Przejdź na skróty do treści. | Przejdź do nawigacji

Sekcje
Narzędzia osobiste
Jesteś w: Start Szybki-Konfig Producent Check Point Lekcja 4 - R80 Access Control Policy
 
 

Lekcja 4 - R80 Access Control Policy

Po pierwszych lekcjach wprowadzających nas do nowości czekających w wersji R80.x w czwartej lekcji z cyklu „R80.x Training Videos” rozpoczynamy omawianie budowy polityk bezpieczeństwa w oparciu o nowe zunifikowane podejście.

W tej odsłonie skupimy się na ujednoliconej polityce kontroli dostępu – Access Contorl Policy.

Nowy system zarządzania to nie tylko odświeżona konsola zarządzania, a wręcz przemodelowane podejście do tworzenia reguł oraz budowania polityki bezpieczeństwa.  Jednym z kluczowych elementów nowego systemy zarządzania jest sekcja – Access Contorl Policy - w jednym miejscu mamy możliwość kreowania reguł dla modułów bezpieczeństwa takich jak: Firewall, Application Controll, URL Filtering, Data Awareness, Mobile access, IPSECVPN, QoS a oraz Desktop.

 

 

Dzięki konsolidacji oraz centralizacji polityk Access Contorl użytkownicy mają możliwość tworzenia oraz zarządzania z jednego miejsca konfiguracją oraz ustawieniami polityk bezpieczeństwa.

Poprawiona została również efektywność, dodano możliwości jednoczesnej pracy z wieloma paczkami polityk (tzw. Policy Packages – zbiór różnych typów polityk, które instalowane są razem na tych samych zaporach sieciowych).  Dzięki czemu mamy możliwość w łatwy i szybki sposób kopiowania reguł pomiędzy różnymi paczkami.

Przycisk „Install Policy” dostępny w sekcji Access Control umożliwia instalacje tylko polityki (paczki polityk) na której właśnie pracujemy. Jak zapewne pamiętamy z lekcji poprzednich, przycisk „Install Policy” jest również dostępny w sekcji głównej SmartConsol i przy jego użyciu mamy możliwość instalacji dowolnej wybranej i wskazanej przez nas paczki polityki. Po wciśnięciu przycisku „Install Policy” dostajemy informację o ilości zmian, jakie zostały wprowadzone od ostatniej instalacji polityki jak również widzimy liczbę administratorów, którzy dokonywali zmian. W Audit Logs mamy możliwość sprawdzenia szczegółów takich jak która reguła, czy jaki obiekt został dodany albo zmodyfikowany. Daje nam to lepsze zrozumienie i większą widoczność zmian w polityce jakie zostały wykonane.

Następną opcją dostępną w Access Policy jest „Actions”, gdzie możemy wyeksportować naszą politykę w postaci pliku csv lub mamy możliwość sprawdzenia historii wprowadzanych zmian oraz przywrócenia wcześniejszych wersji danej polityki.

 

 

Bardzo ciekawą oraz przydatną funkcją jest możliwość podglądu logów wygenerowanych przez konkretną regułę bezpośrednio w oknie polityki. Klikając wybraną regułę i wybierając zakładkę „Logs” mamy szybki podgląd na ruch w dopasowany i zalogowany przez tą regułę.

 

Jak pracować z polityką Access Control oraz warstwami Ordered i Inline


Aby móc wykorzystać możliwości jakie daje nam ujednolicona polityka Access Control wymagane jest używanie zapór sieciowych w wersji co najmniej   R80.10.   We wcześniejszych wersjach każda z funkcjonalności Access Control (FW, APPI&URLF, Data Awareness oraz Mobile Access) zarządzana, konfigurowana była w oddzielnych politykach.  Jedna polityka Access Control upraszcza również dostęp do informacji z ruchu, w jednym logu mamy szczegółową informację świadomą przepływu danych jak i wykorzystywanych aplikacji.

 

 

Przypominając informację z poprzednich lekcji, każda polityka bezpieczeństwa składa się z przynajmniej jednej warstwy, każda warstwa zbudowana jest z zestawu reguł. Tworząc lub edytując warstwę mamy możliwość aktywacji/deaktywacji modułów bezpieczeństwa (Blade), których chcemy użyć w naszej polityce. Polityka Accces Control może składać się z jednej warstwy lub wielu warstw z włączonymi wybranymi modułami bezpieczeństwa.

W obszarze kreowania reguł dla polityk Access Control mamy nową kolumnę „Services & Applications”, która umożliwia budowę reguł zarówno z wykorzystaniem kryterium opartym na serwisach (protokołach komunikacyjnych, portach) jak również bazując na aplikacjach. Dla każdej aplikacji mamy domyślnie wybrane rekomendowane serwisy, które możemy w razie potrzeby ręcznie zmienić.

 

Kolejną nowością w wersji R80 jest Data Awareness (od wersji R80.10 przemianowana na Content Awareness).  Content Awareness wykorzystuje predefiniowalne typy danych do inspekcji protokołów SMTP, HTTP(s), FTP,  ma możliwość kontroli ruchu wychodzącego jak i przychodzącego. Dzięki połączeniu informacji o danych z kontrolą aplikacji oraz z kierunku transmisji mamy możliwość przy pomocy jednej reguły np. zezwolić użytkownikom korzystający z aplikacji Google Drive na pobieranie plików, bez możliwości wysyłania lub dla aplikacji Facebook wysyłanie tylko zdjęć  (danych typu „Media and Image”).

Kolumna Action została rozszerzona o opcje UserCheck oraz limit przepustowości.  Dla każdej z akcji można dostosować indywidualną wiadomość UserCheck.

Od wersji R80.10 opcje logowania ruchu w kolumnie Track zostały rozszerzone, mamy do wyboru 4 typy logowania:

  • None – nie generuje żadnych logów,
  • Log – jest to domyślna opcja logowania, pokazuje wszystkie informacje, które brama bezpieczeństwa wykorzystała do połączenia. Zawiera co najmniej takie informacje jak adres źródłowy, adres docelowy, port źródłowy i port docelowy, jeżeli istnieje dopasowanie reguły określające aplikację lub typ danych to również te informacje zostaną zaprezentowane,
  • Detailed Log –  zawiera te same informacje co Log z informacją o aplikacji, nawet jeśli reguła nie określała tego.
  • Extended Log –  jest z kolei rozszerzeniem Detailed Log o informacje takie jak lista adresów URL i plików w zalogowanym połączeniu lub sesji.

 

 

 

Budując strategię polityki Access Control możemy w elastyczny sposób wykorzystać wprowadzone od wersji R80 podejście polityk warstwowych: Ordered i Inline.

Dzięki warstwom możemy zapewnić większe bezpieczeństwo, rozdzielając politykę bezpieczeństwa na wiele komponentów. Zapewniona jest również większa łatwość zarządzania, między innymi poprzez wprowadzenie wielu jednoczesnych administratorów oraz granularną segregację zadań.

 

 

Raz zdefiniowane polityki warstwowe można użyć w wielu różnych paczkach polityk, jak również mogą być wykorzystane w różnych trybach. Tak na przykład warstwa „Application Control & URL Filtering Layer” jest użyta w polityce „R77BCPolicy” w trybie inline oraz w polityce „Standard” w trybie Ordered.

 

Software Defined Protection – zarządzanie modułowe z wykorzystaniem polityki Access Control

SDP jest nowym podejściem do tworzenia i zarzadzania architekturą bezpieczeństwa. Taka architektura musi chronić organizację każdej wielkości w dowolnej lokalizacji, gdzie warstwa zarządzania musi być modułowa, aby wspierać segmentację i segregację obowiązków zarządzania.

Dla większej modułowości R80 zapewnia możliwość rozdzielenia obowiązków w zależności od potrzeb w zakresie obsługi IT lub na podstawie struktury organizacji.

 

Dzięki rozdzieleniu polityki na wiele warstw, oraz granularnej możliwości tworzenia profili użytkowników, per warstwa polityki możemy w zależności od potrzeb delegować w przejrzysty sposób uprawnia, role administratorów do określonych zadań. I tak można stworzyć oddzielnych administratorów dla oddziałów zdalnych, innych do zarządzania polityką w warstwie Application Control i URLF, dodatkowo uprawnienia można nadawać to edycji lub do podglądu jedynie.

 

Zapraszamy do obejrzenia następnych lekcji.

Lekcja poprzednia | Check Point | Lekcja Następna
Szybki Konfig

 

Ten serwis wykorzystuje tzw. pliki cookies (ciasteczka) w celu zapewnienia poprawnego funkcjonowania oraz wygody korzystania z jego mechanizmów. Dotyczy to celów: statystycznych (zbieranie informacji o odwiedzanych stronach, używanej przeglądarce, systemie operacyjnym); realizacji usług i funkcjonowania serwisu (utrzymywanie na serwerze tzw. "sesji" i odwołanie do wybranego języka po zalogowaniu się do serwisu); przystosowania serwisu do indywidualnych potrzeb. Zaznaczamy, że można określić warunki przechowywania lub dostępu do plików cookies w używanej przeglądarce. Zmiana ustawień może jednak uniemożliwić korzystanie z niektórych elementów serwisu lub wprowadzić irytację związaną z koniecznością wielokrotnego wyboru trybu pracy. Jeżeli wyrażasz zgodę na umieszczenie „ciasteczek” w pamięci Twojej stacji roboczej kontynuuj używanie przeglądarki bez zmiany jej ustawień.
Dziękujemy

Zamknij