Администрирование Check Point NGFW

Архитектура Check Point, установка Gaia OS и первоначальная настройка шлюза

Добро пожаловать в курс «Администрирование Check Point NGFW». Это первая статья, в которой мы заложим фундамент для дальнейшего изучения одной из самых мощных и распространенных систем сетевой безопасности в мире. Мы разберем, из каких компонентов состоит экосистема Check Point, как установить операционную систему Gaia и как провести базовую настройку, чтобы получить доступ к управлению.

Введение в Check Point NGFW

NGFW (Next-Generation Firewall) — это межсетевой экран нового поколения. В отличие от классических фаерволов, которые фильтруют трафик только на основе портов и IP-адресов (L3-L4 модели OSI), NGFW способен «заглядывать» внутрь пакетов, распознавать приложения (Application Control), идентифицировать пользователей (Identity Awareness) и предотвращать вторжения (IPS).

Check Point Software Technologies — это пионер в области информационной безопасности. Именно они изобрели технологию Stateful Inspection, которая легла в основу всех современных межсетевых экранов.

Трехуровневая архитектура Check Point (SMART)

Главная особенность Check Point, которая отличает его от многих конкурентов (например, Fortinet или Palo Alto Networks), — это строгая трехуровневая архитектура управления. Она разделяет функции управления, мониторинга и непосредственной обработки трафика.

!Диаграмма, иллюстрирующая взаимодействие трех компонентов: Консоли, Сервера управления и Шлюза безопасности.

Эти три компонента:

SmartConsole (GUI Client) — это «глаза и руки» администратора. Это приложение под Windows, через которое вы создаете правила, настраиваете объекты и просматриваете логи. Важно понимать: консоль никогда не подключается к шлюзу напрямую для настройки политик.

Security Management Server (SMS) — это «мозг» системы. Сервер управления хранит всю базу данных объектов, правила безопасности и логи. Когда вы работаете в SmartConsole, вы фактически редактируете базу данных на SMS. Именно SMS компилирует политику и отправляет её на шлюзы.

Security Gateway (SG) — это «мышцы» системы. Шлюз безопасности стоит на пути трафика, проверяет пакеты и применяет к ним политику, полученную от SMS. Он не хранит настройки правил локально в том виде, в котором вы их видите в консоли, он работает с уже скомпилированным кодом политики.

Варианты развертывания (Deployment Modes)

В зависимости от размера сети и нагрузки, компоненты можно размещать по-разному:

* Standalone (Автономный режим): SMS и SG установлены на одном физическом или виртуальном устройстве. Это подходит для небольших офисов или филиалов. Плюс — экономия ресурсов. Минус — если устройство перегружено трафиком, интерфейс управления может тормозить. * Distributed (Распределенный режим): SMS и SG находятся на разных устройствах. Это стандарт для средних и крупных сетей. Вы можете управлять десятками шлюзов с одного сервера управления.

!Визуализация различий между автономным и распределенным режимами установки.

Операционная система Gaia OS

Все современные устройства Check Point (а также виртуальные машины) работают под управлением операционной системы Gaia OS. Это специально модифицированный и «закаленный» (hardened) дистрибутив Linux, основанный на Red Hat Enterprise Linux (RHEL).

В Gaia OS есть два режима командной строки (CLI):

CLISH (Command Line Interface Shell): Основная оболочка Check Point. Она похожа на CLI Cisco или Juniper. Используется для настройки системных параметров: IP-адресов, маршрутизации, NTP, DNS, пользователей. Команды здесь имеют строгий синтаксис.

Expert Mode: Полноценный Linux bash. Сюда заходят для глубокой диагностики, отладки ядра или работы с файловой системой. Для входа в этот режим из CLISH нужно ввести команду expert и пароль.

> Важно: Старайтесь выполнять все настройки через Web-интерфейс (Gaia Portal) или CLISH. Изменения, сделанные напрямую в конфигурационных файлах Linux через Expert Mode, могут не сохраниться после перезагрузки или обновления, если они не поддерживаются официально.

Установка Gaia OS

Рассмотрим процесс установки на примере виртуальной машины (VMware ESXi или Workstation), так как это самый доступный способ для обучения. Процесс на физическом железе (Appliance) идентичен, только вместо ISO-образа вы используете загрузочную флешку или предустановленную систему.

Шаг 1: Подготовка и загрузка

Вам понадобится ISO-образ Gaia (например, версии R81.20). При создании виртуальной машины выберите: * OS: Linux (Red Hat Enterprise Linux 64-bit или Other 64-bit Linux). * CPU: минимум 2 ядра. * RAM: минимум 4 ГБ (для Standalone лучше 8 ГБ). * HDD: минимум 100 ГБ.

Шаг 2: Процесс инсталляции

Загрузитесь с ISO-образа. Вы увидите меню загрузчика. Выберите Install Gaia on this system.

Нажмите OK для подтверждения начала установки.

Keyboard Layout: Оставьте US.

Partitions Configuration: Оставьте значения по умолчанию. Система сама разобьет диск на разделы (root, logs, backup и т.д.).

Account Configuration: Задайте пароль для пользователя admin. Это самый важный пароль, он используется для входа в WebUI, CLISH и SmartConsole.

Management Interface: Выберите сетевой интерфейс (обычно eth0), задайте IP-адрес и маску подсети (например, 192.168.1.1/24). Этот адрес будет использоваться для первоначального подключения.

Установка начнется и займет 5-10 минут. После завершения система попросит перезагрузку (Reboot).

Первоначальная настройка (First Time Configuration Wizard)

После перезагрузки устройство готово, но оно еще не знает, кем оно является — Шлюзом или Сервером управления. Для этого нужно запустить мастер настройки.

Откройте браузер и введите адрес, который вы задали при установке: https://<IP-адрес>. Обратите внимание на протокол HTTPS.

Браузер выдаст предупреждение о ненадежном сертификате (так как он самоподписанный). Это нормально, добавьте исключение и продолжайте.

Авторизуйтесь под логином admin и паролем, который вы задали при установке.

Запустится First Time Configuration Wizard.

Прохождение мастера настройки

Мастер состоит из нескольких шагов:

Deployment Options:

Install on this system:* Выберите этот пункт для новой установки. Install from Cloud:* Используется для автоматического скачивания конфига (Isomorphic), нам это пока не нужно.

Authentication: Можно настроить доступ по SSH.

Management Connection: Настройка IP-адреса интерфейса управления (если нужно изменить то, что задали при установке).

Internet Connection: Настройка прокси (обычно пропускаем).

Date and Time: Очень важно настроить время корректно или указать NTP-сервер. Рассинхронизация времени может привести к проблемам с логами и VPN.

Installation Type: Самый важный экран.

Security Gateway and/or Security Management:* Выбираем этот пункт для стандартной установки. Multi-Domain Server:* Для провайдеров и огромных корпораций (отдельная тема).

Products: Здесь мы определяем роль устройства.

Если вы делаете Standalone: поставьте галочки и на Security Gateway, и на Security Management*. Если вы делаете только Шлюз: галочка только на Security Gateway*. Если вы делаете только Управление: галочка только на Security Management*.

Настройка SIC (Secure Internal Communication)

Если вы выбрали роль Security Gateway, мастер попросит вас задать Activation Key (ключ активации). Это критически важный момент.

SIC — это механизм, который обеспечивает доверенное и шифрованное соединение между Сервером управления (SMS) и Шлюзом (SG). Check Point использует собственные сертификаты для аутентификации компонентов.

* На этапе мастера настройки шлюза вы придумываете секретное слово (Activation Key). * Позже, когда вы будете добавлять этот шлюз в интерфейсе SmartConsole, система попросит ввести этот же ключ. * Если ключи совпадут, SMS выдаст шлюзу сертификат, и между ними установится доверие (SIC Established).

После завершения мастера устройство перезагрузится.

Подключение через SmartConsole

Теперь, когда сервер управления (SMS) установлен и настроен, нам нужно подключиться к нему, чтобы начать администрирование.

Скачайте SmartConsole с веб-интерфейса Gaia (там обычно есть ссылка) или с сайта поддержки Check Point.

Установите SmartConsole на свой компьютер (Windows).

Запустите приложение.

Введите:

* Username: admin * Password: ваш пароль от SMS * Server Name or IP: IP-адрес вашего SMS.

При первом подключении вы увидите окно Fingerprint Verification. Это цифровой отпечаток сертификата сервера. Сравните его с тем, что можно увидеть в Web-интерфейсе сервера (раздел Management Server), и нажмите Proceed.

Поздравляю! Вы внутри системы управления Check Point. Перед вами откроется вкладка Gateways & Servers, где вы увидите свои объекты.

Резюме

В этой статье мы разобрали фундамент работы с Check Point: * Изучили трехуровневую архитектуру: Консоль, Менеджмент, Шлюз. * Узнали, что Gaia OS — это специализированный Linux с двумя режимами CLI. * Прошли путь от установки ISO до завершения First Time Wizard. * Поняли важность SIC для связи компонентов.

В следующей статье мы детально разберем интерфейс SmartConsole, создадим наши первые сетевые объекты и настроим политику безопасности Access Control.

Управление политиками доступа Access Control и настройка Network Address Translation

Добро пожаловать во вторую статью курса «Администрирование Check Point NGFW». В предыдущем материале мы установили операционную систему Gaia, настроили шлюз и сервер управления, а также установили доверенную связь (SIC) между ними. Теперь у нас есть работающая система, но она пока не выполняет свою главную функцию — фильтрацию трафика.

В этой статье мы научимся создавать объекты сети, настраивать политику безопасности (Access Control Policy), разберемся с трансляцией сетевых адресов (NAT) и узнаем, как правильно применять изменения на шлюзы.

Работа с объектами в SmartConsole

Check Point использует объектно-ориентированный подход. Это означает, что в правилах мы редко используем «голые» IP-адреса. Вместо этого мы создаем сетевые объекты (Network Objects), даем им понятные имена и используем их в политиках.

Почему это важно?

Представьте, что у вас есть почтовый сервер с IP-адресом 192.168.1.50. Вы используете этот IP в десяти разных правилах. Если завтра адрес сервера изменится на 192.168.1.100, вам придется искать и править десять правил. Если же вы создадите объект с именем Host_MailServer, то при смене IP вам нужно будет изменить его только в свойствах объекта. Все правила обновятся автоматически.

Основные типы объектов

В правой части SmartConsole находится панель объектов. Самые часто используемые:

Host: Обозначает конкретное устройство с одним IP-адресом (сервер, принтер, рабочая станция).

Network: Обозначает подсеть (например, 192.168.10.0/24).

Address Range: Диапазон IP-адресов (например, с .10 по .20).

Group: Группирует любые другие объекты. Например, можно создать группу All_DNS_Servers и добавить туда все хосты DNS. Это позволяет делать правила компактными.

Политика контроля доступа (Access Control Policy)

Сердцем настройки межсетевого экрана является вкладка Security Policies. Здесь мы формируем базу правил (Rulebase).

Check Point обрабатывает правила сверху вниз (Top-Down). Как только пакет совпадает с условиями правила (Match), выполняется действие (Action), и дальнейшая проверка прекращается (за исключением особых случаев, о которых мы поговорим позже).

!Структура таблицы правил Access Control в SmartConsole.

Структура правила

Каждое правило состоит из нескольких колонок-критериев:

* No (Номер): Порядковый номер правила. * Name: Название правила (необязательно, но крайне рекомендуется для документации). * Source: Откуда пришел пакет (IP, сеть, пользователь). * Destination: Куда направляется пакет. VPN: Используется ли VPN (обычно ставим Any*, если правило не специфично для туннелей). * Services & Applications: Протокол (TCP/UDP порт) или приложение (например, Facebook, Gmail). * Action: Что делать с пакетом. Accept:* Разрешить. Drop:* Отбросить молча (источник не узнает, что пакет был отброшен). Reject:* Отбросить и отправить уведомление источнику (ICMP Unreachable или TCP RST). Track: Нужно ли записывать событие в лог. Рекомендуется ставить Log* для всех разрешающих правил и блокировок, чтобы видеть трафик в мониторинге. Install On: На какие шлюзы установить это правило. По умолчанию Policy Targets* (на все шлюзы).

Базовая стратегия построения правил

Хорошая практика (Best Practice) подразумевает определенный порядок правил:

Stealth Rule (Правило-невидимка): Запрещает любое подключение к самому шлюзу безопасности из внешних сетей, кроме необходимых для управления. Это защищает сам фаервол от атак. Обычно стоит первым или вторым.

Explicit Rules (Явные правила): Правила, разрешающие бизнес-трафик (доступ пользователей в Интернет, доступ к серверам в DMZ и т.д.).

Cleanup Rule (Чистящее правило): Последнее правило, которое запрещает всё (Any - Any - Any - Drop). Хотя у Check Point есть «неявный запрет» (Implicit Drop) в конце, создание явного Cleanup Rule с включенным логированием позволяет видеть в логах всё, что было заблокировано.

> Важно: Всегда включайте логирование (Track: Log) для Cleanup Rule. Это основной инструмент для диагностики проблем с подключением.

Публикация и установка политики (Publish & Install)

В Check Point есть уникальная особенность, отличающая его от многих других систем: разделение процесса сохранения и применения настроек.

1. Publish (Публикация)

Когда вы создаете объект или правило в SmartConsole, эти изменения пока видны только вам (в вашей приватной сессии). Они еще не записаны в общую базу данных Сервера управления.

Чтобы сохранить изменения и сделать их видимыми для других администраторов, нужно нажать кнопку Publish в верхней панели. Это действие фиксирует изменения в базе данных SMS (Security Management Server).

2. Install Policy (Установка политики)

Публикация не применяет настройки на шлюзы. Шлюзы продолжают работать по старым правилам. Чтобы новые правила вступили в силу, нужно нажать Install Policy.

В этот момент происходит следующее:

SMS проверяет политику на ошибки (Verification).

SMS компилирует политику в формат, понятный шлюзу.

Скомпилированный файл передается на шлюз по защищенному каналу (SIC).

Шлюз применяет новую политику атомарно (без разрыва существующих соединений, если это возможно).

Network Address Translation (NAT)

NAT необходим, когда мы хотим соединить сети с частной адресацией (RFC 1918) и публичный Интернет, или когда нужно скрыть реальную структуру внутренней сети.

В Check Point настройка NAT чаще всего производится прямо в свойствах объекта (Automatic NAT), хотя существуют и ручные правила NAT (Manual NAT).

!Сравнение режимов Hide NAT (для выхода в интернет) и Static NAT (для публикации серверов).

Hide NAT (Скрытие адресов)

Используется, чтобы предоставить доступ офисным компьютерам в Интернет. Все внутренние IP-адреса заменяются на один внешний IP-адрес шлюза. Это отношение «многие к одному».

Как настроить:

Откройте свойства объекта сети (например, Network_LAN).

Перейдите во вкладку NAT.

Поставьте галочку Add automatic address translation rules.

Выберите метод Hide behind the gateway (Спрятаться за шлюзом).

Теперь при установке политики система автоматически создаст правила NAT, чтобы эта сеть могла выходить в Интернет.

Static NAT (Статическая трансляция)

Используется, когда у вас есть сервер внутри сети (например, Web-сервер), к которому нужно предоставить доступ из Интернета. Каждому внутреннему серверу сопоставляется уникальный внешний IP-адрес. Это отношение «один к одному».

Как настроить:

Откройте свойства объекта хоста (например, Host_WebServer).

Перейдите во вкладку NAT.

Поставьте галочку Add automatic address translation rules.

Выберите метод Static.

Укажите внешний IP-адрес, в который будет транслироваться внутренний адрес.

Автоматические правила NAT

Когда вы настраиваете NAT в свойствах объекта, Check Point автоматически создает два правила в отдельной таблице NAT Policy (ее можно найти внизу, под Access Control Policy):

Правило для исходящего трафика (Internal -> External).

Правило для входящего трафика (External -> Internal).

Это значительно упрощает жизнь администратора, так как не нужно писать сложные правила трансляции вручную.

Мониторинг и логи

После того как вы настроили правила и NAT, и нажали Install Policy, необходимо проверить, всё ли работает корректно.

Для этого перейдите на вкладку Logs & Monitor в SmartConsole. Здесь отображаются все события в реальном времени.

* Зеленые записи: Трафик разрешен. * Красные записи: Трафик заблокирован.

Если вы видите, что нужный трафик блокируется, посмотрите на колонку Rule Name или Rule Number в логе. Она подскажет, какое именно правило заблокировало пакет (часто это бывает Cleanup Rule, если вы забыли создать разрешающее правило).

Резюме

В этой статье мы освоили ключевые навыки администратора Check Point:

* Мы узнали, что использование Объектов упрощает управление и снижает количество ошибок. * Мы разобрали структуру Access Control Policy и важность порядка правил (Stealth -> Business -> Cleanup). * Мы поняли разницу между Publish (сохранить в базу) и Install Policy (применить на шлюз). * Мы научились настраивать NAT через свойства объектов для выхода в интернет (Hide NAT) и публикации серверов (Static NAT).

В следующей статье мы углубимся в технологии защиты нового поколения: Application Control (контроль приложений) и URL Filtering (фильтрация веб-сайтов), чтобы научиться блокировать не просто порты, а конкретные программы и сайты.

Контроль приложений и URL-фильтрация для обеспечения безопасности пользователей

Добро пожаловать в третью статью курса «Администрирование Check Point NGFW». В предыдущих материалах мы построили фундамент нашей сетевой безопасности: развернули шлюз, настроили базовую маршрутизацию и создали политику Access Control на основе IP-адресов и портов. Мы также научились транслировать адреса с помощью NAT.

Однако в современном мире защиты на уровне портов (L3/L4 модели OSI) уже недостаточно. Большинство приложений, от корпоративных CRM до торрент-клиентов и вредоносного ПО, используют стандартные порты 80 (HTTP) и 443 (HTTPS). Если вы разрешите порт 443 для доступа к веб-сайтам, вы автоматически разрешите и использование Skype, BitTorrent, Tor и множества других туннелируемых приложений.

В этой статье мы переходим на уровень приложений (L7). Мы разберем, как включить и настроить программные блейды Application Control и URL Filtering, чтобы гранулярно управлять тем, что пользователи делают в сети, а не только куда они подключаются.

Понятие программных блейдов (Software Blades)

Архитектура Check Point модульная. Функции безопасности реализованы в виде «блейдов» (лезвий/модулей), которые можно включать или выключать по необходимости. Это позволяет гибко управлять производительностью устройства.

Для темы нашей статьи нам понадобятся два ключевых блейда:

Application Control: Позволяет распознавать тысячи приложений независимо от порта, протокола или методов обхода блокировок.

URL Filtering: Классифицирует миллионы веб-сайтов по категориям (например, «Социальные сети», «Азартные игры», «Новости») и позволяет управлять доступом к ним.

> Check Point объединяет эти две технологии в единую базу знаний. Часто одно и то же правило может содержать и приложение (например, Facebook App), и категорию URL (например, Social Networking).

!Сравнение глубокой инспекции пакетов NGFW и классической фильтрации по портам

Включение функционала на шлюзе

Прежде чем создавать правила, необходимо активировать соответствующие функции на самом шлюзе безопасности.

Откройте SmartConsole.

Перейдите на вкладку Gateways & Servers.

Дважды кликните по вашему шлюзу безопасности.

В открывшемся окне на вкладке General Properties найдите раздел Network Security.

Поставьте галочки напротив Application Control и URL Filtering.

Нажмите OK.

После этого действия шлюз готов к обработке политик нового типа, но сами правила еще нужно создать.

Unified Policy: Единая политика безопасности

Одной из киллер-фич Check Point является Unified Policy (Единая политика). В отличие от многих конкурентов, где правила приложений и веб-фильтрации создаются в отдельных профилях и затем «привязываются» к правилам фаервола, Check Point позволяет использовать приложения прямо в основной таблице правил.

Вспомните колонку Services & Applications в Access Control Policy. В прошлой статье мы добавляли туда порты (например, http, https, dns). Теперь мы будем добавлять туда приложения и категории.

Check Point AppWiki

База данных приложений Check Point называется AppWiki. Она содержит более 8000 приложений и сотни тысяч виджетов. Каждому приложению присвоен уровень риска (Risk Level от 1 до 5).

* Risk 1 (Very Low): Поисковики, новости. * Risk 5 (Critical): Анонимайзеры, инструменты для хакинга, Tor, вредоносное ПО.

Создание правил контроля приложений

Давайте рассмотрим несколько сценариев настройки.

#### Сценарий 1: Блокировка социальных сетей

Допустим, мы хотим запретить сотрудникам доступ к социальным сетям, но разрешить всё остальное.

Создайте новое правило выше правила Cleanup.

Name: Block Social Media.

Source: Any (или конкретная подсеть пользователей).

Destination: Internet (или Any).

Services & Applications: Нажмите «+» и в поиске введите Social Networking. Выберите категорию (она обозначена иконкой папки).

Action: Drop (или Reject, если хотите уведомить пользователя).

Track: Log.

Теперь любой трафик, классифицированный как социальная сеть (Facebook, VK, Twitter, Instagram), будет заблокирован.

#### Сценарий 2: Разрешение только бизнес-приложений (Белый список)

Более безопасный подход — запретить всё, кроме разрешенного. Допустим, нам нужен только Office 365 и Google Drive.

Создайте правило.

Name: Allow Business Apps.

Services & Applications: Добавьте объекты Office 365 Services и Google Drive.

Action: Accept.

> Важно: Приложения часто зависят от базовых протоколов. Для работы веба всегда нужно разрешать dns и http/https (как протоколы), либо полагаться на то, что Check Point сам поймет зависимость. В современных версиях R80/R81 движок достаточно умен, чтобы разрешить необходимый служебный трафик для выбранного приложения.

HTTPS Inspection: Проблема шифрования

Мы подошли к самому критичному моменту современной фильтрации. Более 90% трафика в Интернете зашифровано (HTTPS). Без дешифровки шлюз видит только IP-адрес назначения и порт 443.

Если пользователь заходит на https://www.facebook.com, шлюз может увидеть доменное имя в поле SNI (Server Name Indication) во время рукопожатия TLS. Это позволяет заблокировать сайт по категории.

Однако, если пользователь использует Google Translate или Google Search, шлюз увидит только домен google.com. Он не увидит, что именно пользователь ищет или переводит, так как URL-путь (/search?q=how+to+hack) зашифрован.

Также без дешифровки невозможно проверить скачиваемые файлы на вирусы или предотвратить утечку данных (DLP).

!Принцип работы HTTPS Inspection методом Man-in-the-Middle

Настройка HTTPS Inspection

Для полноценной работы Application Control и URL Filtering настоятельно рекомендуется включить HTTPS Inspection.

В SmartConsole перейдите в Security Policies -> HTTPS Inspection.

Вам потребуется создать или импортировать сертификат CA (Certificate Authority). Шлюз будет использовать его для «подделки» сертификатов сайтов на лету.

Критически важно: Публичный ключ этого CA-сертификата должен быть установлен в список доверенных корневых центров сертификации на всех компьютерах пользователей. Иначе браузеры будут выдавать ошибку безопасности при каждом подключении.

Создайте политику инспекции. Обычно рекомендуется не инспектировать категории, связанные с финансами (Banking) и здоровьем (Health), чтобы не нарушать законы о конфиденциальности.

UserCheck: Взаимодействие с пользователем

Что видит пользователь, когда его запрос блокируется? Если это обычный TCP-сброс, браузер просто напишет «Не удается открыть страницу». Это вызывает поток заявок в техподдержку: «Интернет сломался!».

Check Point предлагает технологию UserCheck. Если пользователь пытается зайти на запрещенный сайт (и включен HTTPS Inspection), шлюз перехватывает сессию и показывает в браузере красивую страницу-заглушку: «Доступ к сайту заблокирован корпоративной политикой».

В настройках Action (в правиле) можно выбрать не просто Drop, а варианты с взаимодействием:

* Ask: Пользователь видит предупреждение, но может нажать «Всё равно продолжить». Это полезно для нестрогих ограничений. * Inform: Пользователь видит уведомление, что его действия залогированы, но доступ разрешен.

Best Practices (Лучшие практики)

При внедрении контроля приложений следуйте этим рекомендациям:

Правило Clean-up для приложений: В конце списка правил (перед общим Drop All) рекомендуется создать правило Any - Any - Any - Accept - Log. Зачем? Чтобы на этапе внедрения не заблокировать легитимный трафик. Сначала вы мониторите логи, видите, какие приложения используются, и постепенно закручиваете гайки.

Используйте категории: Не пытайтесь перечислить все сайты вручную. Используйте категории High Risk, Spyware, Botnet для блокировки угроз.

Следите за производительностью: HTTPS Inspection требует значительных ресурсов процессора шлюза. Включайте его осознанно.

Обновления: Убедитесь, что шлюз имеет доступ к интернету для обновления базы AppWiki и URL Filtering. Новые приложения появляются каждый день.

Мониторинг и отладка

После установки политики (Install Policy), перейдите на вкладку Logs & Monitor.

В логах вы увидите новые поля: Application/Site: Какое именно приложение было определено (например, YouTube*). Category: К какой категории оно относится (например, Video Streaming*). * UserCheck: Было ли показано уведомление пользователю.

Если трафик блокируется неправильно, обратите внимание на колонку Match. Возможно, трафик попадает под более верхнее правило, которое вы не учли, или приложение определилось неверно (misclassification).

Заключение

В этой статье мы значительно повысили уровень безопасности нашей сети, перейдя от простых правил «IP + Порт» к интеллектуальному контролю приложений и веб-ресурсов. Мы узнали:

* Как включить блейды Application Control и URL Filtering. * Как использовать категории и приложения в единой политике безопасности. * Почему HTTPS Inspection необходим для «видения» трафика внутри шифрованных туннелей. * Как корректно уведомлять пользователей о блокировках через UserCheck.

В следующей статье мы разберем тему Identity Awareness (Идентификация пользователей). Мы научимся создавать правила не для IP-адресов, а для конкретных пользователей и групп Active Directory (например, «Разрешить доступ к Facebook только отделу маркетинга»).

Настройка технологий Threat Prevention: IPS, Anti-Bot и Antivirus

Добро пожаловать в четвертую статью курса «Администрирование Check Point NGFW». В предыдущих частях мы построили надежный периметр: настроили маршрутизацию, трансляцию адресов (NAT) и создали политики контроля доступа (Access Control), разрешив только легитимные приложения и веб-сайты.

Однако, в современном мире кибербезопасности правила «разрешить порт 80» или даже «разрешить приложение Facebook» недостаточно. Злоумышленники научились прятать вредоносный код внутри легитимного трафика. Разрешенный PDF-файл может содержать эксплойт, а безобидный на первый взгляд DNS-запрос может быть каналом управления ботнетом.

В этой статье мы переходим от Access Control (управление доступом) к Threat Prevention (предотвращение угроз). Мы разберем «святую троицу» защиты Check Point: IPS, Anti-Bot и Antivirus.

Философия Threat Prevention

Если Access Control отвечает на вопрос «Кому и куда можно ходить?», то Threat Prevention отвечает на вопрос «Безопасен ли контент внутри этого соединения?».

В Check Point эти функции разделены на разные слои и вкладки, потому что логика их работы отличается:

* Access Control: Работает по принципу «белого списка» (запрещено всё, что не разрешено).

* Threat Prevention: Работает по принципу «черного списка» (разрешено всё, что не содержит известных угроз).

!Визуализация многоуровневой защиты: от сетевого уровня до глубокой инспекции контента.

Включение программных блейдов

Как и в случае с URL Filtering, первым шагом является активация функций на шлюзе.

Откройте SmartConsole.

Перейдите во вкладку Gateways & Servers.

Дважды кликните по вашему шлюзу.

В разделе General Properties -> Network Security поставьте галочки напротив:

* IPS * Anti-Bot * Antivirus

Нажмите OK.

Теперь шлюз готов к проверке контента, но ему нужны инструкции (политики) и сигнатуры (база знаний).

IPS (Intrusion Prevention System)

IPS — это система предотвращения вторжений. Это главный защитный механизм от эксплойтов — атак, использующих уязвимости в программном обеспечении.

Концепция «Виртуального патчинга»

Представьте, что в Windows Server найдена критическая уязвимость. Microsoft выпускает патч, но вам нужно время, чтобы протестировать его и установить на сотни серверов. В это время ваша сеть уязвима.

IPS от Check Point решает эту проблему. Вы включаете сигнатуру на шлюзе, и он начинает блокировать попытки эксплуатации этой уязвимости на сетевом уровне. Ваши сервера остаются без патча, но до них не долетают вредоносные пакеты. Это называется Virtual Patching.

Настройка IPS

В отличие от других блейдов, настройки IPS находятся в двух местах: в профиле Threat Prevention и в отдельной вкладке настроек IPS.

Check Point рекомендует использовать профили. Профиль определяет, какие сигнатуры активны и что с ними делать.

Основные режимы работы сигнатур: * Prevent: Блокировать атаку (соединение разрывается). * Detect: Только записать в лог (атака проходит). * Inactive: Сигнатура выключена (для экономии ресурсов).

Anti-Bot

Anti-Bot — это уникальная технология, направленная на обнаружение уже зараженных хостов внутри вашей сети.

Если вирус попал на компьютер (например, через флешку, которую шлюз не видел), этот компьютер становится частью ботнета. Он начинает связываться с командным центром (C&C — Command and Control) хакера, чтобы получить инструкции или слить украденные пароли.

Блейд Anti-Bot анализирует исходящий трафик и ищет признаки бот-активности:

Reputation: Обращение к известным плохим IP или доменам.

Patterns: Специфические паттерны поведения (например, регулярные запросы каждые 60 секунд).

Когда Anti-Bot обнаруживает такое соединение, он блокирует его. Это разрывает связь хакера с зараженным ПК и предотвращает утечку данных.

Antivirus

Шлюзовой Antivirus отличается от того, что стоит у вас на рабочем столе. Он работает в потоковом режиме (Stream-based).

Когда пользователь скачивает файл из Интернета, шлюз собирает пакеты, восстанавливает файл в памяти и сверяет его хеш (MD5/SHA256) с базой известных вредоносов (ThreatCloud). Если файл известен как вирус — он блокируется.

> Важно: Шлюзовой антивирус не заменяет антивирус на рабочей станции. Он — первый эшелон обороны, отсеивающий массовые угрозы до того, как они попадут в сеть.

Политика Threat Prevention

Настройка этих технологий производится во вкладке Security Policies -> Threat Prevention.

Структура правил здесь отличается от Access Control. Вместо указания «Разрешить» или «Запретить», мы указываем Action: Profile.

Создание профилей (Profiles)

Профиль — это набор настроек, определяющий, насколько строго мы проверяем трафик. Check Point предлагает предустановленные профили:

Basic: Минимальная защита, только критические сигнатуры. Высокая производительность.

Optimized: Рекомендуемый стандарт. Хороший баланс между безопасностью и производительностью.

Strict: Максимальная защита. Включает тяжелые проверки, может влиять на скорость сети.

!Интерфейс настройки профиля Threat Prevention в SmartConsole.

Правила Threat Prevention

Типичная политика выглядит так:

| No | Name | Source | Destination | Protected Scope | Action (Profile) | Install On | | :--- | :--- | :--- | :--- | :--- | :--- | :--- | | 1 | DMZ Servers | Any | DMZ_Net | Any | Strict_Profile | DMZ_Gateway | | 2 | LAN Users | Any | Internet | Any | Optimized_Profile | All_Gateways |

В колонке Protected Scope мы указываем, кого мы защищаем. Обычно это Any (весь трафик), но можно создавать разные правила для серверов и пользователей.

Обновления (ThreatCloud)

Эффективность Threat Prevention напрямую зависит от актуальности баз данных. Check Point использует облако ThreatCloud — огромную сеть обмена знаниями об угрозах.

Шлюз должен иметь доступ в Интернет для скачивания обновлений: * IPS Updates: Выходят часто, требуют ручной или автоматической установки. * Anti-Bot/AV: Обновляются в реальном времени или по расписанию (каждый час/день).

Работа с исключениями (Exceptions)

В мире IPS ложные срабатывания (False Positives) неизбежны. Легитимный трафик базы данных или самописного приложения может быть принят за атаку.

Если вы видите в логах, что нужный трафик блокируется блейдом IPS, не нужно отключать весь IPS. Нужно добавить Исключение (Exception).

Это можно сделать двумя способами:

Глобально: В настройках профиля добавить исключение для конкретной сигнатуры (CVE-xxxx) и конкретных IP-адресов.

Прямо из логов: В SmartConsole, во вкладке Logs & Monitor, найти запись о блокировке, нажать правой кнопкой мыши и выбрать Add Exception. Система сама создаст правило, разрешающее эту активность для данных адресов.

Резюме

В этой статье мы превратили наш шлюз из простого регулировщика движения в мощную систему безопасности.

* Мы узнали, что IPS защищает уязвимости (виртуальный патчинг). * Мы поняли, что Anti-Bot ловит зараженные хосты по их связи с командными центрами. * Мы разобрали, как настраивать Профили (Basic, Optimized, Strict) в политике Threat Prevention. * Мы научились добавлять Исключения, чтобы устранять ложные срабатывания.

Теперь ваша сеть защищена не только от несанкционированного доступа, но и от скрытых угроз внутри разрешенного трафика. В следующей статье мы рассмотрим тему Identity Awareness, чтобы научиться применять все эти политики не к безликим IP-адресам, а к конкретным пользователям Active Directory.

Мониторинг трафика, анализ логов в SmartLog и базовое устранение неполадок

Добро пожаловать в пятую статью курса «Администрирование Check Point NGFW». В предыдущих частях мы проделали огромную работу: развернули инфраструктуру, настроили политики доступа, активировали трансляцию адресов (NAT) и включили защиту от угроз (Threat Prevention).

Однако даже самая идеально настроенная система безопасности бесполезна, если администратор «слеп». Сеть — это живой организм, и проблемы в ней возникают неизбежно: пользователи жалуются на недоступность ресурсов, приложения работают некорректно, а злоумышленники пытаются прощупать периметр. В этой статье мы научимся «видеть» сеть через призму инструментов Check Point, анализировать логи и устранять базовые неисправности.

Введение в Logs & Monitor (SmartLog)

Исторически у Check Point было отдельное приложение для логов — SmartLog. Начиная с версии R80, этот функционал был интегрирован прямо в SmartConsole во вкладку Logs & Monitor. Это мощнейший инструмент индексации и поиска, который позволяет обрабатывать миллиарды записей за считанные секунды.

Анатомия лога

Каждое событие, проходящее через шлюз (если в правиле включен Track: Log), генерирует запись. Давайте разберем, из чего она состоит.

!Структура записи в журнале событий Check Point.

Основные поля, на которые нужно обращать внимание:

Action (Действие): Самое важное поле. Зеленая галочка — Accept (разрешено), красный крестик — Drop (отброшено) или Block (заблокировано блейдом защиты).

Source / Destination: Кто и куда пытался подключиться.

Service: Порт или протокол (например, https или icmp-proto).

Rule Name / Number: Какое именно правило сработало. Это ключ к пониманию, почему трафик был пропущен или заблокирован.

Blade: Какой программный модуль обработал трафик (Firewall, Application Control, IPS и т.д.).

Искусство поиска: Синтаксис запросов

Просто смотреть на поток логов («Log Tail») бесполезно в нагруженной сети. Вы должны уметь фильтровать информацию. Строка поиска в SmartConsole поддерживает интуитивный, но мощный синтаксис.

Базовые фильтры

Вы можете просто ввести IP-адрес или имя пользователя, и система найдет все вхождения. Но лучше использовать уточняющие поля:

* src:192.168.1.50 — показать логи, где этот IP является источником. * dst:8.8.8.8 — показать логи, где этот IP является назначением. * port:443 — фильтр по порту. * action:Drop — показать только заблокированные пакеты. * `blade: