Установка и настройка межсетевых экранов (NGFW)

0
549

После завершения установки, установки базовой политики и включения межсетевых экранов необходимо выполнить несколько шагов. Детально тут https://cbs.ru/services/information-security/ngfw/.

Примечание. Информация о конфигурации хранится на сервере управления. Большинство изменений передаются в движки только при установке или обновлении политики брандмауэра.

К основным задачам администрирования, которые вы должны изучить или выполнить дальше, относятся следующие:

  • Чтение и контроль рабочего состояния механизмов брандмауэра.
  • Настройте автоматический тестер, который контролирует работу межсетевых экранов и окружающей сети.
  • Дальнейшая разработка политик брандмауэра.

Установка и настройка межсетевых экранов (NGFW)

Наиболее типичные шаги настройки включают в себя:

  • Настройте несколько сетевых подключений для высокодоступной сети с балансировкой нагрузки.
  • Настроить управление трафиком для входящих подключений к группам серверов.
  • Настройте политики управления полосой пропускания и приоритезации трафика.
  • Настройте брандмауэр для использования внешних серверов проверки содержимого.
  • Настройте безопасное соединение между разными местоположениями и для путешествующих пользователей.

Рекомендации по подключению кабелей для межсетевых экранов

Подключение межсетевых экранов зависит от типа двигателя и установки.

Убедитесь, что все медные кабели имеют правильный номинал (CAT 5e или CAT 6 в гигабитных сетях).

Если у вас есть кластер межсетевого экрана с двумя узлами, рекомендуется использовать перекрестный кабель без каких-либо промежуточных устройств между узлами. Если вы используете внешний переключатель между узлами, следуйте этим рекомендациям:

  • Убедитесь, что на внешних коммутаторах включена функция Portfast.
  • Убедитесь, что для параметров скорости / дуплекса внешних коммутаторов и устройств межсетевого экрана установлено значение «Авто».
  • Настройте внешние коммутаторы для пересылки многоадресного трафика.

Обзор конфигурации единого брандмауэра

Единый брандмауэр — это брандмауэр, у которого есть только один механизм брандмауэра (вместо кластера из двух или более механизмов).

Единый брандмауэр можно развернуть на сайтах, где преимущества производительности и высокая доступность, обеспечиваемые кластером брандмауэра, не являются существенными. По-прежнему доступна высокая доступность сетевых подключений, поскольку одиночные брандмауэры поддерживают Multi-Link.

Единые межсетевые экраны также поддерживают следующие функции, которые не поддерживаются в кластерах межсетевых экранов:

  • Динамические IP-адреса на их интерфейсах
    Примечание. Динамические IP-адреса не поддерживаются на интерфейсах агрегированных каналов.
  • Беспроводные соединения через 3G-модемы, подключенные к USB-портам брандмауэра.
  • Соединения ADSL (эта функция доступна только на определенных специально разработанных устройствах Forcepoint NGFW , у которых есть карта сетевого интерфейса ADSL.)
  • Беспроводные соединения (эта функция доступна только на определенных специально разработанных устройствах Forcepoint NGFW, которые имеют карту беспроводного сетевого интерфейса.)
  • Интегрированные коммутаторы и группы портов (эта функция доступна только на определенных специализированных устройствах Forcepoint NGFW, которые имеют встроенный коммутатор.)

Программное обеспечение Single Firewall Engine может работать на устройстве Forcepoint NGFW , на стандартном сервере с процессором, совместимым с Intel, или как виртуальная машина на платформе виртуализации. Вы также можете настроить сканирование на вредоносное ПО и фильтрацию спама (требуются отдельные лицензии).

Брандмауэры настраиваются и управляются централизованно через Management Server. Элемент Single Firewall представляет конфигурацию брандмауэра на Management Server. Основные параметры конфигурации в элементе Single Firewall — это настройки, относящиеся к сетевым интерфейсам.

Уровень безопасности соединений управления

При желании вы можете использовать 256-битное шифрование для соединения между ядрами и Management Server. Для этого варианта требуется, чтобы как ядра, так и сервер управления были версии 5.5 или новее. Когда вы создаете и используете новый внутренний центр сертификации ECDSA для подписи сертификатов для системного взаимодействия, сервер управления и ядро ​​восстанавливают свои доверительные отношения. После того, как сервер управления и ядро ​​восстановят свои доверительные отношения, для соединения между ядрами и сервером управления будет включено 256-битное шифрование.