5. NGFW для малого бизнеса. Облачное управление SMP



    Приветствую читателей в нашем цикле статей, который посвящен SMB Check Point, а именно модельному ряду 1500 серии. В первой части упоминалось о возможности управления вашими NGFW серии SMB с помощью облачного сервиса Security Management Portal (SMP). Наконец, пришло время рассказать о нем более подробно, показать доступные опции и инструменты администрирования. Для тех, кто только присоединился к нам, напомню ранее рассмотренные темы: инициализация и настройка , организация беспроводной передачи трафика ( WiFi и LTE) , VPN


    SMP — централизованный портал для управления вашими SMB устройствами, включающий в себя веб-интерфейс и инструменты для администрирования до 5 000 устройств. Поддерживаются следующие серии моделей Check Point: 600, 700, 910, 1100, 1200R, 1400, 1500.


    Для начала опишем преимущества такого решения:

    1. Централизованное техническое обслуживание инфраструктуры. Благодаря облачному порталу вы сможете разворачивать политики, применять настройки, изучать события — вне зависимости от вашего местонахождения и количества NGFW в организации.
    2. Масштабируемость и эффективность. Приобретая решение SMP, вы берете активную подписку с поддержкой до 5000 NGFW, это позволит легко добавлять новые узлы в инфраструктуру, обеспечивая динамическое взаимодействие между ними благодаря VPN.

    Более подробно о вариантах лицензирования возможно узнать из документации к SMP, существует два варианта:




    • Cloud Hosted SMP. Сервер управления размещается в облаке Check Point, доступна поддержка до 50 шлюзов.
    • On-Premise SMP. Сервер управления размещается в облачном решении заказчика, доступна поддержка до 5000 шлюзов.

    Дополним одну важную, на наш взгляд, особенность: при покупке любой модели из 1500-серии в комплект поставки входит одна лицензия SMP. Таким образом, приобретая новое поколение SMB, вам будет доступно облачное управление без дополнительных трат.


    Практическое использование


    После краткого введения перейдем к практическому знакомству с решением, на текущий момент демо-версия портала доступна при запросе в локальный офис Check Point. Первоначально вас будет приветствовать окно авторизации, где нужно будет указать: домен, имя пользователя, пароль.




    В качестве домена указывается непосредственно адрес развернутого SMP-портала, если вы приобретаете его по подписке “Cloud Hosted SMP”, то для разворачивания нового — необходимо отправить запрос, нажав на кнопку “New Domain Request” (срок рассмотрения до 3х дней).


    Далее отображается основная страница портала со статистикой об управляемых шлюзах и доступных опциях из меню.




    Рассмотрим каждую вкладку отдельно, кратко описывая ее возможности.


    Map


    Раздел позволяет отслеживать месторасположения вашего NGFW, просмотреть его состояние или перейти к его непосредственным настройкам.




    Gateways


    Таблица, включающая в себя управляемые SMB-шлюзы из вашей инфраструктуры, содержит информацию: имя шлюза, модель, версия ОС, профиль политик.




    Plans


    Раздел содержит список профилей c отображением статуса установленных Блейдов на них, где имеется возможность выбрать права доступа для внесения изменений в конфигурацию (отдельные политики могут быть настроены только локально).




    Если зайти в настройки конкретного профиля, то можно получить доступ к полной конфигурации вашего NGFW.




    Часть Security Software Blades посвящена настройки каждого из блейдов NGFW, в частности:
    Firewall, Applications and URLs, IPS, Anti-Virus, Anti-Spam, QoS, Remote Access, Site-to-Site VPN, User Awareness, Anti-Bot, Threat Emulation, Threat Prevention, SSL Inspection.


    Отметим возможность настроить CLI-скрипты которые будут автоматически применяться к шлюзам, которые указаны в Plans->Profile. C их помощью можно задавать отдельные идентичные настройки (дата/время, пароли доступа, работа с протоколами мониторинга SNMP и т.д.)


    Останавливаться на конкретных настройках мы подробно не будем, это освещалось ранее, также есть курс Check Point Getting Started.


    Logs


    Одним из преимуществ использования SMP будет централизованный просмотр логов ваших SMB шлюзов, доступ можно получить перейдя в Logs → Gateway Logs.






    В фильтре можно задать определенный шлюз, указать адрес источника или назначения и т.д. В целом, работа с логами идентична просмотру в Smart Console, сохраняется гибкость и информативность.


    Cyber Views


    Раздел содержит статистику в виде отчетов о последних событиях безопасности, они позволяют оперативно систематизировать логи и представить полезную инфографику:




    Общие выводы


    Таким образом, SMP — современный портал, который сочетает в себе интуитивно понятный интерфейс и глубокие возможности в плане администрирования ваших NGFW решений семейства SMB. Отметим еще раз его основные достоинства:


    1. Возможность удаленного управления до 5000 NGFW.
    2. Техническое обслуживание портала специалистами Check Point ( в случае Cloud Hosted SMP подписки).
    3. Информативность и структурированность данных о вашей инфраструктуре в одном инструменте.

    Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
    TS Solution
    Системный интегратор

    Комментарии 5

      0
      Ну т.е. это можно назвать SD-WAN?
        0
        Нет, SD-WAN совсем про другое.
          0
          В чем отличие?
            0
            В нашем случае не происходит абстракции сетевого оборудования ( шлюзов ) от управления потоками трафика, в отличие от SD-WAN, где эту роль берет на себе контроллер.

            речь идет о облачном портале для управления шлюзами (SMP), что подразумевает под собой передачу настроек конфигурации.
        0

        Вот прямо сейчас пытаюсь выбрать некий NGFW для нового офиса.
        И глядя на то что есть на рынке — такая грусть-тоска одолевает…
        Буквально все производители перешли на платные годовые лицензии. За любой чих — плати. Антивирус отдельно, IPS отдельно, песочница, фильтры — за все отдельная лицензия. И ладно-бы заплатить один раз. Но платить ежегодно за нужный набор функционала?! Ежегодные суммы набегают ого-го!
        При таких расценках производители должны свои железки бесплатно раздавать) И жить на лицензии, как производители принтеров живут на картриджах)
        PS
        Производители NGFW с одной стороны топят за безопасность, а с другой — эту самую безопасность убивают стоимостью своих лицензий.
        PPS
        В итоге поставлю бесплатный Sophos скорее всего.
        Авито забито предложениями чекпоинтов у которых лицензии закончились. После окончания лицензий железка превращается в тыкву и имхо дешевле купить новую чем продлять лицензии.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое