После завершения установки, установки базовой политики и включения межсетевых экранов необходимо выполнить несколько шагов. Детально тут https://cbs.ru/services/information-security/ngfw/.
К основным задачам администрирования, которые вы должны изучить или выполнить дальше, относятся следующие:
- Чтение и контроль рабочего состояния механизмов брандмауэра.
- Настройте автоматический тестер, который контролирует работу межсетевых экранов и окружающей сети.
- Дальнейшая разработка политик брандмауэра.
Наиболее типичные шаги настройки включают в себя:
- Настройте несколько сетевых подключений для высокодоступной сети с балансировкой нагрузки.
- Настроить управление трафиком для входящих подключений к группам серверов.
- Настройте политики управления полосой пропускания и приоритезации трафика.
- Настройте брандмауэр для использования внешних серверов проверки содержимого.
- Настройте безопасное соединение между разными местоположениями и для путешествующих пользователей.
Рекомендации по подключению кабелей для межсетевых экранов
Подключение межсетевых экранов зависит от типа двигателя и установки.
Убедитесь, что все медные кабели имеют правильный номинал (CAT 5e или CAT 6 в гигабитных сетях).
- Убедитесь, что на внешних коммутаторах включена функция Portfast.
- Убедитесь, что для параметров скорости / дуплекса внешних коммутаторов и устройств межсетевого экрана установлено значение «Авто».
- Настройте внешние коммутаторы для пересылки многоадресного трафика.
Обзор конфигурации единого брандмауэра
Единый брандмауэр — это брандмауэр, у которого есть только один механизм брандмауэра (вместо кластера из двух или более механизмов).
Единый брандмауэр можно развернуть на сайтах, где преимущества производительности и высокая доступность, обеспечиваемые кластером брандмауэра, не являются существенными. По-прежнему доступна высокая доступность сетевых подключений, поскольку одиночные брандмауэры поддерживают Multi-Link.
- Динамические IP-адреса на их интерфейсах
Примечание. Динамические IP-адреса не поддерживаются на интерфейсах агрегированных каналов.
- Беспроводные соединения через 3G-модемы, подключенные к USB-портам брандмауэра.
- Соединения ADSL (эта функция доступна только на определенных специально разработанных устройствах Forcepoint NGFW , у которых есть карта сетевого интерфейса ADSL.)
- Беспроводные соединения (эта функция доступна только на определенных специально разработанных устройствах Forcepoint NGFW, которые имеют карту беспроводного сетевого интерфейса.)
- Интегрированные коммутаторы и группы портов (эта функция доступна только на определенных специализированных устройствах Forcepoint NGFW, которые имеют встроенный коммутатор.)
Программное обеспечение Single Firewall Engine может работать на устройстве Forcepoint NGFW , на стандартном сервере с процессором, совместимым с Intel, или как виртуальная машина на платформе виртуализации. Вы также можете настроить сканирование на вредоносное ПО и фильтрацию спама (требуются отдельные лицензии).
Брандмауэры настраиваются и управляются централизованно через Management Server. Элемент Single Firewall представляет конфигурацию брандмауэра на Management Server. Основные параметры конфигурации в элементе Single Firewall — это настройки, относящиеся к сетевым интерфейсам.
Уровень безопасности соединений управления
При желании вы можете использовать 256-битное шифрование для соединения между ядрами и Management Server. Для этого варианта требуется, чтобы как ядра, так и сервер управления были версии 5.5 или новее. Когда вы создаете и используете новый внутренний центр сертификации ECDSA для подписи сертификатов для системного взаимодействия, сервер управления и ядро восстанавливают свои доверительные отношения. После того, как сервер управления и ядро восстановят свои доверительные отношения, для соединения между ядрами и сервером управления будет включено 256-битное шифрование.
