Добро пожаловать на 7-й урок, где мы уже начнем работу с политиками безопасности. Сегодня мы первый раз установим политику на наш шлюз, т.е. наконец сделаем «install policy». После этого через шлюз уже сможет ходить трафик!
Вообще, политики, с точки зрения Check Point, довольно обширное понятие. Security Policies можно разделить на 3 типа:
- Access Control. Сюда входят такие блейды как: Firewall, Application Control, URL Filtering, Content Awareness, Mobile Access, VPN. Т.е. всё, что касается разрешения или ограничения трафика.
- Threat Prevention. Тут используются Блейды: IPS, Anti-Virus, Anti-Bot, Threat Emulation, Threat Extraction. Т.е. функции, которые проверяют содержимое трафика или контента, уже прошедшего через Access Control.
- Desktop Security. Это уже политики управления Endpoint агентами (т.е. защита рабочих станций). Эту тему мы в принципе не будем затрагивать в рамках курса.
В данном же уроке мы начнем говорить про политики Access Control.
Состав Access Control
Access Control это первая политика, которая должна быть установлена на шлюз. Без этой политики другие (Threat Prevention, Desktop Security) просто не установятся. Как было сказано ранее, политики Access Control включают в себя сразу несколько блейдов:
- Firewall;
- Application & URL Filtering;
- Content Awareness;
- Mobile Access;
- NAT.
Мы для начала рассмотрим всего один — Firewall.
Четыре этапа настройки Firewall
Для установки политики на шлюз нам ОБЯЗАТЕЛЬНО нужно будет выполнить следующие пункты:
- Определить интерфейсы шлюза в соответствующие security zone (будь то Internal, External, DMZ и т.д.)
- Настроить Anti-Spoofing;
- Создать сетевые объекты (Networks, Hosts, Servers и т.д.) Это важно! Как я уже говорил, Check Point работает только с объектами. Вставить в аксес-лист просто ip-адрес не получится;
- Создать Access-List-ы (хотя бы один).
Без этих настроек, политики просто не установятся!
Видео урок
Как обычно, прикладываем видео урок, где мы произведем процедуру базовой настройки Access-Control и сформируем рекомендуемые списки доступа.
Stay tuned for more and join our YouTube channel :)
