CheckPoint: установка, первоначальная настройка и организация кластера из двух фаервольных модулей

  • Tutorial


Check Point в этом году представил новую версию своей операционной системы GAIA R77.

Из основных нововведений это:
• Threat Emulation
• HyperSPECT technology
• Новые програмный блейды (Compliance Blade) и более 50 новых функций.

Цель это статьи – гайда, помочь новичкам при работе с оборудованием Check Point. Что с ним делать? как подготовить к работе? и т.д. Так же здесь найдете ответ как организовать кластер с 2х фаервольных модулей. Несмотря на то что с версии Gaia R76, менеджмент может быть на одной из кластерных нод, в этом гайде будет описан метод «по старинке». Два фаервольных модуля плюс отдельный менеджмент.

Threat Emulation – защита от атак 0 дня. Работает по такому принципу:



1. Инспектирует файл.
2. Запускает его в нескольких операционных системах.
3. Если файл вредоносный блокирует.
4. Если файл не вредоносный дает возможность конечному пользователю его открыть.

HyperSPECT technology – ускорение шлюзов безопасности до 50%. Ниже диаграмма от вендора:


Compliance Blade – проверка настроек оборудования согласно стандартам информационной безопасности, в данный момент Check Point «знает» такие стандарты:


Так же на рисунке изображено как это работает.

Как уже было сказано выше, у нас задача: два фаервольных модуля плюс отдельный менеджмент.
Для выполнения этой задачи понадобится:
• Первый фаервольный модуль с установленной Gaia R77(3 сетевых интерфейса);
• Второй фаервольный модуль с установленной Gaia R77(3 сетевых интерфейса);
• Менеджмент сервер с установленной Gaia R77;
• Рабочая станция администратора с установленной SmartConsole.

1. Установка ОС Gaia R77 на фаервольные модуля.


1.1. Загрузится с загрузочного диска/флеш накопителя. И выбрать “Install Gaia on this system”



1.2. Подтвердить установку ОС, нажать ОК. Выбрать языковую раскладку US и нажать ОК.





1.3. В следующем окне ввести пароль администратора, далее IP адрес сервера, после этого подтвердить форматирование жесткого диска и дождаться окончания установки.











1.4. Аналогично устанавливаем ОС на второй фаервольный модуль и менеджмент сервер.

2. Первоначальная настройка Gaia R77



2.1. Зайти на web интерфейс фаервольного модуля. В нашем случае это первоначальная конфигурация первой ноды, IP адресс – 172.16.1.15.



2.2. Авторизоваться в веб интерфейсе, нажать Next в мастере первоначальной настройке.





2.3. Проверить настройки сетевого интерфейса, указать имя хоста, временную зону.







2.4. В следующем меню поставить галочку на «Security Gateway or Security Management»



2.5. Далее если настраивается один из фаервольный модулей нужно выбрать конфигурацию которая изображена на скрине, ввести ключ активации SIC, нажать Finish и дождаться перезагрузки.





2.6. При настройке менеджмент сервера, нужно выбрать конфигурацию, которая изображена на скрине, по желанию изменить логин/пароль, указать кому доступен GUI клиент, нажать Finish.







3. Установка Smart Console



3.1. Для скачивания SmartConsole нужно зайти на веб интерфейс одного из фаервольных модулей либо же менеджмент сервера. Выбрать в разделе Maintenance, пункт Download Smart Console, нажать кнопку Download.



3.2. После скачивания смарт консоли, запустить процесс инсталляции, для установки понадобятся дополнительные компоненты.



3.3. После установки выше перечисленного, начнется инсталляция непосредственно смарт консоли. Процесс инсталляции ниже отображен на скринах.













4. Организация кластера с двух фаервольных модулей


После проделанной выше работы мы имеем такой результат:
• Установлена/первоначально настроенная ОС на первом фаервольном модуле.
• Установлена/первоначально настроенная ОС на втором фаервольном модуле.
• Установлена/первоначально настроенная ОС на менеджмент сервере.
• Установлена смарт консоль на рабочую станцию администратора с предустановленной Windows XP.

4.1. Запускаем SmartDashboard, вводим логин/пароль и IP адрес менеджмент сервера.



4.2. В открытом SmartDashboard выбираем раздел “More”, пункт “Desktop”.



4.3. Далее нужно добавить фаервольные модули в SmartCentre
Для этого слева нужно выбирать папку Check Point, открыть контекстное меню и выбрать пункт “Security Gateway/Management”. Далее выбрать “Classic mode”.





4.4. Прописать имя хоста, IP адрес и нажать Communication.



4.5. Ввести Activation Key и нажать кнопку “Initialize”, если операция прошла успешно, появится надпись Trust established. После этого действия нажать кнопку “OK”, в следующем окне нажать “Close”. Повторить это действие и для второго фаервольного модуля.



4.6. После добавления фаервольных модулей в SmartCentre имеем такую картину:



4.7. Слева выбрать раздел Check Point, открыть контекстное меню, выбрать Security Cluster => Check Point Appliance/Open server.



4.8. Указать имя создаваемого кластера и его IP адрес. Перейти на вкладку “Cluster member” и добавить два фаервольных модуля.







4.9. Далее нужно перейти в раздел Topology и нажать кнопку Edit.



4.10. Выбрать конфигурацию как указано на скрине.



После этого нажать “Get” => “All Members’ Interfaces with Topology и нажать ОК”.
Далее проделать такие действия: Save => Install policy.

В результате проделанных действий у нас собран кластер из 2х фаервольных нод. Далее нужно прописывать правила межсетевого экрана, настраивать остальные блейды.



МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
МУК
Компания
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 4

    0
    В R77 кластер в режиме LS работает без проблем?

    Помнится в R75 и R75.40 так и не удалось его завести на VMWare в таком режиме, кроме того, чтобы вернуть обратно на HA приходилось переустанавливать систему на шлюзах, т.к. они переставали друг друга видеть :)
      0
      А ещё поподробнее не могли расписать процесс? Полезной информации нуль. Лучше б написали как из одиночного шлюза добавив ещё один сделать кластер.
        0
        А с чего взяли что только на r76 появилась возможность конфигурации standalone? Она вообще давно присутствует. Если мне не изменяет память то в r65 уже была. Более того- она не только на gaia позволительна но и на Splat, и на appliance замечательно заводится+ ко всему при кластеризации еще можно и на второй ноде поднять secondary. Smart server.

        Пишите полную информацию или уж тогда вообще не упоминайте.

          0
          «2.6. При настройке менеджмент сервера, нужно выбрать конфигурацию, которая изображена на скрине, по желанию изменить логин/пароль, указать кому доступен GUI клиент, нажать Finish.»

          скрин от конфигурации для установки фаервольного модуля

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое