  • 防毒和 SandBlast 威脅模擬現在為 SMBv3 檢查(3.0、3.0.2、3.1.1)提供改進的支持,其中包括多通道連接的檢查。 Check Point 現在是唯一支援透過多個通道檢查檔案傳輸的供應商(此功能在所有 Windows 環境中預設為啟用)。 這使得客戶在使用此效能增強功能時可以保持安全。

4. 身份意識

  • 支援強制入口網站與 SAML 2.0 和第三方身分提供者整合。
  • 支援身份代理,以在 PDP 之間實現可擴展且精細的身份資訊共享以及跨域共享。
  • 終端伺服器代理程式的增強功能可實現更好的擴充和相容性。

5.IPsecVPN

  • 在屬於多個 VPN 社群成員的安全閘道上設定不同的 VPN 加密域。 這提供了:
  • 改進的隱私性 — IKE 協定協商中不會公開內部網路。
  • 改進的安全性和粒度 - 指定在指定 VPN 社群中可以存取哪些網路。
  • 改進的互通性 - 簡化的基於路由的 VPN 定義(在使用空 VPN 加密域時建議)。
  • 使用 LSV 設定檔建立大規模 VPN (LSV) 環境並與之無縫協作。

6. URL過濾

  • 提高了可擴展性和彈性。
  • 擴充的故障排除功能。

7. 網絡地址轉換

  • 增強的 NAT 連接埠分配機制 — 在具有 6 個或更多 CoreXL 防火牆執行個體的安全閘道上,所有執行個體都使用相同的 NAT 連接埠池,從而最佳化了連接埠使用率和重複使用。
  • 透過 CPView 和 SNMP 進行 NAT 連接埠利用率監控。

8. IP 語音 (VoIP)多個 CoreXL 防火牆實例處理 SIP 協定以增強效能。

9.遠程訪問VPN使用機器證書區分公司和非公司資產,並制定僅強制使用公司資產的政策。 強制執行可以是登入前(僅裝置身份驗證)或登入後(裝置和使用者身份驗證)。

10.行動接取門戶代理行動存取入口網站代理程式內按需增強端點安全性,支援所有主要 Web 瀏覽器。 有關詳細信息,請參閱 sk113410。

11.CoreXL和多隊列

  • 支援自動分配 CoreXL SND 和防火牆實例,無需重新啟動安全閘道。
  • 改進的開箱即用體驗 - 安全閘道會根據目前流量負載自動變更 CoreXL SND 和防火牆執行個體的數量以及多佇列設定。

12. 聚類

  • 支援單播模式下的叢集控制協議,無需 CCP

廣播或多播模式:

  • 現在預設啟用叢集控制協定加密。
  • 新的ClusterXL模式-Active/Active,支援不同地理位置、不同子網路、不同IP位址的叢集成員。
  • 支援運行不同軟體版本的 ClusterXL 叢集成員。
  • 當多個集群連接到相同子網路時,無需進行 MAC Magic 設定。

13.VSX

  • 支援 Gaia Portal 中使用 CPUSE 進行 VSX 升級。
  • 支援 VSLS 中的 Active Up 模式。
  • 支援每個虛擬系統的 CPView 統計報告

14. 零接觸用於安裝設備的簡單即插即用設定流程 — 無需技術專業知識,也無需連接到設備進行初始設定。

15. 蓋亞 REST APIGaia REST API 提供了一種讀取資訊並將資訊傳送到運行 Gaia 作業系統的伺服器的新方法。 參見 sk143612。

16. 進階路由

  • OSPF 和 BGP 的增強功能可重設和重新啟動每個 CoreXL 防火牆執行個體的 OSPF 鄰居,而無需重新啟動路由守護程序。
  • 增強路由刷新以改善對 BGP 路由不一致的處理。

17.新的核心功能

  • 升級Linux內核
  • 新的分區系統(gpt):
  • 支援超過2TB物理/邏輯驅動器
  • 更快的檔案系統 (xfs)
  • 支援更大的系統儲存(經測試高達 48TB)
  • I/O 相關效能改進
  • 多隊列:
  • Gaia Clish 對多隊列命令的全面支持
  • 自動「預設開啟」配置
  • 移動訪問刀片中的 SMB v2/3 安裝支持
  • 新增了 NFSv4(客戶端)支援(NFS v4.2 是預設使用的 NFS 版本)
  • 支援用於調試、監控和配置系統的新系統工具

18. 雲衛士控制器

  • 與外部資料中心連接的效能增強。
  • 與 VMware NSX-T 整合。
  • 支援其他 API 命令來建立和編輯資料中心伺服器物件。

19. 多網域伺服器

  • 備份和還原多網域伺服器上的單一網域管理伺服器。
  • 將一台多網域伺服器上的網域管理伺服器移轉到另一台多網域安全管理。
  • 將安全管理伺服器遷移為多網域伺服器上的網域管理伺服器。
  • 將網域管理伺服器遷移為安全管理伺服器。
  • 將多網域伺服器或安全管理伺服器上的網域還原到先前的版本以進行進一步編輯。

20. 智能任務和API

  • 使用自動產生的 API 金鑰的新管理 API 驗證方法。
  • 用於建立叢集物件的新管理 API 命令。
  • 透過 SmartConsole 或 API 集中部署 Jumbo Hotfix Accumulator 和 Hotfix,可以並行安裝或升級多個安全性閘道和叢集。
  • SmartTasks — 設定由管理員任務觸發的自動腳本或 HTTPS 請求,例如發布會話或安裝原則。

21. 部署透過 SmartConsole 或 API 集中部署 Jumbo Hotfix Accumulator 和 Hotfix,可以並行安裝或升級多個安全性閘道和叢集。

22. 智能賽事與其他管理員共用 SmartView 視圖和報表。

23.日誌匯出器匯出根據欄位值過濾的日誌。

24. 端點安全

  • 支援全碟加密的 BitLocker 加密。
  • 支援 Endpoint Security 用戶端的外部憑證授權單位證書
  • 與 Endpoint Security Management Server 進行身份驗證和通訊。
  • 支援基於所選的 Endpoint Security 用戶端套件的動態大小
  • 用於部署的功能。
  • 策略現在可以控制向最終用戶發出的通知等級。
  • 支援端點策略管理中持久的 VDI 環境。

我們最喜歡什麼(基於客戶任務)

正如您所看到的,有很多創新。 但對我們來說,至於 系統整合商,有幾個非常有趣的點(我們的客戶也很感興趣)。 我們的前 10 名:

  1. 最後,出現了對物聯網設備的全面支援。 已經很難找到沒有這樣設備的公司了。
  2. TLS檢查現在被放置在一個單獨的層(Layer)中。 比現在(80.30)方便多了。 不再運作舊的遺留儀表板。 另外,現在您可以在 HTTPS 檢查策略中使用可更新對象,例如 Office365、Google、Azure、AWS 等服務。 當您需要設定例外時,這非常方便。 但是,仍然不支援 tls 1.3。 顯然他們會「趕上」下一個修補程式。
  3. 防毒和 SandBlast 的重大變化。 現在您可以檢查 SCP、SFTP 和 SMBv3 等協定(順便說一下,已經沒有人可以檢查這種多通道協定了)。
  4. Site-to-Site VPN 有很多改進。 現在,您可以在屬於多個 VPN 社群的網關上設定多個 VPN 網域。 非常方便,也安全得多。 此外,Check Point 終於記住了 Route Based VPN,並略微提高了其穩定性/相容性。
  5. 一個非常受遠端用戶歡迎的功能已經出現。 現在,您不僅可以驗證用戶,還可以驗證他連接的裝置。 例如,我們希望僅允許來自公司設備的 VPN 連線。 當然,這是在證書的幫助下完成的。 也可以使用 VPN 用戶端為遠端使用者自動掛載 (SMB v2/3) 檔案共用。
  6. 叢集的運作方式有很多變化。 但也許最有趣的之一是操作一個叢集的可能性,其中網關具有不同版本的 Gaia。 這在計劃更新時很方便。
  7. 改進了零接觸功能。 對於那些經常安裝“小型”網關(例如 ATM)的人來說,這是一個有用的東西。
  8. 對於日誌,現在支援高達 48TB 的儲存。
  9. 您可以與其他管理員共用您的 SmartEvent 儀表板。
  10. 日誌匯出器現在允許您使用必填欄位預先過濾傳送的訊息。 那些。 只有必要的日誌和事件才會傳輸到您的 SIEM 系統

更新

也許許多人已經在考慮更新。 沒必要著急。 首先,版本 80.40 必須轉為通用版本。 但即使在那之後,您也不應該立即更新。 最好至少等待第一個修補程式。
也許許多人都「坐在」舊版本上。 我可以說至少已經可以(甚至有必要)更新到80.30。 這已經是一個穩定且經過驗證的系統!

您也可以訂閱我們的公開頁面(Telegram, Facebook, VK, TS 解決方案博客),您可以在其中關注 Check Point 和其他安全產品上新材料的出現。

只有註冊用戶才能參與調查。 登入, 請。

您使用什麼版本的蓋亞?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • 其他

13 位用戶投票。 6 名用戶棄權。

來源: www.habr.com

添加評論