Security Management Serverrrc.ru/uploads/20180627/CP_R75.40VS_Security_Management_Admi… ·...

Security Management

Server

R75.40VS

Руководство администратора

15 Июля 2012

Security Management Server Руководствоадминистратора R75.40VS | 2

© 2012 Check Point Software Technologies Ltd. Все права защищены. Данный продукт и соответствующие документы защищены авторским правом, и распространяются по лицензированию, ограничивающему их использование, копирование, распространение и декомпиляцию. Никакая часть настоящего продукта или соответствующей документации не может воспроизводиться ни в какой форме, никакими средствами без предварительного письменного разрешения со стороны Check Point. Несмотря на все меры предосторожности, принятые при подготовке данной книги, Check Point не берет на себя ответственность за ошибки или упущения. Данное издание и описанные в нем функциональные возможности могут быть изменены без предупреждения.

ИНФОРМАЦИЯ ОБ ОГРАНИЧЕНИИ ПРАВ:

На использование, копирование и предоставление информации правительством действуют ограничения, установленные в подпункте (c)(1)(ii) пункта о Правах в Положении о технических данных и программном обеспечении в DFARS 252.227-7013 и FAR 52.227-19.

ТОВАРНЫЕ ЗНАКИ:

Список товарных знаков представлен на странице об авторском праве (http://www.checkpoint.com/copyright.html). Список соответствующих авторских прав и лицензий третьих сторон представлен в уведомлениях об авторском праве третьих сторон (http://www.checkpoint.com/3rd_party_copyright.html).


Важная информация Последняя версия программного обеспечения Мы рекомендуем вам установить самую последнюю версию программного обеспечения, чтобы иметь актуальные обновления последних функциональных улучшений, исправлениями стабильности, а также доработками безопасности и защитой от новых угроз.

Последняя версия документации Последняя версия этого документа доступна по адресу: http://supportcontent.checkpoint.com/documentation_download?ID=16301 Для получения дополнительной технической информации посетите Check Point Support Center (http://supportcenter.checkpoint.com). Более подробно об этом документе см. R75.40VS домашней страницы (http://supportcontent.checkpoint.com/solutions?id=sk76540). История изменений

Дата Описание 15 июля 2012 Первая публикация этого документа

Отзывы Check Point постоянно прилагает усилия к тому, чтобы совершенствовать свою документацию. Пожалуйста, помогите нам, отправив свои комментарии (mailto:[email protected]?subject=Feedback on Security Management Server R75.40VS Administration Guide).


Содержание

Важная информация .................................................................................................. 3 Введение в Управление безопасностью ................................................................ 9

Введение .................................................................................................................. 9 Развертывание ................................................................................................... 9 Глоссарий ............................................................................................................ 10 Программные блейды управления .................................................................... 10

Вход в систему ........................................................................................................ 12 Аутентификация администратора ..................................................................... 12 Аутентификация сервера управления безопасностью с использованием идентификационной метки ................................................................................ 12 Режимы доступа SmartDashboard ...................................................................... 12

Использование SmartDashboard ............................................................................. 13 Пользовательский интерфейс SmartDashboard ................................................ 13 Панель инструментов SmartDashboard ............................................................. 13 Дерево объектов ................................................................................................. 14 База правил ........................................................................................................ 18 Список объектов ................................................................................................. 18 Identity Awareness ............................................................................................... 18 SmartWorkflow ..................................................................................................... 18 SmartMap ............................................................................................................. 19

Безопасные внутренние связи ................................................................................ 19 Внутренний Центр сертификации .......................................................................... 19 Инициализация процесса установки доверительных отношений ........................ 19 Проверка SIC статуса .............................................................................................. 20 Сброс статуса доверия .......................................................................................... 20 Поиск и устранение неисправностей SIC ............................................................... 21

LDAP и User Directory ................................................................................................ 22 Решение Check Point для LDAP серверов .................................................................. 22

Рассмотрение User Directory ................................................................................... 22 Установка User Directory ......................................................................................... 23 Доработки ............................................................................................................... 23 Account Units ............................................................................................................ 24

Определение учетных узлов (Account Units) LDAP ........................................... 24 Определение сервера User Directory ................................................................. 26 Учетные узлы (Account Units) и отказоустойчивость системы .......................... 26 Установка приоритета отказоустойчивости системы ......................................... 27 Аутентификация с помощью сертификата ........................................................ 27

Организация работы пользователей на Сервере User Directory ......................... 27 Группы User Directory (гурппы каталога пользователей) .................................. 27 Распределение пользователей между несколькими серверами .................... 28

Получения информации с Сервера ....................................................................... 28 Использование запросов User Directory ............................................................ 28 Пример запроса .................................................................................................. 29 Запросы нескольким LDAP серверам ............................................................... 29

Microsoft Active Directory .......................................................................................... 29 Обновление параметров реестра ...................................................................... 30 Делегирование управления ............................................................................... 30 Расширение схемы Active Directory ................................................................... 30 Добавление новых атрибутов в Active Directory ................................................ 31

Схема Netscape LDAP ............................................................................................. 31 Схема User Directory ................................................................................................ 32 Схема Check Point .................................................................................................. 32

Проверка схемы .................................................................................................. 32


Оригинальные атрибуты ОID ............................................................................. 32 Атрибуты схемы User Directory .......................................................................... 33

Профили User Directory ........................................................................................... 40 Профили User Directory по умолчанию ............................................................. 40 Изменение профилей User Directory ................................................................. 40 Эффективная выборка информации о пользователе ..................................... 41 Настройка режима членства User-to-Group ....................................................... 41 Атрибуты профиля............................................................................................... 42

Внутреннее управление пользователями и администраторами ....................... 51 Глоссарий ............................................................................................................... 51 SmartDashboard ....................................................................................................... 52 База данных пользователей .................................................................................. 52 Пользовательские шаблоны .................................................................................. 52 Настройка пользователей ...................................................................................... 53

Создание или изменение пользователя ........................................................... 53 Общие свойства .................................................................................................. 53 Установка срока истечения действия учетной записи ...................................... 54 Назначение профиля прав доступа .................................................................. 54 Аутентификация ................................................................................................. 54 Местоположения пользователя ......................................................................... 55 Время соединения ............................................................................................. 55 Сертификаты ..................................................................................................... 55 Шифрование ...................................................................................................... 55

Управление группами пользователей .................................................................... 55 Настройка администраторов .................................................................................. 56

Создание или изменение администратора ...................................................... 56 Настройка общих свойств ................................................................................. 56 Установка даты истечения срока действия учетной записи ............................. 57 Назначений профиля прав доступа .................................................................. 57 Группы администраторов .................................................................................. 57 Аутентификация ................................................................................................. 58 Сертификаты ..................................................................................................... 58

Настройка групп администраторов ......................................................................... 58 Управление сроком истечения действия учетных записей пользователей и администраторов ..................................................................................................... 59

Работа с пердупреждением об окончании срока действия ............................. 59 Настройка параметров срока истечения действия по умолчанию ................... 60

Работа с профилями парв доступа ....................................................................... 61 Создание и изменение профиля прав доступа ................................................. 61 Управление профилями прав доступа .............................................................. 62

Управление Политикой .............................................................................................. 64 Потребность в эффективном инструменте управления Политикой ..................... 64 Обзор управления Политикой ................................................................................. 65 Рекомендации по управлению политикой ............................................................. 65 Создание нового пакета политик ............................................................................ 65 Определение объектов установки пакета политик ............................................... 66 Добавление политики к существующему пакету политик .................................... 66 Добавление названия раздела .............................................................................. 66 Настройка нового запроса ...................................................................................... 67 Пересечение запросов ............................................................................................ 67 Запрос объектов ....................................................................................................... 68 Сортировка объектов в панели списка объектов .................................................. 68 Пакеты политик ....................................................................................................... 68

Операции с файлами ......................................................................................... 69 Объекты установки политик .............................................................................. 69

Разделение базы правил на разделы с использованием заголовков ................. 70 Запрос правил ........................................................................................................ 70 Запрос сетевых объектов ........................................................................................ 71 Сортировка дерева объектов и панели писка объектов ........................................ 71


Работа с политиками .............................................................................................. 71 Установка пакета политик ................................................................................. 72 Удаление пакета политик ................................................................................... 72 Установка базы данных пользователей ............................................................ 73 Управление версиями Политики ....................................................................... 73 Создание версии ................................................................................................ 73 Экспорт и импорт версии ................................................................................... 74 Просмотр версии ............................................................................................... 74 Возвращение к предыдущей версии .................................................................. 74 Удаление версии ............................................................................................... 74 Конфигурация версии ........................................................................................ 74 Настройка автоматического удаления .............................................................. 74 Контроль базы данных и обновление версии .................................................. 75 Диагностирование версии ................................................................................. 75 Создание версий вручную и автоматически ..................................................... 75 Резервное копирование и восстановление Сервера управления безопасностью .................................................................................................... 75

SmartMap ..................................................................................................................... 76 Краткий обзор SmartMap ......................................................................................... 76

Решение SmartMap ............................................................................................. 76 Работа со SmartMap ................................................................................................ 76

Активация и визуализация SmartMap ................................................................ 76 Корректировка и настройка ................................................................................ 77 Работа с сетевыми объектами и группами в SmartMap .................................... 78 Работа с объектами SmartMap .......................................................................... 79 Работа с папками в SmartMap ............................................................................ 81 Интегрирование SmartMap и базы правил ........................................................ 82 Поиск и устранение сбоев с помощью SmartMap ............................................. 83 Работа с выходными данными SmartMap ......................................................... 84

Внутренний Центр сертификации .......................................................................... 86 Потребность в ICA .................................................................................................. 86 Решение ICA ............................................................................................................ 86

Введение в ICA .................................................................................................. 86 Клиенты ICA ........................................................................................................ 86 Продолжительность действия и статусы ........................................................... 87 Управление Сертификатом SIC ......................................................................... 88 Управление сертификатом шлюза виртуальной частной сети (VPN) .............. 88 Управление сертификатом пользователя ......................................................... 88 Управление CRL ................................................................................................ 89 Дополнительные параметры ICA ........................................................................ 90 Инструментальное средство управления ICA .................................................. 90

Конфигурация ICA ................................................................................................... 91 Загрузка сертификата ICA ................................................................................. 91 Управление сертификатами SIC ........................................................................ 91 Управление сертификатами шлюза виртуальной части сети (VPN) ............... 92 Управление пользовательскими сертификатами через SmartDashboard ........ 92 Вызов инструментального средства управления ICA ....................................... 92 Поиск сертификата ............................................................................................ 93 Операции с сертификатом с использованием инструмента управления ICA .. 94 Одновременная инициализация нескольких сертификатов ............................ 95 Операции со списком аннулированных сертификатов (CRL) .......................... 96 Очистка сервера сертификатов ........................................................................ 96 Конфигурирование сервера сертификатов ....................................................... 96

Портал управления .................................................................................................... 101 Краткий обзор портала управления ...................................................................... 101 Развертывание портала управления на выделенном сервере ............................ 101 Развертывание портала управления на Сервере управления безопасностью .... 102 Команды портала управления ............................................................................... 102 Ограничение доступа к определенным адресам IP ............................................... 102


Конфигурация портала управления ....................................................................... 102 Требования к клиенту ............................................................................................... 103 Подключение к порталу управления ...................................................................... 103 Использование портала управления ...................................................................... 103 Инструменты поиска и устранения сбоев ............................................................. 103

Управление отказоустойчивость системы ............................................................. 104 Потребность в отказоустойчивости системы управления ..................................... 104 Решение для обеспечения отказоустойчивости системы управления ................. 104

Резервное копирование Сервера управления безопасностью ....................... 104 Развертывание отказоустойчивости системы управления ............................. 105 Сравнение активного и резервного режима ..................................................... 105 Какие данные копируются резервными серверами управления безопасностью? ............................................................................................................................. 106 Режимы синхронизации ..................................................................................... 106 Статус синхронизации ....................................................................................... 106 Изменение состояния Сервера управления безопасностью ........................... 107 Диагностирование синхронизации ...................................................................... 108

Рассмотрение возможностей отказоустойчивости системы управления .............. 108 Удаленная и локальная установка вторичного SMS ......................................... 108 Различные методы синхронизации ................................................................... 108 Перегрузка данных во время синхронизации ................................................... 108

Настройка отказоустойчивости системы управления ............................................ 109 Создание вторичного уровня управления и первая синхронизация ................ 109 Заменя активного SMS на резервный SMS ....................................................... 109 Заменя резервного SMS на активный SMS ....................................................... 109 Обновление статуса синхронизации SMS ......................................................... 109 Выбор метода синхронизации ........................................................................... 109 прослеживание отказоустойчивости системы упарвления в рамках всей Системы .............................................................................................................. 110

Работа с инструментами управления SNMP........................................................... 111 Потребность в поддержке инструментов SNMP ................................................... 111 Решение Check для SNMP ...................................................................................... 111

Основные сведение о SNMP MIB ..................................................................... 111 Обработка запросов SNMP в Windows .............................................................. 112 Обработка запросов SNMP в Unix ..................................................................... 112 Обработка запросов SNMP в SecurePlatform .................................................... 113 Ловушки SNMP .................................................................................................... 113

Особенности демона SNMP для Unix ..................................................................... 113 Конфигурирование шлюзов безопасности для SNMP ........................................... 113

Настройка шлюзов безопасности для запросов SNMP ................................... 113 Настройка шлюзов безопасности для ловушек SNMP ..................................... 114

Пороговые значения мониторинга SNMP ............................................................. 114 Типы предупреждений ....................................................................................... 115 Настройка кмониторинга SNMP ......................................................................... 115 Процедуры конфигурации ................................................................................. 116 Мониторинг пороговых значений SNMP ............................................................ 118

Серверы управления безопасностью на интерфейсах DHCP ............................ 119 Требования ............................................................................................................. 119 Активация и деактивация ....................................................................................... 119 Использование динамического адреса IP ............................................................. 119 Лицензирование динамического Сервера упарвления безопасностью ............... 120 Ограничения для динамического Сервера управления безопасностью .............. 120

Сетевые объекты ....................................................................................................... 121 Общее описание объектов ...................................................................................... 121

Последовательность действий при создании объектов .................................. 121 Просмотр и управление объектами .................................................................. 121

Сетевые объекты ..................................................................................................... 122 Объекты Check Point .......................................................................................... 122 Узлы ..................................................................................................................... 123


Межоперационные устройства ......................................................................... 123 Сети .................................................................................................................... 123 Домены ................................................................................................................ 124 Группы ................................................................................................................ 124 Устройства среды открытой системы безопасности (OSE) ............................. 124 Логические серверы .......................................................................................... 126 Диапазоны адресов ........................................................................................... 127 Динамические объекты ...................................................................................... 127 Домены VoIP ....................................................................................................... 127

Приложение CLI ......................................................................................................... 128 Алфавитный указатель ............................................................................................ 139


Глава 1 Введение в управление безопасностью

В этой главе: Введение 9 Вход в систему 12 Использование SmartDashboard 14

Введение

Для ознакомления с большей частью продуктов Check Point, всех их возможностями и особенностями, а также некоторыми основными понятиями и компонентами. Это обзор вариантов и способов использования продукта, задач, которые помогут вам в управлении Шлюзами Безопасности Check Point.

Развёртывание

Основные виды развертывания (установки):

• Изолированная установка системы – шлюз и сервер управления безопасностью установлены на одном компьютере.

• Распределенная установка системы - шлюз и сервер управления безопасностью установлены на разных компьютерах.

OPSEC-partner module

LAN

SrnartDa5l"iU»nd Сервер Управления безопасностью

Удаленный пользователь

VPN-туннель Шлюз безопасности

InterneИнтернетt LAN

Шлюз безопасности

Введение в управление безопастностью


Предположим среде со шлюзами на различных сайтах. Каждый шлюз подключается к Интернету, с одной стороны, и к локальной сети, с другой.

Вы можете создать виртуальную частную сеть (VPN) между двумя шлюзами, чтобы обеспечить все связи между ними.

Сервер управления безопасностью установлен в локальной сети (LAN), и защищен шлюзом безопасности (Security Gateway).Сервер управления безопасностью управляет шлюзами и позволяет удаленным пользователям безопасно подключаться к ресурсам корпоративной сети. SmartDashboard может быть установлен на Сервере управления безопасностью или другом компьютере.

Могут существовать и другие модули оперативной безопасности (например, антивирусный сервер), для сетевой безопасности вкупе с Сервером управления безопасностью и его шлюзами.

Глоссарий

• Администраторы отвечают за управление средой управления безопасности. Они имеют разрешение на доступ к использованию SmartConsole клиентов. По крайней мере один администратор должен иметь полный доступ на чтение / запись для управления правилами обеспечения безопасности.

• Инструмент конфигурации (Check Point Configuration Tool) позволяет настроить продукты Check Point после завершения установки. Вы также можете использовать этот инструмент, чтобы изменить заданные параметры конфигурации после начальной конфигурации. Инструмент конфигурации позволяет настроить важные параметры, такие как администрирование, лицензии, управление отказоустойчивостью системы и графические клиенты.

• Установка - это процесс развертывания компонентов продукта Check Point на компьютере.

• Изолированная установка системы – вы устанавливаете шлюз безопасности и Сервер управления безопасности на один компьютер. • Распределенная установка системы - вы устанавливаете шлюз безопасности и Сервер управления безопасности на разные компьютеры.

• Вход/ Login это процедура, посредством которой администратор подключается к серверу управления безопасностью используя SmartConsole клиент.

• Objects (Объекты) определяются и управляются в SmartDashboard, чтобы показать физические компоненты сети, такие как управление безопасностью серверов, шлюзов безопасности и сетей.

• Policy Package (пакет политик) представляет собой набор правил/политик, которые обеспечивают безопасность на указанных шлюзах.

• Security Policy (Политика безопасности) представляет собой набор правил и условий, которые обеспечивают безопасность.

• SmartConsole представляет собой набор графических клиентов, которые управляют различными аспектами среды безопасности.

• Log Server (Сервер регистрации) представляет собой хранилище для записей журнала, созданные шлюзами безопасности и серверами управления .

• SmartDashboard является SmartConsole клиентом, который позволяет управлять политикой безопасности и сетевыми объектами.

• Пользователями (Users) являются сотрудники, которые используют приложения и сетевые ресурсы. Пользователи не могут получить доступ к клиентам SmartConsole или управлять ресурсами безопасности Check Point.

Программные блейды управления Программные блейды являются независимыми и гибкими модулями безопасности, которые позволяют выбрать функции, которые вам нужны для построения собственных шлюзов безопасности Check Point в. Программные блейды можно приобрести отдельно или заранее установленными пакетами. Доступны следующие программные блейды управления безопасностью:



Программные блейды управления

Описание

Управление сетевой политикой

Дает вам контроль над настройкой и управлением даже самые сложных случаев развертывания безопасности. На основе единой архитектуры Check Point безопасность, Программный блейд управление сетевой политики обеспечивает комплексное управление политикой безопасности с помощью SmartDashboard - единой, унифицированной консоли для всех функций безопасности и функциональности.

Управление политикой защиты конечных точек сети

Позволяет централизованно управлять безопасностью продуктов, которые вы используете на устройствах конечных пользователей вашей организации. Вы можете управлять вычислительными устройствами и конфиденциальной информацией, которую они содержат.

Регистрация данных & Статус

Дает исчерпывающую информацию об охранной деятельности в журналах и полный визуальную картину изменений в шлюзах, тоннелях, удаленных пользователях и деятельности по обеспечению безопасности.

Identity Awareness Позволяет добавлять идентификационные данные пользователей и компьютеров в записи журнала Check Point и настраивать домены активного каталога для получения из них данных журнала. Вы также можете установить тайм-аут IP ассоциации пользователя, и убедиться, что только один пользователь подключен в компьютер (ограничение до одного пользователя).

Мониторинг Отражает полную картину сетевой производительности и безопасности, для быстрого реагирования на изменения характера трафика или событий безопасности

Портал управления Расширяет доступ управления с браузерным интерфейсом до внешних групп, таких как персонал службы технической поддержки или аудиторов, и поддерживает централизованное управление политикой органов. Пользователи портала управления могут просматривать политику безопасности и статус Check Point продуктов и административные активности, редактировать, создавать и изменять внутренних пользователей, а также управлять журналами брандмауэра.

UserDurectiry (каталог пользователей)

Шлюзы безопасности Check Point используют LDAP-хранилища на основе пользовательской информации, устраняя риски, связанные с ручной синхронизацией и поддержанием избыточных хранилищ данных. С программным блейдом каталога пользователей Check Point шлюзы безопасности Check Point становятся полноправными LDAP клиентами, которые сообщаются с серверами LDAP для получения идентификации и информации о безопасности сетевых пользователей.

Обеспечение Дает централизованное обеспечение резервами устройств безопасности Check Point. Используя профили, вы можете легко развернуть политику безопасности или параметры конфигурации на нескольких территориально распределенных устройств. Это также дает централизованное резервное копирование и управление хранилищем конфигурации устройств, для быстрого развертывания конфигураций для новых устройств.

SmartReporter/Отчетность

Централизаует отчетность о деятельности сети, безопасности и пользовательской активности и объединяет данные в определенные определенные и подстроенных под требования отчеты. Легкое создание отчетов и автоматическое распределение экономит время и деньги.

SmartEvent/Управление событиями

Представляет корреляцию событий безопасности в режиме реального времени и управление шлюзами безопасности Check Point и устройствами сторонних производителей. Это сводит к минимуму время, затрачиваемое на анализ данных, а также изолирует и определяет приоритеты реальных угроз безопасности.

SmartEvent Intro Дает полную IPS и DLP систему управления событиями для ситуационного обзора, простых в использовании инструментов аналитики и отчетности.

Чтобы проверить, какие программные блейды и в каком количестве в настоящий момент установлены на сервере управления безопасностью, посмотрите на их представление в SmartDashboard на Сервере управления безопасностью.



На странице «Общие характеристики» о сервере управления безопасности во вкладке Управление Программными Блейдами можно увидеть все возможные варианты управления. В среде отказоустойчивости программный блейд должен управляться в режиме отказоустойчивости системы.

Вход в систему Процесс входа в систему, когда администраторы подключаются к серверу управления безопасностью, является общим для всех приложений SmartConsole (SmartDashboard, SmartUpdate, и так далее). Этот процесс является двунаправленным. Администратор и сервер управления безопасностью утентифицируют друг друга и между ними создается защищенный канал связи с помощью защищенной внутренней связи (SIC). Когда соединение SIC установлено, Сервер управления безопасностью запускает выбранный компонент SmartConsole.

Аутентификация Администратора Администраторы могут проводить аутентификацию по-разному, в зависимости от инструмента, используемого для создания отчетности.

Инструментом конфигурации (Check Point Configuration Tool) Администраторы аутентифицируются при помощи комбинации имени и пароля (Username and Password). Это асимметричный SIC. Только Сервер управления безопасностью использует сертификат для проверки подлинности.

Администраторы, определенные в SmartDashboard, могут проходить проверку подлинности с помощью имени пользователя и пароля, или с помощью Сертификата. Если с помощью сертификата, администратор зобращается к сертификату и открывает его с помощью своего пароля. Этот симметричный SIC. Сервер управления безопасностью и администратор аутентифицируют друг друга с помощью сертификатов.

После предоставления данных по аутентификации, администратор вводит имя или IP-адрес целевого Сервера управления безопасности и нажимает кнопку ОК. Если администратор успешно прошел аутентификацию на Сервере управления безопасностью:

• Если этот терминал SmartConsole впервые используется для подключения к Серверу управления безопасности, администратор должен вручную аутентификацировать сервер управления безопасностью используя идентификационную метку (отпечаток).

• Если этот терминал SmartConsole была подключена к Серверу управления безопасности до этого и администратор уже прошел проверку подлинности у Сервера управления безопасностью, аутентификация по идентификационной метке в будет сделана автоматически.

Аутентификация Сервера управления безопасностью с использованием идентификационной метки. Администратор проводит аутентификацию Сервера управления безопасностью по цифровым отпечаткам пальцев сервера управления безопасностью. Эта идентификационная метка, показанный во вкладке Идентификационная метка в инструменте конфигурации (Configuration Tool Check Point), получается администратором перед попыткой подключения к серверу управления безопасностью.

При первом подключении администратора к Серверу управления безопасностью, сервер управления безопасностью отображает окно проверки идентификационной метки. Администратор, который обладает оригинальной идентификационной меткой (отпечатком), сравнивает его с полученным изображением. Если следы идентичны, администратор утверждает отпечаток как действительный. Это действие сохраняет идентификационную метку (вместе с IP-адресом сервера управления безопасностью), в реестр SmartConsole, где она остается доступной для автоматической проверки подлинности Сервера управления безопасностью в будущем.

Если идентификационные метки не являются идентичными, администратор выходит из окна проверки отпечатков и возвращается в исходное окно входа в систему. В этом случае администратор должен проверить отображаемое имя или IP-адрес Сервера управления безопасностью.

Режимы доступа SmartDashboard

Многие администраторы могут использовать SmartDashboard для подключения к серверу управления безопасности одновременно. Но только один администратор может иметь доступ к функциям чтения/записи, изменяющим свойства объектов, правила безопасности или параметры Сервера управления безопасностью одновременно. Остальные администраторы подсоединенные в то же время могут иметь только права на чтение.



Если вы подключаетесь к Серверу управления безопасностью, в то время, как другой администратор подсоединен в режиме чтения/записи, то будет показано сообщение со следущющими и параметрами:

• Подключить в режиме «только для чтения», чтобы увидеть текущие свойства объектов, правила безопасности и настройки Сервера управления безопасностью.

• Запросите уведомление, когда режим чтения / записи доступен. Если администратор, который в настоящее время имеет доступ чтения / записи выходит из системы или измененяет режим доступа на «только для чтения», будет показано сообщение. Вы можете переключиться нажатием на Режим записи для немедленного изменения режима доступа.

• Отключите администратора в настоящее время пошедшего в режиме чтения/записи и войдите с полным доступлм к чтению/записи.

Важно - Будьте осторожны при отключении другого администратора. Несохраненные изменения, внесенные отключенным администратором, будут потеряны. Кроме того, вполне возможно, что некоторые правила обеспечения защиты измененные отключенным администратором не были установлены на шлюзы безопасности.

Вы можете изменить режим доступа после открытия SmartDashboard.

Чтобы изменить режим доступа: 1. Откройте меню Файл (File). 2. Выберите переключение на режим «только чтение» (Read Only) или переключение на режим чтение/запись (Read/Write.).

Использование SmartDashboard

SmartDashboard является основным инструментом для управления сетью и ресурсами безопасности.

Пользовательский интерфейс SmartDashboard

The SmartDashboard показывает вкладку программных блейдов, которая есть при развертывании Check Point.

Каждая вкладка открывает другую рабочую область и имеет различные панели по умолчанию и опции в меню. • Панель инструментов SmartDashboard (на стр. 13) • Дерево объектов (на стр. 14) • базы правил (на стр. 18) • Список объектов (на стр. 18) • Identity Awareness (управление политиками безопасности) (на стр. 18) • программный блейд SmartWorkflow (на стр. 18) • SmartMap (на стр. 19)

Панель инструментов SmartDashboard

Вы можете использовать панель инструментов SmartDashboard для выполнения следующих действий:

Иконка Описание

Откройте меню SmartDashboard. Когда Вам будет предложено выбрать одну из опций меню, сначала нажмите эту кнопку. Например, если вам нужно выбрать Управление> Пользователи и администраторы (Manage > Users and Administrators), нажмите эту кнопку, чтобы открыть меню Управление и выберите опцию Users and Administrators.

Сохранить текущую политику, и все системные объекты.

Обновить политику управления безопасностью.

Изменение глобальных свойств.



Иконка Описание

Проверка согласованности Базы правил.

Установка политики на шлюзах безопасности или шлюзах VSX.

Открытие SmartConsoles.

Дерево объектов

Вы создаете объекты для представления фактических узлов и устройств, нематериальные компоненты (такие как HTTP и TELNET сервисы) и ресурсы (например, URI и FTP). Создайте объект для каждого компонента в вашей организации. Затем вы сможете использовать объекты в правилах политики безопасности. Объекты размещаются в базе данных об объектах (Objects database) на Сервере управления безопасностью.

Объекты в SmartDashboard делятся на несколько категорий, которые вы можете увидеть во вкладках дерева объектов.

Иконка Тип объекта Примеры

Объекты сети Check Point Gateways, networks

Сервисы TCP, Ctirix

RРесурсы URI, FTP

Серверыand OPSEC приложения Trusted CAs

Пользователи и Администраторы Access Roles, User Groups

VPN соединения Site to Site, Remote Access

При создании объектов, учитывайте потребности вашей организации: • Каковы физические компоненты вашей сети? • Каковы логические компоненты - сервисы, ресурсы и приложения? • Какие компоненты доступа к шлюзу безопасности? • Кто является пользователями, и как они должны быть сгруппированы? • Кто является администраторами и какова их роль? • Будете ли вы использоваться VPN, и если да, будет ли соединение доступно удаленным пользователям?

Создание объектов в дереве объектов Одной из первых вещей, которую нужно сделать, чтобы защитить среду, является определение объектов среды. Вы можете создавать объекты в дереве объектов, различных панелях, меню и панелях инструментов.



Чтобы добавить новый объект: 1. В дереве объектов выберите необходимый тип объекта из списка в дереве объектов. 2. Щелкните правой кнопкой мыши на соответствующую категорию. 3. Выберите опцию, которая лучше всего описывает объект, который вы хотите добавить.

Например, чтобы сделать объект, который представляет собой сеть, во вкладке «Сетевые объекты» (Network Objects), щелкните правой кнопкой мыши и выберите в «Сетях» (Networks) новую сеть (New Network).

Чтобы просмотреть или изменить свойства объекта, щелкните правой кнопкой мыши и выберите «Редактировать» (Edit ) или дважды щелкните по объекту.

Чтобы удалить объект, щелкните правой кнопкой мыши и выберите «Удалить» (Delete).

Типичная конфигурация объекта

Существуют различные способы создания объектов и их настройки для использования в реальных задачах управления. Это пример того, как создать и настроить объект шлюза безопасности Check Point объект, начиная с дерева объектов.

Для определения нового объекта Gateway Security: 1. Откройте дерево объектов> Сетевые объекты (Network Objects). 2. Щелкните правой кнопкой мыши по Check Point и выберите Шлюзы безопасности/Управление

(Security Gateway/Management). 3. В открывшемся окне выберите классический режим (Classic Mode).

Шлюз Check Point показывает окно свойств страниц по умолчанию. 4. В «Общих свойствах» (General Properties) введите имя хоста и IP-адрес шлюза.

Если вы можете установить доверительные отношения SIC сейчас, это облегчит последующие действия, но вы можете сделать это позже.

5. Выберите платформу, которая описывает свойства компьютера, на котором установлен шлюз: комплектующие, версия Check Point и операционной системы. Если вы не уверены в данных платформы, вы можете пропустить действие, пока устанавливаются доверительные отношения между сетями. Если вы это сделаете, то увидите сообщение при нажатии кнопки ОК: Указанная Операционная система на этом Security Gateway является "неопознанной". Нажмите Yes для принятия конфигурации, которые у вас есть на данный момент, чтобы дополнить информацию позже.

6. Выберите программные блейды, которые установлены на шлюз безопасности. Если вы не уверены в установленных программных блейдах, вы можете их не выбирать, а отредактировать объект позже. Если вы не выбираете программный блейд, вы увидите сообщение при нажатии кнопки ОК. Нажмите Yes а, чтобы принять конфигурации, которые у вас есть на данный момент, чтобы дополнить информацию позже.

7. Нажмите кнопку ОК. Сетевой объект Check Point в дереве объектов, но установленных доверительных отношений, это является просто папкой.

Установление доверительных отношений для объектов

Сервер управления безопасностью управляет компонентами Check Point вашей среды через SIC (защищенную внутреннюю связь). Должна пройти аутентификация между компонентами и серверами, между которыми устанавливаются доверительные отношения. См. Защищенная внутренняя связи (SIC) (на стр. 21).

Когда сетевой объект имеет доверительные отношения с сервером, можно управлять объектом через SmartDashboard.

Для установления доверия: 1. Откройте свойства сетевого объекта (дважды щелкните по объекту в дереве объектов). 2. Нажмите на вкладку «Связи» (Communication). 3. В открывшемся окне введите и подтвердите ключ активации, который использовался, когда был установлен шлюз. 4. Нажмите опцию «Инициализировать» (Initialize). С установленными доверительными отношениями вы можете управлять фактическими компонентами из сетевого объекта. Завершение базовой конфигурации Когда есть доверительные отношения между шлюзом безопасности и Сервером управления



безопасностью, упрощается настройка сетевого объекта шлюза безопасности.

Для настройки доверенного шлюза безопасности: 1. Дважды щелкните по шлюзу объекта в дереве объектов> Сетевые объекты (Network Objects). 2. На закладке платформ нажмите кнопку «Получить» (Get). 3. В закладках программных блейдов, выберите те, которые установлены на шлюзе. Некоторые программные блейды имеют первоначальные настройки. Вы можете изменить их сейчас или позже. В левой панели свойств показаны свойства, которые связаны с выбраным программным блейдом. Продолжить с параметрами по умолчанию. 4. Во вкладке Topology найдите интерфейсы, которые идут к и от шлюза безопасности. Если вы выбрали блейд Firewall, вы можете нажать Get, чтобы иметь сервер Security Management получить их для вас. 5. Во вкладке NAT вы можете активировать NAT и настроить основы Hide NAT (скрытый) или Static NAT (статичный). 6. Нажмите кнопку ОК.

Топологическая схема сети Топологическая схема сети представляет внутреннюю сеть (как локальную (LAN), так и DMZ), защищенную шлюзом. Шлюз должен обладать информацией о топологической схеме сети: • Соблюдение политики безопасности.

• Обеспечение валидности IP адресов для входящего и исходящего трафика.

• Настройка специальногой домена для виртуальных частных сетей.

Каждый компонент в топологической схеме сети отличается в сети по IP-адресу и маске подсети. Сочетание объектов и информации о соответствующих IP адресах составляют топологическую схему. Например: • IP-адрес локальной сети 10.111.254.0 с маской подсети 255.255.255.0.

• Шлюз безопасности в этой сети имеет внешний интерфейс со следующими IP-адресом:

192.168.1.1, а внутренний інтерфейс - с 10.111.254.254. В этом примере указана одна простая внутренняя сеть. В более сложных сценариях LAN состоит из множества сетей.

Внутренняя сеть состоит из: • IP-адресом первой подсети является 10.11.254.0 с маской подсети 255.255.255.0. • IP-адресом второй - 10.112.117.0 с маской подсети 255.255.255.0. • Шлюз безопасности, который защищает данную сеть, имеет внешний интерфейс с IP-адресом 192.168.1.1, а внутренний интерфейс - с адресом 10.111.254.254. В этом примере системный администратор определяет топологию шлюза соответственно. В SmartDashboard: • объект должен быть создан для отображения в каждой сети. Это определение должно включать в себя IP-адрес сети и маску подсети. • Групповой объект должен быть создан с включением обеих сетей. Этот объект представляет собой локальную сеть. • В объекте шлюза, внутренний интерфейс должен быть отредактирован, чтобы включить в себя групповой объект. (В выбранном шлюзе, дважды щелкните по внутреннему интерфейсу на странице Topology. Выберите группу конкретных адресов IP, которые прикреплены к этому интерфейсу).

Интернет

WN туннель




Настройка вида дерева объектов В каждой категории объектов вы можете изменить вид. Для сетевых объектов (Network Objects) вид по умолчанию является категорией сетевого объекта. Этот режим рекомендуется для малого и среднего развертывания и для начала работы. Если у вас есть группы объектов, вы можете видеть объекты в их группах. Это рекомендуется для больших проектаов, но имеет смысл только при наличии групп объектов.

Для создания группы: в классическом виде выберите сетевые объекты (Network Objects) из списка дерева объектов. Щелкните правой кнопкой мыши на группы (Groups)> Groups и выберите тип группы.

• Вы можете создавать вложенные группы. • Если у вас много объектов в группе, вы можете отсортировать их по свойствам. • Вы можете выводить объекты в группе соответственно их категории по умолчанию. Щелкните правой кнопкой мыши и выберите select Show groups hierarchy (показать иерархию групп). Таким образом, создавайте группы, которые займут место в категории сетевых объектов по умолчанию. Они даны вам в виде иерархии группы объектов.

Чтобы изменить вид сетевых объектов: в SmartDashboard меню выберите View (Вид)> Arrange Network Tree (упорядочить дерево сети)> Arrange by groups (расположить по группам) или Switch to classic view (переход к классическому виду). Во всех деревьях объектов вы можете просмотреть категории по умолчанию или отсортировать по свойствам. Для сортировки дерева: правой кнопкой мыши щелкните по дереву, выберите Sort (сортировка), затем выберите Name (имя), Type (тип) или Color (цвет).

Групповые условия При создании группы, вы можете установить условия. Когда создается объект, который соответствует группе условий, вы получаете возможность автоматического добавления объекта в группу.

Для определения групповых условий: 1. Откройте группу. 2. Нажмите Suggest to add objects to this group (предложение добавить объекты к этой группе). 3. Выберите условия и дайте им определение.

• Если вы определите более одного условия, совпадением будет считаться только наличие у объекта их всех. • Если объект удволетворяет условиям нескольких групп, в окне будут показаны соответствующие группы. Вы можете добавить объект ко всем группам, ни к одной, или к выбранной группе. • С помощью кнопок Add и Remove (добавить и удалить) для размещения объектов в группе.

Если происходит изменение свойств объекта таким образом, это он перестает соответствовать условиям группы, вы увидите следующее сообщение:

Ваш объект уже не соответствует имени группы. Вы хотите удалить объект из этой группы?



Если вы можете удалить объект из группы, сам объект не будет изменен или удален из системы. Если вы удаляете объект из его последней группы, вы сможете найти его в других группах.

База правил База правил является политикой, определяющей, что разрешено, а что блокируется брандмауэром. Правила используют объекты. Например, сетевые объекты используются в источнике и назначении правил (Source and Destination). Временные и групповые объекты используются во времени (Time) правил.

Список объектов Список объектов показывает данные для выбранной категории объектов. Например, когда сетевой объект логического сервера выбран в дереве объектов, список объектов отображает список логических серверов с некоторой детализацией.

Identity Awareness (идентификационная осведомленность) Панель Identity Awareness показана в виде вкладки в нижней панели главного окна.

Традиционно, брандмауэры используют IP-адреса, чтобы контролировать трафик и не имеют идентификационной информации о пользователе и машине под этими IP адресами. Identity Awareness снимает это понятие анонимности, поскольку отображается идентификационная информация о пользователях и машинах. Это позволяет контролировать доступ и проводить аудит данных на основе идентификации.

Identity Awareness является простым в развертывании и масштабируемым решением. Программный блейд применим как для сетей на основе Active Directory, так и для таковых не на основе Active Directory, а также для сотрудников и гостевых пользователей. Программный блейд на данный момент доступен в Firewall blade и Application Control blade работать с другими блейдами в будущем.

Identity Awareness позволяет легко настроить доступ к сети и провести аудит на основе сетевого расположения, а также: • идентификационной информации о пользователе • идентификационной информации о машине

Когда Identity Awareness идентифицирует источник или назначение, показывается IP-адрес компьютера или пользователь с именем. Например, это позволяет создавать правила для брандмауэра с любым из этих свойств. Вы можете определить правила брандмауэра для определенных пользователей, которые посылают трафик с конкретных компьютеров или правило брандмауэра для конкретного пользователя, независимо от того, откуда идет трафик. В SmartDashboard можно использовать Access Role objects (разграничители доступа) для идентификации пользователей, машин и места в сети как одиного объекта. Identity Awareness получает данные по идентификации из следующих источников: • AD Query • Браузер проверки подлинности на основе • Identity Agent • Терминальные серверы Identity Agent • Удаленный доступ

SmartWorkflow

SmartWorkflow панель отображается в виде вкладки на нижней панели главного окна.

SmartWorkflow блейд – это решение по управлению изменениями политики безопасности, блейд отслеживает предложенные изменения в среде безопасности сети Check Point и обеспечивает надлежащий менеджмент от предварительного утверждения до реализации.

Управление сетевыми операциями во время эффективной и аккуратной реализации политики безопасности является сложным процессом. Системные администраторы и администраторы службы безопасности сталкиваются с трудностями при попытке соответствовать политике безопасности организации, а также удостовериться в безопасности всех шлюзов, сетевых компонентов и правильности конфигурации других настроек системы.

Так как предприятия развиваются и вводят технологические новшества, сетевая среда и среда безопасности становятся все более сложными и трудно управляемыми. Как правило, для управления



следующими параметрами конфигурации необходима командная работа инженеров и администраторов: • Политика безопасности и База правил • Сетевые объекты • Сетевые службы • Ресурсы • Пользователи, администраторы и группы • VPN соединения • Серверы и приложения OPSEC

Эффективное решение в области политики управления изменениями безопасности предприятия также имеет важное значение для обеспечения соблюдения более строгих стандартов корпоративного управления и требований к отчетности.

SmartMap Графическое отображение объектов в системе представлено в виде SmartMap. Этот вид является наглядным представлением топологии сети. Существующие объекты, представляющие собой физические компоненты, такие как шлюзы или узлы, отображаются в SmartMap, в отличие от логических объектов, таких, как динамические объекты.

Безопасные внутренние связи (SIC) Безопасные внутренние связи (SIC) позволяют платформам и продуктам Check Point аутентифицировать друг друга. Процедура SIC создает статус доверия между шлюзами, Серверами управления и другими компонентами Check Point. SIC необходим для установка политики на шлюзы и обмена журналами между шлюзами и Серверами управления. These security measures make sure of the safety of SIC: • Certificates for authentication • Standards-based SSL for the creation of the secure channel • 3DES for encryption

Внутренний Центр сертификации (ICA) ICA создается во время процесса установки сервера управления безопасностью. ICA отвечает за выдачу сертификатов для аутентификации. Например, ICA выдает сертификаты, такие как SIC сертификаты для аутентификации администраторов и VPN сертификаты для пользователей и шлюзов.

Инициализация процесса установки доверительных отношений В процессе инициализации устанавливаются доверительные отношения между Сервером управления безопасностью и шлюзами Check Point. Это способствует безопасному сообщению компонентов Check Point. Доверие может быть установлена только когда шлюзы и серверы имеют SIC сертификаты.

Примечание – для успешного установления SIC, часы шлюзов и серверов должны быть синхронизированы.

Внутренний центр сертификации (ICA) создается, когда Сервер управления безопасностью установлен. ICA выдает и поставляет сертификат Серверу управления безопасностью. Для инициализации SIC: 1. Выберите буквенно-цифровой ключ активации (Activation Key). 2. В SmartDashboard откройте сетевой объект шлюза. На странице «Основные положения» (General Properties) шлюза нажмите Communication для инициализации процедуры SIC. 3. В окне Communication введите ключ активации, который вы создали на шаге 2. 4. Нажмите кнопку Initialize (инициализировать). ICA заверяет и выдает сертификат шлюзу. Положение доверия присваивается, но не подтверждается. Сертификат заверяется, но не доставляется шлюзу.



Происходит согласование SSL. Два сообщающихся узла аутентифицированы по ключу активации (Activation Key). Сертификат безопасно загружается надежно и хранится на шлюзе. После успешной инициализации, шлюз может общаться с любым узлом Check Point, который обладает SIC сертификатом, заверенным тем же ICA. Ключ активации удаляется. SIC процесс больше не требует ключа активации, только SIC сертификаты.

Проверка SIC статуса SIC статус отражает состояние шлюза после получения сертификата, выданного ICA. Этот статус подтверждает способность или неспособность Сервера управления безопасностью безопасно обмениваться данными со шлюзом. Наиболее типичным статусом является Communicating (в процессе обмена данными). Любое другое состояние указывает, что есть проблемы с SIC. Например, если SIC статус Unknown (неизвестен), то не связи между шлюзом и Сервером управления безопасностью нет. Если статус SIC обозначен, как Not Communicating (нет сообщения), Сервер управления безопасностью имеет соединение со шлюзом, но SIC связь не может быть установлена. В этом случае появится сообщение об ошибке, которое может содержать конкретные инструкции по исправлению ситуации.

Сброс статуса доверия Сброс статуса доверия отзывает SIC сертификат шлюза. Это должно быть сделано, если безопасность шлюза была нарушена или если по какой-то другой причине функционирование шлюза должно быть остановлено. При сбросе настроек шлюза Certificate Revocation List (список отозванных сертификатов) обновляется, чтобы включить название отозванного сертификата. CRL удостоверяется ICA и рассылается всем шлюзам системы при установлении SIC соединения в следующий раз. Если есть расхождение между CRL двух сообщающихся компонентов, всегда используется последняя версия CRL. Шлюзы обращаются к последнему CRL и отвергают связь с поддельным шлюзом, использующим SIC сертификат, который уже отозван.

Важно - операции сброса должны быть выполнены на объекте шлюза с используованием SmartDashboard, а также физически на шлюзе с помощью программы настройки Check Point Configuration Tool.

Для сброса статуса доверия в SmartDashboard: 1. В SmartDashboard, в окне General Properties (общие свойства) шлюза, нажмите Communication (связи). 2. В окне Communication, нажмите кнопку Reset. 3. Для сброса статуса доверия через инструмент конфигурации шлюза the Check Point Configuration tool нажмите Reset во вкладке Secure Internal Communication (защищенная внутренняя связь). 4. Установите политику безопасности на всех шлюзах. При этом на будет разослан обновленный CRL для всех шлюзов. Если произошел сбой инициализации SIC и у вас еще нет Базы правил (и поэтому вы не можете установить политику), вы можете прекратить доверительные отношения со шлюзами.

Для сброса статуса доверия на шлюзах безопасности Check Point: 1. Войти в компонент Check Point. 2. Введите: cpconfig 3. Введите код для Secure Internal Communication (защищенной внутренней связи) и нажмите клавишу ENTER. 4. Введите y, чтобы подтвердить, что вы хотите сбросить доверительные отношения и готовы остановить процессы Check Point. 5. Введите ключ активации при запросе. 6. После введите код для выхода (Exit). 7. Дождитесь, пока процессы остановятся и автоматически возобновятся. 8. Снова установите доверительные отношения через SmartDashboard. Убедитесь, что используете ключ активации, который вы ввели в компоненте.

Поиск и устранение неисправностей SIC Если не удается инициализировать SIC: 1. Обеспечьте связь между шлюзом и Сервером управления безопасностью. 2. Убедитесь, что сервер и шлюз используют один и тот же ключ активации SIC. 3. Если Серве управления безопасностью находится за другим шлюзом, убедитесь, что есть правила, которые разрешают соединение между Сервером управления безопасностью и удаленным шлюзом, в



том числе антиспуфинг настройки. 4. Проверьте IP-адрес Сервера управления безопасностью и имя в файле /etc/hosts шлюза. Если IP-адрес Сервера управления безопасностью имеет статический NAT на шлюзах безопасности, добавьте публичный IP-адрес Сервера управления безопасностью в файл /etc/hosts на удаленном шлюзе безопасности, чтобы разрешить доступ к имени хост-системы. 5. Проверьте дату и время операционных системамх и убедитесь, что время является точным. Если Сервер управления безопасностью и удаленный шлюз находятся в разных часовых поясах, удаленному шлюзу, возможно, придется ждать, пока сертификат вступит в силу. 6. В командной строке из шлюза введите: fw unloadlocal Это действие удаляет политику безопасности при разрешении трафика. 7. Попробуйте еще раз установить SIC.

Если удаленные пользователи не могут получить доступ к ресурсам и доступен Mobile Access (мобильный доступ): • После установки сертификата на шлюз безопасности, если подключен Mobile Access Software Blade, необходимо снова установить политику на шлюзы.

Глава 2

LDAP и User Directory

В этой главе Решение Check Point для LDAP-серверов 22 Рассмотрение User Directory 22 Установка User Directory 23 Доработки 23 Учетные узлы (Account Units) 24 Организация работы пользователей на Сервере User Directory 27 Получение информации с Сервера User Directory 28 Microsoft Active Directory 29 Схема Netscape LDAP 31 Схема User Directory 32 Схема Check Point 32 Профили User Directory 40

User Directory (каталог пользователей) Check Point внедряет LDAP (облегченный протокол доступа к сетевому каталогу) в Check Point. Если у вас есть программный блейд мобильного доступа (Mobile Access Software Blade), у вас также есть лицензия User Directory.

Решение Check Point для LDAP серверов LDAP является кросс-платформенным, открытым промышленным стандартом, используемым множеством поставщиков. LDAP автоматически устанавливается на различные операционные системы (например, Microsoft Active Directory,) и серверы (например, Novell). Check Point продукты соответствуют требованиям технологии LDAP. • Управление пользователями может производиться LDAP сервером извне. • шлюзы могут получить CRL. • Управление безопасностью может использовать данные LDAP для аутентификации пользователей. • Пользовательские данные из других приложений, собранные в базе данных LDAP, могут использоваться различными приложениями.

Вы можете выбрать управление доменами с помощью базы данных пользователей Check Point или же установить LDAP сервер. Если у вас есть большое количество пользователей, мы рекомендуем вам использовать внешнюю базу данных управления пользователями, такую, как LDAP, для повышения производительности управления безопасностью. Например, если пользователь базы данных является внешним, база данных не будет переустановливаться каждый раз при изменении данных пользователя.

User Directory интегрирует LDAP и другие внешние технологии управления пользователями в решение Check Point.

Рассмотрение User Directory Прежде чем начать, распланируйте свою работу с каталогом пользователей User Directory. • Будет ли сервер User Directory использоваться для управления пользователями, поиска данных CR, аутентификации пользователей или для всего перечисленного сразу? • Сколько учетных узлов (Account Units) вы хотите иметь? Вы можете иметь по одному для каждого сервера LDAP или же разделить ветви одного сервера LDAP между различными узлами. • Должны ли соединения User Directory между LDAP сервером и Управлением безопасностью / шлюзами безопасности быть закодированы? • Будете ли вы использовать технологию отказоустойчивости системы? Если да, будете ли вы использовать репликаторы? И каков будет приоритет каждого из серверов?



Установка User Directory (каталога пользователей)

С User Directory управление безопасностью и шлюзы безопасности функционируют как клиенты User Directory.

Пункт Описание 1 Security Management (управление безопасностью). Управляет данными в User

Directory в пользовательском каталоге. 2 LDAP сервер. Узел, имеющий данные о пользователях и компонентах. 3 Security Gateway (шлюз бзопасности). Запрашивает пользовательские

данные, извлекает списки CRL, проводит операций присваивания для аутентификации.

4 Интернет 5 Security Gateway (шлюз безопасности). Извлекает пользовательские данные и

списка CRL

Доработки Разверните функции User Directory для расширения технических возможностей. • Отказоустойчивость системы для дублирования пользовательских данных на нескольких серверах для резервного копирования (см. " Учетные узлы и отказоустойчивость системы" на стр. 30). • Многочисленные учетные узлы (Account Units) для распределенных баз данных. • Кодирование соединений User Directory (см. "Определение учетных узлов LDAP (LDAP Account Units)" на стр. 27). • Профили для поддержки нескольких поставщиков LDAP (см. "Профили User Directory" на стр. 46).



Account Units (Учетные узлы) Account Unit представляет собой сопряжение между Ссервером управления безопасностью / шлюзами безопасности и LDAP-серверами.

Учетный узел представляет собой одну или несколько ветвей данных на сервере LDAP. Вы можете иметь несколько учетных узлов, для одного или нескольких серверов LDAP. Пользователи в системе делятся между ветвями учетного узла (Account Unit) и между всеми учетными узлами.

Например, наряду с одним LDAP сервером, один учетный узел представляет пользователей с бизнес аккаунтами, а второй - пользователей с частными аккаунтами. В Account Unit с бизнес-аккаунтами крупные бизнес-пользователи находятся в одной ветви, а малые – в другой.

Определение учетных узлов LDAP (LDAP Account Units) Для интеграции LDAP в среду Check Point сначала определите Account Units (учетные узлы). Затем введите данные доступа для подключения к серверу LDAP. Когда это будет сделано, Сервер управления безопасностью и шлюзы безопасности подключатся к LDAP-серверу для управления пользователями или формирования запросов. Чтобы определить LDAP Account Unit (учетные узлы LDAP): 1. Нажмите Manage > Servers and OPSEC Applications(серверы и приложения OPSEC). 2. Выберите New (создать) > LDAP Account Unit (учетный узел LDAP). Откроется окно LDAP Account Unit Properties (Свойства учетного узла LDAP).

3. Введите имя Account Unit. 4. Выберите профиль, который наилучшим образом соответствует LDAP серверу. 5. Определите использование:

• Если это Account Unit Списка отозванных сертификатов, выберите функцию CRL retrieval (Запрос CRL).Сервер управления безопасностью следит за тем, как CA отправляет данные отозванных лицензий шлюзам.



• Если это база данных пользователей, выберите User Management (Управление пользователями). Убедитесь, что User Management блейд (блейд управления пользователями) подключен к Управлению безопасностью.

Примечание - Single Sign On (Однократная регистрация для доступа к сети) для пользователей LDAP работает, только если выбрана функция User management.

• Если профилем является Active Directory, вы можете выбрать Active Directory Query. Эта функция доступна только если в Управлении безопасностью активирована\ модуль Identity Awareness.

6. Во вкладке Servers (Серверы) определите параметры сервера LDAP. 7. Во вкладке Objects Management (Управление объеками) выберите LDAP сервер для данного учетного узла. Сервер управления безопасностью при запросе ищет сегменты LDAP сервера. Чтобы получить сегменты, нажмите Fetch branches (извлечение сегментов). Если функция отключена (некоторые версии User Directory не поддерживает автоматический поиск ветвей), определить ветвивручную:

а) Нажмите кнопку Add (Добавить). б) в окне LDAP Branch Definition window (Определение сегментов дерева LDAP) введите отделения Branch Path (Путь).

8. Дополнительно: Вы можете установить пароль пользователя SmartDashboard для доступа к Account Unit. Мы рекомендуем делать это, если есть несколько менеджеров с различными ролями. 9. Во вкладке Authentication установите ограничения аутентификации. Схемы Allowed Authentication (разрешенная аутентификация) ограничивают пользователя до использования только этих схем аутентификации. Вы можете установить несколько схем аутентификации для каждого пользователя или установить по умолчанию схему для всех пользователей. 10. Определение параметров идентификации по умолчанию для пользователя на Account Unit (учетном узле). Пользователи, у которых отсутствуют опредхарактеристики аутентификации, получают эти характеристики из схем аутентификации по умолчанию или пользовательских шаблонов. Эти установки по умолчанию полезны, если схема Check Point не на месте. Пользовательские шаблоны дают параметры аутентификации. 11. Для всех пользователей этого учетного узла, настроенных под IKE, введите совместно используемый секретный ключ. Установите приемлемое количество попыток входа, и количество секунд для разблокирования чем замороженного счета.

Для изменения настроек сервера LDAP: 1. Дважды щелкните на знак сервера во вкладке LDAP Account Unit Properties (Свойства учетного узла LDAP) > вкладка Servers (Серверы). Откроется окно LDAP Server Properties (Свойства сервера LDAP).

2. Во вкладке General (Общее) можно изменить: • Порт сервера LDAP • Login DN



• Password (Пароль) • Приоритет LDAP-сервера, если имеется несколько серверов • Hазрешения шлюзов безопасности на сервере LDAP 3. В закладке Encryption (Шифрование) вы можете изменить: • Настройки шифрования(кодирования) между Сервером управления безопасности / шлюзами безопасности и LDAP сервером. Если соединения не зашифрованы, войдите в порт шифрования и настройки криптографической сложности. • Верифицируйте идентификационную метку. Сравните ее с показанной меткой Управления безопасностью.

Примечание - соединения User Directory могут пройти проверку подлинности с помощью клиентских сертификатов от центра сертификации (CA) ("Аутентификация с помощью сертификатов» на стр. 29). Для использования сертификата LDAP сервер должен быть настроен с учетом строгой аутентификации SSL.

Определение Сервера User Directory Настройте SmartDashboard для опознавания LDAP сервера и возможности манипулирования handle User Directory Сервером управления. Для определения пользователя сервера каталогов: 1. Откройте вкладку Policy (Политика)> Global Properties (Глобальные свойства) > User Directory (Каталог пользователя). 2. Выберите Use User Directory for Security Gateways (использовать каталог пользователей для шлюзов безопасности). Выберите другие параметры, которые вы хотите, и нажмите кнопку ОК. 3. Откройте свойства объекта Сервера управления (Сервер безопасности или управления Multi-домена Server). 4. В Software Blades (Программных блейдах) > Management (Управлениу) выберите Network Policy Management (Управление сетевой политикой) и User Directory (Каталог пользователей).

Учетные узлы и отказоустойчивость системы С репликаторами User Directory для обеспечения отказоустойчивости системы, один учетный узел представляет все копируемые Серверы User Directory. Например, два репликатора сервера User Directory можно определить по одному Account unit (учетному узлу), а два шлюза безопасности могут использовать один Account unit.



Пункт Описание 1 Security Management (управление безопасностью). Управляет данными в User

Directory. Имеет объект Account Unit, где обозначено два сервера.

2 Репликатор Сервера User Directory.

3 Security Gateway (шлюз бзопасности). Запрашивает пользовательские данные, извлекает списки CRL из ближайшего репликатора Сервера User Directory (2).

4 Интернет

5 Security Gateway(шлюз бзопасности). Запрашивает пользовательские данные, извлекает списки CRL из ближайшего репликатора Сервера User Directory (6).

6 Репликатор Сервера User Directory.

Установки приоритета отказоустойчивости системы (High Availability Priority) При наличии нескольких репликаторов, определите приоритет каждого LDAP сервера в Account Unit. После этого вы сможете определить список серверов на шлюзах безопасности. Выберите один сервер LDAP для подключения к Серверу управления безопасностью. Сервер управления безопасностью может работать с одним репликатором LDAP сервера. Все остальные репликаторы должны быть синхронизированы для режима ожидания. Для установки приоритета Account Unit: 1. Откройте окно LDAP Account Unit Properties (Свойства учетного узла LDAP). 2. Откройте вкладку Servers (Серверы). 3. Добавьте LDAP серверы этого Account Unit в порядке приоритета, который вы хотите задать.

Аутентификация с помощью сертификатов

To configure User Directory to use certificates:

Для настройки User Directory для использования сертификатов: 1. Откройте dbedit. 2. Установите ldap_use_cert_auth атрибут на метку true для каждой записи в fields атрибута Account Unit. 3. Сохраните и закройте dbedit. 4. Войти в SmartDashboard. 5. Добавьте объект CA:

а) выберите Manage (Управление) > Servers and OPSEC Applications (Серверы и приложения OPSEC) > New (Солздать)> Certificate Authority (Центр Сертификации) > Trusted (Доверенные). Откроется окно Certificate Authority Properties (Свойства Центра сертификации). б) в Certificate Authority Type (Тип Центр Сертификации) выберите External Check Point CA (внешний тип). в) Установите другие типы CA.

6. Добавить сертификат на все необходимые сетевые объекты (такие, как Сервер управления безопасностью, шлюзы безопасности, Сервер политики), которые требуют сертификат подключений на основе User Directory.

а) На странице IPSec VPN свойств объекта, нажмите кнопку Add (Добавить) в репозитории списка доступных сертификатов (Repository of Certificates Available list). б) В окне Certificate Properties (Свойства сертифіката), выберите определенный CA.

7. В вкладке Users and Administrators (Пользователи и Администраторы) в дереве объектов проверьте новые настройки, установив соединение на одном из Account Units, настроенного на использование сертификата аутентификации.



Организация работы пользователей на Сервере User Directory

Пользователи и группы пользователей расположены на Account Unit в виде древовидной структуры LDAP сервера. Управление пользователями в пользовательском каталоге является внешним, не локальным. Вы можете изменить шаблоны User Directory. К пользователям, связанным с этим шаблоном, немедленно будут применены изменения. Вы можете изменить характеристики пользователей вручную в SmartDashboard и изменения сразу же окажутся на сервере.

Чтобы увидеть User Directory откройте Objects Tree (Дерево объектов) > Users and Administrators (Пользователи и Администраторы). LDAP группа содержит структуру и аккаунты сервера.

Группы User Directory (группы каталога пользователей)

Создавайте группы User Directory, чтобы классифицировать пользователей по типам и использовать в качестве объектов в Правилах политики. Вы можете добавлять пользователей в группы или же создавать динамические фильтры.

Для создания групп: 1. Определите группу User Directory в Users and Administrators (Пользователи и Администраторы) > User Directory Group Properties (Свойства групп каталога пользователей). 2. Выберите Account Unit для группы User Directory. 3. Применените расширенный фильтр для динамического членства. Только пользователи, которые соответствуют определенным критериям, будут включены в группу User Directory:

• Все пользователи в LDAP сервер Account Unit. • Пользователи сегмента. • Пользователи LDAP группы или OU (подразделений).

Примеры • Если пользовательские объекты для менеджеров в вашей организации принадлежат классу объектов "myOrgManager", вы можете объединить группы менеджеров фильтром: objectclass=myOrgManagers • Если некоторые пользователи в вашей организации имеют адрес электронной почты, заканчивающийся на us.org.com, вы можете ограничить пользовательскую группу фильтром: mail=*us.org.com

Распределение пользователей в нескольких серверов Пользователей организации могут быть распределены между несколькими серверами LDAP. Каждый LDAP сервер должен быть представлен отдельной единицы учета.

Распределение пользователей между несколькими серверами Пользователей организации могут быть распределены между несколькими серверами LDAP. Каждый LDAP сервер должен быть представлен отдельным Account Unit (учетным узлом).

Получение информации с Сервера User Directory Когда шлюз запрашивает пользовательскую информацию для аутентификации, он ищет ее в следующих местах: 1. Первое место, которое куда отсылается запрос, это internal users database (внутренняя база данных пользователей). 2. Если указанный пользователь не определен в этой базе данных, шлюз по одному запрашивает серверы LDAP, обозначенный в Account Unit, в соответствии с их приоритетностью. Если запрос LDAP серверу не доходит (например,из-за потери связь), запрос отправлчется следующему серверу в порядке приоритетности. Если есть более одного Account Unit, делаются запросы всем учетным узлам одновременно.Результаты запроса берутся из первого Account Unit, удовлетворяющего условиям, или от всех Account Units, которые отвечают условиям. 3. Если информация до сих пор не может быть найдена, шлюз использует внешний пользовательский шаблон, чтобы узнать, есть ли соответствие с общим профилем. Этот общий профиль имеет атрибуты по умолчанию, применяемые к указанному пользователю.



Использование запросов User Directory Используйте запросы, чтобы получить информацию о пользователе или группе данных User Directory. Для лучшей производительности делайте запросы Account Units при наличии открытых соединений. Некоторые соединения открыты шлюзами, чтобы убедиться, что пользователь принадлежит к группе, которой разрешено выполнять определенные операции. LDAP сервер Account Unit может быть настроен под запросы. В типе запроса (Type), вы можете выбрать поиск пользователей, шаблонов, групп, или всех сразу (Users, Templates, Groups, or All). Для запроса User Directory: 1. Откройте Objects Tree (Дерево объектов) > Users and Administrators.(Пользователи и Администраторы). 2. Щелкните правой кнопкой мыши по Account Unit и выберите Query Users/Group (Запросить пользователей / группы). 3. В окне LDAP Query Search опишите запрос. 4. Чтобы добавить дополнительные условия, выберите или введите значение и нажмите кнопку Add (Добавить). Запрос условий: • Attributes (Атрибуты) - выберите пользовательский атрибут из выпадающего списка, или ввести атрибут. • Operators (Операторы) - выберите оператора из выпадающего списка. • Value (Значение) - введите значение для сравнения с атрибутом элемента. Используйте тот же тип и формат в качестве фактического атрибута пользователя. Например, если атрибутом является дата истечения срока fw1, то Значение должно иметь вид в ггггммдд (yyyymmdd). • Free Form (Свободная форма) - введите свое определение запроса. См. RFC 1558 для получения информации о синтаксисе выражения запросов User Directory (LDAP). • Add (Добавить) - добавляет условие в запросе (в текстовом поле справа от Search Method (метод поиска).

Пример запроса Если вы создаете запрос, где: • Атрибут = mail (почта) • Содержание • Значение = Andy Сервер делает запрос User Directory с помощью этого фильтра:

Запросы нескольким LDAP серверам Сервер управление безопасностью и шлюзы могут работать с несколькими серверами LDAP одновременно. Например, если шлюз должен найти информацию о пользователе, и он не знает, где указанный пользователь определен, он запрашивает все серверы LDAP в системе. (Иногда шлюз может найти местоположение пользователя, глядя на DN пользователя, при работе с сертификатами.)

Microsoft Active Directory Microsoft Windows 2000 Advanced Server (или выше) включает в себя развитый Сервер User Directory, который может быть настроен в качестве базы данных пользователей для Сервера управления безопасностью. По умолчанию службы Active Directory будут отключены. Для того, чтобы подключить службы: • запустите команду dcpromo из меню Start > Run (Пуск> Выполнить) или • запустите мастер настройки активного каталога с помощью окна настройки системы (System Configuration) Active Directory имеет следующую структуру:



Большинство пользовательских и групповых объектов, созданных посредством инструментов Windows 2000, хранятся в атрибуте CN=Users, ветви DCROOT, другие объекты - CN=Builtin, ветви DCROOT, но эти объекты могут также быть созданы в других ветвях. Ветвь CN=Schema, CN=Configuration, DCROOT содержит все характеристики схемы. Check Point может пользоваться существующим объектом Active Directory, а также добавлять новые типы. Что касается пользователей, существующий пользователь может быть использован без изменений или же быть расширен с помощью fw1person для полной детализации функций User (Пользователя). Существующий групповой тип Active Directory поддерживается в том виде, в котором он существует. Шаблон User Directory может быть создан путем добавления классов объектов fw1template. Эта информация загружается в каталог с помощью файла schema_microsoft_ad.ldif (см. Добавление новых атрибутов в Active Directory (на стр. 35)). Функционирование Количество запросов, выполняемых на сервере с Active Directory, заметно невелико. Это достигается за счет другой модели объектных связей. Информация о группах Active Directory хранится внутри пользовательского объекта. Таким образом, при выборке пользовательского объекта не требуется никаких дополнительных запросов для ассоциации пользователя с группой. То же самое относится к пользователям и шаблонам. Управляемость SmartDashboard позволяет создавать и управлять существующими и новыми объектами. Однако некоторые отдельные поля Active Directory не подключены в SmartDashboard. Исполнение Можно работать с существующими объектами Active Directory без расширения схемы. Это становится возможным при установке Internal Template объекта (объекта внутреннего шаблона) и соотнесении его с User Directory Account Unit на сервере Active Directory. Например, если вы хотите активировать всех пользователей с IKE+Hybrid, основанном на паролях Active Directory, создайте новый шаблон с IKE свойствами и " Check Point password" ( в качестве метода аутентификации.

Обновление параметров реестра Чтобы измененить схему Active Directory, добавьте новый DWORD ключ с именем Schema Update Allowed со значением отличным от нуля в HKLM\System\CurrentControlSet\Services\NTDS\Parameters.

Делегирование управления Делегирование контроля над каталогом конкретному пользователю или группе важно, т.к. по умолчанию Администратор не имеет права изменять схему или даже управлять объектами каталога через протокол User Directory. Чтобы делегировать контроль над каталогом: 1. Выведите на экран консоль Users and Computers Control (Управление пользователей и компьютеров). 2. Щелкните правой кнопкой мыши на имя домена, отображаемое в левой панели, и выберите Delegate control (Делегирование управления) из меню по клику правой кнопки мыши. Откроется окно конфигурации Delegation of Control. 3. Добавьте администратора или другого пользователя из группы системных администраторов в список пользователей, которые могут управлять каталогом. 4. Перезагрузите компьютер.



Расширение схемы Active Directory Измените файл со схемой Active Directory, используя SmartDashboard для настройки пользователей Active Directory. Для расширения схемы Active Directory:

1. Из шлюза безопасности перейдите в директорию файла схемы: /opt/CPsuite-R75/fw1/lib/ldap. / opt/CPsuite-R75/fw1/lib/ldap. 2. Скопируйте schmea_microsoft_ad.ldif на диск C: \ в Active Server Directory. 3. С Сервера Active Directory с помощью текстового редактора откройте файл схемы. 4. Найдите значение DOMAINNAME и заменить его на имя вашего домена в формате LDIF.Например, домен sample.checkpoint.com в формате LDIF имеет DC=sample,DC=checkpoint,DC=com 5. Убедитесь в том, что в конце секции modify стоит тире ( - ). Это пример из секции modify.

6. Запустите ldifde -i -f c:/schema_microsoft_ad.ldif

Добавление новых атрибутов в Active Directory Ниже приведен пример в LDAP Data Interchange (LDIF) формате, который добавляет один атрибут в Microsoft Active Directory:

Все атрибуты Check Point могут быть добавлены таким же образом. Определения всех атрибутов в формате LDIF содержатся в файле schema_microsoft_ad.ldif, расположенном в $FWDIR/lib/ldap директории. Перед тем, как запустить команду ldapmodify, отредактируйте schema_microsoft_ad.ldif и замените все варианты DCROOT конкретным корневым каталогом домена вашей организации. Например, если ваш support.checkpoint.com, замените DCROOT на dc=support,dc=checkpoint,dc=com. После изменения файла, запустите команду ldapmodify для загрузки файлов в каталог. Например, если вы используете учетную запись Администратора в dc=support,dc=checkpoint,dc=com синтаксис команды будет следующим:



Внимание - сценарий командного процессора доступен для UNIX шлюзов. Скрипт: $FWDIR/lib/ldap/updateschemamicrosoftad

Схема Netscape LDAP Чтобы добавить оригинальную схему на ваш Сервер Netscape directory, используйте файл schema. ldif в директории $FWDIR/lib/ldap.

Важно - Это удалит описание класса объектов из схемы и заменит его новейшей версией.

Мы рекомендуем вам сделать back up Сервера User Directory перед запуском команды. Файл ldif:

• Добавляет новые атрибуты к схеме • Удаляет старые определение fwlperson и fwltemplate • Добавляет новые определение fwlperson и fwltemplate

Чтобы изменить схему Netscape LDAP, запустите команду ldapmodify с файла schema.ldif file. на некоторых серверах операции delete objectclass могут возвращать ошибку даже при успешном выполнении. Используйте idapmodify с опцией -c (continuous).

Схема User Directory Схема User Directory по умолчанию является описанием структуры данных в каталоге пользователей. Она содержит характеристики пользователей, определенные для LDAP сервера. Эта схема не содержит информации Сервер управления безопасностью или шлюза безопасности, например, IKE атрибуты, схемы аутентификации, или значения для удаленных пользователей. Вы можете использовать заданную по умолчанию схему User Directory, если все пользователи имеют одинаковые схемы аутентификации и определяются в соответствии с шаблоном по умолчанию. Но если пользователей в базе данных имеют различные характеристики, то лучше применять схемы Check Point для LDAP сервера.

Схема Check Point Check Point схема добавляет данные Сервера управления безопасностью и шлюза безопасности в структуру на LDAP сервере. Используйте схему Check Point для расширения определения объектов с функцией аутентификации пользователей. Например, класс объектов fw1Person явлется частью схемы Check Point. Этот класс объектов имеет обязательные и дополнительные атрибуты для добавления характеристик к персональному атрибуту (Person attribute). Другим примером является fw1Template. Это автономный атрибут, определяющий шаблон пользовательской информации.

Проверка схемы Когда включена проверка схемы, User Directory требует, чтобы каждый класс объектов и связанные с ним атрибуты были определены в схеме каталога. Перед началом работы с User Directory проверка схемы должна быть отключена. После того, как классы объектов и атрибуты Check Point добавлены в схему Сервера User Directory, проверка схемы должна быть включена.

Оригинальные атрибуты OID Каждый из оригинальных классов объектов и атрибутов (все, которые начинатся с "fw1") имеет собственный идентификатор объекта (Object Identifier, OID), они перечислены ниже. Класс объектов OIDs

Класс объектов OID fw1template 1.3.114.7.4.2.0.1

fw1person 1.3.114.7.4.2.0.2

Идентификаторы для оригинальных атрибутов начинаются с того же префикса ("1.3.114.7.4.2.0.X»). Только значение "X" является различным для каждого атрибута. См. в раздел Атрибуты (см. " Атрибуты схемы User Directory " на стр. 38) для значений "X".



Атрибуты схемы User Directory

Атрибуты: cn 33 uid 33 description 34 mail 34 member 34 userPassword 34 fw1authmethod 34 fw1authserver 35 fw1pwdLastMod 35 fw1expiration-date 35 fw1hour-range-from 35 fw1hour-range-to 36 fw1day 36 fw1allowed-src 36 fw1allowed-dst 36 fw1allowed-vlan 36 fw1SR-keym 36 fw1SR-datam 37 fw1SR-mdm 37 fw1enc-fwz-expiration 37 fw1sr-auth-track 37 fw1groupTemplate 37 fw1ISAKMP-EncMethod 38 fw1ISAKMP-AuthMethods 38 fw1ISAKMP-HashMethods 38 fw1ISAKMP-Transform 38 fw1ISAKMP-DataIntegrityMethod 38 fw1ISAKMP-SharedSecret 38 fw1ISAKMP-DataEncMethod 39 fw1enc-Methods 39 fw1userPwdPolicy 39 fw1badPwdCount 39 fw1lastLoginFailure 39 memberof template 39

cn

Имя записи. Также имеет навзание Common Name (Общее имя). Для пользователей это может не совпадать с UID атрибутОМ, именем, используемым для входа н шлюз безопасности. Этот атрибут также используется для создания отдельного имени для записи User Directory, то есть является RDN (относительным отличительным именем) в DN..

uid Зарегистрированное имя пользователя, то есть имя, используемое для входа в шлюз безопасности. Этот атрибут передается во внешнюю систему аутентификации для всех методов аутентификации, за исключением Internal Password (Внутренний Пароль), и должен быть определен для всех этих схем аутентификации. Зарегистрированное имя используется на Сервере управления безопасностью для поиска Сервера/ов User Directory. По этой причине, каждый пользовательская запись должна иметь свое



собственное уникальное значение UID. Кроме того, можно войти в шлюз безопасности с использованием полного DN. DN может использоваться, когда присутствует неоднозначность в отношении атрибута или в Internal Password, когда этот атрибут может отсутствовать. DN также может быть использован, когда тот же пользователь (с тем же UID) имеет определение в более чем одном Account Unit на различных серверах User Directory.

description Текст описания пользователя

по умолчанию

"значение не указано"

mail Адрес электронной почты пользователя.

по умолчанию

"значение не указано"

member Запись, которая может содержать ноль и более значений для этого атрибута.

• В шаблоне: DN записи пользователя с использованием этого шаблона. DN, которые не являются пользователями (классы объектов, которые не являются одним из следующих: " person ", " organizationalPerson ", "InetOrgPerson" или "fw1 person") игнорируются.

• В группе: DN пользователя.

userPassword

Должен быть предоставлен, если методом аутентификации (fw1методом) Internal Password. Значение можно хэшируется с использованием " crypt ". В этом случае синтаксис этого атрибута примет следующий вид:

"{crypt}xxyyyyyyyyyyy"

где "xx" является синтаксическим приемом контроля ошибок, а "yyyyyyyyyyy" является зашифрованным паролем.

Возможно (но не рекомендуется) хранение паролей без хэширования. Однако, если хеширования определено в настройках Сервера User Directory, вы не должны указывать хэширования здесь, для того, чтобы предотвратить повторное хэширование пароля. Вы должны также использовать SSL в этом случае, чтобы предотвратить отправку незашифрованного пароля.

Шлюз безопасности никогда не считывает этот атрибут, несмотря на то, что сам его создал. Вместо этого используется операция присваивания User Directory для проверки пароля.

fw1auth method Один из следующих:

RADIUS, TACACS, SecurID, Пароль из ОС, Defender

Это значение по умолчанию для этого атрибута отменяется Default Scheme (схемой по умолчанию) в вкладке окна Authentication (Аутентификация) в SmartDashboard. Например: Сервер User Directory может содержать записи User Directory, каждая из которых относится к классу объектов " person ", хотя собственный объект-класс " fw1 person" не был добавлен в схему сервера. Если схемой по умолчанию (Default Scheme) в SmartDashboard является Internal Password, то все пользователи будут проходить аутентификацию с использованием пароля, который хранится в атрибуте userPassword.



fwlauthserver

"X" в OID fw1person fw1template (шаблон fw1)

По умолчанию

1 y y "undefined" ("не определено"

Имя сервера, который будет выполнять аутентификацию, может быть предоставлено, если fw1auth- method (методом аутентификации fw1) является RADIUS или TACACS. Для всех остальных значений fw1auth-method оно игнорируется. Содержание атрибута указано ниже:

метод значение RADIUS имя RADIUS сервера, группы RADIUS

серверов или "Any" ("Любой")

TACACS имя TACACS сервера

"X" в OID fw1template (шаблон fw1) 2 y

fw1pwdLastMod

Дата последних изменений пароля.Формат yyyymmdd (ггггммдд), например 20 августа 1998 года -19980820. Пароль может быть изменен через шлюз безопасноси в качестве части процесса аутентификации.

"X" в OID fw1person fw1template (шаблон fw1) По умолчанию 3 y y Если значение

не задано, то пароль никогда не был изменен.

fw1expiration-date

Крайняя возможная дата захода пользователя в шлюз безопасности, или "значение не задано" при отсутствии срока. Формат yyyymmdd (ггггммдд), например 20 августа 1998 года - 19980820. По умолчанию значение не задано.



8 y y "no value" ("значение не задано")

fw1hour-range-from

Время, с которого пользователь может войти в шлюз безопасности. Формат hh:mm(чч:мм), например, 8:15 утра - 8:15.



9 y y "00:00"



fw1hour-range-to

Время, до которого пользователь может войти в шлюз безопасности. Формат hh:mm(чч:мм), например, 8:15 утра - 8:15.


По умолчанию 10 y y "23:59"

fw1day

Дни, в которые пользователь может войти в шлюз безопасности. Может иметь значения "SUN","MON" ("Пон", "Сб") и т.д.

"X" в OID fw1person

fw1template (шаблон fw1)


11 y y Все дни недели

fw1allowed-src

Имя одного или более сетевых объектов, из которых пользователь может запустить клиент, или "Any" ("Любой") для удаления этого ограничения, или "no value" ("значение не задано"), если нет такого клиента. Имена должны совпадать с именами сетевых объектов, определенных на Сервере управления безопасностью.




fw1allowed-dst

Имена одного или нескольких сетевых объектов, к которым пользователь может получить доступ, или "Any" (любой), чтобы избавиться от этого ограничения, или "no value" ("значение не задано"), если нет такого объекта сети. Имена должны совпадать с именами сетевых объектов, определенных на Сервере управления безопасностью.




fw1allowed-vlan

В настоящее время не используется.




fw1SR-keym Алгоритм, используемый для шифрования сеансового ключа SecuRemote. Возможные значения: "CLEAR" (при отсутствии ключа), "FWZ1", "DES" или "Any" ("Любой"). "X" в OID fw1person fw1template

(шаблон fw1) По умолчани

15 y y "Any" ("Любой").



fw1SR-datam Алгоритм, используемый для шифрования сеансового ключа SecuRemote. Возможные значения: "CLEAR" (при отсутствии ключа), "FWZ1", "DES" или "Any" ("Любой").



16 y y "Any" ("Любой").

fw1SR-mdm

Алгоритм, используемый для определения данных в SecuRemote. Возможные значения: "none" ("отсутствует") и"MD5".



17 y y "none" ("отсутствует")

fw1enc-fwz-expiration

Количество минут, после которого пользователь SecuRemote должен осуществить повторную аутентификацию в шлюзе безопасности.


18 y y

fw1sr-auth-track

The exception to generate on successful authentication via SecuRemote. Can be "none", "cryptlog" or "cryptalert".

Генерируется исключительно при успешной аутентификации через SecuRemote. Возможные значения: "none" ("отсутствует") "cryptlog" или "cryptalert".



19 y y "none" ("отсутствует")

fw1groupTemplate

Эта метка используется для разрешения проблем, связанных с участием в группе.

Данные об участии пользователя в группе хранятся в групповых записях, к которым они принадлежат, в самой пользовательской записи, или в обоих элементах. Поэтому в пользовательской записи отсутствует ясное указание того, должна ли быть использована информация о групповых отношения из шаблона.

Если это флажок "TRUE" (истинно), то пользователь считается членом всех групп, к которым относится шаблон (в дополнение ко всем группам, к которым пользователь уже принадлежит).



20 y y "False" (ложно)



fw1ISAKMP-EncMethod

Методы шифрования ключей для пользователей SecuRemote, использующих IKE. Возможные значения: "DES", "3DES". Для пользователя, использующего IKE (ранее известнен как ISAMP) может быть определено оба метода.



21 y y "DES", "3DES"

fw1ISAKMP-AuthMethods

Разрешенные методы аутентификации для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP). Возможные значения: "preshared", "signatures".



22 y y "signatures"

fw1ISAKMP-HashMethods

Метод интеграции данных для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP). Возможные значения: "MD5", "SHA1". Для пользователя, использующего IKE, должно быть определено оба метода.



23 y y "MD5", "SHA1"

fw1ISAKMP-Transform

Метод интеграции данных IPSec для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP). Возможные значения: "AH", "ESP".



24 y y "ESP"

fw1ISAKMP-DataIntegrityMethod

Метод интеграции данных IPSec для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP). Возможные значения: "MD5", "SHA1".

"X" в OID fw1person

fw1template (шаблон fw1)


25 y y "SHA1"

fw1ISAKMP-SharedSecret Совместно используемый секретный ключ для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP). Значение может быть вычислено с помощью командной линии fw ikecrypt.




26 y y

fw1ISAKMP-DataEncMethod

Метод шифрования данных для пользователей SecuRemote, использующих IKE (ранее известен как ISAMP).



27 y y "DES"

fw1enc-Methods

Метод шифрования разрешенный для пользователей SecuRemote. Возможные значения: "FWZ", "ISAKMP" (в значении IKE).

"X" в OID fw1person fw1template По умолчанию 28 y y "FWZ"

fw1userPwdPolicy

Определяет, когда и кем пароль должен и может быть изменен.

"X" в OID fw1person 29 y

fw1badPwdCount

Допустимое количество последовательных попыток введения неверного пароля

"X" в OID fw1person 30 y

fw1lastLoginFailure

Время последнего отказа входа в систему.

"X" в OID fw1person 31 4

memberof template DN из шаблона, членом которого является пользователь. "X" в OID fw1person 33 4



Профили User Directory

Профиль User Directory является настраиваемой политикой LDAP, которая позволяет определить более точные запросы User Directory и углубляет сообщение с сервером. Профили содержат большую часть информации Сервера LDAP. Вы можете управлять разнообразными техническими решениями для интеграции LDAP серверов различных производителей.

Используйте профили User Directory, чтобы убедиться, что атрибутами управления пользователями Сервера управления безопасностью являются корректными для соответствующего сервера LDAP. Например, если у вас есть сертифицированный сервер OPSEC User Directory, примените профиль OPSEC_DS, чтобы получить расширенные атрибуты OPSEC.

LDAP серверы имеют разные хранилища объектов, схемы и объектные отношения.

• База данных пользователей организации может иметь нетрадиционные типы объектов и отношений из-за специфического приложения.

• Некоторые приложения используют атрибут en в относительном отличительном имени (RDN) пользовательского объекта, в то время как другие используют uid.

• В Microsoft Active Directory пользовательский атрибут memberof информирует о том, к какой группе принадлежит пользователь, в то время как стандартные схемы LDAP содержат атрибут member в самом группом объекте.

• Различные сервера поддерживают различные форматы хранения паролей.

• Некоторые серверы принадледжат типу v3, но не реализуют все v3 спецификации. На этих серверах нельзя расширить схему.

• Некоторые серверы LDAP уже имеют встроенную поддержку для некоторых данных пользователя, в то время как другие требуют расширенные атрибуты схемы Check Point. Например, Microsoft Active Directory имеет пользовательский атрибут accountExpires, а другие серверы требуют атрибут Check Point fwlexpirationdate, который является частью объектного класса Check Point fwlperson.

• Некоторые серверы допускают запросы неопределенного типа, в то время как другие не допускают.

Профили User Directory Profiles по умолчанию Эти профили определены по умолчанию: • OPSEC_DS - профиль по умолчанию для стандартного концепта OPSEC сертифицированного каталога User Directory. • Netscape_DS - профиль для Сервера Netscape Directory. • Novell_DS - профиль для Сервера Novell Directory. • Microsoft_AD - профиль для Microsoft Active Directory. Изменение профилей User Directory Профили имеют следующие основные категории: • Common - настройки профиля для чтения и записи в User Directory (каталог пользователей).

• Read - Настройки профиля только для чтения из User Directory (каталог пользователей)..

• Write - Настройки профиля только для записи в User Directory (каталог пользователей)..

Некоторые из этих категорий включают одну и ту же запись, но с различными значениями, что позволяет серверу менять поведение в зависимости от типа операции. Вы можете изменить некоторые параметры профилей по умолчанию для большей детализации и повышения производительности. Чтобы применить профиль: 1. Откройте Account Unit (учетный узел). 2. Выберите профиль.



Чтобы изменить профиль: 1. Создайте новый профиль. 2. Скопируйте настройки профиля User Directory в новый профиль. 3. Измените значения.

Эффективная выборка информации о пользователе Серверы User Directory организуют группы и их участников с помощью различных средств и отношений. Операции User Directory выполняются пользователями Check Point, группами пользователей и пользовательскими шаблонами, где шаблон определяется как групповая запись, членами которой являются пользователи. Режим, в котором определены группы / шаблоны и пользователи оказывает весомое воздействие на производительность некоторых функции Check Point при выборке информации о пользователях. Существуют три различных режима:

• Назначение атрибута Member (участник) для каждого члена группы или режим членства User-to-Group (пользователь-группа) Member. В этом случае, каждый член группы получает конкретный атрибут Member, где значением этого атрибута является DN члена группы.

• Назначение атрибута Memberof для каждой группы или режим членства User-to-Group (пользователь-группа) MemberOf. В этом случае, каждая группа получает атрибут Memberof, где значением атрибута является DN групповой записи. Это называют MemberOf режимом членства.

• Назначение атрибута Memberof для каждого члена группы или режим членства User-to-Group Both (оба варианта). В этом случае и члены группы и сами группы приведены в атрибуте Memberof.

Наиболее эффективными режимами являются MemberOf и Both, в которых информацию о членстве пользователей в группах можно получить от самого пользователя и не требуются дополнительные запросы User Directory.

Настройка режима членства User-to-Group

Установите режим членства user-to-group (пользователь-группа) в профиле объектов для каждого Сервера User Directory objects50.C.

• Чтобы указать членство user-to-group (пользователь-группа) и template-to-group (шаблон-группа) настройте атрибут GroupMembership с одним из следующих значений: Member, MemberOf, Both соответственно.

• Чтобы указать членство в режиме user-to-template настройте атрибут TemplateMembership с одним из следующих значений: Member, MemberOf соответственно.

После успешного преобразования базы данных настройте профиль Сервера User Directory в objects5o. с, используя правильные параметры членства, и запустите Сервер управления безопасностью. Убедитесь, что на всех шлюзах установлена политика/база пользователей, необходимые для вступления в силу новой конфигурации.



Атрибуты профиля

Атрибуты: UserLoginAttr 42 UserPasswordAttr 43 TemplateObjectClass 43 ExpirationDateAttr 43 ExpirationDateFormat 43 PsswdDateFormat 43 PsswdDateAttr 43 BadPwdCountAttr 44 ClientSideCrypt 44 DefaultCryptAlgorith 44 CryptedPasswordPrefix 44 PhoneNumberAttr 44 AttributesTranslationMap 45 ListOfAttrsToAvoid 45 BranchObjectClass 45 BranchOCOperator 45 OrganizationObjectClass 45 OrgUnitObjectClass 46 DomainObjectClass 46 UserObjectClass 46 UserOCOperator 46 GroupObjectClass 46 GroupOCOperator 47 UserMembershipAttr 47 TemplateMembership 47 TemplateMembershipAttr 47 UserTemplateMembershipAttr 48 OrganizationRDN 48 OrgUnitRDN 48 UserRDN 48 GroupRDN 48 DomainRDN 49 AutomaticAttrs 49 GroupObjectClass 49 OrgUnitObjectClass 49 OrganizationObjectClass 49 UserObjectClass 50 DomainObjectClass 50

UserLoginAttr

Уникальный атрибут имя пользователя User Directory (UID). Кроме того, при выборке пользователей с помощью имени пользователя, этот атрибут используется для запроса.

По умолчанию Другие • uid (для большинства серверов) • SamAccountName (в Microsoft_AD)

Допускается одно значение



UserPasswordAttr

Атрибут пользовательского пароля User Directory.

По умолчанию Другие • userPassword (для большинства серверов) • unicodePwd (в Microsoft_AD)


TemplateObjectClass

Класс объектов для шаблонов Check Point User Directory. Если вы измените значение по умолчанию на другой объектный класс, удостоверьтесь, что характеристики схемы этого класса объектов содержат соответствующие атрибуты из fw1template.

По умолчанию Другие fw1template Допускается несколько

значений

ExpirationDateAttr

Дата истечения учетной записи атрибута User Directory. Может являться расширенным атрибутом Check Point или существующим атрибутом.

По умолчанию Другие • fw1expiration-date (для большинства серверов) • accountExpires (в Microsoft_AD)


ExpirationDateFormat

Формат срока годности. Этот формат будет применен к значению, заданному в ExpirationDateAttr.

По умолчанию Другие CP формат yyyymmdd (гггммдд)


PsswdDateFormat

Формат атрибута даты изменения пароля User Directory. Этот формат будет применяться к значениям, указанным в PsswdDateAttr.

По умолчанию Другие • CP (для большинства серверов) формат yyyymmdd (гггммдд) • MS (в Microsoft_AD)


PsswdDateAttr

Атрибут даты последнего изменения пароля User Directory.

По умолчанию Другие • fw1pwdLastMod (для большинства серверов) • pwdLastSet (в Microsoft_AD)




BadPwdCountAttr

Атрибут User Directory для хранения и считывания кол-ва неверных введений пароля.

По умолчанию Другие fw1BadPwdCount Допускается одно значение

ClientSideCrypt

Если указано значение 0, отправленый пароль не шифруется. Если указано значение 1, отправлено пароль будет зашифрован с помощью алгоритма, указанного в DefaultCryptAlgorithm.

По умолчанию Другие • 0 для большинства серверов Допускается одно значение

• 1 для Netscape_DS

• SHAI 1

DefaultCryptAlgorith

Алгоритм, используемый для шифрования паролей перед обновлением Сервера User Directory с новым паролем. По умолчанию Другие • Ясно (для большинства серверов) Допускается одно значение

• Crypt (для Netscape_DS)

SSL рекомендован при неиспользовании зашифрованных паролей

CryptedPasswordPrefix

Текст- префикс к зашифрованному паролю при обновлении Сервера User Directory с измененным паролем.

По умолчанию Другие {Crypt} (для Netscape_DS) Допускается одно значение

PhoneNumberAttr

User Directory атрибут для хранения и чтения номера телефона пользователя.

По умолчанию Другие internationalisednumber Допускается одно значение

AttributesTranslationMap

Карта отображения атрибутов общего назначения для решения проблем, связанных с особенностями различных типов серверов. Например, сервер X.500 не допускает символ "-" в имени атрибута. Чтобы включить атрибуты Check Point, содержащие "-", укажите перевод записи: (например, "fw1-expiration =fw1expiration").



По умолчанию Другие отсутствует Допускается несколько значений

ListOfAttrsToAvoid

Все имена атрибутов, указанные здесь, будут удалены из списка атрибутов, задействованных в операциях чтения / записи (по умолчанию). Это особенно полезно в случаях, когда эти атрибуты не поддерживаются схемой Сервера User Directory, что может привести к сбою всей операции. Это актуально, когда схема Сервера User Directory не дополнена расширением схемы Check Point.

По умолчанию Другие

Нет значений по умолчанию. В случае, если Сервер User Directory не был дополнен схемой Check Point, имеет смысл занести сюда список всех новых атрибутов схемы Check Point.

Допускается несколько значений

BranchObjectClass

Используйте этот атрибут, чтобы определить, какие типы объектов (классы объектов) запрашиваются при отображении ветвей дерева объектов после открытия учетного узла (Account Unit) в SmartDashboard.


• Organization OrganizationalUnit Domain (для большинства серверов)


• Container (только для Microsoft AD)

BranchOCOperator

Если установленно значение One, будет послан OR запрос и каждый объект, который соответствует критериям, будут отображаться в виде ветви. Если стоит значение All, будет послан ANDed запрос и будут отображаться только объекты всех типов.

По умолчанию Другие One Допускается одно

значение

OrganizationObjectClass

Этот атрибут определяет, какие объекты должны отображаться со значком объекта организации. Новый тип объекта, указанный здесь, также должен быть указан в BranchObjectClass.

По умолчанию Другие organization Допускается несколько значений

OrgUnitObjectClass

Этот атрибут определяет, какие объекты должны отображаться со значком объекта организации. Новый тип объекта, указанный здесь, также должен быть указан в BranchObjectClass.



По умолчанию Другие • organizationalUnit (для большинства серверов)


• Contained (добавлено к Microsoft_AD)

DomainObjectClass

Этот атрибут определяет, какие объекты должны отображаться со значком объекта домена. Новый тип объекта, указанный здесь, также должен быть указан в BranchObjectClass.

По умолчанию Другие Domain Допускается несколько

значений

UserObjectClass

Этот атрибут определяет, какие объекты следует считать пользовательскими объектами. Значок пользователя будет отображаться в дереве объектных типов, указаных здесь.

По умолчанию Другие • User (в Microsoft_AD) Допускается несколько

значений • Person

OrganizationalPerson

InertOrgPerson

FW1 Person (most servers)

UserOCOperator

Если значением является ''one'', будет отослан ORed запрос и каждый объект, который соответствует одному из типов, будет отображаться в качестве пользователя. Если стоит значение " all " и отсылается ANDed запрос, отображаются только объекты всех типов.

По умолчанию Другие One Допускается одно значение

GroupObjectClass Этот атрибут определяет, какие объекты должны рассматриваться как группы. Значок группы будет

Другие

Groupofnames Допускается несколько значений

Groupofuniquenames (для большинства серверов)

Group

Groupofnames в Microsoft_AD)



GroupOCOperator

Если значением является ''one'', будет отослан ORed запрос и каждый объект, который соответствует одному из типов, будет отображаться в качестве пользователя. Если стоит значение " all " и отсылается ANDed запрос, отображаются только объекты всех типов.

GroupMembership

По умолчанию Другие One Допускается одно

значение

Определяет режим связи между группой и ее членами (пользовательскими объектами или объектами шаблона) при определении членства в группе.


• Режим Member mode определяет DN участника в групповом объекте (Group object) ( (для большинства серверов)

Допускается одно значение • Режим MemberOf mode определяет DN группы в объекте участника (Member

object) (в Microsoft_AD) • Режим Modes определяет DN участника в групповом объекте (Group object) и DN группы в объекте участника (Member object).

UserMembershipAttr

Определяет, какие атрибуты User Directory использовуются при определении членства в группах в пользовательских объектах или объектах шаблона, если GroupMembership режимом (режимом членства в группе) является MemberOf или Both режим, может потребоваться расширение схемы пользовательских объектов / объектов шаблона для получения возможности использовать атрибут.

По умолчанию Другие MemberOf Допускается одно значение

TemplateMembership

Определяет для пользователя режим шаблонного членства при чтении информации о пользовательских шаблонах членства.

По умолчанию Другие • Режим Member mode определяет DN участника в групповом объекте (Group object) (для большинства серверов) • Режим MemberOf mode определяет DN группы в объекте участника

(Member object) (в Microsoft_AD)


TemplateMembershipAttr

Определяет, какой следует использовать атрибут при чтении пользователей как членов групп из шаблона объекта, таких как User DN, если режимом TemplateMembership (шаблона членства) является Member.

По умолчанию Другие member Допускается несколько

значений



UserTemplateMembershipAttr

Определяет, какой следует использовать атрибут при чтении из пользовательских объектов шаблонного DN, связанного с пользователем, если TemplateMembership режимом является MemberOf.

По умолчанию Другие member Допускается несколько

значений

OrganizationRDN

Это значение будет использоваться в качестве имени атрибута в относительном отличительнм имени (RDN) при создании новой организации через SmartDashboard.

По умолчанию Другие o Допускается одно значение

OrgUnitRDN

Это значение будет использоваться в качестве имени атрибута в относительном отличительнм имени (RDN) при создании нового OrganizationalUnit (организационного элемента) через SmartDashboard.

По умолчанию Другие ou Допускается одно значение

UserRDN

Это значение будет использоваться в качестве имени атрибута в относительном отличительнм имени (RDN) при создании нового объекта пользователя (User object) через SmartDashboard.

По умолчанию Другие cn Допускается одно значение

GroupRDN

Это значение будет использоваться в качестве имени атрибута для RDN при создании нового группового объекта (Group object) через SmartDashboard.

По умолчанию Другие cn Допускается одно

значение DomainRDN

Это значение будет использоваться в качестве имени атрибута для RDN при создании нового объекта домена (Domain object) через SmartDashboard.

По умолчанию Другие dc Допускается одно значение



AutomaticAttrs Это поле актуально при создании объектов в SmartDashboard. Формат этого поля Objectclass:name:value означает, что если создаваемый объект имеет тип ObjectClass, то дополнительные атрибуты будут включены в созданный объект с именем name и значением "value".

По умолчанию Другие user:userAccountControl:66048 Для Microsoft_AD Это значит, что когда создается пользовательский объект, дополнительные атрибуты включаются автоматически: userAccountControl со значением 66048


GroupObjectClass

Это поле используется при изменении существующей группы в SmartDashboard. Формат этого поля ObjectClass:memberattr означает, что для каждого группового класса объектов есть атрибут группового членства. Перечислите здесь все возможные преобразования для этого профиля Сервера User Directory. Когда группа будет изменена, на основе групповых классов объектов будет использован правильный вид членства в группе.

По умолчанию Другие groupOfNames:member Допускается несколько

значений

groupOfUniqueNames:uniqueMember

(Все остальные серверы)

OrgUnitObjectClass

Определяет, какие классы объектов (ObjectClass) использовать при создании/изменении объекта OrganizationalUnit. Эти значения могут отличаться от аналогичного атрибута при чтении.

По умолчанию Другие OrganizationalUnit Допускается несколько

значений

OrganizationObjectClass

Определяет, какие классы объектов (ObjectClass) использовать при создании и / или изменении объекта организации (Organization object). Эти значения могут отличаться от аналогичного атрибута при чтении.

По умолчанию Другие Organization Допускается несколько

значений



UserObjectClass

Определяет, какие классы объектов (ObjectClass) использовать при создании и / или изменении объекта пользователя (user object). Эти значения могут отличаться от аналогичного атрибута при чтении.

По умолчанию Другие User (в Microsoft_AD) Допускается несколько

значений person

organizationalPerson

inetOrgPerson

fw1Person

(Все остальные серверы)

DomainObjectClass

Определяет, какие классы объектов (ObjectClass) использовать при создании и / или изменении объекта контекста домена (domain context object). Эти значения могут отличаться от аналогичного атрибута при чтении.

По умолчанию Другие Domain Допускается несколько

значений

Глава 3

Внутреннее управление пользователями и администраторами

В этой главе: Глоссарий 51 SmartDashboard 52 База данных пользователей 52 Пользовательские шаблоны 52 Настройка пользователей 53 Управление группами пользователей 55 Настройка администраторов 56 Настройка групп администраторов 58 Управление сроком истечения действия учетных записей пользователей и администраторов 59 Работа с профилями прав доступа 61

SmartDashboard администраторы с правами могут управлять учетными записями пользователей и правами доступа других администраторов. Вы можете использовать объекты пользователей и администраторов Check Point.

Глоссарий Этот глоссарий содержит важные термины, которые используются в этой главе.

• Администратор — человек из персонала, ответственный за управление средой управления безопасностью. Администраторы имеют разрешения на использование SmartConsole клиентов.

• Группы Администраторов — Именованные группы администраторов c разрешением на установку политики на указанных шлюзах.

• Внешние пользователи — пользователи, обозначенные на внешних серверах. Внешние пользователи не определены в базе данных Управления безопасности или на LDAP сервере. Профили внешних пользователей сообщают системе, как идентификацировать и аутентификацировать внешне определенных пользователей.

• LDAP группы — группы пользователей, заданные на учетном узле LDAP. Вы можете указать LDAP группы в правилах политики таким же образом, как и отдельных пользователей или группы пользователей.

• Профили прав доступа — предопределенный набор прав доступа, которые вы выдаете отдельным администраторам. Эта функция позволяет устанавливать сложноорганизованные, детализированные права доступа и управлять ими в отношении многих администраторов с идентичными харакетристиками.

• Шаблоны — Предопределенные наборы пользовательских свойств, которые позволяют быстро определить новых пользователей.

• Пользователи — Персонал, уполномоченный использовать сетевые ресурсы и приложения.

• База данных пользователей —Внутренняя база данных Check Point, которая содержит всех пользователей и администраторов, определяемых и управляемых с помощью SmartDashboard. База данных пользователей Check Point не содержит пользователей, определенных в LDAP группах или внешних пользователей.

• Группы пользователей —Именованные группы пользователей с соответствующими обязанностями или те, кто осуществляет соответствующие задачи. Вы можете указать группу пользователей в правил политики таким же образом, как и отдельных пользователей.

Внутренне управление пользователями и администраторами


SmartDashboard

Решение по управлению пользователями Check Point является частью SmartDashboard. Пользователи, администраторы и их группы управляются как объекты с использованием стандартных средства администрирования объекта: панели дерева объектов и окна Objects Manager (менеджер объектов) • Панель дерева объектов (вкладка Users and Administrators (пользователи и администраторы):

• Обеспечивает графический обзор всех пользователей и администраторов. • Позволяет управлять пользователями и администраторами при щелчке правой кнопкой мыши на соответствующую папку (например, Administrator, Administrator Groups, External User Profiles и т.д.) и выборе соответствующей команды (Add (добавить), Edit (редактировать), Delete (удалить) и т.д.) из меню.

• Objects Manager (окно Users and Administrators): • Список всех пользователей и администраторов (вы можете отфильтровать этот список, чтобы сфокусироваться на конкретных типах пользователей или администраторов). • Позволяет вам создавать новые объекты с использованием меню New... , и также удалять или изменять объекты, выбирая их в списке и нажимая Remove и Edit (удалить или редактировать) соответственно.

Определение пользователя включает в себя права доступа к и от конкретных машин в определенное время дня. Определение пользователя может использоваться в Правилах аутентификации Базы правил (Rule Base's Authentication Rules) и в удаленном доступе (Remote Access) VPN.

В дальнейшем SmartDashboard облегчает управление пользователями, позволяя определить шаблоны пользователей и администраторов (templates). Шаблоны служат прототипами обычных пользователей, свойства которых являются общими для многих пользователей. Любой пользователь, которого вы создаете на основе шаблона, наследует все свойства шаблона, включая членство в группах.

База данных пользователей

Пользователи, определенные в SmartDashboard (и их схемы аутентификации и ключи шифрования), сохраняются в оригинальной внутренней базе данных пользователей Check Point (Users Databases) на Сервере управления безопасностью.

Users Database автоматически загружается на хосты Check Point с установленными блейдами управляющего программного обеспечения (Management Software Blades) как часть процесса установки Политики. Кроме того, можно вручную установить базу данных пользователей, выбрав Policy > Install Database (Политика> Установить базу данных) из меню. Шлюзы безопасности, которые не включают блейды управляющего программного обеспечения, не получают Users Database.

Users Database не содержит информацию о внешних для Сервера управления безопасностью пользователях (например, пользователи во внешних групп пользователей Directory), но содержит информацию о самих внешних группах (например, на котором учетном узле определяется внешняя группа). По этой причине изменения внешних групп вступают в силу только после того, как политика безопасности установлена или после того, как загружена Users Database.

Пользовательские шаблоны Пользовательский шаблон позволяет создать прототип обычного пользователя, свойства которого являются общими для многих пользователей. Любой пользователь, которого вы создаете на основе этого шаблона, наследует все свойства пользовательских шаблонов, в том числе членство в группах. Изменения в шаблоне не влияют на существующих пользователей, только в будущих. Для создания нового пользовательского шаблона: 1. Перейдите во вкладку Users(пользователи) в дереве объектов. 2. Нажмите Users and Administrators (пользователи и администраторы). 3. Щелкните General Properties (общие свойства) и введите имя шаблона в поле Template name. Это свойство необходимо и учитывает регистр. 4. Выполните одно из следующих действий, чтобы установить срок действия:

• выбрите в соответствие глобальным свойствам (According to Global Properties), чтобы использовать дату истечения срока по умолчанию. • выберите Expire at (истекает ...) для того, чтобы вручную установить срок. Выберите дату с помощью календаря.

5. Определите остальные свойства пользователя (см. "Настройка пользователей" на стр. 62).



Чтобы использовать этот шаблон для создания нового пользователя: 1. Щелкните правой кнопкой мыши папку Users (пользователи) и выберите New User > [Template name] (новый пользователь> [Имя шаблона]). 2. Во вкладке Genera (общие), введите имя пользователя. Имя пользователя не наследуется из шаблона. 3. Определите или измените другие свойства (см. "Настройка пользователей" на стр. 62) по требованию. Другие свойства наследуются из шаблона.

Настройка пользователей

Пользователи - это персонал, ответственный за управление средой управления безопасностью (Security Management environment). Администраторы имеют разрешения использовать SmartConsole клиенты.

Этот раздел включает в себя процедуры настройки пользователей, использующиеся в SmartDashboard.

В этом разделе: Создание или изменение пользователя 53 Общие свойства 53 Установка даты истечения срока действия учетной записи 54 Назначение профиля прав доступа 54 Аутентификация 54 Местоположения пользователя 55 Время соединения 55 Сертификаты 55 Шифрование 55

Создание или изменение пользователя

В этом разделе показано, как создавать, изменять или удалять пользователей. Чтобы создать нового пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators. 2. Щелкните правой кнопкой мыши по пользователю. Откроется окно свойств пользователя (User Properties). 3. Настраивайте свойства по мере необходимости. Для изменения существующего пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators. 2. Дважды щелкните по пользователю. Откроется окно свойств пользователя (User Properties). 3. Настраивайте свойства по мере необходимости. Для удаления пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators. 2. Выберите пользователя. 3. Нажмите Delete (удалить), а затем нажмите кнопку OK в окне подтверждения. Если пользователь является членом группы, откроется еще одно окно подтверждение. Нажмите OK, чтобы продолжить.

Общие свойства (General Properties) Общие свойства включают в себя имя и другие дополнительные свойства. Чтобы настроить общие свойства: 1. В окне User Properties (свойства пользователя), нажмите General Properties (общие свойства). 2. Введите уникальное имя в поле User Name. Свойство Имя пользователя необходимо и учитывает регистр. 3. При желании можно ввести адрес электронной почты и номер мобильного телефона в указанные поля.



Примечание - Если вы создаете сертификат пользователя не с помощью центра сертификации Check Point, введите компонент общего имени (CN - Common Names) отличительного имени (DN).

Например, если DN имеет вид: [CN = James, O = My Organization, C = My Country], введите James в качестве имени пользователя.

Если вы используете Common Names как имена пользователей, они должны содержать только одну строку без пробелов.

Установка даты истечения срока действия учетной записи

Вы можете назначить дату истечения срока действия для каждого пользователя. После истечения пользователю не будет больше не разрешен доступ к сетевым ресурсам и приложениям. SmartDashboard включает в себя инструменты для управления сроками и предупреждения пользователей о скором истечении срока действия. Чтобы настроить срок годности: 1. Откройте User Properties > General Properties (свойства ользователя > панель "Общие свойства"). 2. В разделе Expiration Date щелкните по стрелке и выберите дату истечения срока действия при помощи календаря. Срок действия по умолчанию показан в Настройках истечения срока действия по умолчанию ("Настройка параметров срока дейтсвия по умолчанию" на стр. 60).

Назначение профиля прав доступа (Permissions Profile) Профиль прав доступа является предопределенным набором административных прав доступа Управления безопасностью и SmartConsole, присваиваемым отдельным администраторам. Эта функция позволяет устанавливать сложноорганизованные, детализированные права доступа и управлять ими в отношении многих администраторов с идентичными харакетристиками. При настройке администратора необходимо назначить профиль прав доступа. Администраторы с соответствующими разрешениями могут создавать и управлять профилями права доступа. Для выдачи прав доступа администратору: 1. В SmartDashboard создайте нового администратора или дважды щелкните по существующему администратору. 2. В окне Administrator Properties (свойства администратора) перейдите ко вкладке General Properties (общие свойства). 3. Выберите профиль прав доступа из списка.

Вы также можете сделать эти действия в окне Administrator Properties (свойства администратора):

• Нажмите кнопку New (создать), чтобы создать новый профиль прав доступа. Вы должны иметь соответствующие права доступа для этого.

• Нажмите кнопку View (просмотр), чтобы увидеть выбранный профиль прав доступа.

Аутентификация Все пользователи должны быть аутентифицированы для доступа к сетевым ресурсам. Выберите и настройте метод аутентификации для данного администратора. Если вы не выберите метод аутентификации, администратор не сможет войти в систему или использовать сетевые ресурсы. Для выбора схемы аутентификации для данного пользователя:

1. В окне User Properties (свойства пользователя), выберите Authentication.

2. В окне Authentication выберите схему аутентификации.

3. Если потребуется, введите пароль и его подтверждение.

4. Для RADIUS или TACACS аутентификации выберите сервер.



Местоположения пользователя Чтобы добавить местоположения пользователя в сети:

1. В окне свойств пользователя (User Properties), щелкните Location. 2. Выберите один или несколько сетевых объектов (Network Objects) из списка. 3. Нажмите кнопку Add (добавить), чтобы добавить эти места к источнику или списку назначений.

Чтобы удалить местоположения из прав доступа пользователя: 1. В В окне свойств пользователя (User Properties), щелкните Location. 2. Выберите один или несколько мест из списка назначений или источников (Source/ Destination list). 3. Нажмите кнопку Remove (удалить).

Время соединения Настраивайте дни и время, в течение которых конкретный пользователь может подключаться к сетевым ресурсам и приложениям. Чтобы настроить дни и часы: 1. В окне свойств пользователя (User Properties) нажмите Time. 2. Установите или удалить дни недели, в которые пользователь может подключаться к сетевым ресурсам. 3. Введите период времени, в течение которого пользователь может подключиться к указанным областям.

Сертификаты Вы можете создавать сертификаты для данного пользователя и управлять ими. В панели Certificates вы можете: • Отправить регистрационный ключ, который позволяет пользователю активировать сертификат.

• Создать файл сертификата .p12 с помощью личного ключа-пароля для этого пользователя.

• В любой момент отменить существующий сертификат.

Для создания и отзыва сертификатов для данного пользователя: 1. В окне свойств пользователя (User Properties) щелкните Certificates.

2. Чтобы создать новый сертификат нажмите New или дважды щелкните по существующему

сертификату, чтобы отредактировать его. Выполните одно из следующих действий:

• Нажмите Registration Key (регистрационный ключ) для отправки регистрационного ключа, который активирует сертификат. При появлении запроса выберите количество дней, в течение которых пользователь должен активировать сертификат до истечения срока действия ключа. • Выберите Certificate file (файл сертификата) для создания файла сертификата .p12. Введите и подтвердите пароль сертификата при запросе.

Шифрование Выберите и настройте метод шифрования для данного пользователя. Чтобы выбрать метод шифрования: 1. В окне свойств пользователя (User Properties), нажмите Encryption. 2. Выберите метод шифрования. 3. Нажмите кнопку Edit (изменить), чтобы изменить настройки для этого метода шифрования. 4. Выберите Password (пароль), если этот пользователь проходит аутентификацию по предварительному совместно используемому секретному ключу. Введите и подтвердите пароль. 5. Выберите Public Key (открытый ключ), если аутентификации пользователя проходит с помощью открытого ключа, содержащегося в файле сертификата.

Управление группами пользователей (User Groups) Группы пользователей являются сборниками связанных учетных записей пользователей. Эти группы позволяют управлять многими учетными записями пользователей и производить над ними



операции единовременно. Для создания новой группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Щелкните правой кнопкой мыши по группе пользователей (User Groups) и выберите New Group в меню настроек. Откроется окно свойств группы (Group Properties). Для изменения настроек групп пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Дважды щелкните по группе пользователей. Откроется окно свойств группы (Group Properties). Для добавления пользователей или групп пользователей в группу: 1. В окне Group Properties (свойства группы) выберите пользователей или группы пользователей в списке выбранных элементов (Selected Members). 2. Нажмите кнопку Add (добавить). 3. Если вы добавляете группу в список, выполните одно из следующих действий, когда откроется окно: • Нажмите кнопку Yes для добавления отдельно членов группы вместо группы. • Нажмите No, чтобы добавить только группу. Для удаления пользователей или группы пользователей из группы: 1. В окне Group Properties (свойства группы) выберите пользователей или группы пользователей в списке выбранных элементов (Selected Members).. 2. Нажмите кнопку Remove (удалить). Для удаления группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Выберите группу 3. Нажмите кнопку Delete (удалить), а затем нажмите кнопку No для подтверждения.

Настройка администраторов

Администраторами является персонал, ответственный за управление средой управления безопасностью. Администраторы имеют разрешение на использование SmartConsole клиентов.

Создание или изменение Администратора В этом разделе показано, как создавать, изменять или удалять администратором.

Для создания нового пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Щелкните правой кнопкой мыши Administrators (администраторы). Откроется окно свойств администратора (Administrator Properties). 3. Настройте пользовательские свойства при необходимости.

Для изменения существующего пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Дважды щелкните по существующему администратору. Откроется окно свойств администратора (Administrator Properties). 3. Настройте пользовательские свойства при необходимости.

Для удаления пользователя: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Выберите администратора. 3. Нажмите кнопку Delete (удалить) и нажмите кнопку ОК в окне подтверждения. Если администратор является членом группы, откроется другое окно подтверждения. Нажмите OK, чтобы продолжить.



Настройка общих свойств Чтобы настроить общие свойства: 1. В окне Administrator Properties (свойства администратора) нажмите General Properties (общие свойства). 2. Введите уникальное имя в поле User Name (имя пользователя). Свойство Имя пользователя не требуется, и с учетом регистра. 3. При желании можно ввести адрес электронной почты и номер мобильного телефона в указанные поля.

Примечание: Если вы создаете сертификат пользователя с не-Check Сертификации точки

введите общее имя (CN) компонент отличительного имени (DN).Например, если DN имеет вид: [CN = Джеймс, O = My Organization, C = Моя страна], введите Джеймса в качестве имени пользователя.

Common names (общие имена), используемые в качестве имен пользователей, должны занимать одну строку без пробелов.

Установка даты истечения срока действия учетной записи

Вы можете назначить дату истечения срока действия для каждого пользователя. После истечения пользователю не будет больше не разрешен доступ к сетевым ресурсам и приложениям. SmartDashboard включает в себя инструменты для управления сроками и предупреждения пользователей о скором истечении срока действия. Чтобы настроить срок годности: 1. Откройте User Properties > General Properties (свойства ользователя > панель "Общие свойства"). 2. В разделе Expiration Date щелкните по стрелке и выберите дату истечения срока действия при помощи календаря. Срок действия по умолчанию показан в Настройках истечения срока действия по умолчанию ("Настройка параметров срока действия учетной записи по умолчанию" на стр. 71).

Назначение профиля прав доступа (Permissions Profile) Профиль прав доступа является предопределенным набором административных прав доступа Управления безопасностью и SmartConsole, присваиваемых отдельным администраторам. Эта функция позволяет устанавливать сложноорганизованные, детализированные права доступа и управлять ими в отношении многих администраторов с идентичными харакетристиками. При настройке администратора необходимо назначить профиль прав доступа. Администраторы с соответствующими разрешениями могут создавать и управлять профилями права доступа. Для выдачи прав доступа администратору: 1. В SmartDashboard создайте нового администратора или дважды щелкните по существующему администратору. 2. В окне Administrator Properties (свойства администратора) перейдите ко вкладке General Properties (общие свойства). 3. Выберите профиль прав доступа из списка.

Вы также можете сделать эти действия в окне Administrator Properties (свойства администратора):

• Нажмите кнопку New (создать), чтобы создать новый профиль прав доступа (см. Создание и изменение профиля прав доступа на стр. 72).

• Нажмите кнопку View (просмотр), чтобы увидеть выбранный профиль прав доступа.

Группы администраторов (Administrator Groups) Группы администраторов являются набором связанных учетных записей администраторов. Эти группы позволяют управлять многими учетными записями администраторов и производить над ними операции единовременно.

Для создания новой группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Щелкните правой кнопкой мыши по группе пользователей (User Groups) и выберите New Group в меню настроек. Откроется окно свойств группы (Group Properties). 3. Чтобы добавить пользователя или пользователей в эту группу, нажмите Add (добавить). Если вы



выбираете группу, появляется всплывающее окно. Вам нужно выполнить одно из следующих действий: • Нажмите кнопку Yes для добавления отдельно членов группы вместо группы. • Нажмите No, чтобы добавить только группу. 4. Необязательными для заполнения полями являются Comment, Email Address or Mobile Phone Number (комментарии, адрес электронной почты или номер мобильного телефона).

Для изменения группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Дважды щелкните по группе пользователей. Откроется окно свойств группы (Group Properties). Чтобы добавить пользователя или пользователей в эту группу, нажмите Add (добавить). Если вы выбираете группу, появляется всплывающее окно. Вам нужно выполнить одно из следующих действий: • Нажмите кнопку Yes для добавления отдельно членов группы вместо группы. • Нажмите No, чтобы добавить только группу.

Аутентификация Все пользователи должны быть аутентифицированы для доступа к сетевым ресурсам. Выберите и настройте метод аутентификации для данного администратора. Если вы не выберите метод аутентификации, администратор не сможет войти в систему или использовать сетевые ресурсы.

Для выбора схемы аутентификации для данного пользователя: 1. В окне User Properties (свойства пользователя), выберите Authentication. 2. В окне Authentication выберите схему аутентификации. 3. Если потребуется, введите пароль и его подтверждение. 4. Для RADIUS или TACACS аутентификации выберите сервер.

Сертификаты Для создания и отзыва сертификатов для данного пользователя: 1. В окне свойств пользователя (User Properties) щелкните Certificates. 2. Чтобы создать новый сертификат нажмите Generate and save (сгенерировать и сохранить). 3. Чтобы отозвать существующий сертификат, нажмите кнопку Revoke (отозвать).

Настройка групп администраторов Группы администраторов (Administrator groups) - это группы связанных администраторов. Эти группы позволяют управлять многими учетными записями администраторов и производить над ними операции единовременно.

Для создания новой группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Щелкните правой кнопкой мыши по группе пользователей (User Groups) и выберите New Group в меню настроек. Откроется окно свойств группы (Group Properties). 3.Для добавления или удаления администраторов из группы:

a) Чтобы добавить пользователя или пользователей в эту группу, нажмите Add (добавить). Примечание: Если вы выбираете группу, появляется всплывающее окно. Вам нужно выполнить одно из следующих действий: • Нажмите кнопку Yes для добавления отдельно членов группы вместо группы. • Нажмите No, чтобы добавить только группу.

b) Чтобы удалить администраторов или другие группы администраторов, выберите их и нажмите кнопку Remove (удалить).

При необходимости настройте другие параметры в этом окне. 4. Необязательными для заполнения полями являются Comment, Email Address or Mobile Phone Number (комментарии, адрес электронной почты или номер мобильного телефона).

Для изменения группы пользователей: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Дважды щелкните по группе пользователей. Откроется окно свойств группы (Group Properties). 3. Добавьте или удалите администраторов изгруппы:

а) Чтобы добавить администраторов и другие группы администраторов к этой группе, выберите их и нажмите кнопку Add (добавить).

Примечание: При добавлении группы появляется всплывающее окно. Выполните одно из следующих действий: • Нажмите кнопку Yes для добавления отдельно членов группы вместо группы.



• Нажмите No, чтобы добавить только группу. б) Чтобы удалить администраторов или другие группы администраторов, выберите их и нажмите кнопку Remove (удалить)

4. При необходимости настройте другие параметры в этом окне.

Для удаления группы администраторов: 1. В SmartDashboard нажмите на вкладку Users and Administrators (пользователи и администраторы). 2. Выберите группу. 3. Нажмите Delete (удалить) и после нажмите No для подтверждения.

Управление сроком истечения действия учетных записей пользователей и администраторов

Вы должны назначить дату истечения срока действия для каждого администратора. После истечения срока администратор не сможет входить в SmartConsole клиенты или выполнять действия в среде управления безопасностью.

Примечание: истечение срока действия аккаунта не оказывает никакого влияния на администраторов операционной системы. Администраторы операционной системы отличаются от администраторов SmartDashboard и имеют доступ к командной строке.

SmartDashboard включает в себя инструменты для управления сроками и предупреждения администраторов о скором истечении срока действия.

Работа с предупреждением об окончании срока действия

Существуют различные методы для оповещения о скором истечении или окончании срока действия учетных записей администратора. Этот раздел дает объяснения к этим предупреждениям и процедурам разрешения проблем.

Предупреждение при входе в систему Предупреждающее сообщение открывается после входа в SmartConsole клиенты, если оканчивается срок действия вашей учетной записи администратора. Обратитесь к администратору, который отвечает за управление вашей учетной записью администратора для обновления дат срока действия.

Использование окна истечения срока действия Окно Expired Accounts window показывает все учетные записи администраторов с истекшим сроком действия или скорым окончанием срока действия. Если есть администраторы с подобным статусом, строке состояния SmartDashboard появляется ссылка Expired Accounts (аккаунты с истекшим сроком действия). Для использования окна Expired Accounts, вы должны активировать опцию. В SmartDashboard меню выберите Policy > Global Properties > User and Administrator Accounts > Administrator Accounts (Политики> Глобальные свойства> Учетные записи пользователей и администраторов > Учетные записи администраторов). Чтобы открыть окно аккаунтов с истекшим сроком дейтсвия, нажмите на ссылку.

Эти значки показывают текущее состояние каждого аккаунта.



Icon Description

Аккаунт активен.

Срок действия аккаунта истекает.

Срок действия аккаунта истек.

Предупреждение об истечении срока действия игнорируется.

Для изменения срок годности: 1. Выберите учетную запись администратора и нажмите кнопку Update (обновить). 2. В окне Update Expiration Date (обновления срока истечения дейтсвия) выполните одно из следующих действий, чтобы изменить срок действия: • Выберите Expire at (истекает...), а затем выберите дату истечения срока действия из календаря. ИЛИ • Выберите Never expires (никогда не истекает), чтобы предотвратить истечение срока действия учетной записи администратора.

Для изменения настроек учетной записи администратора, выберите администратора и нажмите кнопку Edit (редактировать).

Для отключения предупреждений об истечении срока дейтсвия для одного аккаунта, выберите аккаунт администратора, а затем нажмите кнопку Ignore (игнорировать).

Для отключения предупреждений об истечении срока действия для всех учетных записей администраторов перейдите к параметрам истечения срока действия учетных записей по умолчанию.

Добавление или изменение окна предупреждения администратора Предупреждение показывается в панели администратора General Properties (общие свойства), если срок дейтсвия аккаунта подходит к концу. Убедитесь, что срок действия является корректным и в случае необходимости обновите его.

Настройка параметров срока истечени действия учетной записи по умолчанию Настройки по умолчанию показываются, когда вы создаете новую учетную запись администратора. Эти параметры включают в себя:

• Дату окончания срока действия по умолчанию • Количество дней до истечения срока, показанное в предупреждении при входе в систему • Количество дней до истечения срока, показанное в учетной записи администратора в окне Expired Accounts.



Для установки параметров по умолчанию: 1. В SmartDashboard выберите Policy > Global Properties (Политика> Глобальные свойства). 2. Выберите User Accounts or Administrator Accounts (учетные записи пользователей или учетные записи администраторов). 3. В окне учетных записей пользователей или администраторов установите срок действия с помощью одного из следующих опций:

• Expire after (истекает через...) - введите количество дней (начиная с сегодняшнего) до окончания срока действия этой учетной записи пользователя. • Expire at (истекает...) - Нажмите стрелку в текстовом поле, а затем выберите дату истечения срока действия по календарю.

4. Для учетной записи администратора выберите Notify during login (сообщение при входе в систему), для вывода предупреждения о скором окончании срока действия при входже администратора в систему. Введите количество дней до истечения действия, которое будет указано в предупреждении. 5. Выберите Show indication on the status bar (показать индикатор на панели состояния) для отображения предупреждения о скором истечении срока дейтсвия аккаунта. Введите количество дней до истечения действия, которое будет указано в предупреждении.

Работа с профилями прав доступа Профиль прав доступа является предопределенным набором административных разрешений Управления безопасностью и SmartConsole, присваиваемым отдельным администраторам. Эта функция позволяет устанавливать сложноорганизованные, детализированные права доступа и управлять ими в отношении многих администраторов с идентичными харакетристиками. При настройке администратора необходимо назначить профиль прав доступа. Администраторы с соответствующими разрешениями могут создавать и управлять профилями права доступа.

Создание и изменение профиля прав доступа Этот раздел включает в себя процедуры для создания, изменения и удаления профилей прав доступа. Администраторы с соответствующими правами могут создавать, редактировать и удалять профили прав доступа.

Для создания нового профиля прав доступа: 1. В SmartDashboard выберите Manage > Permissions Profiles (Управление> Профили прав доступа). 2. В окне профиля прав доступа нажмите кнопку New (создать) и выберите Permissions Profile. 3. В окне Permissions Profile Properties (свойства профиля прав доступа) настройте профиль прав доступа.

Чтобы изменить существующий профиль прав доступа: 1. В SmartDashboard выберите Manage > Permissions Profiles (Управление> Профили прав доступа). 2. В окне профиля прав доступа нажмите кнопку Edit (редактировать). 3. В окне Permissions Profile Properties (свойства профиля прав доступа) настройте профиль прав доступа.

Чтобы удалить существующий профиль прав доступа: 1. В SmartDashboard выберите Manage > Permissions Profiles (Управление> Профили прав доступа). 2. В окне профиля прав доступа нажмите кнопку Remove (удалить). 3. Нажмите Yes для подтверждения.

Чтобы установить настройки профиля прав доступа: 1. В поле Allow access via (разрешить доступ через...), выберите одну из следующих опций:

• опция Management Portal and SmartConsole Applications (Портал управления и приложения SmartConsole) позволяет получить доступ к Серверу управления безопасностью, SmartConsole приложениям и Порталу управления. • опция Management Portal only (только Портал управления) позволяет получить доступ к Серверу управления безопасностью, используя только Портал управления.

2. В разделе Permissions (права доступа) выберите одну из следующих опций: • опция None закрывает доступ к продуктам компании Check Point. • опция Read/Write All (чтение/запись для всего) дает полный доступ ко всем продуктам Check Point.

■ Manage Administrators (управление администраторами) позволяет администратору с этим профилем прав доступа управлять другими администраторами. ■ Read DLP logs including confidential fields and incidents (чтение DLP журналов,



включая конфиденциальные поля и ошибки) позволяет администратору с этим профилем прав доступа: Просматривать все области журналов DLP в SmartView Tracker. Просматривать фактическое сообщение об ошибке. Это включает в себя право на чтение зарегистрированных данных, следовательно, пользователи должны понимать, что их письма могут быть прочитаны, если они нарушают корпоративные правила предотвращения утечки данных. Отправляйте пользовательские письма и отвергайте письма, находящиеся на карантине, через SmartView Tracker. С опцией Customized можно назначить подмножество этих разрешений в случае необходимости. Вы можете дать администратору право только видеть содержимое полей в DLP журналы в SmartView Tracker или не видеть/отправлять фактическое содержание ошибок.

• опция Read Only All (только чтение для всего) всего дает доступ ко всем продуктам Check Point только для чтения. • опция Customized (индивидуально) дает определяемый пользователем доступ к конкретным продуктам Check Point и выбирает право доступа для каждого приложения.

Индивидуальные настройки прав доступа (Customized Permissions) Если вы выбираете Customized Permissions (индивидуальные права доступа), можно определить права доступа для каждого ресурса Управления безопасностью (объект, политика и функция) отдельно. Ресурсы показаны на четырех различных панелях в окне конфигурации прав доступа администратора (Administrator Permission Configuration). Каждая панель содержит список связанных ресурсов.

Для настройки индивидуальных прав доступа: 1. В разделе Permissions выберите опцию Customized и нажмите кнопку Edit (изменить). 2. Выберите панель в окне конфигурации прав доступа администратора (Administrator Permissions Configuration):

• General (общие) - Политика безопасности, блейды и функции • Monitoring and Logging (мониторинг и журналы) - Мониторинг и параметры ведения журнала • Events and Reports (события и отчеты) - SmartEvent и SmartReporter функции • Provisioning (контроль использования) - SmartProvisioning функций и сценариев

3. Задайте права доступа для ресурсов: • Чтобы предотвратить просмотр или настройку ресурса администратором, снимите флажок. • Для того, чтобы администратором мог видеть ресурс (но не изменить его), выберите соответствующий флажок, а затем выберите Read only (только чтение). • Чтобы позволить администратору просматривать и настраивать ресурсы, выберите соответствующий флажок, а затем выберите Read/Write (чтение/запись).

Примечание: • Вы не можете запретить администраторам видеть некоторые ресурсы. Эти ресурсы с флажками с затененным фоном. • Некоторые ресурсы не имеют вариантов прав доступа. Вы можете только установить или отменить их.

Управление профилями прав доступа Управление безопасностью включает в себя инструменты, которые помогут вам управлять профилями прав доступа. Вы можете просмотреть информацию о последних изменениях, внесенных в профиль прав доступа и посмотреть, какие администраторы используют профиль прав доступа.

Чтобы просмотреть информацию о последних изменениях в разрешении раздел: 1. В SmartDashboard выберите Manage > Permissions Profiles (Управление> Профили прав доступа). 2. Выберите профиль прав доступа. 3. В поле Permissions Profiles выберите Actions > Last Modified (Действия> Дата последнего изменения). Откроется окно Last Modification.



Это окно показывает: • Дату последних изменений • Администратора, внесшего изменения • GUI клиент, используемый для внесения изменения

Чтобы увидеть, какие администраторы используют профиль прав доступа: 1. В SmartDashboard выберите Manage > Permissions Profiles (Управление> Профили прав доступа). 2. Выберите профиль прав доступа. 3. В окне Permissions Profiles выберите Actions > Where used (Действия> Где использовано). Откроется окно Object Managers References (Примечания объектных менеджеров).

Это окно показывает: • Всех администраторов, использующих данный профиль прав доступа Возможность удаления данного профиля прав доступа

Глава 4

Управление Политикой

В этой главе:

Потребность в эффективном инструменте управления политикой 64 Обзор управления Политикой 65 Рекомендации по управлению Политикой 65 Создание нового пакета политик 65 Определение объектов установки пакета политик 66 Добавление политики к существующему набору политик 66 Добавление названия раздела 66 Настройка нового запроса 67 Пересечение запросов 67 Запрос объектов 68 Сортировка объектов в области окна списка объектов 68 Пакеты политик 68 Разделение базы правил на разделы с использованием заголовков 70 Запрос правил 70 Запрос сетевых объектов 71 Сортировка дерева объектов и области окна списка объектов 71 Работа с политиками 71

Потребность в эффективном инструменте управления Политикой

Так как корпоративные структуры растут, устанавливается больше сетевых ресурсов, машин, серверов, маршрутизаторов и т.д. Разумеется, что поскольку Политика безопасности управляет все большим и большим количеством сетевых объектов и логических структур (представляющих эти объекты), используемый во все большем числе правил, она усложняется и становится более трудоёмкой задачей для системного администратора.

Из-за сложности Политики безопасности многие системные администраторы работают в соответствии с принципом "работает - не трогай!":

• Новые правила часто помещаются в "безопасном" месте (например, в конце Базы правил), а не там, где это было бы эффективно.

• Устаревшие правила и объекты редко удаляются.

Подобные действия без надобности практики приводят в беспорядок и "раздувают" Политику безопасности и базы данных, что неизменно сказывается на производительности Политики безопасности и способности системного администратора управлять ею должным образом.

Простое, эффективно интегрированное решение необходимо для облегчения администрирования и управления Политикой безопасности системным администратором. На этот простой в использовании инструмент управления Политикой необходимо обратить внимание:

• Комплексность корпоративной структуры, с его многочисленными сайтами и ветвями, которые имеют свои специфические корпоративные нужды.

• Необходимость легко находить интересующие объекты.

• Необходимость анализа Базы правил.

Управление политикой


Обзор управления Политикой Сервер Security Management предоставляет широкий спектр средств, охватывающих различные задачи управления политикой, как на стадии ее определения и проведения:

• Пакет политик (Policy Packages) позволит вам легко группировать различные виды политики для совместной установки на одни и те же компоненты.

• Предварительно определенные компоненты при установке позволяют привязать пакет политик к соответствующим шлюзам. Эта функция освобождает вас от необходимости повторять процесс выбора шлюза каждый раз после установки (или удаления) комплексной политики с возможностью легко изменять список шлюзов в любое удобное время. Кроме того, это сводит к минимуму риск установки политики не на те объекты.

• Названия разделов позволяют визуально попредметно разбить Базу правил, тем самым мгновенно упроситив ориентацию и способность находить правила и объекты, представляющие для вас интерес.

• Запросы обеспечивают универсальные возможности поиска и для объектов, и для правил, где они используются.

• Сортировка ваших объектов в дереве объектов и панели списка объектов является самым простым и быстрым способом определить местонахождение объектов. Эта функция в значительной степени облегчена согласованным использованием наименований и цветных условных обзначений.

Рекомендации по управлению Политикой Рекомендуется определить набор именований объектов и цветных условных обозначений, которые могут в значительной степени способствовать нахождению нужного вам объекта (ов). Например, если вы пользуетесь префиксом, указывающим местоположение объекта (например NYC_Mail_Server), вы можете легко сгруппировать все объекты по их расположению, просто применив сортировку в колонке Name (имя) в панели списка объектов. Кроме того, вы можете применить цветные условные обозначения, который подскажут, какому сайту принадлежит объект, а затем отсортировать по цветам вкладку соответствующего дерева объектов.

Создание нового пакета Политик 1. Выберите File > New (файл > создать) из меню. Отобразится окно New Policy Package (новый пакет политик). 2. Введите имя нового New Policy Package name (нового пакета политик). Это имя не может:

• содержать любое служебное слово, пробелы, цифры в начале, или любой из следующих символов: %, #, ', &, *, !, @, ?, <, >, /, \, : • Оканчиваться на любой из следующих суффиксов: .w, .pf, .W.

3. В секции Include the following Policy types (включает следующие типы политик) следует выбрать любой или все следующие типов политики, которые будут включены в пакет: • Брандмауэр (Firewall), преобразование адресов, приложения и фильтрация URL-адресов. • Анти-бот и Anti-Вирус • QoS: Традиционный режим или экспресс-режим • Безопасность оперативной области (Desktop Security) В таблице ниже перечислены вкладки Базы правил, соответствующие каждому типу политики.

Таблица, приведенная ниже, перечисляет вкладки Rule Base (База правил), соответствующие каждому типу политики.

Тип политики Отображенные вкладки Базы правил

Security and Address Translation, приложения и URL фильтрация

Welcome, Firewall, NAT, Application and URL Filtering,IPS, Data Loss Prevention, Anti-Spam & Mail, Mobile Access, and IPSec VPN

Анти-бот и Анти-вирус Welcome, Data Loss Prevention, IPS, Anti-Bot, Anti-Virus, Anti-Spam & Mail, Mobile Access Анти-Бот и Анти-вирус пакета политики не может быть добавлен к глобальной политике. Это отдельная политика.



Тип политики Отображенные вкладки Базы правил

QoS Приветствия, IPS, предотвращение потери данных, Анти-Спам и почта, мобильный доступ и QoS

Безопасность оперативной области (Desktop Security)

Приветствия, IPS, предотвращение потери данных, Анти-Спам и почта, мобильный доступ и панель экрана

4. Нажмите OK, чтобы создать Пакет политик. SmartDashboard отображает новый Пакет политик, состоящий из выбранных вкладок типа политики.

Определение объектов установки пакета политик

1. Выберите Policy > Policy Package Installation Targets (Политика> Объекты установки пакета политик) из меню. Отобразится окно Select Policy Package Installation Targets (Выбор объектов установки пакета политик) 2. Выберите один из следующих вариантов:

• Все внутренние модули (All internal modules) по умолчанию • Специальные модули (Specific modules), выбранные путем перемещения соответствующих объетов установки из спика Not in Installation Targets (Не в объектах установки) в список In Installation Targets (в объектах установки).

3. Нажмите кнопку ОК. Выбранные модулей будут доступны в качестве объектов установки каждый раз при установке или удалении этого пакета политик. 4. Чтобы установить состояние всех модулей по умолчанию в позиции Selected or Not Selected (выбран или не выбран), облегчая тем самым процесс установки (или удаления) политики, нажмите Policy > Global Properties (Политики> Глобальные свойств а) и выберите соответствующие настройки в окне глобальных свойств на странице настроек SmartDashboard. 5. Вы можете дополнительно изменить объекты установки как часть операции установки (или удаления):

• Чтобы изменить объект только одной операции, поставьте флажок у соответствующие модули и Политики и снимите флажки у других. • Чтобы изменить объекты всех будущих операций, нажмите кнопку Select Targets... (Выбрать объекты ...) для отображения окна выбора объектов установки и измените список по мере необходимости.

Добавление политики к существующему пакету политик 1. Выберите File > Add Policy to Package (Файл> Добавить политику к пакету ...) из меню. Откроется окно Add Policy to Package (Добавление политики к пакету). 2. Выберите один или несколько из доступных типов политики (например, QoS и Desktop Security (Безопасность оперативной области). 3. Нажмите кнопку OK.

Добавление названия раздела

1. Выберите правило, выше или ниже которого вы хотите добавить заголовок раздела. 2. Выберите Rules > Add Section Title > Above или Below (Правила> Добавить заголовок раздела> Выше или Ниже) соответственно из меню. Откроется окно заголовока (Header). 3. Укажите название нового раздела и нажмите кнопку ОК. Новое название раздела отобразится в соответствующем месте. Все правила между этим и следующим заголовками (или концом Базы правил) теперь визуально сгруппированы вместе. 4. По умолчанию раздел расширен. Чтобы скрыть правила раздела, сверните его название нажатием на знак (-). 5. Если правила, следующие за этим разделом, не имеют собственного названия раздела, вы можете отметить конец этого раздела, добавив соответствующее название (например, "End of Alaska Rules").



Настройка нового запроса 1. Откройте Базу Показать правил, которую вы хотите запросить: Безопасность, Безопасность оперативной области или Веб-доступ (Security, Desktop Security или Web Access) и выберите в меню Search>Query Rules... (Поиск> Правила запроса). Отобразится окно Rule Base Query Clause / View Policy of Gateway (Предложение запроса Базы правил / Просмотр Политики шлюза). 2. Выберите графу(ы) объектов, которую вы хотите запросить (например, адресатов) из выпадающего списка. 3. Переместить объект (ы), к которому относится ваш запрос из Not in List (Не указан в списке), в In List (указан в списке). 4. Если вы выбрали более одного объекта, укажите, будет ли достаточно для выбранной графы одного объекта (по умолчанию), или же она должна содержать их все. 5. Данное предложение запроса ищет правила, где указанная графа содержит либо выбранные объекты, либо другие объекты, которым они принадлежат (например, группы или сети).

• Для поиска правил, где указанная графа не содержит выбранные объекты, отметьте Negate (отвергнуть). • Для поиска только в правилах, где указанная графа содержит сами объекты (в отличие от группы объектов, принадлежащих сети), отметьте Explicit (задать).

6. Для выполнения этого предложения запроса нажмите Apply (применить). Правила, соответствующие предложению запроса отображаются в Базе правил, в то время как все остальные правила будут скрыты. 7. Чтобы сохранить это предложение запроса, нажмите Save (сохранить). отобразится окно сохранение запроса. 8. Укажите название этого запроса и нажмите кнопку ОК. Отобразится окно запросов Базы правил, показывая новый запрос в списоке запросов SmartDashboard.

Пересечение запросов 1. Отобразите Базу правил, к которой вы хотите сделать запрос (Security, Desktop Security или Web Access) и выберите в меню Search>Manage Rule Queries (Поиск> Управление Запросами к Правилам). Будет отображено окно Rule Base Queries. 2. Выберите первый запрос, который вы хотите выполнить, и щелкните Apply (применить). Правила, соответствующие этому запросу, будут отображены в Базе Правил, в то время как все другие правила будут скрыты. 3. Если вы не можете найти соответствующий запрос в списке, Вы можете его теперь определить следующим образом:

a) Нажмите New...(создать). Будет отображено окно Rule Base Query. a) Определите Name (Имя) нового запроса и щелкните New... Создать). b) Будет отображено окно Rule Base Query Clause / View Policy of Gateway. c) Определите запрос (см. Конфигурирование Нового Запроса стр. 36) - с шага 2 по шаг 5), и нажмите OK. Запрос добавлен к списку Clause. d) Вы можете добавить новые выражения к запросу и использовать следующие логические операции:

• And (И), чтобы искать правила, соответствующие всем выражениям • Or (Или), чтобы искать правила, соответствующие по крайней мере одному из выражений • Negate query (Отрицание запроса), чтобы искать отрицание этих выражений

4. Выберите второй запрос, который вы хотите выполнить. 5. Щелкните по одному из следующих вариантов:

• And, так, чтобы были отображены только правила, соответствующие обоим запросам, • Or, чтобы показать правила, которые соответствуют любому из запросов

6. Выполните выбранный запрос, щелкнув по Apply. 7. Чтобы показать все скрытые правила, щелкните Clear all (Показать все).



Запрос объектов 1. Выберите Search > Query Network Objects (Поиск> Запрос Сетевых Объектов) в меню. Будет отображено окно Network Objects, показывающее Все (All) сетевые объекты в вашей системе (выбор значения по умолчанию) в разделе Network objects (Сетевые объекты). В качестве варианта, вы можете ограничить отображение до соответствующего типа объекта (например, firewall installed, Check Point, QoS installed и т.д.). 2. В разделе Refined Filter (уточненный фильтр) определите соответствующие критерии поиска, например:

• Чтобы найти объекты, имена которых содержат определенную строку, выберите Search by Name из раскрывающегося списка Refine by (Уточнить по...), введите строку, которую вы хотите искать (Вы можете использовать подстановочные знаки), и щелкните Apply (применить). • Чтобы найти объекты с двойными адресами IP, выберите Duplicates из раскрывающегося списка

Refine by. Будут отображены Объекты, которые соответствуют критериям поиска. 3. Чтобы найти один из этих объектов в SmartMap, щелкните Show (Показать). 4. Чтобы создать группу, состоящую из результатов поиска, щелкните Define query results as group... (Определить результаты запроса как группу...) и определите имя новой группы в окне Group Properties (Свойства Группы).

Сортировка объектов в панели списка объектов 1. Отобразите на экране соответствующую вкладку дерева объектов (например, Services (Службы). 2. В области окна Objects List (Список Объектов), щелкните по заголовку соответствующего столбца (например, Port (Порт). Вы теперь можете легко определить местонахождение рассматриваемого объекта (ов). Например, вы можете найти службы, которые используют тот же самый порт.

Пакеты политик Пакеты политик позволяют учитывать конкретные потребности различных сайтов вашей организации, создавая определенный пакет политик для каждого типа сайта. Следующая диаграмма иллюстрирует пример сети организации, состоящей из четырех сайтов.

Каждый из этих сайтов использует различный набор программных блейдов Check Point, установленных на шлюзах Безопасности: • Servers Farm (Ферма (пул) серверов) имеет установленный блейд межсетевой защиты (firewall). • на сайтах Sales Alaska и Sales California (продаж на Аляске и в Калифорнии) установлены и межсетевая защита, и блейды виртуальной частной сети (VPN). • Executive Management (Административное руководство) имеет установленные блейды межсетевой

Sales California Firewall VPN

Sales Alaska Firewall VPN

Администартивное управление • Firewall . VPN QoS

Пул серверов *



защиты, виртуальной частной сети и QoS (качество сервиса). Даже сайты, которые используют один и тот же продукт, могут иметь совсем разные потребности в отношении безопасности, требуя различных правил в их политиках. Чтобы эффективно управлять этими различными типами сайтов, вы нуждаетесь в трех различных пакетах политики. Каждый пакет должен включать комбинацию политик, которая соответствует продуктам, установленным на рассматриваемом сайте. Соответственно, пакет политик состоит из одного или нескольких следующих типов политики, каждый из них управляет различными блейдами Check Point: • Политика Межсетевой защиты и NAT, управляющая шлюзами безопасности. Эта Политика также определяет режим конфигурации виртуальной частной сети. • Политика QoS, управляющая шлюзами QoS Check Point. • Политика безопасности экранной интерактивной среды, управляющая машинами SecuRemote/SecureClient. В отличие от вышеупомянутой Политики, база правил безопасности применяется не к определенному сайту, а к связям между сайтами. Поэтому, эта база правил является общей для всех сайтов. база правил Web-Доступа независима от Пакетов Политики, так как она применяется к структуре в целом (в отличие от определенного сайта). Ее появление в области окна базы правил определяется настройками Global Properties (Глобальные свойства) в SmartDashboard (см. Настройки SmartDashboard под клиента в окне Global Properties).

Операции с Файлами (File)

Операции с файлами (New (Новый), Open (Открыть), Save (Сохранить) и т.д.) выполняются на уровне Пакета политик (в отличие от уровня одной политики). • New позволяет вам либо определять новый пакет политик, либо добавлять одну политику к существующему пакету политик. • Open позволяет отображать на экране существующий пакет политик. Типы политики, включенные в Пакет политик, определяют, какие вкладки отображаются в базе правил. • Save позволяет сохранять весь пакет политик. • Save As (сохранить как) позволяет сохранять весь пакет политик, или сохранять определенную политику, которая в настоящий момент выделена в базе правил (то есть, Security and Address Translation (Безопасность и Адресная трансляция), QoS или Desktop Security). • Delete (удалить) позволяет удалять весь пакет политик. • Add to Policy Package (добавить к пакету политики) позволяет добавлять существующую Политику к вашему пакету политики. • Copy Policy to Package (скопировать политику в пакет) позволяет копировать существующую Политику в ваш пакет политик.

Примечание: Чтобы сделать резервную копию пакета политик прежде, чем вы измените его, используйте функцию Database Revision Control (контроль изменений базы данных). Не используйте операции File для целей резервирования или тестирования, так как они перегружают систему посторонними Пакетами. Кроме того, поскольку существует несколько пакетов, но только одна база данных объектов, то возможно, что сохраненный пакет не соответствует изменениям в базах данных объектов.

Объекты установки политики Чтобы правильно установить (и деинсталлировать) пакеты политик и устранить ошибки, каждый Пакет политик привязывается к набору соответствующих объектов установки политики. Эта связь как избавляет от необходимости повторять процесс выбора межсетевого шлюза при каждой установке, так и гарантирует, что пакет политик не будет по ошибке установлен на какой-либо шлюз, для которого он не предназначен.



Объекты установки определяются для всего пакета политики в целом, избавляя таким образом от необходимости определять их для каждого правила в каждой политике. Выбранные адресаты автоматически отображаются каждый раз, когда вы выполняете операцию Install (установка) или Uninstall (удаление).

Вы можете задать параметр проверки политики пакета или же ее отсутствия по умолчанию для всех объектов установки (на странице SmartDashboard customization окна Global Properties), и затем изменить эти параметры настройки при необходимости для каждой установки.

Разделение базы правил на разделы с использованием заголовков

Заголовки раздела позволяют вам визуально группировать правила согласно их назначению. Например, организации среднего размера могут иметь единую политику для всех своих сайтов и использовать заголовки раздела, чтобы отличать правила для каждого сайта (большие организации с более сложной Политикой могут предпочесть использование пакеты политик). Расположение правил в разделах не должно выполняться за счет размещения в начале базы правил тех правил, которые чаще всего запрашиваются.

Запрос правил Выполнение запросов по правилам может углубить ваше понимание политики и помочь вам определить наиболее удобное место для размещения новых правил. Вы можете выполнить запросы по Базам правил Security, Desktop Security и Web Access (Веб-доступ).

Запрос состоит из одного или более условных операторов. Каждый оператор ссылается на связи между выбранным объектом (ами) и определенным столбцом в правиле. Можно применить запрос к отдельным объектам, группам объектов, или и к тому и другому. Чтобы сделать запрос более точным, можно использовать соответствующее логическое условие («Negate» (операция «отрицания», логическое НЕ), «»And» (и то и другое вместе, логическое «И») или «Or» (логическое ИЛИ)).

Как только вы примените запрос, в базе правил будут отображены только правила, соответствующие его критериям. Правила, которые не соответствуют запросу, будут скрыты, но останутся неотъемлемой частью политики и будут включены в ее установку. Вы можете усовершенствовать полученные результаты запроса, выполняя дополнительные запросы.

Пример сценария, в котором используются запросы базы правил - когда сервер, работающий на хосте A, перемещается на хост В. Такое изменение требует обновления прав доступа для обоих хостов. Чтобы найти правила, которые нужно изменить, вы можете выполнить запрос, по которому будет осуществлен поиск всех правил, когда хост A или хост В появляются в столбце Destination (Адресат).



По умолчанию, при выполнении запроса будет осуществляться поиск не только правил, которые включают эти хосты, но также и правил, которые включают сети или группы, которые содержат их, а также правил, объект для установки политики которых - Any (любой). Как вариант, вы можете искать только правила, которые явно включают эти объекты.

Запрос сетевых объектов Запрос сетевых объектов позволяет вам находить объекты, которые соответствуют критериям запроса. Вы можете использовать инструмент формирования запросов, чтобы и управлять объектом, и искать и устранять проблемы, связанные с ним.

Запрос перечисляет как все (All) объекты в вашей системе (выбор значения по умолчанию), или определенный тип объектов (например, firewall installed (установленная межсетевая защита), QoS installed (установленный QoS), Security Clusters (Кластеры Безопасности) и т.д.). Вы можете усовершенствовать этот список, используя множество фильтров (например. Search by Name (Поиск по имени), Search by IP (Поиск по IP) и т.д.) и используя подстановочные знаки в строке, которую вы ищете. В дополнение к этим основным способам поиска, вы можете также выполнить более расширенные запросы для: • объектов, адрес IP которых не соответствует их интерфейсу (ам) • двойных адресов IP, используемых несколькими объектами • объектов, которые не используются

Примечание: Объекты, которые используются логическими объектами, определенными на сервере LDAP, рассматриваются запросом как «не используемые» («not used»).

Можно извлечь еще большую выгоду из результатов запроса, определяя их как группу. Например, вы можете захотеть создать группу всех Почтовых серверов в вашей системе и использовать эту группу в Вашей Базе Правил. Если соглашение об именах должно включить слово «Mail «в имени Почтового сервера (Mail Server), вы можете легко найти эти объекты, показывая All (Все) для сетевых объектов, выбирая фильтр Search by Name и вводя строку *Mail*. Затем создайте группу из результатов и используйте ее в соответствующем правиле. Этот групповой объект также доступен через другие компоненты консоли управления SmartConsole Check Point. Например, если вы используете SmartReporter, вы можете включить эту группу как источник подключений в отчете Email Activity (Обработка запросов электронной почты).

Сортировка дерева объектов и панели списка объектов Дерево объектов можно отобразить, щелкнув правой кнопкой мыши в меню Sort, что позволит сортировать каждую вкладку по типу (выбор значения по умолчанию), имени или цвету. Этот параметр сортировки также применяется к области окна списка объектов. Кроме того, информацию в области окна списка объектов можно сортировать, щелкая по заголовку соответствующего столбца. Сортировка может быть полезным инструментальным средством диагностики, например: • Чтобы легко определять, какому сайту принадлежит объект, назначьте различный цвет объектам в каждом сайте и затем отсортируйте информацию в соответствующей вкладке Objects Tree по цвету. • Чтобы предоставить возможность дублирования адреса IP, отобразите вкладку Network Objects (сетевые объекты) дерева объектов и сортируйте столбец IP Address области окна списка объектов. • Чтобы узнать, какой службой занят порт, который вы хотите использовать, отобразите на экране вкладку Services дерева объектов и сортируйте столбец Port области окна списка объектов.

Работа с политиками Пакет политик представляет собой набор политик, которые проводятся шлюзами. Они могут быть установлены или удалены совместно на отдельных шлюзах безопасности. Компонентами пакета политики являются: • Advanced Security (продвинутая безопасноть) - состоящая из

• Базы правил брандмауэра • Базы правил перевода адреса (NAT) • Базы данных пользователей - собственной Базы данных внутренних пользователей Check Point, содержащей определения и схемы аутентификации всех пользователей, определенных в SmartDashboard. • Базы данных объектов - собственной Базы данных объектов Check Point, содержащей определения всех сетевых объектов, определенных в SmartDashboard.



• QoS - База правил Качества обслуживания (QoS Check Point) • Desktop Security - База правил Desktop Security (безопасности оперативной области) В процессе установки выполняются следующие действия: 1. Выполнение эвристической проверки правил, что позвоялет убедиться в их согласованности и отсутствии дублирования. Если выявляются ошибки (например, когда два правила Политики одинаковы), политика не устанавливается. Тем не менее, если есть предупреждения (например, когда не включен антиспуфинг для шлюза с несколькими интерфейсами), пакет политик устанавливается с предупреждением. 2. Подтверждение факта установки на каждом из шлюзов, к которому применимо правило (Install On объекты) по крайней мере, одного из правил. Объекты Install On, которые не устанавливают ни одно из правил, устанавливают правило по умолчанию, которое отвергает все соединения. 3. Преобразуование политики безопасности в инспектирующий скрипт и компиляцмя его для создания инспектирующего кода. 4. Доставка инспектирующнго кода на выбранные объекты установки. 5. Установка базы данных пользователей и шифрования на выбранных объектах установки.

Установка пакета политик Чтобы установить пакет политическ : 1. Отобразите пакет политики в Базе правил. 2. Выберите Policy > Install... (Политика> Установить ...) из меню. Откроется окно установки политики.

Примечание: Политика для установки включает подразумеваемые правила, вытекающие из параметров глобальных свойств. Для просмотра этих правил, выберите View > Implied Rules из меню.

3. Выберите компоненты установки:

а) Объекты установки - VPN шлюзы, на которые устанавливается Политика. По умолчанию, все внутренние шлюзы доступны для выбора. Кроме того, вы определяете конкретные шлюзы для пакета политик через окно Select Installation Targets (задать объекты установки), которое открывается после нажатия опции Select Targets... (укажите объекты). б) для каждой целевой установки выберите компоненты Политики (Advanced Security, QoS или Desktop Security), которые должны быть установлены. в) Режим установки: что делать, если установка не будет успешной для всех объектов (для разных объектов примененимы разные политики): - Установите Политику на каждом шлюзе отдельно или - Установите на всех шлюзах, или ни на одном из шлюзов

Примечание: если вы устанавливаете Политику на кластере шлюзов, укажите, должна ли быть установка успешной для всех компонентов кластера.

4. Нажмите кнопку ОК.

Откроется окно процесса установки, что позволит следить за ходом проверки, компиляции и установки.

Если проверка завершена без ошибок и Сервер управления безопасностью имеет возможность надежного подключения к шлюзу, установка Политики завершилась успешно.

Если есть ошибки проверки или установки, установка будет прервана (в этом случае вы сможете посмотреть на ошибки, чтобы найти источник проблемы). Если есть предупреждения в ходе проверки, установка пройдет успешно на всех компонентах, за исключением компонента, указанного в предупреждении.

Чтобы узнать, какая политика установлена на каждом шлюзе, выберите File > Installed Policies... (Файл> Установленные Политики ...)

Удаление пакета политик Чтобы удалить пакет политик: 1. Отобнразите пакет политики (Policy package) в базе правил. 2. Выберите Policy > Uninstall... (Политика> Удалить ...) из меню. Откроется окно удаление политики.



Примечание: удаление политики влечет удаление всех подразумеваемых правил.

3. Выберите компоненты на удаление. 4. Нажмите кнопку ОК. Окно процесса удаления окна позволяет следить за ходом операции. Вы будете уведомлены об успешном завершении удаления или провале операции и его причинах.

Установка базы данных пользователей Изменения, внесенные через SmartDashboard в характеристики пользователей или администраторов сохраняются в Базе данных пользователей на Сервере управления безопасностью.

Для обеспечения ваших Check Point хостов с установленными программными блейдами управления с последними характеристиками пользователей, необходимо установить базу данных пользователей на все соответствующие объекты. Шлюзы безопасности, которые не имеют установленного программного блейда управления, не получают пользовательской базы данных.

Выберите один из следующих вариантов: • Policy > Install (Политика> Установить) - выберите эту опцию, если вы изменили дополнительные компоненты пакета политик (например, добавлены новые правила политики безопасности), которые используются объектом установки.

• Policy > Install Database (Политика> Установить базу данных) - выберите эту опцию, если единственные изменения, которые вы хотите внести, относятся к характеристикам в пользователей или администраторов.

Управление версиями Политики Политики создаются вручную администратором системы и управляются через Сервер управления безопасностью. Могут быть сохранены различные версии этой политики. Каждая версия включает в себя резервные копии различных баз данных (объекты, пользователей, данных сертификации и т.д.). Эта информация добавляется в архив и сохраняется.

Существующие версии записываются в таблицу версий ("Version table"). Можно просматривать эту таблицу и изменять версии, которые в ней отображены.

Можно: • Создать версию • Экспортировать и импортировать версию (на стр. 74) • Просмотреть версии (на стр. 74) • Вернуться к предыдущей версии (на стр. 74) • Удалить версии (на стр. 74)

Версии могут быть созданы вручную администратором системы, или система может быть настроена на автоматическое создание новой версии каждый раз при установке Политики безопасности.

Создание версии Новая версия может быть создана вручную системным администратором или же система может быть настроена для создания новых версий автоматически каждый раз при установке новой Политики. Каждая новая версия имеет следующие атрибуты:

дата создания системный администратора, который инициировал новую версию версия программного обеспечения три редактируемых варианта, определяемые системным администратором: название версии дополнительный необязательный комментарий флажок, который вы можете выбрать, если вы хотите бытьу вереным в том, что эта версия не

будет автоматически удалена (если будет активировано автоматическое удаление изменений базы данных)

Примечание: Рекомендуется создать версию перед обновлением системы. Это позволяет администратору, чтобы отступить к действующей среде в случае возникновения проблем во время обновления.

Экспорт и импорт версии Можно экспортировать существующие версии с помощью командной строки. Это может быть полезно в целях экономии дискового пространства. Когда экспортированная версий необходима, она может быть импортирована обратно в таблицу версий. Импортированная версия появляется в



таблице версий как обычная поддерживаемая версия.

Посмотр версии Сохраненную версию можно посмотреть в SmartDashboard. Для каждой сохраненной версии вы можете просмотреть объекты, пользователи, правила и т.д. С этими объектами могут выполянться различные операции, такие, как запросы.

Возвращение к предыдущей версии Операции возврата позволяет вернуться к ранее сохраненной версии. После того, как вы инициировали операцию возврата, выбранная версия перезаписывается в текущую политику. Единственный тип информации, который не переписывается - данные Центра сертификации (CA). По соображениям безопасности, CA данные не будут перезаписаны, но они объединятся с данными CA текущей политики.

Прежде чем будет совершена операция возврата, системный администратор может рассчитывать на получение доклада о предполагаемых результатах операции возврата. Например, предоставляется информация о том, какие сертификаты будут отозваны. На этом этапе системному администратору необходимо будет решить, стоит ли продолжать операцию возврата. Из всех объектов, включенных в версию, база данных пользователей не возвращается автоматически. Причиной служит крайняя динамичность базы, пользователи часто добавляются и удаляются. База данных пользователей постоянно меняется независимо от версии политики. Системный администратор может принять решение вернуться к выбранной версии Политики, но с текущей базой данных пользователей. Таким образом, в восстановленной версии Политики используется существующая база пользователей.

Удаление версии Ранее сохраненные версии могут быть удалены. Эта операция приведет к удалению различных баз данных, включенных в версии Политики.

Конфигурация версии Операции с версией выполняются через окно контроля изменений базы данных (Database Revision Control). Это окно можно отобразить, выбрав File > Database Revision Control. В этом окне вы можете: • Создать новую версию текущей политики вручную, нажав кнопку Create (создать). Когда будет активировано автоматическое удаление баз данных версий, вы можете указать здесь, следует ли сохранить данную версию, чтобы убедиться, что она не будет удалена автоматически. • Просмотреть сохраненную версию, нажав Action > View Version (Действие> Просмотр версии). • Вернуться к сохраненной версии, нажав Action > Restore Version (Действие> Восстановление Версии). • Просмотреть сводку отчетов об изменениях SmartWorkflow, где сравниваются ранее установленная политика и политика, в настоящее время ожидающая установки, нажав Action > Compare Versions (Действие> Сравнение версий). • Просмотреть свойства выбранной версии, нажав Properties (свойства). Некоторые опции версии доступны для редактирования. • Удалить выбранную версию нажав кнопку Delete (удалить). • Настроить параметры для автоматического удаления версий баз данных, выбрав флажок Automatically delete old versions (автоматическое удаление старых версий) и нажав кнопку Configure (настроить).

Настройка автоматического удаления Можно настроить автоматическое удаление старых версий базы данных, выбрав один из четырех способов:

• Удалить версии старше, чем X версии, где X - это количество самых последних версий, которые должны быть сохранены (все остальные версии должны быть удалены). По умолчанию стоит количество 50.

• Удалить версий старше, чем X-дней, где Х - это период времени, начиная с сегодняшнего дня и ранее, в течение которого версии, созданные в установленный срок, должны храниться, а версии, созданные раньше - удалены.

• Удалить старые версии, когда объем храненилища версии превышает X Мбайт / процент, где X является максимальным объемом хранения (в МБ) для всех версий баз данных. Кроме того, вы можете ввести процент от общего дискового пространства. При достижении этого предела самые



старые версии удаляются.

• Удалить старые версии, когда свободного места на диске меньше, чем X Мбайт / процент - где X определяет минимально допустимое свободное дисковое пространство в МБ или процентное значение. При достижении этого предела самые старые версии удаляются.

Примечание: SmartWorkflow версии не влияет на эту функцию. Они не считаются и не удаляются.

Контроль базы данных и обновление версии После обновления контроль изменений баз данных не может быть использован для восстановления версий, созданных на предыдущем Сервере управления. Предыдущие версии могут быть открыты в режиме Read Only (только для чтения) и предназначены только для просмотра.

Диагностирование версии Успех или неудачи операций с версиями, которые требуют изменения таблицы версии (такие как создание, восстановление или удаление версии), отслеживаются в контрольном журнале SmartView Tracker. Рекомендуется использовать эти журналы, чтобы операции для успешного проведения операций.

Сохраненные версии требуют дискового пространства. Если существующее дисковое пространство исчерпано, предупреждение об этом отправляется в SmartView Monitor. Используйте эту SmartConsole для того, чтобы убедиться, что вы соответствуете требованиям к дисковому пространству, необходимому для осуществления функций версиями.

Создание версий вручную и автоматически Можно создать новую версию текущей политики, нажав кнопку Create (создать) в окне контроля изменений баз данных.

С другой стороны, можно настроить автоматическое создание новой версии при каждом установке политики. Вы можете сделать это, выбрав Create new version upon install policy operation (создать новую версию при утсановке политики) в окошке Install Policy (установка Политики). Вы можете открыть это окно, выбрав Policy > Install (Политика> Установить).

Резервное копирование и восстановление Сервера управления безопасностью Резервное копирование и операция восстановление экспортирует среду Сервера управления безопасностью с Сервера управления безопасности, и позволяет импортирование среды в другие машине. Эта машина является рабочим клоном Сервера управления безопасностью. Она имеет идентичные функции и возможности, что и исходный Сервер управления безопасностью. Эта операция поддерживает миграцию операционная система (ОС), а это означает, что ОС оригинала, а также машины-клона может быть различной.

При использовании резервного копирования и восстановления можно:

• Заменить исходный Сервер управления безопасностью клоном Сервера управления безопасностью, в то время, как оригинальный сервер находится на обслуживании.

• Поддерживать резервную копию Сервера управления безопасностью, которая будет использоваться в случае отказа.

• Обновить Сервер управления безопасностью. Системным администраторам осторожны при обновлении Сервера управления безопасностью в производственной среде. Более безопасно обновить другую машину, импортировать информацию с исходного Сервера управления безопасностью для того, чтобы сделать клон. После того, как клон тщательно протестирован и признан полностью функциональным, он может быть интегрирован в качестве официального Сервера управления безопасностью, работающего в производственной среде. Импортируемая информация будет обновлена и интегрирована в новую машину так, чтобы она соответствовала новым и / или измененым свйоствам, характерным для версии программного обеспечения, установленной на обновленном Сервере управления безопасностью.

Глава 5

SmartMap

В этой главе Краткий обзорSmartMap 76 Работа со SmartMap 76

Краткий обзор SmartMap В большинстве структур имеется множество шлюзов, хостов, сетей и серверов. Топология этих организаций представлена в SmartDashboard сетевыми объектами. Топология часто очень сложна, распределена по многим различным машинам и реализуется множетсвом различных правил и баз правил. Несмотря на то, такая топология соответствует потребностям вашей организации, ее трудно визуализировать и еще сложнее перевести в форму схемы. Несмотря на то, что сетевые объекты удобно использовать с помощью Базы Правил, было бы проще понимать и находить причины сбоев политики, при отображении правил в форме, которая бы позволяла представить их функции визуально.

Решение SmartMap Компонент SmartMap обеспечивает визуальное представление сети. Эта визуализация используется для того, чтобы облегчить и улучшить понимание физического развертывания и структуры Вашей сети. SmartMap используется для: • Преобразования логической схемы вашей структуры в графически-схематическую форму, которую можно быть экспортировать как графический файл или распечатать. • Демонстрации выбранных сетевых объектов, сообществ и правил в рамках визуализации при нажатии правой кнопкой мыши на эти элементы из многих мест в различных Базах правил, страницах дерева объектов и Списке объектов. Для улучшения визуализации вы можете изменить размер окна в выбранных элементах. • Редактирования объектов, отображенных в SmartMap. Произведенные изменения будут интегрированы во всех частях системы SmartDashboard. • Нахождения причин сбоя политики. Например, SmartMap может разрешить неразрешенные задачи, может выполнять автоматические вычисления в целях антиспуфинга и для объектов, находящихся за шлюзом, установленными объектами.

Работа со SmartMap Активация и визуализация SmartMap

Прежде, чем вы начнете работать с SmartMap, требуется активировать это приложение. В этом разделе описывается, как активировать, переключить и запустить SmartMap.

Активация SmartMap Работа SmartMap невозможна, пока приложение не активировано. • Для активации SmartMap перейдите по следующему пути Policy > Global Properties > SmartMap (Политика> Глобальные Свойства> SmartMap). Переключение SmartMap Чтобы очистить SmartDashboard от визуальных загромождений, SmartMap можно перевести в другое состояние, пока он снова не потребуется вам для работы.

SmartMap


Примечание: Когда представление SmartMap скрыто или неактивно, все его меню и команды заблокированы; однако, расчеты топологии продолжаются. • Чтобы перейти к окну SmartMap, нажмитее View (вид) > SmartMap. • Чтобы отключить окно SmartMap, нажмите View > SmartMap.

Запуск SmartMap SmartMap может быть отображено, внедрено или закреплено в окне графического интерфейса пользователя, либо оно может быть отображено за пределами окна SmartDashboard. • Чтобы отобразить SmartMap вне окна SmartDashboard, перейдите SmartMap > Docked View (SmartMap> Закрепленное Представление).

Корректировка и настройка SmartMap Все следующие опции касаются того способа, в соответствии с которым SmartMap просматривается и отображается на экране.

Увеличение и Уменьшение окна представления SmartMap Степень увеличения может быть выбрана или настроена по желанию пользователя. Операции, которые могут быть выполнены при этом, включают: • расширение окна просмотра таким образом, чтобы вся информация или выбранная часть SmartMap оптимально вписались в окно на экране дисплея. • выбор одного из отображенных значений изменения масштаба изображения или настройки в соответствии с вашим собственным значением (например, Zoom In (увеличить изображение) или Zoom Out (уменьшить изображение) текущего дисплея SmartMap). • увеличение области в SmartMap путем перетаскивания мышью. Будут увеличены все объекты, которые находятся в пределах области выбранного блока.

Чтобы автоматически изменить размер окна в конкретной области SmartMap:

1. Выберите SmartMap> Zoom Mode (Режим изменения масштаба изображения). 2. Перетащите курсор мыши по нужной области в SmartMap. Область, которую вы выбрали, изменит свой размер в окне просмотра.

Чтобы выбрать степень увеличения

1. Выберите SmartMap> Select Mode (Режим выбора). 2. Перетащите мышь по определенной области в SmartMap. 3. Выберите SmartMap> Zoom > sub menu (Изменить масштаб изображения> подменю) и выберите опции, которые лучше всего удовлетворяют вашим потребностям.

Прокрутка Если у Вас есть устройство IntelliMouse, вы можете использовать колесо прокрутки, чтобы перемещаться по окну SmartMap.

Настройка SmartMap с использованием Навигатора Navigator (Навигатор) – это вторичное окно, которое дает общее представление об изображении SmartMap. Это представление может быть откорректировано путем изменения блока выделения. Когда в окне Navigator выбираются части SmartMap, отображение SmartMap изменяется, чтобы соответствовать выбранной области. Когда окно Navigator закрывается, его координаты сохраняются в памяти, и когда оно вновь откроется, будет отображено то же самое представление SmartMap. • Для запуска Навигатора выполните последовательность шагов: SmartMap > View Navigator.

Влияние на схему отображения SmartMap (Стили расположения) SmartMap дает возможность определить способ, в соответствии с которым сетевые объекты будут размещены в пределах SmartMap - один из двух возможных стилей. • Для выбора стиля SmartMap выполните последовательность шагов SmartMap > Customization > Arranging Styles (SmartMap> Настройка> Стили расположения) и выберите один из следующих вариантов:

• hierarchic (иерархический) — SmartMap напоминает древовидный граф • symmetric (симметричный) — SmartMap напоминает звезду и кольцевые структуры

SmartMap


Оптимальное расположение SmartMap (Global Arrange, Глобальное Расположение) Используйте Global Arrange, чтобы оптимально расположить всю схему SmartMap целиком в пределах границ ее отображения. SmartMap будет размещена согласно текущему заданному стилю расположения. • Чтобы расположить всю схему SmartMap, выполните последовательность шагов SmartMap > Arrange > Global Arrange.

Оптимальное расположение SmartMap (Incremental Arrange, расположение по Возрастанию)

Используйте Incremental Arrange, чтобы оптимальным образом расположить выбранную область SmartMap в пределах границ ее отображения. SmartMap будет размещена текущему заданному стилю расположения. • Чтобы расположить выбранную область, выполните последовательность шагов SmartMap > Arrange > Incremental Arrange.

Работа с сетевыми объектами и группами в SmartMap Сетевые Объекты представлены в SmartMap стандартизированными иконками. Сетевые иконки Object соединяются друг с другом по краям. Края (также называемые подсоединениями) представляют собой линии или ссылки, которые прорисовываются автоматически или вручную между сетевыми объектами в SmartMap. Эти подсоединения могут быть закрепленными или доступными для редактирования. Чтобы работать с объектами, вы должны войти в SmartMap> Select Mode (режим выбора), этот режим является рабочим режимом по умолчанию и позволяет выбирать объекты в SmartMap. SmartMap может использоваться для того, чтобы добавлять и редактировать сетевые объекты. Все элементы в SmartDashboard, которые являются представлениями физических сетевых объектов, (например, Устройства среды открытой системы и сетевые объекты), могут также быть просмотрены и отредактированы в представлении SmartMap. Объекты, которые не являются представлениями физических сетевых объектов, (например, Диапазоны адресов), не могут быть просмотрены в SmartMap. Добавление Сетевого Объекта к SmartMap 1. Щелкните правой кнопкой мыши на SmartMap и выберите в отображаемом меню New Network Object (Новый сетевой объект). 2. Выберите объект, который ыы хотели бы добавить, будет отображено окно свойств объекта. Настройте новый объект.

Примечание: вы можете добавить новый сетевой объект непосредственно к сети. Щелкните правой кнопкой мыши на определенную сеть в SmartMap и затем продолжайте действовать согласно предыдущим командам.

Создание Группы 1. Выделите все объекты, которые вы хотели бы включить в группу. 2. Щелкните правой кнопкой мыши на выбранных объектах и выберите Group в отображенном меню. 3. Сконфигурируйте группу, добавляя объекты в группы или удаляя из нее. Редактирование Сетевых Объектов 1. Выполните одно из следующих действий • Дважды щелкните на объекте в SmartMap, или • Щелкните правой кнопкой мыши по выбранному объекту в SmartMap и выберите Edit (редактировать) в отображаемом меню. 2. Редактируйте объект. Обратите внимание, что если вы изменяете IP-адрес выбранного объекта, размещение объекта в SmartMap может соответствующим образом измениться. Удаление Сетевых Объектов 1. Щелкните правой кнопкой мыши на выбранном объекте (-ах), который Вы хотели бы удалить. 2. Выберите Remove в отображаемом меню. Вы получите запрос на подтверждение того, что Вы хотели бы удалить выбранный объект(ы) 3. Щелкните Yes, чтобы продолжить удаление.

Примечание: при попытке удалить объект, который используется в Политике, на экране возникнет предупреждение. Если вы игнорируете это предупреждение, объект будет удален и модержимое SmartMap будет соответственно скорректировано.

SmartMap


Постоянные подключения и подключения, доступные для редактирования

• Автоматические подключения — недоступные для редактирования подключения, существующие между объектами, топология которых может быть вычислена детерминированно. Эти подключения могут быть изменены только в том случае, если отредактированы связанные ими объекты. Недоступное для редактирования подключение может быть преобразовано в доступное для редактирования, если добавлены или изменены другие объекты. Например, если хост будет однозначно подключен к сети и позднее будет определена идентичная сеть, то подключение хоста будет изменено с постоянного подключения на подключение, доступное для редактирования, чтобы позволить перемещение хоста из одной сети в другую. • Доступные для редактирования подключения — редактируемые подключения, которые могут быть созданы автоматически программой SmartMap путем добавления или изменения объектов (например, изменения подключения между содержащимися и вмещающими сетями), либо они могут быть вручную определены пользователем. Например, если неоднозначные сети разрешены, или когда сети подключены к интернету или к другим сетям (либо отношением включения, либо использованием облака возможностей подключения), эти подключения можно разъединить, щелкая правой кнопкой мыши по соединению UTM-1 Edge и выбирая Disconnect (рассоединить).

Выбор области в SmartMap (Select Mode, режим выбора) Выбор определенной области в SmartMap осуществляется путем перетаскивания мыши по этой области. Будут выбраны все объекты, которые находятся в пределах области блока выбора. Объекты, которые выбраны в режиме выбора, можно перетащить к другой области в SmartMap. Чтобы перейти в Select Mode, выполните последовательность шагов SmartMap > Select Mode. Настройка цвета и ширины объектов и краев

Может быть настроена только ширина краев. Чтобы изменить опции, выполните последовательность шагов SmartMap > Customization > View Options (SmartMap> Настройка> Опции представления).

Установка уровней для SmartMap

Не все типы объектов могут быть представлены автоматически в SmartMap. Вы можете решить, какие типы уровней вы хотели бы добавить к просмотру. Вы можете выбрать основной уровень, который предоставляет все объекты по умолчанию, и уровень OPSEC, который добавляет определенные типы объектов OPSEC. Чтобы задать уровни, выполните последовательность шагов SmartMap > Customization > View Options (SmartMap > Индивидуализация > Просмотр опций).

Настройка всплывающих подсказок для объектов

Выберите Информацию о сетевом объекте, которая будет отображена, когда курсор движется по объекту в SmartMap. Чтобы настроить информацию всплывающих подсказок, выполните последовательность шагов SmartMap > Customization > Tooltips Information (SmartMap > Индивидуализация > Информация о всплывающих подсказках).

Настройка отображения меток объектов и адресов IP Выберите метку объекта (Object Label) и атрибуты и ограничения адреса IP (IP Address attributes and limitations). Чтобы настроить эти параметры, выполните последовательность шагов SmartMap > Customization > Object Label Options (SmartMap> Настройка> Опции Метки Объекта).

Работа с объектами SmartMap SmartMap поддерживает графическое обеспечение связи между различными частями сети, создавая и добавляя несколько новых объектов топологии, например: • Интернет-Объекты представляют сеть Интернет. • Облака подключений (Connectivity Clouds) представляют закрытую сеть или Интранет. • Неявные Сети (Implied Networks) — сети, которые создаются, когда у созданного сетевого объекта отсутствует какая-либо реально существующая сеть, с которой он может быть связан. Такие сети предназначены только для чтения и недоступны для редактирования, хотя могут быть актуализированы (actualized), то есть преобразованы в реальную сеть.

SmartMap


• Неоднозначные Сети (Ambiguous Networks) — сети, которые создаются, когда у созданного сетевого объекта есть несколько практически существующих сетей, с которыми он может быть связан. Сетевой объект подключен к неоднозначной сети и пользователь должен решить, с какой сетью должен быть связан сетевой объект.

Примечание: объекты топологии или объекты, созданные с помощью представления SmartMap, например, облака и подразумеваемые сети и т.д., не могут быть определены как защищенные объекты. Они не могут быть включены ни в какую группу и не могут быть вставлены в Базы правил SmartDashboard.

• Содержащиеся Сети (Contained Networks) — содержащаяся сеть всегда является производным того же или более низкого класса маски подсети, как вмещающая сеть.

Добавление облака подключений (Connectivity Cloud)

Облако подключений определяет возможность подключения между сетевым объектом и частной сетью без указания конкретных связующих между ними. К SmartMap может быть добавлено несколько облаков. Эти облака доступны для редактирования. Чтобы добавить облако подключений, выполните последовательность шагов SmartMap > New Connectivity Cloud.

Подсоединение сети к интернет-облакам В SmartMap всегда есть по крайней мере одно интернет-облако. Это облако не может быть удалено. Между существующей сетью и единственным интернет-облаком автоматически проводится линия связи.

Подсоединение сети к облакам подключений /интернет-облаку, где существует более одной вмещающей сети

1. Щелкните правой кнопкой мыши на сети, которую вы хотели бы подключить к облаку подключений, удерживая клавишу ctrl до тех пор, пока все сети будут выбраны. 2. Щелкните правой кнопкой мыши по последней выбранной сети. 3. Выберите Connect to (Соединить с) и выберите опцию, которую вы хотели бы реализовать.

Подсоединение нескольких сетей к облаку подключений

Так как SmartMap подключает сети согласно их иерархии адресов IP, содержащиеся сети автоматически подключаются к их родительской сети. Это подключение доступно для редактирования и может быть удалено. 1. Выберите сети, которые вы хотели бы подключить к облаку подключений. 2. Выберите Connect Networks (Подсоединить Сети). 3. Определите параметры настройки облака подключений.

Просмотр параметров настройки неявной сети Имя неявной сети определяют по ее адресу IP и добавляют символ «I». Она имеет свойство «Только для чтения», если она не актуализирована или не превращена в реальную сеть. 1. Щелкните правой кнопкой мыши по неявной сети. 2. Выберите View (Просмотр) в отображаемом меню.

Актуализация неявной сети

Неявная сеть имеет свойство «Только для чтения», если она не актуализирована или не превращена в реальную сеть. Это означает, что она превращается в функционирующую сеть с собственной спецификацией и законным (допустимым или недопустимым) адресом IP. 1. Щелкните правой кнопкой мыши по неявной сети. 2. Выберите Actualize в отображаемом меню. 3. Конфигурируйте параметры настройки.

Удаление подключения между вмещающей и содержащейся сетью

1. Щелкните правой кнопкой мыши по UTM-1 содержащейся сети. 2. Выберите Disconnect (Разъединить) в отображаемом меню.

Работа с папками в SmartMap Сокращение топологии, часто называемое свертыванием, облегчает использование SmartMap, путем развертывания или сокращения структур топологии. Этот механизм сокращения упрощает SmartMap, избавляя его от визуального загромождения, но сохраняя его глубинную структуру.

SmartMap


Механизм свертывания позволяет сокращать определенные типы структур топологии. Папки могут быть созданы в следующих местах: • На интерфейсе UTM-1 Edge, а также на всех объектах за ним. • На любой сети, у которой есть хосты или вмещающие сети. • На любом шлюзе и его языковых настройках. Имеются две специальных папки, которые могут быть сокращены: • Objects To Resolve (объекты на удаление) — содержат сетевые объекты и неудаленные хосты, которые являются сомнительными. • External Objects (внешние объекты) — содержат хосты, у которых нет никаких сетей, с которыми они могут быть связаны (потому что они не вписываются в диапазон адресов IP какой-либо сети), а также любые автономные сети. Эта папка не включает в себя установленные объекты Check Point.

Сокращение языковых настроек 1. Щелкните правой кнопкой мыши по locale (языковой настройки). 2. Выберите Collapse Locale (Сократить языковую настройку) в отображаемом меню. Сокращение других структур топологии 1. Щелкните правой кнопкой мыши на объекте, который вы хотели бы сократить. 2. Выберите Collapse Object (Сократить Объект), где объект - переменная в зависимости от объекта, который вы выбрали. Развертывание папок топологии 1. Щелкните правой кнопкой мыши по папке, которая содержит информацию, которую вы хотели бы просмотреть. 2. Выберите Expand (Развернуть) в отображаемом меню. Просмотр содержимого «особых» папок External Objects (Внешние Объекты) и Unresolved Objects (Неразрешенные Объекты) - два особых типа папок, которые не могут быть развернуты, но чье содержимое может быть просмотрено: 1. Щелкните правой кнопкой мыши по папке, содержимое которой вы хотели бы просмотреть. 2. Выберите Show Contents в отображаемом меню. Скрытие содержимого «особых» папок External Objects и Unresolved Objects - два особых типа папок, которые не могут быть развернуты, но чье содержимое может быть скрыто: 1. Щелкните правой кнопкой мыши по папке, содержимое которой вы хотели бы скрыть. 2. Выберите Hide Contents в отображаемом меню. Определение содержимого «особой» папки как группы 1. Щелкните правой кнопкой мыши по папке, элементы которой вы хотели бы сгруппировать. 2. Выберите Define as Group (Определить как Группу) в отображаемом меню. 3. Сконфигурируйте окно Group Properties (Свойства Группы). Переименование папок топологии Папкам дают имя по умолчанию. Это имя может быть отредактировано. 1. Щелкните правой кнопкой мыши по папке, которую вы хотели бы переименовать. 2. Выберите Rename (переименовать) в отображаемом меню. 3. Введите новое имя для папки. Добавление содержимого папки SmartMap в Базу Правил Если содержимое папки перетащить и копировать в Базу правил, вы получите запрос на подтверждение, сохранить ли элементы папки как группу, или добавить содержимое элемент за элементом. 1. Выберите папку, содержимое которой вы хотели бы добавить в Базу правил. 2. Нажмите клавишу SHIFT. 3. Перетащите выбранную папку в заданное место в Базе правил. 4. Если содержимое добавлено как группа, настройте окно Group Properties (групповые свойства). Редактирование внешних объектов Внешние объекты – это хосты, у которых нет никаких фактически существующих сетей, с которыми они могут быть связаны. То есть их адрес IP находится вне пределов диапазона адресов IP какой-либо определенной в настоящий момент сети. 1. Щелкните правой кнопкой мыши по папке External Objects (внешние объекты).

SmartMap


2. Выберите Edit (редактировать) в отображаемом меню. 3. Сконфигурируйте окно Properties (свойства) выбранного внешнего объекта. Просмотр межсетевых кластеров Межсетевые кластерные объекты никогда не включаются в папку Objects to Resolve (объекты, предназначенные для разрешения), даже при том, что они могут быть не разрешены. 1. Щелкните правой кнопкой мыши по выбранному межсетевому кластеру. 2. Выберите Show Members (показать элементы) в отображаемом меню.

Интегрирование SmartMap и Базы правил Вы можете перетащить правила из Базы правил и показать их в SmartMap. Вы можете улучшить свое представление об отображаемом правиле, добавляя к нему пояснение. Вы можете вставить объекты и папки из SmartMap. Вы можете показать сетевые объекты, выбранные в Базе правил и некоторых других местах в SmartMap.

Отображение пояснения для обычного правила и/или правил NAT Пояснение обеспечивает ключ к пониманию правил, отображенных в SmartMap. • Чтобы отобразить пояснение, выполните последовательность шагов SmartMap > Customization > View Options. Добавление содержимого папки SmartMap в Базу правил См. Работу с Папками в SmartMap (на странице 81). Вставка сетевых объектов в Базу правил Объекты топологии (например, облака, неоднозначные сети и т.д.) не могут быть вставлены в Базу правил. 1. Щелкните правой кнопкой мыши на выбранном сетевом объекте. 2. Выберите Copy to Rule Base (Копировать в Базу правил) в отображаемом меню. 3. Щелкните правой кнопкой мыши по столбцу, в который должен быть вставлен выбранный сетевой объект. 4. Выберите Paste (Вставить) в отображаемом меню. Просмотр сетевого объекта, выбранного в Базе правил в SmartMap 1. Выберите сетевой объект в Базе правил, которой вы хотели бы показать в SmartMap. 2. Перетащите сетевой объект, используя левую кнопку мыши, и вставьте его в SmartMap. Просмотр сетевых объектов, выбранных в SmartMap в Базе правил 1. Выберите сетевой объект в SmartMap, которому вы хотели бы показать в Базе правил. 2. Перетащите сетевой объект, используя левую кнопку мыши и кнопки клавиатуры shift and alt, и вставьте его в SmartMap. Показ правила в SmartMap Правило, которое вы выберете для показа в SmartMap, можно показать в увеличенном виде или согласно текущему уровню масштабирования изображения.

Примечание: в представлении SmartMap можно показывать только правила Политики безопасности (Security Policy rules).

1. Выберите правило в Базе правил, которую вы хотели бы отобразить в SmartMap по номеру правила. 2. Выберите Show (показать) и опцию отображения в открытом меню. Отображение пояснения правил колорирования Правила отображаются как сочетание выделенных цветов и стрелок на SmartMap. Например, цвета определяются для того, чтобы представить столбцы Source (Источник), Destination (Адресат) и Install On, (Установить на) терминала SmartDashboard. Эти цвета могут быть просмотрены в окне Rule Color Legend (Пояснение правила цвета), которое будет отображено на экране одновременно с правилом. Перетащите правило в SmartMap, и пояснение правил колорирования будет автоматически отображено на экране. Основные сведения о правилах колорирования

SmartMap


Правила отображаются как сочетание выделенных цветов и стрелок на SmartMap. Цвета, присвоенные стрелкам, представляют выполняемое действие. Стрелка также указывает направление движения правила; откуда правило прибыло (источник), и куда оно направляется (адресат). • Красный - «отбросить» (Drop), отклонить (Reject) • Зеленый – Принять (Accept) • Синий – аутентификация пользователя (User Auth), аутентификация Клиента (Client Auth), аутентификация Сеанса (Session Auth) • Фиолетовый — Шифр (Encrypt), Шифр Клиента (Client Encrypt) Правила, которые требуют особого внимания Когда правилам отображаются в SmartMap, значение «Any» (Любой) представлено значком в низу или вверху стрелки, чтобы указать, что Source или Destination, соответственно, равны Any (Источник или Адресат являются любыми). Правила, упомянутые ниже, размещаются и отображаются особым способом: • если Источник любой (Any), правило предназначено для перемещения от Install On объектов к Destination (объектам назначения). • если Адресат любой (Any), правило предназначено для перемещения от Source (источника) к Install On. • если и Источник, и Адресат любые (Any), отображаются только пути между объектами Install On.

Поиск и устранение сбоев с помощью SmartMap SmartMap может использоваться как инструментальное средство диагностики, главным образом для расчетов топологии и решения определенных проблем возможности подключения, например, дублированных сетей и неразрешенных интерфейсов объекта. Для каких объектов выполняются расчеты топологии? Информация о топологии определяет данные об интерфейсах объекта и адресах IP за пределами интерфейсов. • Шлюзы безопасности с двумя или большим количеством интерфейсов • Устройства среды открытой системы Информация о расчетах топологии Вы можете рассчитать топологию для объектов, выбранных в следующих местах: • SmartMap • Дерево объектов • Список объектов Пояснение в окне Topology Calculation Results (Результаты расчетов топологии) поясняет, как следует читать Список интерфейсов топологии. • Красный — результаты расчетов отличаются от информации о топологии, определенной в настоящий момент. Эта информация должна быть одобрена. Щелкните Approve (одобрить), чтобы отобразить и сопоставить текущую информацию о топологии с получаемой. Щелкните Approve all (одобрить все), чтобы автоматически одобрить все расчеты, не сравнивая и не сопоставляя результаты. • Синий — результат расчета было автоматически одобрен. • Стандартный — в информацию о топологии не было внесено никаких изменений. Чтобы рассчитать топологию для выбранного объекта 1. Щелкните правой кнопкой мыши по выбранному объекту. 2. Выберите Calculate Topology (Рассчитать Топологию) в отображаемом меню. 3. Окно Topology Calculation Results (Результаты расчетов топологии) отображает информацию о топологии после того, как был сделан расчет для выбранного объекта. Что такое система консультативной поддержки («Помощник») SmartMap? Система консультативной поддержки SmartMap предназначена для обучения решению задач, касающихся возможности подключения, например: • Дублированные сети • Неразрешенные интерфейсы объекта Система консультативной поддержки – это инструмент обучения. Как только Вы поймете, как решать задачи возможности подключения, Вы можете решать их непосредственно в Представлении SmartMap, а не через Систему консультативной поддержки. Поиск и устранение проблемы дублированных сетей Дублированные сети появляются, если имеется более одной сети с идентичной маской подсети и адресом IP.

SmartMap


Примечание: - Некоторые сетевые системы могут требовать наличия дублированных сетей. Рассмотрите потребности вашей системы, прежде чем изменить дублирование сети.

Чтобы решить проблему дублированных сетей, вы можете изменить общедоступный адрес IP так, чтобы все сети были однозначно определяемыми. В качестве альтернативы вы можете удалить дублированную сеть. Поиск и устранение проблемы неразрешенных интерфейсов объекта Когда имеется более, чем одна практически реализованная сеть, с которой может быть связан сетевой объект, то сетевой объект временно подключается к неявной сети до того момента, когда он сможет быть должным образом разрешен. См. Неявные сети в работе с объектами SmartMap (на странице 79). Какие объекты могут быть определены как защищенные объекты? Любой объект, который не связан с Интернетом, может быть определен как защищенный объект. Понятие включает: • Межсетевые кластеры • Шлюзы безопасности с двумя или больше интерфейсами • Устройства среды открытой системы Определение Защищенных Объектов как Группы Любой объект, который не связан с Интернетом, может быть определен как защищенная группа объектов. 1. Щелкните правой кнопкой мыши по выбранному объекту (ам). 2. Выберите Define Protected Objects as Group (опредить защищенные объекты как группу) в отображаемом меню. 3. Сконфигурировать окно Group Properties (свойства группы).

Работа с выходными данными SmartMap Как только вы выполните развертывание системы, появится возможность выполнения нескольких операций. Убедитесь, что вы сохраняете и/или устанавливаете политику, чтобы гарантировать применение всех изменений, произведенных в SmartMap. SmartMap всегда отображается на схеме и с последними координатами, которые оно имело при последнем сохранении. Как только SmartMap будет сохранен, вы сможете распечатать SmartMap или даже экспортировать его в другой формат для облегчения его использования. Следующие опции доступны в меню SmartMap терминала SmartDashboard: Распечатка SmartMap Установите параметры распечатки карты SmartMap. А именно: масштабирование выводимых страниц, размер полей и, наконец, информация, которая будет включена в изображение (например, номера страниц, границы, метки обрезки или даже заголовок, настроенный по желанию заказчика). Экспорт SmartMap (как графического файла) Сконфигурируйте параметры изображений, которые экспортируются в графический файл. Задайте тип и размер изображения. Определите обработку папок в экспортируемом изображении. Определите общую информацию, включая имя, метку, дату экспорта, а также логического префикса, который может быть упомянут и понят. Это особенно важно в случае сохранения нескольких графических файлов. Наконец, обозначьте место, в которое будет сохранен графический файл, и определите, хотите ли вы открыть или напечатать графические файлы после того, как они будут экспортированы. Экспорт SmartMap (в Microsoft Visio) Вы можете сконфигурировать параметры настройки для изображения SmartMap, экспортируемого в Microsoft Visio. Определите данные объектов, которые вы хотели бы включить. Это общая информация об объекте, например, имя, адрес IP и маска подсети. Определите обработку папок и иконок во время операции экспорта. Вы можете сохранить иконки и цвета Check Point или же использовать иконки из шаблона Microsoft Visio. Наконец, определите, какая общая информация должна быть включена в выводимые данные, например, дата, метка и местоположение, в котором будет сохранено экспортируемое представление SmartMap.

Глава 6

Внутренний Центр сертификации

В этой главе

Потребность в ICA 85 ICA решение 85 Конфигурация ICA 91

Потребность в ICA Внутренний Центр сертификации необходим для строгой аутентификации. Аутентификации для:

Защищенной внутренней связи (SIC) между внутренними логическими объектами Check Point

Виртуальная частная сеть – как для шлюзов, так и для пользователей

ICA решение Введение в ICA

ICA – это Сервер сертификатов, который является неотъемлемой частью набора программ продукта Check Point. Он полностью совместим со стандартами X.509 как для сертификатов, так и для CRL. Для получения дополнительной информации см. соответствующую документацию X.509 и PKI, а также стандарты RFC 2459. Вы можете прочитать больше о Check Point и PKI в Справочнике администрирования виртуальной частной сети (http://supportcontent.checkpoint.com/solutions?id=sk76540). ICA расположен на Сервере управления безопасностью. Он создается во время процесса установки, когда конфигурируется сервер управления безопасностью. ICA выдает следующие сертификаты:

SIC – сертификаты, которые выдаются для Сервера управления безопасностью, его шлюзов, модулей OPSEC и администраторов продукта для активации безопасной связи для всех операций,связанных с Check Point (например, установка политики на шлюзах, регистрация, возможность подключения сервера управления защитой SmartConsole и т.д.).

Сертификаты виртуальной частной сети для шлюзов для обеспечения эффективной и непрерывной строгой аутентификации в создании туннеля виртуальной частной сети.

Пользователей – чтобы обеспечить строгую аутентификацию между пользователями удаленного доступа и шлюзами, а также другими функциями, например, безклиентным Сервером управления безопасностью виртуальной частной сети.

ICA выпускает Списки отозванных сертификатов (CRL), чтобы опубликовать список сертификатов, которые были аннулированы. Это аннулирование может произойти из-за многих факторов: компрометация ключа, потеря сертификата и т.д. CRL публикуются на HTTP сервере, запущенном на Сервере управления безопасностью, и могут быть найдены любым шлюзом Check Point для проверки действительности сертификата.

Клиенты ICA Операции ICA выполняются с использованием следующих клиентов:

Внутренний центр сертификации


• Check Point Configuration или cpconfig в командной строке. С использованием Check Point Confiuration tool создается ICA, а также выдается сертификат SIC для Сервера управления безопасностью.

• SmartDashboard. Этот компонент консоли управления SmartConsole используется для того, чтобы управлять:

• Сертификатами SIC для различных шлюзов, а также для администраторов. Для получения дополнительной информации см. Организация защиты каналов связи (SIC) (на странице 21).

• Сертификаты виртуальной частной сети

• Сертификаты пользователя, управляемые из внутренней базы данных. Для получения дополнительной информации см. Введение в Удаленный доступ в Справочнике по Администрированию виртуальной частной сети

(http://supportcontent.checkpoint.com/solutions?id=sk76540).

• Инструментальное средство управления ICA. Это инструментальное средство используется для того, чтобы управлять сертификатами виртуальной частной сети для пользователей, управление которыми реализуется либо во внутренней базе данных, либо на сервере LDAP. Кроме того, он используется, чтобы выполнять операции управления ICA. ICA генерирует журналы регистрации событий, когда выполняются операции ICA. Эти журналы регистрации событий могут быть рассмотрены в комппоненте консоли управления SmartView Tracker.

Продолжительность действия и статусы сертификатов

У каждого сертификата, выданного ICA, есть определенный период действия. Когда этот период действия заканчивается, статус сертификата приобретает значение expired (с истекшим сроком).

Администратор может отменить сертификат. Это можно сделать по ряду причин, например, когда пользователь выходит из состава организации. Если сертификат отменяется, серийный номер сертификата публикуется в CRL, а это указывает, что сертификат был официально отменен и не может использоваться или признаваться любым логическим объектом в системе.

Сертификаты создаются по-разному. Сертификаты SIC, сертификаты виртуальной частной сети для шлюзов и Сертификаты пользователя создаются в один этап с помощью SmartDashboard, хотя последний может также быть создан в ходе двухэтапного процесса, путем использования либо SmartDashboard, либо Инструментального средства управления ICA. Если Сертификат Пользователя создается за два этапа, эти этапы включают в себя:

• Инициализацию – во время этой стадии создается регистрационный код для пользователя. Когда это выполнено, состояние сертификата - pending (находится на рассмотрении)

• Регистрацию – когда пользователь завершает регистрационный процесс в удаленном клиенте (SecuRemote/SecureClient) с использованием регистрационного кода, сертификат становится valid (действительным)

Преимущества двухэтапного процесса следующие:

Улучшенная защита от несанкционированного доступа

• секретный ключ создается и сохраняется на машине пользователя

• сертификат, выданный ICA, надежно загружен на клиентскую машину (и не вручается пользователю

администратором),

Автоматическое и инициализированное администратором удаление сертификата до этапа выпуска

Если пользователь не завершает регистрационный процесс в пределах заданного промежутка времени (который по умолчанию равен двум неделям), ключ регистрации автоматически удаляется.



Администратор может удалить ключ регистрации, прежде чем пользователь завершит регистрационный процесс.

После этого администратор может отменить Сертификат Пользователя.

Явное или автоматическое возобновление пользовательских сертификатов, гарантирующих непрерывную возможность подключения пользователя

Сертификат Пользователя типа PKCS12 может быть возобновлен пользователем в явной форме или

может быть установлен на автоматическое возобновление перед истечением срока его действия. Данная операция возобновления гарантирует, что пользователь может непрерывно подключаться к сети организации. Администратор может выбрать, когда установить автоматическое аннулирование старого пользовательского сертификата.

Еще одно дополнительное преимущество:

Автоматическое возобновление сертификатов SIC, гарантирующее непрерывную возможность подключения SIC

Сертификаты SIC возобновляются автоматически после того, как истечет 75 % срока действия сертификата. Если, например, сертификат SIC действителен в течение пяти лет, спустя 3.75 года после того, как он был выдан, создается и автоматически загружается новый сертификат для логического объекта SIC.

Это автоматическое возобновление гарантирует, что возможность SIC подключения шлюза является непрерывной. Администратор может решить отменить старый сертификат автоматически или по истечении установленного промежутка времени. По умолчанию, старый сертификат отменяется спустя неделю после возобновления сертификата.

Управление Сертификатом SIC Управление Сертификатами SIC осуществляется в окне Communication объекта межсетевого шлюза.

Атрибуты Сертификата виртуальной частной сети Атрибуты Значение

по умолчанию С перестраиваемой

конфигурацией Комментарии

Срок действия 5 лет да

Размер ключа 1024 бита да Может быть установлен на 2048 или 4096 битов

Использование ключа

5 да Цифровая подпись и шифрование ключом

Все атрибуты в предыдущей таблице могут быть установлены в Инструменте управления ICA.

Управление сертификатом шлюза виртуальной частной сети (VPN)

Сертификат виртуальной частной сети для шлюзов управляется во вкладке виртуальной частной сети соответствующего сетевого объекта.

Атрибуты Сертификата виртуальной частной сети.



Атрибуты Значение

по умолчанию С перестраиваемой

конфигурацией Комментарии

Срок действия 5 лет да



5 да Цифровая подпись и шифрование ключом

Расширенное использование ключа

0 (без использования ключа)

да

Примечание: если межсетевой сертификат сохранен на аппаратном устройстве идентификации, размер ключа конфигурируется в файле Objects_5_0. C, используя утилиту

dbedit, см. Изменение размера ключа на стр. 52.

Управление сертификатом пользователя Управление Сертификатами пользователя с внутренним управлением (например, такие операции, как инициализация, аннулирование или удаление регистрации) может осуществляться или из окна User Properties (свойства пользователя) в SmartDashboard или с использованием Инструментального средства управления ICA. Сертификаты тех пользователей, управление которыми выполняется с сервера LDAP, могут управляться только с использованием Инструментального средства управления ICA.

Все операции из предыдущей таблицы могут быть выполнены через Инструментальное средство управления IC.

Атрибуты Значение по умолчанию

С перестраиваемой конфигурацией

Комментарии

Срок действия 2 года да


DN сертификатов пользователей, управляемых внутренней базой дан-

CN=имя пользователя, OU=пользователи

да Это DN не добавляется к DN ICA

DN сертификатов пользователей, управляемых на сервере LDAP

да Зависит от LDAP пере- хода


5 да Цифровая подпись и Шифровка ключом

Расширенное использование ключа

0 (без использования ключа)

да



Изменение размера ключа Если пользователь выполняет регистрацию с машины Удаленного доступа, размер ключа можно конфигурировать на странице конфигурации с улучшенными свойствами Advanced Configuration в системе SmartDashboard. К этой странице можно обратиться, выбирая Policy > Global Properties > SmartDashboard Customization > Advanced. Этот метод является рекомендуемым.

В качестве варианта, вы можете редактировать размер ключа, используя утилиту dbedit из Objects_5_0. C, изменяя размер ключа, как он указан в users_certs_key_size Global Property. Новое значение загружается, когда пользователь обновляет свой сайт.

Как это делается? В SmartDashboard или в утилите dbedit:

1. Измените атрибут ica_key_size на одно из следующих значений: 1024, 2048 или 4096.

2. Запустите команду fwm sic_reset.

3. Запустите команду cpconfig и определите имя СА (сервера сертификатов) во вкладке Certificate

Authority (Центр сертификации).

4. Когда это будет выполнено, нажмите OK.

5. Запустите команду cpstart.

Управление CRL По умолчанию, CRL действителен в течение одной недели. Это значение может быть изменено. Новые CRL выпускаются:

• когда истечет приблизительно 60 % периода действия CRL

• немедленно после аннулирования сертификата

Можно обновить указанный CRL, используя Инструментальное средство управления ICA. Это действует как механизм восстановления, когда CRL удален или поврежден. Кроме того, администратор может загрузить закодированную версию DER CRL, используя Инструментальное средство управления ICA.

Режимы CRL ICA в состоянии выпустить несколько CRL. Цель нескольких CRL состоит в том, чтобы предотвратить увеличение любого CRL свыше размера 10 КБ. Если CRL превышает 10 КБ, согласование IKE может завершиться сбоем, пытаясь установить туннели виртуальной частной сети.

Создание нескольких CRL достигается путем приписывания каждого выпускаемого сертификата определенному CRL. Если сертификат отменяется, серийный номер сертификата появится в определенном CRL.

Расширение точки распространения CRL (CRLDP) сертификата содержит URL определенного CRL. Это гарантирует, что найден правильный CRL, когда утвержден сертифика.



Дополнительные параметры ICA

Изменение ключа ICA ICA создается с помощью ключа размера 2048 битов. Есть определенные случаи, в которых требуется ключ другого размера (1024 или 4096 битов). В таком случае ICA должен быть создан заново. Это можно сделать, используя командные строки и файл Конфигурации ICA.

Инструментальное средство управления ICA Инструментальное средство управления ICA - удобное для использования инструментальное средство, которое позволяет администратору выполнять несколько операций на и для ICA, например:

• Управление сертификатом и поисками

• Восстановление и загрузка CRL

• Конфигурация ICA

• Очистка ICA, заканчивающаяся удалением сертификата с истекшим сроком

Примечание: Инструментальное средство управления ICA поддерживается версией 3 SSL и TLS.

Графический интерфейс пользователя инструментального средства управления ICA

Интерфейс разделен на три области окна:

• Область окна Menu (Меню) - в области окна меню выбирается операция, которая будет выполнена.

• Область окна Operations (Операций) - в этой области окна конфигурируется и применяется операция. В этом окне вы можете:

• Управлять Сертификатами – в этом окне выбираются параметры атрибутов поиска и массивов операций.

• Создавать Сертификаты – в этом окне вы можете создавать сертификаты.

• Конфигурировать сервер сертификатов - это окно содержит параметры конфигурации и дает возможность администратору изменять их. Вы можете также просмотреть время, имя и версию сервера сертификатов, и номер сборки сервера управления безопасностью.

• Управлять CRL - из этого окна вы можете загрузить, опубликовать или обновить CRL.

• Область окна Search Results (Результаты поиска) - результаты примененной операции отображаются в этой области окна. Это окно состоит из таблицы со списком найденных атрибутов сертификатов.

Инструментальное средство управления ICA запускается из любого браузера в любой среде операционной системы. Используя протокол HTTP, можно надежно подсоединить Инструментальное средство управления ICA с ICA при условии, что сертификат администратора добавлен к браузеру.



Примечание: Инструментальное средство управления ICA может подключиться к ICA в незашифрованном виде, однако ради безопасности в HTTP рекомендуется работать с шифровкой.

Уведомление пользователей об инициализации сертификата Инструментальное средство управления ICA может использоваться для того, чтобы отправить почту пользователям и таким образом уведомить их об инициализации сертификата. Чтобы отправить почтовые уведомления, администратор должен сконфигурировать:

1. почтовый сервер.

2. адрес почты "From" (отправителя).

3. опциональный адрес "To" (получатель), который может использоваться, если адрес пользователей не известен. В этом случае, если сертификаты выданы, администратор может получать почтовые отправления и отправлять их по соответствующему адресу.

Выполнение нескольких одновременных операций Чтобы упростить управление пользовательскими сертификатами, Инструментальное средство правления ICA может выполнить несколько одновременных операций. Например, возможно:

1. Сделать один запрос LDAP для того, чтобы получить подробную информацию обо всех служащих организации.

2. Создать файл из этих данных, и затем использовать этот файл:

• инициализировать создание сертификатов для всех служащих

• уведомить всех служащих об этих новых сертификатах

Ниже даны типы операций, которые могут быть выполнены одновременно:

• инициализация сертификатов пользователя

• отмена сертификатов пользователя

• отправка почты пользователям

• удаление истекших сертификатов

• удаление сертификатов, для которых не был закончен процесс регистрации

Администраторы ICA с ограниченными правами доступа Инструментальное средство управления ICA поддерживает администраторов с ограниченными правами доступа. Эти администраторы могут выполнять основные процедуры поиска и инициализировать сертификаты для новых пользователей. Эти администраторы не могут выполнять несколько параллельных операций. Эти администраторы, как правило, могут быть операторами компьютерной службы помощи, отвечающих за обработку информации о новых служащих.

Конфигурация ICA

Загрузка сертификата ICA В определенных сценариях требуется получить сертификат ICA. Шлюзы равноправного узла, которые не управляются сервером управления безопасностью, должны использовать его в целях установки отношений Доверия. Кроме того, этот сертификат необходим клиентам, использующим безклиентную виртуальную частную сеть, а также машине, на которой выполняется Инструментальное средство управления

ICA. В этом случае, эти равноправные узлы должны действовать следующим образом:



1. Откройте браузер и введите соответствующий URL (в формате Ошибка! Недопустимый объект гиперссылки. >-. 18264) Будет отображено окно Certificate Services (Службы сертификатов).

2. В окне Certificate Services вы можете загрузить сертификат с Сервера сертификатов на свой компьютер, или вы можете установить в Windows путь сертификации Сервера сертификатов.

Управление сертификатами SIC Управление Сертификатами SIC выполняется через SmartDashboard.

Управление сертификатами шлюза виртуальной частной сети (VPN)

Управление сертификатами виртуальной частной сети выполняется на странице этой виртуальной частной сети соответствующего сетевого объекта. Эти сертификаты выдаются автоматически, когда блейд виртуальной частной сети IPSec будет определен для шлюза или хоста Check Point. Это определение указывается в окне General Properties соответствующего сетевого объекта, как показано ниже:

Если этот сертификат отзывается, новый выпускается автоматически.

Управление пользовательскими сертификатами через SmartDashboard Управление сертификатами пользователя тех пользователей, которые управляются через внутреннюю базу данных, выполняется путем использования SmartDashboard. Для получения дополнительной информации см. главу Виртуальная частная сеть удаленного доступа в R75.40VS VPN Справочнике Администрирования (http://supportcontent.checkpoint.com/solutions?id=sk76540).



Вызов инструментального средства управления ICA Инструментальное средство управления ICA по умолчанию блокируется, и может быть активировано через командную строку.

1. Активируйте или блокируйте Инструментальное средство управления ICA, используя командную строку на Сервере управления безопасностью.

Использование cpcaclient [-d] setmgmttool on|off [-p <caport>] [-nossl] [-a|-u "administrator|user DN" ... ]

где:

on означает запуск Инструментального средства управления ICA (путем открытия порта 18265) off означает остановку работы Инструментальное средство управления ICA (путем закрытия

порта 18265) -p изменяет порт, используемый для того, чтобы подключиться к серверу сертификатов (если не

используется порт по умолчанию), -no_ssl конфигурирует сервер для того, чтобы использовать открытый протокол НТТР, а не

обычный HTTP -a «administrator DN» - устанавливает имена домена администраторов, которым разрешается

использовать Инструментальное средство управления ICA -u «user DN» ... - устанавливает имена домена пользователей, которым разрешается

использовать Инструментальное средство управления ICA. Эта опция предназначена для администраторов с ограниченными правами доступа.

Примечание: - Если cpca_client выполняется без -a или -u, список разрешенных пользователей и администраторов не будет изменен, и сервер будет запущен/остановлен с ранее разрешенными пользователями/администраторами.

2. Чтобы подключиться к ICA, добавьте сертификат администратора в архив сертификатов браузера.

3. Откройте Инструментальное средство управления ICA из браузера.

Откройте браузер и введите с клавиатуры местоположение: https://<Management_Host_Name>:18265

Вы получите запрос на аутентификацию.

Примечание: Инструментальное средство управления ICA не должно находиться в той же подсети, как и сервер управления безопасностью.

Поиск сертификата Инициализация поиска Это действие выполняется в области окна Create Certificates - Operations (Создать Сертификаты –Операции). Имеется два варианта поиска: основной вариант поиска, который включает в себя только имя пользователя, тип, состояние и поля серийного номера, а также расширенный вариант поиска, который включаетвсе поля поиска. Второй вариант может быть выполнен только администраторами с неограниченными правами доступа.

Поиск по атрибутам Атрибуты основного варианта поиска • User name (Имя пользователя) - строка, требующая безошибочного ввода данных, которые представляют собой имя пользователя. По умолчанию это поле пусто.

• Type (Тип) - раскрывающийся список со следующими опциями: Any (Любой), SIC (Защищенная внутренняя связь), Gateway (Шлюз), Internal User (Внутренний Пользователь) или LDAP user (пользователь LDAP), где значение по умолчанию - Any.



• Status (Состояние) - раскрывающийся список со следующими опциями: Any (Любой), Pending (Ожидание обработки), Valid (Действительный), Revoked (Отмененный), Expired (Истекший) или Renewed (superseded) (Возобновленный (замененный)), где значение по умолчанию - Any.

• Serial Number - серийный номер запрашиваемого сертификата. По умолчанию, это поле пусто.

Атрибуты расширенного поиска Этот поиск включает все атрибуты, описанные для основного варианта поиска, а также следующие:

• Sub DN - строка, которая представляет подстроку DN. По умолчанию это поле пусто.

• Valid From (действителен с) - текстовое поле с возможностью открыть календарь и выбрать дату в формате дд-ммм-гггг [чч:мм:сс] (например 15-Jan-2003). По умолчанию это поле пусто.

• Valid To (действителен до) - текстовое поле с возможностью открыть календарь и выбрать дату в формате дд-ммм-гггг [чч:мм:сс] (например 14-Jan-2003 15:39:26). По умолчанию, это поле пусто.

• CRL Distribution Point (Точка распространения CRL) - раскрывающийся список со следующими опциями: Any, No CRLDP (Без CRLDP) (для сертификатов, выпущенных перед обновлением управления - старых сертификатов в режиме CRL) или любой доступный номер CRL, где значение по умолчанию - Any.

Результаты поиска Результаты поиска отображаются в области окна Search Results. Эта область окна состоит из таблицы со списком отыскиваемых атрибутов сертификата, например:

• (SN) Serial Number - Серийный номер сертификата.

• User Name (CN), именем пользователя считается строка, которая появляется после первого знака «=» до следующей запятой «,».

• DN (отличительное имя).

• Status (где состояния могут быть любыми из следующих: Pending, Valid, Revoked, Expired, Renewed (superseded).

• Дата, с которой сертификаты действительны, до даты, когда они должны истечь. Статистика поиска будет отображена в строке состояния после того, как все процедуры поиска будут выполнены.

Просмотр и сохранение подробной информации о сертификате Нажмите на ссылку DN в области окна Search Results, чтобы отобразить подробную информацию осертификате.

• Если состояние - pending, то будет отображено окно, которое показывает информацию о сертификате, включая его регистрационный ключ. В этом случае в Программе трассировки SmartView Tracker будет создан и отображен файл регистрации.

• Если сертификат уже был создан, будет отображено новое окно, в котором сертификат может быть сохранен на диске или открыт непосредственно (исходя из того, что это расширение имени файла известно операционной системе).

Операции с сертификатом с использованием инструмента управления ICA Операции с сертификатом (например, создание сертификата), выполняемые с помощью Инструментального средства управления ICA, могут использоваться только для сертификатов пользователя.

Важно! Сертификаты SIC и сертификаты виртуальной частной сети следует изменять, используя не Инструментальное средство управления ICA, а SmartDashboard.

Проверьте сертификаты, с которыми вы хотели бы выполнить операции.



Удаление и отзыв сертификатов и отправка почтовых уведомлений

1. Выберите Manage Certificates (Управление Сертификатами) в области окна Menu. В области окна Manage Certificates - Operations:

2. Конфигурируйте поиск согласно необходимым атрибутам, и щелкните Search (Поиск) (см. Графический интерфейс пользователя инструментального средства управления ICA (на странице 53)), результаты отображаются в области окна результатов поиска Search Results.

3. Выберите запрашиваемые сертификаты из результатов поиска и нажмите на одну из следующих трех опций:

• Revoke Selected (Отозвать Выбранный) - эта операция отзывает выбранные сертификаты. Если сертификат находится на рассмотрении (pending), эта операция удалит его из базы данных Сервера сертификатов.

• Remove Selected (Удалить Выбранный) - эта операция удаляет выбранные сертификаты из базы данных Сервера сертификатов и из CRL, если он был там найден. Вы можете удалить только сертификаты с истекшим сроком или ожидающие решения.

• Mail to Selected (Отправить сообщение по почте к Выбранному) - эта операция отправляет почтовое сообщение по всем выбранным ожидающим решения (pending) сертификатам, которые включают коды авторизации для выбранных пользователей. Сообщения пользователям, для которых не определена электронная почта, будут отправлены по адресу по умолчанию, который может быть определен в окне Configuration сервера сертификатов (выберите область окна Menu> Configure the CA (Выбор конфигурации сервера сертификатов)). Для получения дополнительной информации, см. Уведомление Пользователей об Инициализации Сертификата (на странице 53).

Подача запроса на сертификат на сервер сертификатов с использованием инструментального средства управления ICA Существует три метода подачи сертификата:

Инициализация («Инициализация Сертификата» на странице 58) - регистрационный ключ создается на сервере сертификатов и используется пользователем один раз, чтобы создать сертификат.

Генерирование («Генерирование Сертификата» на странице 58) - файл сертификата создается и связывается с помощью пароля, который следует вводиться при каждом обращении к сертификату.

PKCS#10 («Создание Сертификата PKCS#10» на странице 58) - когда получен запрос сертификата

PKCS#10, сертификат создается и передается программе формирования запросов. Инициализация Сертификата Чтобы инициализировать сертификат, действуйте следующим образом: 1. В области окна Menu, выберите Create Certificates (создать сертификаты). 2. Выберите Initiate. 3. Введите User Name (имя пользователя) или Full DN (полное отличительное имя), или заполните форму Form. 4. Если вы хотите ввести подробную информацию о дате истечения для сертификата или регистрационных ключей, щелкните Advanced (дополнительно). • Certificate Expiration Date (Дата истечения срока Сертификата): откройте календарь, чтобы выбрать дату или ввести дату в формате дд-ммм-гггг [чч:мм:сс]. Значение по умолчанию составляет два года с этого времени. • Registration Key Expiration Date (Дата истечения срока Регистрационного ключа): откройте календарь, чтобы выбрать дату или ввести дату в формате дд-ммм-гггг [чч:мм:сс]. Значение по умолчанию составляет две недели с этого времени. 5. Нажмите Go (Выполнить). Будет создан Регистрационный ключ и затем отображен в области окна Results.



6. Если нужно, щелкните Send mail to user, чтобы послать пользователю по электронной почте регистрационный ключ. Обратите внимание, что число символов в письме электронной почты ограничено 1900. 7. Сертификат становится годным для использования после получения правильного регистрационного ключа.

Генерирование сертификата Чтобы сгенерировать сертификат, действуйте следующим образом: 1. В области окна Menu, выберите Create Certificates (создание сертификатов).

2. Выберите Generate (сгенерировать).

3. Введите User Name или Full DN, или заполните Form.

4. Если вы хотите ввести подробную информацию о дате истечения для сертификата или регистрационных ключей, щелкните по Advanced.

• Certificate Expiration Date: откройте календарь, чтобы выбрать дату или ввести дату в формате дд-ммм-гггг [чч:мм:сс]. Значение по умолчанию составляет два года с этого времени.

• Registration Key Expiration Date: откройте календарь, чтобы выбрать дату или ввести дату в формате дд-ммм-гггг [чч:мм:сс]. Значение по умолчанию составляет две недели с этого времени.

5. Введите пароль.

6. Нажмите Go (запустить).

7. Сохраните файл P12 и передайте его пользователю.

Создание сертификата PKCS#10 Чтобы создать сертификат PKCS#10, действуйте следующим образом: 1. В области окна Menu выберите Create Certificates.

2. Выберите PKCS#10.

3. Либо вставьте в свободное место предоставленный заранее текст из буфера, зашифрованный кодом Base-64, или нажмите на Browse for a file to insert (IE only) (Найти файл для вставки (только в IE), чтобы импортировать файл запроса.

4. Щелкните Create (создать) и сохраните полученный сертификат.

5. Вставьте сертификат в программу формирования запросов.

Одновременная инициализация нескольких сертификатов Инициализация массива сертификата может быть сделана следующим образом:

1. Создайте файл со списком имен домена, которые вы хотите инициализировать. Существует две возможных синтаксических структуры для этого варианта создания файла: LDAP или non-LDAP (отличное от протокола LDAP).

2. Перейдите в этот файл на странице Advanced (Расширенные возможности) страницы Create Certificate. 3. Чтобы отправить пользователям регистрационные ключи, поставьте флажок в поле Send registration keys via email.

4. Чтобы получить файл, в котором перечисляются инициализированные имена домена наряду с их регистрационными ключами, поставьте флажок в поле Save results to file (Сохранить результаты в файл). Этот файл может позже использоваться сценарием.

5. Щелкните по Initiate from file (Инициализировать из файла).

Использование запроса LDAP Формат файла, инициализированного поиском LDAP, является следующим:

• Каждая строка после пустой строки или первой строки в файле представляет одно DN, которое будет инициализировано.



• Если строка начинается с «mail=», следующая строка содержит адрес почты этого пользователя.

Если никакой адрес электронной почты не предоставлен, адрес электронной почты будет взят из атрибута Инструментального средства управления ICA «Mail To Address» (отослать сообщение по адресу).

• Если строка «- not_after» тогда значение в следующей строке – это дата истечения срока сертификата, которая почти наступила.

• Если строка «- otp_validity», тогда значение в следующей строке – это дата истечения срока

регистрационного ключа, которая почти наступила.

Пример Вывода результатов Поиска LDAP

Для получения

дополнительной информации см. User Directory (LDAP и Административное управление пользователями на странице 108). Использование простого запроса в формате Non-LDAP Можно создать простой (non-LDAP) запрос, конфигурируя DN + электронную почту в файле в следующем формате:

Операции со списком аннулированных сертификатов (CRL) В области окна Menu выберите CRL Manage и:

1. Выберите один из вариантов действий:

• выберите Download (загрузить) и введите номер CRL, который вы хотели бы загрузить, или

• выберите Publish (опубликовать), чтобы немедленно возобновить текущий CRL после того, как были произведены изменения в базе данных CRL (эта операция выполняется автоматически в интервале, установленном атрибутом CRL Duration (срок действия CRL).

• выберите Recreate и введите номер CRL, который вы хотели бы возобновить

2. Нажмите Go (запустить).

Очистка сервера сертификатов На странице Manage CRLs (Управление списком аннулированных сертификатов) выберите Clean the CA’s Database and CRLs from expired certificates (Очистить базу данных сервера сертификатов иCRL от сертификатов с истекшим сроком). Эта операция позволяет избавиться от всех сертификатов с истекшим сроком. Прежде, чем выполнить эту операцию, убедитесь, что время на сервере управления безопасностью установлено точно.

Конфигурирование сервера сертификатов В области окна Menu выберите Configure the CA. Область окна Configure the CA - Operations (Конфигурировать сервер сертификатов – Операции) отображает все поля сервера сертификатов с перестраиваемой конфигурацией. Существует три возможных операции, которые могут быть выполнены: • Выберите Apply, чтобы сохранить и ввести параметры конфигурации сервера сертификатов. Если значения будут правильны, то сконфигурированные параметры настройки немедленно вступят в



силу. Все неправильные строки будут изменены на значение по умолчанию. • Выберите Cancel, чтобы сбросить все значения к последней конфигурации. • Выберите Restore Default, чтобы вернуть сервер сертификатов к его параметрам конфигурации по умолчанию. Ввод строки Default в одном из атрибутов также сбросит его к значению по умолчанию после нажа- тия на Configure. Значения, которые являются действительными, будут изменены согласно требова- нию пользователя, а другие изменятся на значения по умолчанию. Типы данных сервера сертификатов Редактирование данных сервера сертификатов выполняется путем изменения значений, отображенных в области окна Configure the CA - Operations (Выбор конфигурации сервера сертификатов – Операции). Типы данных сервера сертификатов могут быть любыми из следующих: • Time (Время) - отображаются в формате: <число> days (дни) <число> seconds (секунды). Например: CRL Duration (Срок действия CRL): 7 days 0 seconds. Изменяя этот атрибут, его можно ввести как <число> days <число> seconds или как единственное число секунд. • Integer - обычное целое число, например: SIC Key Size (Размер ключа SIC): 1024. • Boolean (Булевское) - значения могут быть истинными или ложными (независимо от регистра). например: Enable renewal: true (Активировать возобновление: истинно). • String (Строка) - например: Management Tool DN prefix: cn=tests (Префикс DN Инструментального средства управления: cn=тесты). Следующие атрибуты перечислены в алфавитном порядке: Атрибуты

Атрибут Комментарий Значения По умолчанию

Authorization Code Length (Длина Кода Авторизации)

Число символов кодов авторизации

минимум 6 максимум 6-12

6

CRL Duration (Срок действия CRL)

промежуток времени, для которого CRL действителен

минимум 5 minutes (минут) максимум 1 year (год)

1 неделя

Enable Renewal (Разрешение возобновления)

Для сертификатов пользователя. Это установка в виде Булевского значения, которая предусматривает, разрешено возобновление или нет.

true (истинно) или false (ложно)

true

Grace Period Before Revocation (Льготный период перед аннулированием)

Время, в течение которого старый сертификат будет оставаться в состоянии Renewed (superseded) (Возобновлен (заменен).

минимум - 0 максимум - 5 лет

1неделя

Grace Period Check Period (Период проверки льготного периода)

Время между последовательными проверками списка Возобновленных (замененных) сертификатов для отмены тех, срок действия которых прошел.

минимум 10 minutes (минут) максимум 1 week (неделя)

1 день

IKE Certificate Validity Period (Период действия Сертификата IKE)

Время, в течение которого будет действителен сертификат IKE.

минимум 10 минут максимум 20 лет)

5 лет

IKE Certificate Extended Key Usage (Расширенное использование ключа Сертификата IKE)

Cертификат предназначен для описания типа расширенного использования ключа для сертификата IKE. См. RFC 2459.

Означает отсутствие использования ключа

IKE Certificate Key usage (Использование ключа Сертификата IKE)

Cертификат предназначен для описания операций с сертификатом. См. RFC 2459.

Цифровая подпись и шифровка ключом



Management Tool DN prefix (Префикс DN Инструментального средства управления)

Определяет префикс DN, который будет создан при вводе имени пользователя.

Возможные значения CN = UID= (ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ)=

CN=

Management Tool DN suffix (Суффикс DN Инструментального средства управления)

Определяет суффикс DN, который будет создан при вводе имени пользователя.

ou=users (пользователи)

Management Tool Hide Mail Button (Скрытая кнопка отправки почты Инструментального средства управления)

По соображениям безопасности кнопка отправки почты после отображения единого сертификата может быть скрыта.


false

Management Tool Mail Server (Почтовый сервер Инструментального средства управления)

Сервер SMTP, который будет использоваться для отправки почты с регистрационными кодами. Он не имеет значения по умолчанию и должен быть сконфигурирован для реализации опции отправки почты

-

Management Tool Registration Key Validity Period (Период действия Регистрационного ключа Инструментального средства управления)

Время, в течение которого регистрационный код является действительным при инициализации с использованием инструментального средства управления.

Минимум – 10 минут Максимум - 2 месяца

2 недели

Management Tool User Certificate Validity Period (Период действия Сертификата Пользователя Инструментального средства управления)

Время, в течение которого Сертификат Пользователя действителен при инициализации с использованием инструментального средства управления

Минимум – 1 неделя Максимум - 20 лет

2 года

Management Tool Mail From Address (Инструментальное средство управления направления почты с адреса)

При отправлении почты этот атрибут является адресом электронной почты, который появится в поле «from». Отчет состояния доставки почты будет отправлен по этому адресу.

-

Management Tool Mail Subject (Инструмен- тальное средство управления Темой Почтового сообщения)

Поле темы почтового сообщения

-

Management Tool Mail Text Format (Инструментальное средство управления Формат Текста почтового сообщения)

Текст, который появляется в теле сообщения. В дополнение к тексту могут использоваться 3 переменные: $REG_KEY (регистрационный ключ пользователя); $EXPIRE (срок действия); $USER (DN пользователя).

Registration Key (регистрационный ключ) $REG_KEY Expiration (срок действия): $EXPIRE



Management Tool Mail To address (Инструментальное средство управления направления почты на адрес)

Когда используется опция send (отправки почты), электронные почтовые сообщения пользователям, у которых нет заданного адреса электронной почты, будут отправлены по этому адресу.

-

Max Certificates Per Distribution Point (Мак- симальное число сертификатов на точку распространения)

Максимальное количество CRL в режиме создания новых CRL

минимум 3 максимум 400

400

New CRL Mode (режиме создания новых CRL)

Булевское значение, описывающее режим CRL

0 для режима старого CRL 1 – для режима создания новых списков CRL

true

Number of certificates per search page (число сертификатов на страницу поиска)

Число сертификатов, которые будут показаны на каждой странице окна поиска

минимум -13 максимум - ок. 700

приблизительно 700

Number of Digits for Serial Number (Количество разрядов для серийного номера)

Количество разрядов для серийных номеров сертификатов.

минимум 5 максимум 10

5

Revoke renewed certificates (Отзыв возобновленных сертификатов)

Этот флажок определяет, отменить ли старый сертификат после того, как он был возобновлен. Причина для невыполнения отмены состоит в том, чтобы воспрепятствовать увеличению размера CRL при каждом возобновлении сертификата. Если сертификат не отменяется, у пользователя может быть два действительных сертификата.


true

SIC Key Size (размер ключа Защищенной внутренней связи)

размер ключа в битах для ключей, используемых в SIC

возможные значения: 1024 2048 4096

1024

SIC Certificate Key usage (Использование Ключа Сертификата SIC)

Сертификат предназначен для того, чтобы описать операции с сертификатом. См. RFC 2459.

Цифровая под- пись и Шифровка ключом

SIC Certificate Validity Period (Период действия Сертификата SIC)

Время, в течение которого сертификат SIC будет действителен.

минимум - 10 минут максимум - 20 лет

5 лет

User Certificate Extended Key Usage (Расширенное использование ключа Сертификата Пользователя)

Сертификат предназначен для того, чтобы описать тип расширенного использования ключа для Сертификатов Пользователя. См. RFC 2459.

Означает отсутствие использования

ключ

User Certificate Key Size

Размер ключа Сертификатов Пользователя в битах

возможные значения: 1024 2048 4096

1024

Использование Ключа Сертификата Пользователя)

Сертификат предназначен для того, чтобы описать операции с сертификатом. См. RFC 2459.

Цифровая под пись и Шифровка ключом

Глава 7

Портал управления В этой главе Краткий обзор портала управления 101 Развертывание портала управления на выделенном сервере 101 Развертывание портала управления на Сервере управления безопасностью 102 Команды портала управления 102 Ограничение доступа к определенным адресам IP 102 Конфигурация портала управления 102 Требования к клиенту 103 Подключение к порталу управления 103 Использование портала управления 103 Инструменты поиска и устранения сбоев 103

Краткий обзор портала управления Портал Управления позволяет выполнять администрирование через сеть, а также поиск и устранение сбоев Сервера управления безопасностью. Продукт «Портал управления» (Management Portal) включен в релиз программного пакета на DVD.

Продукт может быть развернут на выделенном сервере или рядом с Сервером управления безопасностью. Зашифрованные подключения SSL используются для того, чтобы обратиться к интерфейсу сети портала управления. Административный доступ может быть ограничен определенными адресами IP. Доступ специализированных пользователей-администраторов может быть ограничен только порталом управления.

Развертывание портала управления на выделенном сервере

Развертывая Портал управления на выделенном сервере, необходимо предпринять следующие действия, чтобы успешно интегрировать Сервер портала управления с сервером управления безопасностью.

1. Во время установки Портала управления (Management Portal) вас попросят выбрать активационный код SIC (Защищенной Внутренней Связи), который будет использоваться, чтобы установить доверие с Сервером управления безопасностью.

2. На Сервере управления безопасностью создайте сетевой объект, чтобы представить сервер портала управления.

• Заполните свойства объектов сети.

• Выберите Management Portal на вкладке Management списка Software Blades (Програмные блейды).

3. Добавьте правила доступа, чтобы предоставить административный доступ на Сервер портала управления.

4. Создайте пользователей-администраторов с разрешениями Портала управления, если вы хотите ограничить доступ к Порталу управления.

• Доступ пользователей-администраторов можно ограничить доступом только к порталу управления, используя профиль Permission (разрешения).

Создайте профиль разрешений путем выбора разрешения Allow access via Management Portal only (Предоставить доступ только через Портал Управления) для определенных администраторов.

Портал управления


Развертывание портала управления на Сервере управления безопасностью

Развертывая Портал управления рядом с сервером управления безопасностью, необходимо предпринять следующие действия, чтобы успешно интегрировать компонент портала управления с Сервером управления безопасностью. 1. Измените объект сети сервера управления безопасностью, чтобы включить Портал управления в список его программных блейдов, если Портал управления был установлен после Сервера управления безопасностью. Если Портал управления и сервер управления безопасностью были установлены из одной и той же оболочки, это шаг является ненужным. 2. Добавьте правила доступа, чтобы предоставить административный доступ, используя TCP 4433 на Сервер управления безопасностью непосредственно. 3. Создайте пользователей-администраторов с разрешениями Портала управления, если вы хотите ограничить доступ к Порталу управления. • Доступ пользователей-администраторов можно ограничить доступом только к Порталу управления, используя профиль Permission. Создайте профиль разрешений путем выбора разрешения Allow access via Management Portal only для определенных администраторов.

Команды портала управления • smartportalstop: Останавливает обслуживание портала управления. • smartportalstart: запускает обслуживание портала управления.

Ограничение доступа к определенным адресам IP Чтобы позволить обращаться к Порталу Управления только определенным адресам IP или сетям, остановите Портал Управления и создайте файл hosts.allow в каталоге conf Портала управления (в Windows: C:\program files\CheckPoint\R71\SmartPortal\portal\conf, в Solaris, Linux и SecurePlatform: /opt/CPportal-R71/portal/conf). Если файл hosts.allow не находится в каталоге conf Портала управления, вы должны создать его, если он требуется.

Формат файла: ALL: ALL (чтобы позволить доступ всем IP)

ALL: x.x.x.x (чтобы позволить доступ определенным IP)

ALL: x.x.x.x/y.y.y.y (чтобы позволить доступ определенным сетям, где x.x.x.x – IP

адрес и y.y.y.y - маска подсети).

Конфигурация портала управления Следующие свойства продукта Портала управления могут быть изменены, путем редактирования файла cp_httpd_admin.conf conf. Этот файл может быть найден в каталоге conf Портала управления.

Примечание: Любые изменения файла cp_httpd_admin.conf следует сделать после выполнения SmartPortalStop.

• Чтобы изменить порт Web-сервера, измените атрибут PORT (значение по умолчанию - TCP 4433).

• Чтобы использовать НТТР вместо HTTPS, установите атрибут SSL на 0. Это не рекомендуется делать по соображениям безопасности, и необходимо использовать это действие только при поиске и устранении сбоев в программе.

• Чтобы заменить сертификат Web-сервера, измените атрибуты SERVCERT (полный путь к сертификату) и CERTPWD (пароль сертификата).

Портал управления


Требования к клиенту Портал Управления может использоваться со следующими web-браузерами: • Mozilla • FireFox • Netscape Портал управления требует разрешения на использование JavaScript (enable) и отключения (disable) блокировок всплывающих уведоилений в вашем браузере.

Подключение к порталу управления Подключитесь к Порталу управления, открыв один из поддерживаемых браузеров и указав в нем: https://< Security Management_server_ip>:4433

Использование портала управления Как только вы аутентифицируетесь, нажмите на кнопку HELP (помощь), чтобы отобразить Интерактивную справку Портала управления. Интерактивная справка объясняет функциональность каждого окна.

Инструменты поиска и устранения сбоев • файл журнала ошибок демона сети (cpwmd) – это файл cpwmd.elg, его можно найти в папке log Портала управления (в Windows: C: \program files\CheckPoint\R71\SmartPortal\portal\, в Solaris, Linux и SecurePlatform: /opt/cpPortal-R7l/Portal/log).

• файл журнала ошибок Web-сервера (cPhttPserve) – это файл cphttpd. elg, который находится в папке log портала управления.

• Чтобы просмотреть сообщения отладки cpwmd, выполните следующее:

• cpwmd debug -app при включенном Портале Управления

• Чтобы просмотреть сообщения отладки cpwmd с большей степенью подробности, выполните следующее:

• cpwmd debug -app SmartPortal на TDERRORALLALL=5

• Чтобы просмотреть дополнительные сообщения сервера отладки cp_http_server debug, вы должны остановить выполнение демона, используя cpwd_admin stop -name CPHTTPD и выполнить следующее:

• установить переменную среды TDERROR_CPHTTPD_ALL равной 5.

• установить переменную среды OPSEC_DEBUG_LEVEL равной 3.

• выполнить cphttpserver -v -f <full path to the cphttpdadmin.conf file>.

• Чтобы просмотреть сообщения CGI log входящих и исходящих данных, вы должны остановить выполнение демона cPhttPserver, установить переменную среды CPWMDEBUG равной 1 и запустить cPhttPserver.

• Результат будет записан в файлы cgilog.txt и cgiout.txt во временном каталоге (c:\temp on Windows

Глава 8

Управление отказоустойчивостью системы

В этой главе Потребность в отказоустойчивости системы управления 104 Решение для обеспечения отказойсточивости системы управления 104 Рассмотрение возможностей отказоустойчивости системы управления 108 Настройка отказоустойчивости сисетмы управления 109

Потребность в отказоустойчивости системы управления

Сервер управления безопасностью состоит из нескольких баз данных с информацией о различных аспектах системы, например, объектах, пользователях и информации о политике. Эти данные изме- няются каждый раз, когда системный администратор вносит изменеия в систему. Важно поддержать резервирование этих данных, так, чтобы критически важная информация не была безвозвратно утеряна в случае сбоя сервера управления безопасностью. Кроме того, если Сервер управления безопасностью выходит из строя или выключается в целях управления, сервер резервного копирования должен быть в работоспособном состоянии, чтобы принять на себя его функции. В отсутствие Сервера управления безопасностью не могут выполняться основные операции, выполняемые шлюзами, например, выбор Политики безопасности и поиск CRL.

Решение для обеспечения отказоустойчивости системы управления Резервное копирование Сервера управления безопасностью

Для достижения отказоустойчивости системы управления активный Сервер управления безопасностью (Активный SMS) всегда имеет один или несколько резервных серверов управления безопасностью, находящихся в режиме ожидания (Резервный SMS), которые готовы принимать на себя функции активного Сервера управления безопасностью. Все эти серверы управления безопасностью должны иметь одинаковые версии операционной системы. Существование Резервного SMS позволяет иметь резервные копии:

• для Сервера управления безопасностью - различные базы данных корпоративной структуры, например, база данных объектов и пользователей, информация о политике и файлы ICA хранятся на обоих Резервных SMS, а также Активном SMS. Эти серверы управления безопасностью синхронизированы, благодаря чему происходит сопровождение данных и они всегда готовы к использованию. Если Активный SMS отключается, Резервный SMS должен стать Активным, чтобы быть в состоянии отредактировать и установить Политику безопасности. • для Шлюза Безопасности - определенные операции, которые выполняются шлюзами безопасности с использованием Активного SMS, например, выбор Политики безопасности или поиск CRL с Сервера управления безопасностью, могут быть выполнены на Резервном SMS.



Развертывание отказоустойчивости системы управления

В развертывании отказоустойчивой системы управления первый установленный Сервер управления безопасностью указан как основной Сервер управления безопасностью. Это обычный Сервер управления безопасностью, используемый системным администратором для управления Политикой безопасности. Если устанавливаются следующие серверы управления безопасностью, они должны быть указаны как вторичные Серверы управления безопасностью. Как только вторичный Сервер управления безопасностью будет установлен и вручную синхронизирован, различия между Основным и Вторичным в дальнейшем будут не существенны. Эти серверы в дальнейшем будут упоминаться согласно их роли в сценарии отказоустойчивости системы управления как Активные или Резервные, где любой Сервер управления безопасностью может функционировать как Активный SMS.

Среда отказоустойчивой системы управления Среда отказоустойчивой системы управления требует наличия Активного SMS и по крайней мере одного Резервного SMS. Вторичный SMS создается с пустыми базами данных. Эти базы данных заполняются информацией, которую только что созданный Вторичный SMS получает от Активного SMS. Как только Вторичный SMS будет готов:

• он представляется на основном Сервере управления безопасностью как сетевой объект

• между ним и основным Сервером управления безопасностью инициализируется SIC

• будет выполнена первая (ручная) синхронизация с Основным сервером управления безопасностью.

Имеется возможность установить шлюз на любом из серверов управления безопасностью. Роль этих шлюзов состоит в защите серверов управления безопасностью. Хотя Серверы управления безопасностью резервируют друг друга, Отказоустойчивость системы не реализуется между шлюзами, установленными на серверах управления безопасностью.

Сравнение активного и резервного режима Все операции управления, например, редактирование и установка Политики безопасности и изменение пользователей и объектов, выполняется Активным SMS. Если Активный SMS отключается, а любая из вышеупомянутых операций должна быть выполнена, системный администратор должен сделать активным один из Резервных SMS. Этот переход от Резервиного к Активному состоянию должен быть инициализирован вручную.

Резервные SMS синхронизируются с Активным SMS как с ведущим устройством, и по этой причине проводится актуализация их данных, со всеми изменениями в базах данных и Политике безопасности. Таким образом, Шлюзы безопасности могут выбрать Политику безопасности и считать CRL и от Активного SMS, и от Резервного SMS.

Синхронизация с активным SMS (сервер управления безопасностью)

Активный SMS (сервер управления безопасностью)

Резервный SMS (сервер управления безопасностью)


Интернет

Резервный SMS (сервер управления безопасностью) rver)




Частота синхронизации между Резервным SMS и Активным SMS устанавливается Системным Администратором. Этот процесс может быть сконфигурирован так, чтобы он проходил автоматически, или он может быть установлен как выполняемый вручную.

Какие данные копируются резервными серверами управления безопасностью? Для достижения отказоустойчивости системы управления следующие данные должны быть синхронизированы и скопированы:

• конфигурация и данные ICA, например:

• базы данных (например, Объекты и Пользователи).

• информация о сертификате, например, данные Центра сертификации и CRL, которые могут быть выбранным шлюзами безопасности Check Point.

• последняя установленная Политика безопасности. Установленная Политика безопасности – это используемая Политика безопасности. Шлюзы безопасности должны иметь возможность выбрать последнюю Политику безопасности или на Активном, или на Резервном SMS.

Примечание: предыдущие версии Базы данных, данных SmartMap, а также представление данных установленной Политики не синхронизированы.

Режимы синхронизации Существует два способа выполнить синхронизацию:

• ручная синхронизация - процесс, инициализированный системным администратором. Он может быть задан для синхронизации

• базы данных, или

• базы данных, а также установленной Политики безопасности.

Предыдущая опция выполняет синхронизацию быстрее, чем последующая опция. Следует предпочесть этот режим синхронизации при условии, что системный администратор отредактировал объекты или Политику безопасности, но не установил недавно отредактированную Политику безопасности, начиная с предыдущей синхронизации.

• автоматическая синхронизация - процесс, конфигурируемый системным администратором так, чтобы дать возможность синхронизировать Резервные SMS с Активными SMS в заданные интервалы времени. Он обычно является предпочтительным режимом синхронизации, так как он сохраняет обновленные Резервные SMS. Основанием для составления графика синхронизации является то, что, когда Политика безопасности установлена, то и установленная Политика безопасности, и все базы данных будут синхронизированы. Кроме того, существует возможность синхронизировать Резервные SMS, когда:

• системный администратор сохраняет Политику безопасности

• в указанное запланированное время

Даже когда автоматическая синхронизация была выбрана как режим синхронизации, существует возможность выполнить ручную синхронизацию.

Статус синхронизации Статус синхронизации указывает на состояние равноправных узлов SMS относительно выбранного Сервера управления безопасностью. Это состояние может быть просмотрено в окне Management High Availability Servers (серверами обеспечения отказоустойчивости системы управления) или в программе контроля SmartView Monitor, в зависимости от того, подключены ли вы к Активному SMS или Резервному SMS. \

Standby Standby Active Down Active Active



Возможные состояния синхронизации:

• Never been synchronized (Ранее не синхронизировался) - сразу после того, как был установлен Вторичный сервер управления безопасностью, но еще до выполнения первой ручной синхронизации, которая сделает его состояние эквивалентным основному серверу управления безопасностью.

• Synchronized (Синхронизированный) - равноправный узел должным образом синхронизирован и имеет ту же информацию о базе данных и установленной Политике безопасности.

• Lagging (Проблемный) - SMS равноправного узла не был синхронизирован должным образом. Например, причиной может быть тот факт, что Активный SMS подвергся изменениям, начиная с предыдущей синхронизации (объекты были отредактированы, или Политика безопасности была недавно установлена), изменение информации на Резервном SMS запаздывает относительно Активного.

• Advanced (Расширенный) - равноправный узел SMS имеет более актуальную информацию. Например, на вышеупомянутом рисунке, если системный администратор регистрируется на Сервере управления безопасностью В прежде, чем тот был синхронизирован с Сервером управления безопасностью A, состояние Сервера управления безопасностью A соответствует Advanced, так как он содержит более актуальную информацию, которую не имеет предыдущий.

В этом случае ручная синхронизация должна быть инициализирована системным администратором, путем изменения состояния Активного SMS на то, в котором находится Резервный SMS. Выполнитеоперацию synch me на сервере, который имеет более актуальную информацию, для достижения состояния Резервного SMS. Измените Резервный SMS на Активный SMS.

• Collision (Конфликт) - Активный SMS и равноправный узел имеют различные установленные политики и базы данных. Администратор должен выполнить ручную синхронизацию и решить, в каком изSMS переписать новые данные поверх существующих.

Например, в вышеупомянутом рисунке, если работа Сервера управления безопасностью приведет к сбою прежде, чем произойдет синхронизация, произведенные изменения (в базах данных или Политике безопасности) не могут быть синхронизированы с сервером управления безопасностью В. Если Сервер управления безопасностью перенимает на себя функции от Сервера управления безопасностью A, системный администратор может принять решение изменить Политику безопасности.

В этом случае, как Сервер управления безопасностью A, так и сервер управления безопасностью В будут иметь некоторую информацию, которая не синхронизирована с ее равноправным узлом. Чтобы исправить состояние конфликта, данные одного из серверов управления безопасностью придется переписать поверх данными от другого сервера.На Сервере управления безопасностью, на котором будут выявлены доминирующие или существенные изменения, будет инициализирована ручная синхронизация.

В этот момент системный администратор должен решить, какой из серверов управления безопасностью должен стать Резервным SMS, и изменить его состояние в случае необходимости.

Примечание: изменения, произведенные сервером сертификатов, например, выпуском сертификата, могут привести к нарушениям безопасности, если поверх них записывается другая информация; поэтому, любые выполненные изменения сервера сертификатов следует объединять, чтобы предотвратить проблемы, связанные с безопасностью.

Изменение состояния Сервера управления безопасностью Хотя шлюзы безопасности могут использовать резервный Сервер управления безопасностью, чтобы выбрать Политику безопасности или новый CRL, в случае, когда работа Активного SMS приводит к сбою, Резервный SMS должен стать Активным SMS по двум основным причинам:

1. Резервный SMS не может выполнять операции управления, например, редактирование и установку Политики безопасности. Хотя Резервный сервер идентичен по своим базам данных и установленной Политике безопасности Активному SMS, если необходимы изменения в Политике безопасности, у Резервного SMS нет возможности внести их.

2. База данных ICA может быть изменена только на Активном SMS.



Если Активный SMS отключается в целях административного управления, системный администратор должен войти в систему Резервного SMS и вручную установить его как Активный SMS. После этого должна быть инициирована ручная синхронизация. Как только Резервный SMS станет Активным SMS, рекомендуется выполнить операцию Install Policy (Установить политику), чтобы проверить, что эта машина функционирует должным образом как Активный SMS.

Если Активный SMS находится в состоянии восстановления после отказа, вероятно, что состояние синхронизации Активного SMS и его равноправного узла будет конфликтным. В этом случае системный администратор должен решить, какая информация будет перезаписана поверх другой.

Диагностирование синхронизации Состояние всех серверов управления безопасностью может быть просмотрено в окне Management High Availability Servers (Серверы обеспечения отказоустойчивости системы управления) в SmartDashboard или через SmartView Monitor.

Контрольные файлы регистрации Audit Logs могут использоваться для того, чтобы просмотреть и проследить операции управления, а также операции Synchronization в Программе трассировки SmartView Tracker.

При сбое синхронизации Существует несколько случаев, в которых процесс синхронизации мог бы закончиться сбоем:

• сбой синхронизации - например, Активный SMS не смог подключиться к Резервному SMS в момент синхронизации. Чтобы решить эту проблему:

• вручную синхронизируйте Резервный SMS при первой возможности позднее, или

• если вы работаете в автоматическом режиме, повторно установите Политику безопасности, когда Резервный SMS сможет быть доступен. После того, как пройдет операция установки, синхронизация происходит автоматически.

• Конфликт между серверами управления безопасностью. В этом случае системный администратор должен выполнить синхронизацию вручную и решить, какая база данных является доминирующей. Данные сервера сертификатов всегда объединяются, чтобы предотвратить проблемы, связанные с безопасностью.

Когда имеет место конфликт, и информация одного из серверов управления безопасностью перезаписывается поверх информацией с другого, очень полезно проследить за операциями управления, выполненными на записанном поверх сервере управления безопасностью в контрольных файлах регистрации программы трассировки SmartView Tracker. Этим способом можно проследить и восстановить эти операции, где это необходимо, на доминирующем Сервере управления безопасностью.

Рассмотрение возможностей отказоустойчивости системы управления

Удаленная и локальная установка вторичного SMS При развертывании системы управления отказоустойчивости Вторичный SMS часто устанавливается локально на ЛВС. Системный администратор должен просмотреть полноценность поддержки удаленного Резервного SMS. Этот удаленный сервер управления безопасностью не будет затронут в случае сетевых проблем в ЛВС. Этот Резервный SMS может быть превращен в Активный SMS удаленным системным администратором.

Различные методы синхронизации Автоматическая синхронизация поддерживает обновленное состояние равноправного узла SMSs. Однако синхронизация может занять время и негативно повлиять на общую производительность. Может оказаться полезным запланировать действие по синхронизации, которое автоматически синхронизирует серверы управления безопасностью после окончания рабочего дня, когда общая производительность не может повлиять на обычную работу служащих.



Ручная синхронизация может быть запущена системным администратором на любой стадии работы. Ручная синхронизация рекомендуется в случае смены состояния Резервного SMS на Активный (если Активный SMS планируется отключить в административных целях). Она является основной, когда статусом синхронизации является Collision.

Перегрузка данных во время синхронизации Данные, сохраненные во время процесса синхронизации, имеют очень большой объем. Процесс синхронизации оптимизируется, если существует возможность быстрого и эффективного подключения к Серверу управления безопасностью.

Настройка отказойстойчивости системы управления Создание вторичного уровня управления и первая синхронизация 1. Устанавливая Сервер управления безопасностью в конфигурацию развертывания системы

управления отказоустойчивости, вы получаете запрос на указание того, является ли он сервером Основного уровня управления (Primary Management) или Вторичного уровня управления (Secondary Management). Выберите последнее.

2. Создайте сетевой объект в SmartDashboard, чтобы представить вторичный Сервер управления безопасностью следующим образом:

a) В дереве сетевых объектов (Network Objects), нажмите правой кнопкой мыши Check Point. b) Выберите Host из опций меню. c) В окне Check Point Host (хосты Check Point) > General Properties (панели общих свойств),

введите имя хоста и IP адрес в соответствующих полях. d) В секции программных блейдов (Software Blades) выберите вкладку Management

(управление), а затем выберите Secondary Server (вторичный сервер). Будут автоматически выбраны программные блейды Logging и Status.

a) При необходимости настройте вторичный Сервер управления безопасностью на работу в качестве регистрационного сервера, когда недоступен основной Сервер управления безопасностью. (i) Войдите в окно свойств шлюза безопасности и выберите Logs and Masters > Log Servers (файлы регистрации и ведущие устройства > регистрационные серверы). (ii) Добавьте вторичный Сервер управления безопасностью в список When a Log Server is

unreachable, send logs to (когда недоступен регистрационный сервер, отсылать файлы регистрации...).

b) При необходимости выберите другие блейды. c) Инициализируйте SIC соединения между вторичным Сервером управления безопасностью и

Активный SMS, выбрав Communication.

3. Если существует шлюз, установленный на Сервере управления безопасностью, установите Политику безопасности на шлюзе безопасности, прежде чем выполнить ручную синхронизацию.

4. Вручную синхронизируйте вторичный Сервер управления безопасностью с помощью Активного SMS, выбрав опцию Policy > Management High Availability (Политика> Отказоустойчивость системы управления) и выберите Synchronize.

Замена активного SMS на резервный SMS 1. На Активном SMS отобразите окно Management High Availability Server путем выбора Policy > Management High Availability.

2. В отображенном окне щелкните Change to Standby (изменить на резервный сервер).

Замена резервногоSMS на активный SMS



1. Во время регистрации в системе Резервного SMS будет отображено окно Standby.

2. В отображенном окне выберите Change to Active.

Обновление состояния синхронизации SMS Если вы подозреваете, что состояние Сервера управления безопасностью изменилось, вы можете принять решение о выполнии операции обновления.

1. Отобразите окно Management High Availability Servers для выбранного SMS путем выбора Policy > Management High Availability 2. В отображенном окне щелкните по Refresh (обновить).

Выбор метода синхронизации Способ, которым Резервные SMS синхронизируются с Активным SMS, определяется в окне Global Properties - Management High Availability. Это окно будет отображено после выбора Policy > Global Properties > Management High Availability. Резервный SMS может быть синхронизирован автоматически, когда политика установлена или сохранена, или при наступлении указанного запланированного события. В качестве варианта, Резервный SMS может быть синхронизирован вручную. Если предпочительнее окажется ручная синхронизация, то системному администратору потребуется инициализировать ручную синхронизацию в окне Management High Availability Servers. Для получения подробной информации см. Режимы Синхронизации (на странице 142).

Прослеживание отказоустойчивости системы управления в рамках всей Системы Состояния всех серверов управления безопасностью в системе отображены в окне Management High Availability. Это окно будет отображено при выборе Policy > Management High Availability. Подробная информация о Сервере управления безопасностью и его равноправных отображаемых узлах включает имя, состояние и тип сервера управления безопасностью.

Все операции управления отказоустойчивостью системы управления могут быть просмотрены в программе трассировки SmartView Tracker в режиме Audit.

Глава 9 Работа с инструментами управления SNMP

В этой главе Потребность в поддержке инструментов SNMP 111 Решение Check для SNMP 111 Особенности демона в SNMP для Unix ........................ 113 Конфигурирование шлюзов безопасности для SNMP 113 Пороговые значения мониторинга SNMP 114

Потребность в поддержке инструментов управления SNMP

Инструменты управления SNMP используются для того, чтобы контролировать деятельность различных устройств в сети. Поскольку системные администраторы предпочитают работать со знакомыми инструментальными средствами, они могли бы ощутить большее удобство получения информации о состоянии с помощью продуктов Check Point, используя Стандартную станцию управления сетью SNMP (NMS).

Решение Check Point для SNMP Check Point решает эту проблему путем запуска агентов SNMP на шлюзах безопасности. Эти шлюзы безопасности должны отвечать на запросы от Станции управления SNMP.

В стандартной схеме связи клиент-сервер сетевая Станция управления SNMP является клиентом, а Агент SNMP в рамках продукта Check Point действует как сервер.

Основные сведения о SNMP MIB

Системы управления SNMP состоят из станции управления SNMP и управляемых устройств, например, мостов, маршрутизаторов или сетевых серверов. Агенты SNMP составляют программные элементы, которые связываются с помощью интерфейса с устройством, которое является управляемым. Агенты относятся к конфигурации и рабочим характеристикам управляемого устройства как к отдельным опознаваемым объектам. Эти объекты размещены в иерархическом пространстве имен, а древовидная структура базы данных известна как Блок информации для Управления, или MIB (Management Information Block).

Сервер управления безопасностью

Сеовер управления SNHP

Шлюз безопасности запускает SHMP агент

Интернет

Шлюз безопасности запускает SHMP агент

Работа с инструментами управления SNMP


У Check Point есть зарегистрированное поддерево MIB с полномочным органом по цифровым адресам в Интернет (IANA, Internet Assigned Numbers Authority). Возможности MIB:

1. Дает структуру данным в зарегистрированном дереве Check Point, назначая уникальный номер шлюзу безопасности Check Point. Этот номер представляет собой строку из целых чисел, разделенных десятичными точками, и является идентификатором объекта OID (Object Identifier).

• для Check Point корневое значение зарегистрированного Идентификатора объекта (OID) - 1.3.6.1.4.1.2620. Обозначение является следующим: ИДЕНТИФИКАТОР ОБЪЕКТА Check Point:: ={enterprises 2620}. ({предприятия 2620}). Например, MIB на станции управления преобразует строку, например, 1.3.6.1.4.1.2640.1.1 в: iso.org.dod.internet.private.enterprises.checkpoint.products.fw.

• определения объектов для Check Point расположены в MIB Check Point. MIB Check Point может быть считан любой Станцией управления SNMP, разработанной третьей стороной, после того, как MIB будет импортирован.

2. Предоставляет возможность преобразования имен сетевых узлов в IP-адреса, преобразуя целочисленную строку идентификатора объекта в удобное для пользователя имя. Например, если администратор хочет узнать номер версии конкретной межсетевой защиты, администратор выбирает «номер версии» как свойство управляемого устройства, а MIB отображает «номер версии» в виде целочисленной строки прежде, чем отправить информационный запрос агенту.

Примечание: станция управления SNMP может считывать, но не изменять определения объектов для продуктов Check Point.

Обработка запросов SNMP в Windows

Как только Сервер управления безопасностью будет установлен, специальная динамически загружаемая библиотека (DLL) Check Point приводится в списке в системном реестре Windows. Запуск сервиса SNMP в операционной системе загружает этот DLL. Сервис SNMP считывает информацию стандартным способом с порта 161 по входящим запросам SNMP от Станции управления сетью SNMP. DLL Check Point расширяет сервис SNMP для Windows в части идентификации тех запросы состояния, которые ориентированы на продукты Check Point.

Соответствующие данные считываются DLL и отправляются на станции управления SNMP.

Примечание: агент SNMP Check Point – это расширение возможностей Агента SNMP для Windows. Если вы не установили стандартный агент Windows SNMP, вы не сможете использовать агент SNMP Check Point.

Обработка запросов SNMP в Unix Для платформы Unix устанавливается специальный демон SNMP Check Point, называемый cpsnmpd. Этот демон предоставляет информацию о состоянии в особых объектах Check Point. Этот демон по умолчанию не запускается. Демон активируется или блокируется через cpconfig. После его активации, демон выполняется с другими процессами Check Point. Станция управления сетью SNMP делает запрос к демону относительно информации о состоянии. Демон считывает информацию и дает ответ.

Примечание: хотя демон Check Point совместим с протоколом SNMP, он считывает информацию с порта 260 вместо порта 161. Стандартный демон Unix SNMP загружается перед демоном Check

Point и связывается с портом 161. Если обычный демон не выполняется, cpsnmpd связывается

с обоими портами (161 и 260). Если оба порта будут заняты предыдущим процессом, то демон

Check Point не будет выполнен. Более того, если демон Check Point получает запрос в отношении нераспознанного идентификатора объекта, он не отсылает его к стандартному демону snmp unix.

Обработка запросов SNMP в SecurePlatform Поддержка SNMP полностью интегрирована в SecurePlatform: • Поддержка Сетевого SNMP для полной версии OS-MIB-II. • Мониторинг Информации о Состоянии Check Point (AMON) с помощью протокола SNMP. • Поддержка SNMP V.2 и V.3.



Дополнительную информацию о SNMP и SecurePlatform см. в разделе Поддержка SNMP в R75.40VS Справочник по управлению SecurePlatform (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Ловушки SNMP Хотя Check Point располагает функцией Alert (Оповещение) в качестве одного из типов трассировки, вы можете предпочесть получение оповещений с помощью стандартной Станции Управления SNMP в форме ловушки SNMP. Отклик сетевого объекта (ловушка, trap) по протоколу SNMP – уведомление о том, что произошло определенное событие. Check Point предлагает SNMP ловушку как один из своих типов трассировки. Когда выполняются условия ловушки, шлюз отправляет файл регистрации на Сервер управления безопасностью. Сервер управления безопасностью сохраняет файл регистрации и отправляет (через порт 162) SNMP ловушку на конфигурированное средство захвата — Станцию управления сетью SNMP. Ловушка включает текст файла системного журнала. Например, если какая-либо машина за пределами организации пытается выполнить подключение http к машине, нахдящейся во внутренней сети, этот пакет удаляется, и отправляется ловушка SNMP:

Check Point MIB файл описывает SNMP ловушки, которые используются в управлении безопасностью. MIB файл находится в: • Windows - %CPDIR%\lib\snmp\chkpnt-trap.mib • Другие ОС - $CPDIR/lib/snmp/chkpnt-trap.mib

Особенности демона в SNMP для Unix Если вы должны выполнить стандартный демон SNMP Unix в порту 161, выполните его прежде, чем вы запустите cpsnmpd, иначе cpsnmpd займет порт.

Конфигурирование шлюзов безопасности для SNMP Для работы с запросами и ловушками SNMP, различные поддерживаемые платформы должны быть сконфигурированы несколько различными способами.

Настройка шлюзов безопасности для запросов SNMP 1. Импортируйте файл Check Point MIB для Станции управления SNMP из CPDIR/lib/snmp/chkpnt.mib. 2. Если платформой является Windows NT, проверьте выполнение операционной системой службы SNMP. Для платформы Unix удостоверьтесь, что порт 260 не связан с другим процессом. Если порт 260 доступен, выполните cpconfig, чтобы активировать демон cpsnmpd. 3. В базе правил Политики безопасности: • Откройте порт 161, если платформа - Windows NT. • Откройте порт 260, если платформа - Unix. Сделайте это только на шлюзах безопасности, через которые должны передаваться пакеты SNMP.

Это

правило политики позволяет Станции управления SNMP поддерживать связь со шлюзами безопасности. 4. Установите новую Политику безопасности.

Source Destination VPN Service Action Track

Any Internal_private_network Any HTTP Drop SnmpTrap

Source Destination If Via Service Action

SNMP_Management_Station Firewall_Modules Any snmp accept



Настройка шлюзов безопасности для ловушек SNMP Чтобы конфигурировать шлюзы безопасности для ловушек SNMP, для встроенного сценария ловушки нужно назначить соответствующее средство захвата.

Чтобы назначить соответствующее средство захвата: 1. Откройте окно Global Properties (Глобальные свойства), страницу Alert Commands (аварийные команды).

2. Выберите опцию Run SNMP trap alert script (выполнить сценарий предупреждения ловушки SNMP). 3. В соответствующем текстовом поле замените internal_snmp_trap localhost на internal_snmp_trap <snmp_trap_catcher>, где <variable> (переменная) заменяется на имя конфигурированного средства захвата. Например, если бы сконфигурированным средством захвата была машина под названием Alaska, новый сценарий считал бы запись internal_snmp_trap Alaska.

4. Для соответствующих правил в базе правил Политики безопасности установите тип трассировки на snmptrap. 5. Если Сервер управления безопасностью и Станция управления SNMP не находятся постоянно в одном и том же сегменте сети, откройте порт 162 на всех шлюзах безопасности между ними. Это позволит провести ловушки SNMP.

6. Установите Политику безопасности.

Пороговые значения мониторинга SNMP Этот релиз позволяет настроить различные пороговые значения SNMP, которые генерируют SNMP



ловушки или предупреждения. Вы можете использовать для мониторинга пороги многих компонентов системы автоматически, не запрашивая информацию от каждого объекта или устройства. Категориями пороговых значений, которые можно настроить, являются: • Аппаратная • Относящаяся к отказоустойчивости • Сетевая • Ресурсная • Касающаяся подключения к регистрационному серверу

Некоторые категории относятся только к некоторым машинам или установкам.

В каждой категории много отдельных пороговых значений, которые можно установить. Например, аппаратная категория включает в себя сигналы для состояния RAID диск, состояние датчика температуры, состояние датчика скорости вращения вентилятора и другие. Для каждого конкретного порогового значения вы можете определить следующее: • включено или выключено • как часто отсылаются предупреждения • серьезность предупреждения • порог срабатывания (при необходимости) • куда предупреждения отсылаются

Вы можете также настроить некоторые параметры в глобальном масштабе, например, как часто нужно отправлять предупреждения и куда они направляются.

Типы предупреждений Есть два различных типа предупреждений: • Активные предупреждения (Active alerts) отправляются при прохождении пороговой точки или при проблематичном статусе контролируемого компонента. • Исходные предупреждения (Clear alerts) отправляются, когда проблема решена и компонент вернулся к своему нормальному значению. Исходные предупреждения выглядят также, как активные, но уровень серьезности установлен на 0.

Настройка мониторинга SNMP Настройте мониторинга порогов SNMP в командной строке на Сервере управления безопасностью. При установке политики на шлюзах SNMP мониторинг пороговых значений применяется глобально ко всем шлюзам.

Настройки мультидоменного управления безопасностью В многодоменной среде управления безопасностью можно настроить пороговые значения на мультидоменном сервере и на каждом отдельном сервере администрирования доменов. Пороги, настроенные на мультидоменном сервере предназначены только для мультидоменного сервера. Пороговые значения, заданные для сервера администрирования доменов, относятся к этому серверу администрирования доменов и его шлюзам. Если порог применяется к мульти-серверу и шлюзам сервера администрирования доменов, установите его на мультидоменный сервер и сервер администрирования доменов. Тем не менее, в этой ситуации вы можете получить только сигналы, поступающие от мультидоменного сервера о прохождении порога.

Например, в связи с тем, что мультидоменный сервер и сервер администрирования доменов являются одной и той же машиной, прохождение порога относится одновременнно к обоим серверам. Однако, только мультидоменный сервер генерирует предупреждения.

Вы можете видеть уровень мультидоменного управления безопасностью (Multi-Domain Security Management level) для каждого порога с утилитой thresholdconfig.

• Если уровнем мультидоменного управления безопасностью для порога является Multi-Domain Server (мультидоменный сервер), создаются предупреждения для мультидоменного сервера при прохождении порога. • Если уровнем мультидоменного управления безопасностью для порога является Multi-Domain Server, Domain Management Server (мультидоменный сервер, сервер администрирования доменов), генерируются предупреждения для мультидоменного сервера и сервера администрирования доменов при прохождении порога.



Настройка локальной политики шлюза Вы можете настроить SNMP пороги локально на шлюзе с помощью той же процедуры, что и на Сервере управление безопасностью. Тем не менее, каждый раз при установке политики на шлюзе, местные настройки стираются и происходит возврат к глобальным настройкам пороговых значений SNMP.

Вы можете использовать утилиту thresholdconfig для сохранения файла конфигурации и загрузить его еще раз позже. Или же можно вручную создать резервную копию файла конфигурации, и вы сможете скопировать настройки шлюза снова после установки политики.

На SecurePlatform и Linux файл конфигурации, с которым вы можете осуществить резервное копирование, находится по адресу: $FWDIR/conf/thresholds.conf

На Windows файл конфигурации, с которым вы можете осуществить резервное копирование, находится по адресу: %FWDiR%\conf \thresholds .conf

Процедуры конфигурации Существует одна первоочередная команда для настройкм пороговых значений в командной строке, thresholdconfig. Вы должны быть в экспертном режиме, чтобы запустить его. После запуска thresholdconf ig., следуйте инструкциям на экране, чтобы выбирать и настраивать глобальные параметры каждого порога.

При запуске thresholdconfig, вы получаете следующие опции: • Show policy name (показать имя политики) - показывает вам имя, присвоенное политике пороговых значений. • Set policy name (установить имя политики) - позволяет задать имя для пороговой политики. • Save policy (сохранить политики) - позволяет сохранить политику. • Save policy to file (сохранить в файл политики) - позволяет экспортировать политику в файл. • Load policy from file (загрузить политику из файла) - позволяет импортировать политику пороговых значений из файла. • Configure global alert settings (настроить глобальные параметры предупреждений) - позволяет настроить глобальные параметры предупреждений, частоту их отправки и количество отсылаемых предупреждений. • Configure alert destinations (настроить адресатов предупреждений) - позволяет определить место или места, куда SNMP оповещения отправляются. • View thresholds overview (просмотреть данные порогов) - показывает список всех порогов, которые можно установить, в том числе: категория порога, активен он или отключен, порог срабатывания (при необходимости), а также краткое описание того, что он контролирует. • Configure thresholds (настроить пороги) - открывает список категорий порогов, что позволяет вам выбрать пороги для настройки. Настройка глобальных параметров предупреждений Если вы выберите Configure global alert settings (настроить глобальные параметры предупреждений), вы сможете настроить глобальные параметры, такие как частота отправки и количество отсылаемых предупреждений. Вы также можете настроить эти параметры для каждого порога. Если порог не имеет своего собственных параметров предупреждений, он использует глобальные настройки по умолчанию.

Вы можете настроить следующие параметры: • Enter Alert Repetitions (введите повторяемость предупреждений) - Сколько предупреждений будет отправлен, когда активное оповещение срабатывает. Если ввести 0, предупреждение будет высылаться до тех пор, пока проблема не будет устранена. • Enter Alert Repetitions Delay (введите задержку между повторами предупреждений) - через какой промежуток времени система отправляет активные предупреждения. • Enter Clear Alert Repetitions (введите повторяемость исходнях предупреждений) - как много исходных предупреждений будет выслано после того, как порог возвращается к нормальному значению. • Enter Clear Alert Repetitions Delay (введите задержку между повторами исходных предупреждений) - через какой промежуток времени система отправляет исходные предупреждения.

Настройка адресатов предупреждений При выборе настроек адресатов предупреждений, вы можете добавлять и удалять адресатов, которым отправляются предупреждения. Вы также можете просмотреть список настроенных направлений-адресатов. Адресатом, как правило, является NMS (Network Management System) или регистрационный сервер Check Point.



После ввода данных адресата, CLI спрашивает, является ли адресат единым для всех порогов.

• Если вы ввели yes, предупреждения для всех порогов отправляются на этот адрес, если вы не удалите назначение для отдельного порога.

• Если вы ввели no, адресату по умолчанию не отправляются никакие предупреждения. Тем не менее, для каждого отдельного порога вы можете настроить адресатов и добавить адресатов, которые не были применены ко всем порогам. Для каждого порога вы можете выбрать, какие из направлений своей оповещения оповещения отправляются. Если вы не определяете адресата предупреждения для порога, он отправляет предупреждения на все адреса, которые применяются ко всем порогам.

Для каждого адресата предупреждения введите:

• Name - идентификационное имя.

• IP - IP-адрес получателя

• Port - через какой порт он доступен

• Ver - используемая версия SNMP

• Другие данные

Некоторые версии SNMP требуется больше данных. Введите данные, необходимые вашей SNMP версии.

Настройка пороговых значений Если вы выберите опцию настройки пороговых значений, вы увидите список категорий порогов:

• Аппаратная

• Относящаяся к отказоустойчивости

• Сетевая

• Ресурсная

• Касающаяся подключения к регистрационному серверу

Некоторые категории относятся только к некоторым машинам или установкам. Например, аппаратная категория применяется только к Check Point технике и категория отказоустойчивости относится только к кластерам или установкам отказоустойчивости.

Выберите категорию, чтобы увидеть принадлежащие ей пороги. Каждый порог может иметь следующие опции:

• Включение / выключение порога - если порог включен, система посылает сигналы при наличии проблемы. Если он отключен, предупреждения не генерируются.

• Установите степень серьезности - вы можете задать для каждого порога степень серьезности. Возможные варианты: низкий, средний, высокий и критический. Степень серьезности показывается в предупреждениях и в SmartView Monitor и позволяет вам быстро узнать, насколько важно предупреждение.

• Установите повторяемость - установить частоту и количество отправляемых при прохождении порога предупреждений. Если вы не настроите этот параметр, будут использованы глобальные параметры предупреждений.

• Установите порог срабатывания - введите значение, при прохождении которого будет вызвана отправка предупреждений. Введите значений без единицы измерения.

• Настройка адресатов предупреждений - просмотрите всех настроенных адресатов предупреждений. По умолчанию активные оповещения и исходные предупреждения отправляются адресатам. Вы можете изменить настройки для каждого адресата. Выбрав адресата, вы увидите следующие опции:

• Remove from destinations (удалить из адресатов) - при выборе этой опции предупреждения для этого порога не отправляются в выбранное место. • Add a destination (добавить адресата) - если вы настроили адресата в глобальных адресатах предупреждений, но не применили его для всех порогов, вы можете добавить его к порогу. • Disable clear alerts (отключить исходные предупреждения) - при выборе этой опции исходные предупреждения для этого порога не отправляются выбранному адресату. Отправляются активные предупреждения.



Завершение настройки Для завершения конфигурации порогового значения и активации настроек:

• На Сервере управления безопасностью установить политику для всех шлюзов.

• Для локальной политики пороговых значений шлюза или среды мультидоменного сервера управления безопасностью перезапустите CPD процесс с использованием утилиты cPwdadmin:

а) Запустите: cpwd_admin stop -name CPD -path "$CPDIR/bin/cpd_admin" -command "cpd_admin stop"

б) Запустите: cpwd_admin start -name CPD -path "$CPDIR/bin/cpd" -command "cpd"

Мониторинг пороговых значений SNMP Вы можете увидеть обзор порогов SNMP, которые вы настроили в SmartView Monitor. Чтобы увидеть обзор порогов SNMP: 1. откройте SmartView Monitor и выберите шлюз. 2. В сводке данных шлюза, которая откроется в нижней панели, кликните System Information (системная информация). 3. В новой открытой панли выберите Thresholds (пороги). 4. В открытой панели вы увидите следующую информацию: • General Info (общая информация) - сводка политики пороговых значений SNMP.

• Policy name (имя политики) - имя, которое вы обозначили для политики в CLI. • State (состояние) - активированная или деактивированная политика. • Thresholds (пороги) - количество активированных пороговых значений. • Active events (активные события) - количество порогов, на данный момент отсылающих предупреждения. • Generated Events (сгенерированные события) - количество порогов, актиувированных со

времени установки Политики. • Active Events - Подробная информация о пороговых значениях, которые в настоящее время отсылают предупреждения.

• Name (имя) - имя предупреждения (данное в CLI) • Category (категории) - категория предупреждения (данная в CLI), например, аппаратная или ресурсная. • MIB object (объект MIB) - имя объекта, записанное в файле .mib. • MIB object's value (значение объекта MIB) - The value of the object when the threshold became

active, as recorded in the .mib file. • State (состояние) - текущее состояние объекта, активное или исходное (прошел порог, но

вернулся к нормальному значению) • Severity (степень серьезности) - степень серьезности предупреждения, установленная вами в CLI. • Activation time (время активации) - время первой отправки предупреждения.

• Alert Destinations (адресаты предупреждений) - список адресатов, которым отсылаются предупреждения.

• Name (имя) - имя адресата. • Type (тип) - тип адресата, к прмиеру, регистрационный сервер или NMS. • State (состояние) - отсылаются ли записи со шлюза или Сервера управления безопасностью

машине-адресату. • Alert Count (количество предупреждений) - количество предупреждений, которые были отосланы со времени установки политики.

• Errors (ошибки) - показывает пороги, которые нельзя контролировать. Например, шлюз не может мониторить RAID сенсоры с помощью машины, на которой нет RAID сенсоров. Будет показана ошибка для порогового значения RAID сенсора. • Threshold Name (имя порога) - имя порога с ошибкой. • Error (ошибки) - опсиание ошибки. • Time of Error (время ошибки) - когда ошибка впервые возникла.

Глава 10

Серверы управления безопасностью на интерфейсах DHCP

В этой главе Требования 119 Активация и деактивация 119 Использование динамического адреса IP 119 Лицензирование динамического Сервера упарвления безопасностью 120 Ограничения для динамического Сервера управления безопасностью 120

Требования Начиная с версии R71, Серверы управления безопасностью поддерживаются динамическими адресами IP на DHCP. Чтобы использовать это:

• На Сервере управления безопасностью должна быть установлена система Windows с адаптером DHCP.

• Сервер управления безопасностью должен быть частью распределенного развертывания.

Активация и деактивация Когда вы устанавливаете Сервер управления безопасностью на машине Windows с интерфейсом DHCP, Сервер управления безопасностью распознает интерфейс DHCP. В результате переключатель Dynamic Address появляется в общих свойствах (General Properties) объекта сервера управления безопасностью. Этот флажок устанавливается автоматически, чтобы разрешить использование Сервера управления безопасностью с динамическим адресом IP.

Если объект Сервера управления безопасностью не показан в SmartDashboard, убедитесь, что, по крайней мере, один интерфейс определен действительным адресом IP, и выполните cpstop и cpstart, чтобы перезапустить сервисы Check Point.

Снимите флажок, чтобы отключить функцию и указать, что используется статический адрес IP. Когда флажок Dynamic Address будет снят, шлюзы безопасности будут принимать подключения только от самого последнего известного адреса IP Сервера управления безопасностью.

Использование динамического адреса IP

Чтобы установить политику на Сервере управления безопасностью, следует использовать адрес IP, который определен как разрешенные Network (Сеть) или Address Range (Диапазон адресов). Если диапазон не определен, создается диапазон адресов по умолчанию начиная с первых 3 октетов первого назначенного адреса IP. Например, если сервер настроен с адресом IP 192.168.184.55, диапазон по умолчанию будет 192.168.184.0 - 192.168.184.255. Вы можете в любое время определить новую разрешенную сеть или диапазон адресов.

Серверы управления безопасностью на интерфейсах DHCP


Если управляемый шлюз безопасности имеет версию R71 или выше, установка политики заканчивается сбоем, если адрес IP Сервера управления безопасностью находится за пределами заданных диапазонов и сетей.

Когда адрес IP Сервера управления безопасностью изменяется, изменение отражается в базе данных после перезапуска SmartDashboard.

Чтобы определить разрешенную Сеть или Диапазон адресов:

1. В окне General Properties (общие свойства) объекта сервера управления безопасностью, щелкните Manage (управление).

Откроется окно Management DHCP Ranges (Управление диапазонами DHCP).

2. Щелкните по Add, чтобы добавить новую сеть или диапазон адресов.

• Network - определяет первый адрес IP и маску подсети

• Address Range - определяет первый и последний адрес IP диапазона.

3. Когда все сети и диапазоны адресов будут добавлены, нажмите OK, чтобы активизировать их.

Лицензирование динамического Сервера управления безопасностью Сервер управления безопасностью использует постоянный адрес IP на основе MAC адреса.

Чтобы получить лицензию для Сервера управления безопасностью с динамическим адресом IP:

1. Запустите cplic dynlic из интерфейса CLI. Будет выдан адрес IP.

2. Используйте этот адрес IP, чтобы получить лицензию из Пользовательского Центра Check Point(http://usercenter.checkpoint.com).

3. Запустите cplic put в CLI, чтобы установить лицензию. Не устанавливайте ее с использованием

SmartUpdate.

Ограничения для динамического Сервера управления безопасностью • Вы не можете настраивать Сервер управления безопасностью через интерфейс DHCP при автономном развертывании.

• Динамический Сервер управления безопасностью может управлять только удаленными шлюзами UTM-1, шлюзами Power-1 и Датчиками IPS-1, если они имеют статические адреса IP и относятся к версии R70 или более поздней версии.

• Отказоустойчивость системы управления не поддерживается вместе с автоматической заменой адреса IP Сервера управления безопасностью.

Приложение A

Сетевые объекты

В этом приложении

Общее описание сетевых объектов 121 Сетевые объекты 122

Общее описание объектов Сетевые Объекты создаются для того, чтобы представить фактически существующие физические машины и компоненты, например, шлюз, серверы, а также логические компоненты, например, диапазоны адресов IP и динамические объекты.

Объекты создаются и управляются системным администратором с помощью SmartDashboard.

Все объекты управляются с использованием SmartDashboard; поэтому рекомендуется, чтобы непосредственно к базе данных объектов не было обращений и чтобы она не редактировалсь. В этом приложении вы найдете общую информацию о сетевых объектах, включая спецификации конфигурации, если она необходима.

Последовательность действий при создании объектов 1. Объекты, созданные системным администратором, автоматически сохраняются в базе данных объектов на Сервере управления безопасностью в $FWDiR/conf/objects5o.с

2. Если Политика безопасности установлена на Шлюзе Безопасности, сервер управления безопасностью вычисляет файл objects.с для Шлюза Безопасности. Этот файл вычисляется и получается из файла objects50.c

3. Сервер управления безопасностью загружает файл objects.с на шлюз безопасности.

4. Когда политика будет установлена, все изменения, произведенные в объектах, применяются и сохраняются в политике. Эти изменения также региструются в базе данных объектов, которая автоматически обновляется.

Просмотр и управление объектами Когда объект будет создан, выполняется определение его графического представления, которое может быть просмотрено и запущено в любом из следующих мест:

• Дерево Объектов (Objects Tree) - диспетчер Объектов, в котором объекты создаются, просматриваются и из которого управляются. Чтобы удостовериться, что отображены все папки сетевых объектов, щелкните правой кнопкой мыши в корне папки Network Objects (Сетевые Объекты) и снимите флажок Do not show empty folders (не показывать пустые папки). • Список Объектов (Objects List) - представление, в котором отображается подробная информация об определенных категориях объектов (например, все доступные сети).

• База правил (Rule Base) - представление, в котором объекты реализованы и применяются в правилах, которые составляют Политику безопасности.

• SmartMap - представление, в котором объекты, реализованные в Базе Правил, отображены в графическом представлении.



Сетевые объекты Объекты Check Point Шлюзы безопасности

Объект Security Gateway - шлюз с более чем одним интерфейсом, и на данном шлюзе установлены программные блейды Check Point. По крайней мере, установлен блейд межсетевой защиты (Firewall), хотя могут также быть установлены другие Программные блейды Check Point, например, QoS или Monitoring.

Этот шлюз находится в сети, которая служит точкой входа в ЛВС и управляется Сервером управления безопасностью. Шлюз безопасности характеризуется следующим образом:

• имеет один или более установленных Программных блейдов

• при установленном блейде виртуальной частной сети IPSec требует лицензии виртуальной частной сети

• является механизмом маршрутизации, и осуществляет пересылку IP-пакетов

•благодаря наличию более одного интерфейса может использоваться для того, чтобы реализовать защиту от IP спуфинга.

Если шлюз безопасности, который вы определили, не должен выполнять пересылку IP-пакетов или защиту от IP-спуфинга, вы можете преобразовать его в хост Check Point.

Преобразование Шлюза Безопасности в хост Check Point

Вы можете преобразовать шлюз безопасности в хост Check Point, щелкнув правой кнопкой мыши по шлюзу безопасности в дереве объектов и выбрав Convert to Host (преобразовать в хост).

Шлюз UTM-1 Edge Объект шлюза UTM-1 Edge - сетевой объект, который представляет шлюз UTM-1 Edge. Этот шлюз находится в сети и может управляться сервером управления безопасностью или внешним Сервером управления.

Определение объектов блюза UTM-1 Edge

1. Во вкладке Network Objects Дерева Объектов создайте новый шлюз UTM-1 Edge.

2. Сконфигурируйте общие параметры настройки окна, включая его имя и адрес IP (статический или динамический) и информацию о версии.

3. Чтобы определить шлюз UTM-1 Edge как элемента семейства виртуальной частной сети, выберите опцию Enabled виртуальной частной сети и выберите тип Семейства виртуальной частной сети (Site to Site (от сайта к сайту) или Remote Access (удаленный доступ).

Хост Check Point Хост Check Point – это хост только с одним интерфейсом, на котором было установлено программное обеспечение Check Point, и который управляется Сервером управления безопасностью.

Хост Check Point характеризуется следующим образом:

• имеет один или несколько установленных Программных блейдов Check Point.

• не является механизмом маршрутизации и не способен выполнять пересылку IP-пакета.

• благодаря наличию только одного интерфейса его топология не может быть изменена, и поэтому он не может использоваться для того, чтобы реализовать защиту от дезинформирующих помех.

• требует лицензии SecureServer и не требует лицензии виртуальной частной сети.

Если вы определили хост Check Point, и вы пытаетесь использовать его, чтобы выполнить пересылку IP или защиту от дезинформирующих помех, вы должны преобразовать его в шлюз безопасности.



Преобразование хоста Check Point в шлюз безопасности Вы можете преобразовать хост Check Point в шлюз безопасности, щелкая правой кнопкой мыши по хосту Check Point в дереве объектов и выбрав Convert to Gateway.

Кластер шлюзов Кластер шлюзов - группа машин-шлюзов безопасности, на которых было установлено программное обеспечение Check Point, которое было сконфигурировано так, чтобы выполнить сервисы восстановления после отказа, используя ClusterXL или другое решение для создания Кластера.

Преобразование элемента кластера в шлюз безопасности Вы можете отделить элемент Cluster от кластера шлюзов и преобразовать его в шлюз безопасности, для этого действуйте следующим образом:

1. Щелкните правой кнопкой мыши по объекту Cluster (кластер) в дереве объектов или списке (List).

2. Выберите в меню Detach Cluster Members (отделить элементы кластера).

3. Выберите элемент в отображаемом окне и щелкните Detach.

4. Проигнорируйте отображенное предупреждение, чтобы завершить преобразование.

5. Будет отображено окно Properties (свойства) шлюза для преобразованного элемента кластера. Нажмите OK для завершения преобразования.

Внешне управляемый шлюз/хост Внешне управляемый шлюз безопасности или хост – это шлюз или хост, который был установлен с помощью программного обеспечения Check Point. Этот внешне управляемый шлюз является шлюзом безопасности, который управляется внешним сервером управления безопасностью. Поскольку на нем не установлена Политика безопасности Check Point, он может участвовать в сообществах и решениях виртуальной частной сети Check Point.

Узлы Узел может представлять любой сетевой объект. Два самых распространенных способа использования этого объекта – создание шлюзов, не входящих в систему обеспечения безопасности, и хостов.

• Узел межсетевого интерфейса - шлюз, на который не устанавливается программное обеспечение Check Point.

• Главный узел – это хост, на который не устанавливается программное обеспечение Check Point.

Преобразование узлов • Узлы межсетевого интерфейса могут быть преобразованы в главные узлы и наоборот. Щелкните правой кнопкой мыши на указанном узле в дереве объектов, и выберите Convert to Host (преобразовать в хост) или Gateway (шлюз). • Узлы межсетевого интерфейса могут быть преобразованы в шлюзы безопасности. Щелкните правойкнопкой мыши на межсетевом узле в дереве объектов и выберите Convert to Check Point Gateway (преобразовать в шлюз Check Point).

• Главные узлы могут быть преобразованы в хосты Check Point. Щелкните правой кнопкой мыши по указанному главному узлу в дереве объектов и выберите Convert to Check Point Host (преобразовать в хост Check Point).

Межоперационное устройство Межоперационное устройство – это устройство, на котором нет установленных программных блейдовCheck Point. Это устройство управляется любым Сервером управления, включая сервер управления безопасностью, хотя он не может получить Политику безопасности Check Point, и он может участвовать в сообществах и решениях виртуальной частной сети Check Point.



Сети Сеть - группа адресов IP, определенных сетевым адресом и маской подсети. Маска подсети указывает на размер сети.

Адрес IP широковещательной сети – это адрес IP, который предназначен для всех хостов в указаной сети. Если этот адрес будет включен, то адрес IP широковещательной сети будет рассматриваться как часть сети.

Домены Этот объект определяет имя домена DNS (доменной системы имен).

Формат имени домена -.x.y, где каждый раздел имени домена отделен точкой. Например .mysite.com или .mysite.co.uk. Указанное имя домена должно быть фактическим именем домена, чтобы его можно было преобразовать в действительный адрес IP. При первом преобразовании имени домена Сервером управления безопасностью может иметь место короткая задержка. Как только имя домена будет преобразовано, оно вводится в кэш, и каких-либо задержек в дальнейшем не будет происходить ни при каких последующих попытках доступа. Из-за начальных задержек, которые могут возникнуть для каждого нового имени домена, правила, которые содержат объекты Domain в своем источнике или адресате, следует располагать в конце базы правил.

Группы Группа сетевых объектов представляет собой набор хостов, шлюзов, сетей или других групп. Группы используются в случаях, когда вы не можете работать с одиночными объектами, например, при работе с VPN доменами или топологией определений. Кроме того, группы могут значительно облегчить и упростить управление сетью, так как они позволяют выполнять операции однажды вместо того, чтобы повторять их для каждого члена группы. В окне свойств группы (Group Properties) приведен список сетевых объектов, включенных в группу, и список объектов, исключенных из нее. Для настройки группы перемещайте объекты между списками по мере необходимости. Чтобы включить в группу ранее не содержавшийся в списке объект, создайте его, нажав кнопку New (создать). В этом окне отображается удаленные подгруппы без перечисления их содержимого. Для просмотра списка всех членов группы (включая членов подгруппы ), нажмите кнопку View Expanded Group.... (просмотр расширенной группы).

Устройства среды открытой системы безопасности (OSE) Обзор устройств OSE Функции расширения открытой защищенной среды дают возможность Check Point управлять сторонними устройствами с расширением открытой защищенной среды (OSE). Число управляемых устройств зависит от вашей лицензии. Устройства включают фильтры пакета аппаратных средств и программного обеспечения. Check Point также поддерживает аппаратные устройства безопасности, которые предоставляют маршрутизацию и дополнительные средства защиты, например, трансляцию сетевых адресов и аутентификацию. Устройства безопасности управляются с помощью Политики безопасности как встроенные устройства. Сервер управления безопасностью генерирует списки контроля доступа исходя из Политики безопасности и загружает их на выбранные маршрутизаторы и в устройство открытой защищенной среды. Check Point поддерживает следующие устройства, указанные в следующей таблице:

Устройства OSE, поддерживаемые Check Point

Устройства OSE Поддерживаемые версии

Системы Cisco 9.x, 10.x, 11.x, 12.x

Nortel 13.x, 14.x



При работе с маршрутизатором Cisco (то есть, объектом OSE), база правил не должна содержать одно из следующих правил. Если одно из следующих правил будет включено в базу правил, то сервер управления безопасностью будет не в состоянии генерировать списки контроля доступа из этих правил. • Drop (в столбце Action) • Encrypt (Action) • Alert (Action) • RPC (Service) • <??AH>(Service) • ACE (Service) • Правила аутентификации • Negate Cell

Окно свойств устройства OSE, вкладка Общее (General) • Name — имя устройства OSE

Имя, данное здесь, должно быть идентичным имени, которое отображается в системной базе данных на сервере.

• IP Address — адрес IP устройства

• Get Address — щелкните по этой кнопке, чтобы преобразовать имя в адрес

Примечание: рекомендуется перечислить объекты устройства OSE в файлах hosts (Unix) и lmhosts (Windows) в дополнение к определению их в базе данных Check Point.

• Comment — этот текст отображается в нижней части окна Network Object, когда выбран этот объект.

• Color — выбор цвета из раскрывающегося списка. Устройство OSE будет представлено в выбранном цвете во всей SmartMap для упрощения отслеживания и управления пользователями.

• Type — выбор одного из следующих типов в раскрывающемся меню:

- Системы Cisco

- Nortel

Окно свойтсв устройства OSE , вкладка Topology Устройства OSE сообщают о своих сетевых интерфейсах и установке во время начальной загрузки. У каждого устройства OSE есть различная команда для того, чтобы внести в список ее конфигурацию.

Примечание: по крайней мере один интерфейс должен быть определен во вкладке Topology, в противном случае установка Политика закончится сбоем.

Чтобы добавить интерфейс, щелкните по Add, будет отображено окно Interface Properties. Чтобы редактировать интерфейс, выберите интерфейс и щелкните Edit, или дважды щелкните по интерфейсу. Будет отображено окно Interface Properties (Свойства интерфейса). Чтобы удалить интерфейс, выберите интерфейс и щелкните Remove. Способ, в соответствии с которым указываются имена для интерфейсов устройства OSE, отличается от способа, по которому они указываются для интерфейсов других сетевых объектов. • Name — имя сетевого интерфейса, указанное в схеме конфигурации интерфейса маршрутизатора. Это имя не включает хвостовой номер. • IP Address — адрес IP устройства • Net Mask — маска подсети устройства.

Определение свойств антиспуфинга

Окно Interface Properties позволяет определять параметры антиспуфинга для маршрутизатора, устанавливая Списки контроля доступа на маршрутизаторах. Окно Interface Properties почти идентично окну Interface Properties для сетевых объектов.



Примечание: чтобы реализовать защиту от дезинформирующих помех для Cisco (версия 10.x и выше), вы должны определить дополнительные свойства во вкладке Setup каждого маршрутизатора после того, как Вы определите Valid Addresses (Действительные Адреса) в окне Properties Интерфейсов. Для получения

дополнительной информации, см. Параметры Антиспуфинга и установка устройств OSE (Cisco и Nortel) (на странице 160).

Примечание: регистрация в системе попыток спуфинга доступна только для внешних интерфейсов.

Параметры антиспуфинга и установка устройств OSE (Cisco и Nortel) Для Cisco (Версия 10.x и выше) и устройств OSE Nortel вы должны определить направление правил фильтрации, сгенерированных исходя из параметров антиспуфинга. Направление выполнения указано во вкладке Setup каждого маршрутизатора.

Для маршрутизаторов Cisco направление выполнения определено свойством Spoof Rules Interface Direction (направление действия интерфейса правил спуфинга). Access List No — количество осуществляемых списков контроля доступа Cisco.

Маршрутизаторы Cisco Версии 12x и ниже поддерживают диапазон номеров ACL 101-200. Маршрутизаторы Cisco Версии 12x и выше поддерживают диапазон номеров ACL 101-200, а также диапазон номеров ACL 2000-2699. Введение этого диапазона чисел ACL допускает поддержку большего количества интерфейсов. Username — имя, требуемое для того, чтобы подключиться к устройству OSE. Password — пароль Администратора (только для чтения), заданный на маршрутизаторе. Enable Username — имя пользователя, требуемое для установки списков контроля доступа.

Администратор системы защиты должен выбрать одну из следующих опций из раскрывающегося списка для вышеупомянутых пунктов:

Поля Username и Password (включают поля Enable): None — указывает на ненужность параметра. Known — значение параметра должно быть введено. Prompt — указывает на то, что администратор системы защиты получит запрос относительно этого параметра. Version — версия устройства OSE Cisco (9.x, 10.x, 11.x, 12, x).

OSE Device Interface Direction — установленные правила осуществлены в пакетах данных, перемещаемых в этом направлении на всех интерфейсах.

Spoof Rules Interface Direction — правила отслеживания спуфинга, осуществленные в пакетах данных, перемещаемых в этом направлении на всех интерфейсах.

Логические Серверы Логические сервера - группа машин, которая обеспечивает одни и те же сервисы. Рабочая нагрузка группы распределяется между всеми ее элементами.

Если группа серверов предусмотрена в поле Servers group, клиент подключен к этому физическому серверу. В режиме Persistent server (Постоянный сервер) клиент и физический сервер связаны друг с другом на протяжении всего сеанса.

• Persistency by Service (постоянство по сервису) — как только будет клиент подключен к физическому серверу для получения указанного сервиса, последующее подключение к тому же самому логическому серверу и тому же сервису будет переадресовываться на один и тот же физический сервер на протяжении всего сеанса.

• Persistency by Server (постоянство по серверу) — как только будет клиент подключен к физическому серверу, последующие подключения к тому же логическому серверу (для любого сервиса) будут переадресованы на один и тот же физический сервер на протяжении всего сеанса.

Метод балансировки Алгоритм выравнивания нагрузки предусматривает то, как трафик балансируется между серверами.

Существует несколько типов методов балансировки:



• Server Load (Загрузка сервера) — шлюз безопасности определяет, на каком сервере наиболее производительное оборудование для наилучшей обработки нового подключения. • Round Trip Time (Время на передачу и подтверждение приёма) — исходя из кратчайшего времени на передачу и подтверждение приёма пакета между шлюзом безопасности и серверами, посылаемого простой утилитой ping, шлюз безопасности определяет, на каком сервере наиболее производительное оборудование, чтобы он мог наилучшим образом обработать новое подключение. • Round Robin (Алгоритм циклического обслуживания) — новое подключение назначается первому доступному серверу. • Random (Случайный) — новое подключение назначается серверу, выбранному случайным образом. • Domain (Домен) — новое подключение назначается серверу исходя из имен домена.

Диапазоны адресов Объект Address Range предусматривает диапазон адресов IP, используемых в сети начиная с первого и до последнего адреса IP. Этот объект используется, когда сети сами по себе не имеют согласования адреса IP - маски подсети, таким образом, диапазон адресов необходим для реализации: • NAT, и • VPN

Динамические объекты Динамический объект – это «логический» объект, в котором адрес IP будет преобразовываться иначе, чем в шлюзе безопасности, с использованием команды dynamic_objects. Ниже приведены заранее заданные динамические объекты: • LocalMachine-all-interfaces – машинные интерфейсы DAIP (статический и динамический) преобразуются в этот объект. • LocalMachine – внешний интерфейс (динамический) шлюза ROBO (как заявляется в cpconfig при конфигурировании шлюза ROBO). • InternalNet – внутренний интерфейс шлюза ROBO (как заявляется в cpconfig при конфигурировании шлюза ROBO). • AuxiliaryNet – вспомогательный интерфейс шлюза ROBO (как заявляется в cpconfig при конфигурировании шлюза ROBO). • DMZNet – интерфейс DMZ шлюза ROBO (как заявляется в cpconfig при конфигурировании шлюза ROBO).

Для получения дополнительной информации см. R75.40VS Справочник интерфейса командной строки (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Домены VoIP Существует пять типов объектов VoIP Domain: • Прокси-сервер SIP Домена VoIP • контроллер шлюза Н.323 Домена VoIP • Шлюз Н.323 Домена VoIP • Агент вызовов протокола MGCP Домена VoIP • SCCP CallManager Домена VoIP

Во многих сетях VoIP управляющие сигналы следуют через сеть по маршрутам, отличающимся от маршрутов носителей. Дело обстоит именно так, когда вызов управляется устройством разводки сигналов. Разводка сигналов выполняется в SIP Сервером переадресации, Регистратором и/или Прокси-сервером. В SIP маршрутизация сигнала выполняется контроллером шлюза и/или шлюзом.

Соблюдение мест расположения маршрутизаторов сигнала является важным аспектом безопасностиVoIP. Существует возможность определения оконечных точек, которыми может управлять маршрутизатор сигнала. Этот набор мест называется Доменом VoIP. Для получения дополнительной информации см. R75.40VS Справочник интерфейса командной строки (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Приложение B

CLI приложение Следующие команды командной строки относятся к Серверу управления безопасностью и описаны в R75.40VS Справочнике интерфейса командной строки (http://supportcontent.checkpoint.com/solutions?id=sk76540).

СLI приложение


Security Management server Command Line Interface

Команда Описание cpca client Эта команда и все ее производные используются для выполнения

операций на ICA.

срса client create cert

Эта команда побуждает ICA выдать сертификат SIC для Сервера управления безопасностью.

cpca client revoke cert

Эта команда используется для отзыва сертификата, выданного ICA.

cpca client set mgmt tools

Эта команда используется для того, чтобы начать или закончить работу инструментального средства управления ICA.

cpconfig Эта команда используется для запуска командной строки версии инструментального средства конфигурации Check Point. Это инструментальное средство используется для того, чтобы конфигурировать/реконфигурировать установку Check Point.

cplic Эта команда и все ее производные относятся к теме управления лицензией Check Point. Все команды cplic расположены в $CPRID/bin.

cplic check Используйте эту команду, чтобы проверить, позволит ли лицензия на локальном компьютере использовать данную функцию.

cplic db add Команда cplic db_add используется для того, чтобы добавить одну или несколько лицензий в архив лицензийна Сервере управления безопасностью. Когда локальная лицензия будет добавлена к архиву лицензий, они автоматически присоединяются к намеченному шлюзу безопасности, центральные лицензии должны пройти процесс присоединения.

cplic db print Команда cplic db_print отображает подробную информацию о лицензиях Check Point, сохраненных в архиве лицензий на Сервере управления безопасностью.

cplic db rm Команда cplic db_rm удаляет лицензию из архива лицензий на Сервере управления безопасностью. Она может быть выполнена ТОЛЬКО после того, как лицензия была откреплена с использованием команды cplic del. Как только лицензия была удалена из архива, ее дальнейшее использование невозможно.

cplic del Используйте эту команду, чтобы удалить одну лицензию Check Point на хосте, включая имеющую нежелательную оценку, истекшую и другие лицензии. Эта команда используется и для локальных, и для удаленных машин.

cplic del <имя объекта>

Используйте эту команду, чтобы открепить центральную лицензию от шлюза Безопасности. Когда эта команда будет выполнена, архив лицензий автоматически обновлится. центральная лицензия остается в архиве как неприсоединенная лицензия. Эта команда может быть выполнена только на Сервере управления безопасностью.

cplic get Команда cplic get считывает все лицензии на шлюзе безопасности (или на всех шлюзах безопасности) в архив лицензий на Сервере управления безопасностью. Она выполняется для того, чтобы синхронизировать архив со шлюзом безопасности (или со всеми шлюзами безопасности). Когда команда будет выполнена, все локальные изменения будут обновлены.

cplic put Команда cplic put используется для того, чтобы установить одну или несколько локальных лицензий на локальном компьютере.

cplic put <имя объекта...

Используйте команду cplic put, чтобы дистанционно присоединить одну или несколько центральных или локальных лицензий. Когда эта команда будет выполнена, также обновится архив лицензий.



cplic print Команда cplic print (расположенная в $CPDIR/bin) печатает подробную информацию о лицензиях Check Point на локальном компьютере.

cplic upgrade Используйте команду cplic upgrade, чтобы обновить лицензии в архиве лицензий, используя лицензии из файла лицензий, полученного в пользовательском центре.

cp merge Эта утилита имеет две основные функции: Экспорт и импорт пакетов политик Слияние объектов из данного файла в базу данных Сервера управления безопасностью

ср merge delete policy

Эта команда предоставляет возможность удаления существующего пакета политик. Обратите внимание, что политика по умолчанию может быть удалена с помощью операции Delete.

cp merge export policy

Эта команда предоставляет возможность оставления пакета политики в активном архиве, или удаления его как части процесса экспорта.Политика по умолчанию не может быть удалена во время операции Delete.

cp merge import policy|resto re policy

Эта команда предоставляет возможность перезаписать существующий пакет политики новым с тем же именем, или предотвратить перезапись, если уже существует политика с тем же именем.

cp merge lilt policy

Эта команда перечисляет доступные пакеты политик.

cppkg Эта команда используется для того, чтобы управлять архивом пакетов. Она всегда выполняется на Сервере управления безопасностью.

cppkg add Команда cppkg add используется для добавления пакета к архиву пакетов. К архиву пакетов могут быть добавлены только пакеты.

cppkg delete Команда используется для того, чтобы удалить пакет из архива пакетов. Чтобы удалить пакет, нужно определить несколько опций. Чтобы увидеть формат опций и просмотреть содержимое архива пакетов, используйте команду cppkg print.

cppkg get Эта команда синхронизирует базу данных архива пакетов с информационным наполнением текущего архива пакетов в $SUROOT.

cppkg getroot Эта команда используется для того, чтобы узнать местоположение архива пакетов. Местоположение архива пакетов по умолчанию на машинах Windows - C:\SUroot. На UNIX - /var/SUroot.

cppkg print Эта команда используется для составления списка содержимого архива пакетов.

cppkg setroot Эта команда используется для того, чтобы создать новое место расположения корневого каталога архива, и переместить существующие пакеты в новый архив пакетов.

cpridrestart Останавливает и запускает демона удаленной установки Check Point (cprid). Это демон, который используется для удаленного обновления и установки продуктов. Он является частью Базы SVN. В Windows он является сервисом.

cpridstart Запускает демон удаленной установки Check Point (cprid).Это сервис, которое позволяет выполнять удаленное обновление и установку продуктов. Он является частью Базы SVN. В Windows он является сервисом.

cpridstop Останавливает демон удаленной установки Check Point (cprid). Это сервис, который позволяет выполнять удаленное обновление и установку продуктов. Он является частью Базы SVN. В Windows он является сервисом.

cprinstall Используйте команду cprinstall, чтобы выполнить удаленную установку пакетов и связанные с этим операции.

cprinstall boot Эта команда используется для того, чтобы загрузить удаленный компьютер.



cprinstall cprestart

Эта команда дает возможность выполнять cprestart дистанционно.

cprinstall cpstart Эта команда дает возможность выполнять cpstart дистанционно.

cprinstall cpstop Эта команда дает возможность выполнять cpstop дистанционно.

cprinstall get Команда cprinstall get используется для того, чтобы получить подробную информацию о пакетах и операционной системе, установленной на указанном шлюзе безопасности, и обновить базу данных.

cprinstall install Команда cprinstall install используется для того, чтобы установить на удаленных шлюзах безопасности пакеты Check Point, пакеты встроенного программного обеспечения UTM-1 Edge, пакеты подключения партнер/OPSEC (совместимый блок обслуживания интерфейсов) и изображения Check Point IPSO. Чтобы установить пакет, нужно определить несколько опций. Используйте команду cppkg print и скопируйте необходимые опции.

cprinstall uninstall

Команда cprinstall uninstall используется для того, чтобы установить пакеты Check Point, пакеты встроенного программного обеспечения UTM-1 Edge, пакеты подключения партнер/OPSEC (совместимый блок обслуживания интерфейсов) и изображения Check Point IPSO на удаленных шлюзах безопасности. Чтобы деинсталлировать пакет, нужно определить несколько опций. Используйте команду cprinstall get и скопируйте необходимые опции.

cprinstall verify Команда cprinstall verify используется для того, чтобы проверить:

может ли определенный продукт быть установлен на удален- ном Шлюзе Безопасности.

• может ли определенный продукт быть установлен на удален- ном шлюзе безопасности.

• что имеется достаточное дисковое пространство для того, чтобы установить продукт.

• что имеется подключение CPRID. cpstart Эта команда используется для того, чтобы запускать все процессы Check

Point и приложения, выполняющиеся на машине. cpstat cpstat отображает в различных форматах состояние приложений

Check Point на локальном компьютере или на другой машине.

cpstop Эта команда используется для того, чтобы закончить выполнение всех процессов Check Point и приложений, выполняющихся на машине.

cpwd admin cpwd (также известная как схема обеспечения безопасности) является процессом, который вызывает и контролирует критические процессы, например, демонов Check Point на локальном компьютере, и пытается перезапустить их, если они выполняются со сбоем. Среди процессов, контролируемых схемой обеспечения безопасности - cpd, fwd, fwm. cpwd - часть Базы SVN.cpwd записывает информацию мониторинга в Файл системного журнала $CPDIR/log/cpwd.elg. Кроме того, информация мониторинга записывается в консоль на платформах UNIX, и в Windows Event Viewer.Утилита cpwd_admin используется для того, чтобы отображать состояние процессов и конфигурировать cpwd.

cpwd admin config Эта команда используется для того, чтобы установить параметры конфигурации cpwd. Если параметры будут изменены, эти изменения не вступят в силу, пока cpwd не будет остановлена и перезапущена.

cpwd_admin exist Эта команда используется для того, чтобы проверить активное состояние cpwd.

cpwd_admin kill Эта команда используется для того, чтобы удалить cpwd.



cpwd_admin list Эта команда используется для того, чтобы напечатать состояние выбранных процессов, контролируемых cpwd.

cpwd admin monitor list

Эта команда используется для того, чтобы печатать список активно контролируемых процессов.

cpwd_admin start Запускает новый процесс с помощью cpwd.

cpwd admin start monitor

Эта команда используется для того, чтобы запустить непрерывный мониторинг на этой машине.

cpwd_admin stop Останавливает процесс, который контролируется cpwd.

cpwd admin stop monitor

Эта команда используется для того, чтобы остановить непрерывный мониторинг на этой машине.

dbedit Эта команда используется администраторами, чтобы редактировать файл объектов на сервере управления безопасностью. Существует файл объектов на шлюзе и файл objects_5_0. C на сервере управления безопасностью. Новый файл objects.C создан на шлюзе (на основе objects_5_0. C на Сервере управления безопасностью) при каждой установке Политики. Редактирование файла objects_5_0. C на шлюзе не требуется или не является желательным, так как он будет перезаписан при следующей установке Политики.

DBTableStat Эта утилита предоставляет ежедневный итоговый подсчет числа записей файла системного журнала, которые соответствуют правилам объединения и числу объединенных записей, которые были сохранены в указанной таблице базы данных. Формат вывода - значения, разделённые запятыми. Время выполнения этой утилиты зависит от числа записей в таблице SmartReporter.

dbver Утилита dbver используется для того, чтобы экспортировать и импортировать различные новые версии базы данных. Свойства новых версий (последняя из созданных, находится в рамках ответственности администратора и т.д.) могут быть пересмотрены. Утилита находится в $FWDIR/bin.

dbver create Создает редактированную версию из текущего состояния $fwdir/conf,включая текущие объекты, базы правил и т.д.

dbver export Архивирует новую версию как файл архива в архиве редакций: $fwdir/ conf/db_versions/export.

dbver import Добавляет экспортируемую редакцию к архиву версий из $fwdir/conf/ db_versions/export. Имя файла версии дается как для вводимой информации.

dbver print Печатает свойства новой версии.

dbver print all Печатает свойства всех версий, которые будут найдены на стороне сервера: $fwdir/conf/db_versions.

dynamic objects dynamic_objects определяет адрес IP, в который будет преобразован динамический объект на этой машине.

fw Команды fw используются для того, чтобы работать с различными аспектами компонента межсетевой защиты шлюза безопасности. Все команды fw выполняются на шлюзе. Ввод с клавиатуры fw в строке приглашения к вводу команды отправляет список доступных fw команд на стандартное выходной устройство.

fw ctl Команда fw ctl управляет ядром шлюза безопасности.

fw expdate Эта команда используется для того, чтобы изменить дату истечения срока действия сертификата для всех пользователей и администраторов.



fw fetch Эта команда считывает код инспекции с указанного хоста и устанавливает его на ядро.

fw fetchlogs fw fetchlogs считывает в оперативную память файлы системного журнала с удаленной машины. Вы можете использовать команду fw fetchlogs, чтобы передать Файлы системного журнала на машину, на которой выполняется команда fw fetchlogs. Файлы системного журнала считываются с и записываются в каталог $FWDIR/log.

fw hastat Команда fw hastat отображает информацию о машинах высокой уровня готовности системы и их состояниях.

fw kill Эта команда выдает строку приглашения ядра к завершению всех процессы демона в компоненте межсетевой защиты шлюза безопасности. Команда расположена в каталоге $FWDIR/bin на Сервере управления безопасностью или шлюзе. Демоны шлюза безопасности и серверы безопасности записывают свои pids в файлы в каталоге $FWDIR/tmp после запуска. Эти файлы называются $FWDIR/tmp/daemon_name. pid. Например, файлом, содержащим pid демона шлюза безопасности snmp, является файл $FWDIR/tmp/snmpd.pid.

fw lea notify Эта команда должна выполняться на сервере управления безопасностью. Она отправляет данные события LEA_COL_LOGS ко всем подключенным lea клиентам (см. документацию по Спецификации LEA). Она должна использоваться после того, как будут импортированы (вручную или автоматически) новые файлы системного журнала в Каталог $ FWDIR/log, чтобы избежать запланированного обновления, которое занимает 30 минут.

fw lichosts Эта команда распечатывает список хостов, защищенных шлюзами безопасности. Список хостов находится в файле $fwdir/database/fwd.h

fw log fw log отображает содержимое файлов системного журнала.

fw logswitch fw logswitch создает новый активный файл системного журнала. Текущий активный файл системного журнала закрывается и переименовывается по умолчанию в файл $FWDIR/log/current_time_stamp.log, если вы не определяете в качестве варианта уникальное имя. Форматом имени по умолчанию current_time_stamp.log является YYYY-MMS - DD_HHMMSS.log. Например: 2003-03-26_041200.log

fw mergefiles Эта команда объединяет несколько файлов системного журнала в единый файл системного журнала. Объединенный файл может быть сортирован согласно времени создания записей системного журнала, а времена могут быть "зафиксированы" согласно часовым поясам исходных серверов файла регистрации. Когда размер объединенного файла превышает 2 Гбайта, операция слияния создает список "объединенных файлов", где размер каждого файла составляет не более 2 Гбайт. Пользователь получает следующее предупреждение: "Warning: The size of the files you have chosen to merge is greater than 2GB. The merge will produce two or more files." ("Предупреждение: размер файлов, которые вы хотите объединить, превышает 2 Гбайта. Слияние приведет к созданию двух или более файлов".) Имена файлов будут следующими: [Запрашиваемое имя].log, [Запрашиваемое имя] _1.log, [Запрашиваемое имя] _2.log..., [Запрашиваемое имя] _n.log. Записи системного журнала с одним и тем же уникальным логином объединяются. Если переключение между файлами регистрации было выполнено перед тем, как были получены все сегменты определенного файла регистрации, эта команда объединит записи с одним и тем же уникальным логином от двух различных файлов в одну запись со всеми подробностями описания.

fw lslogs Эта команда отображает список файлов системного журнала, постоянно находящихся на удаленном или локальном компьютере. Вы должны инициализировать SIC между Сервером управления безопасностью и удаленной машиной.



fw putkey Эта команда устанавливает пароль аутентификации на хосте. Этот пароль используется для того, чтобы аутентифицировать внутреннюю связь между шлюзами безопасности Check Point и между шлюзом безопасности Check Point и его сервером управления безопасностью. Пароль используется для того, чтобы аутентифицировать канал управления, когда связь устанавливается в первый раз. Эта команда требуется для сценариев совместимости сверху вниз.

fw repairlog fw repairlog перестраивает файлы указателя файлов системного журнала. Эти три файла (имя).logptr, (имя) loginitial_ptr и (имя) logaccount_ptr создаются заново из данных в указанном Файле системного журнала. Сам файл системного журнала изменяется, только если указан флажок -u.

fw sam Эта команда используется для того, чтобы управлять сервером контроля подозрительной деятельности (SAM). Используйте сервер SAM, чтобы блокировать подключения к и от адресов IP без потребности в изменении Политики безопасности. Команды SAM являются регистрируемыми. Используйте эту команду, чтобы (также) контролировать активные запросы SAM (см. опцию -M).Чтобы конфигурировать сервер SAM на сервере управления безопасностью или машине шлюза межсетевой защиты, используйте SmartDashboard для редактирования страницы Advanced > SAM объекта шлюза безопасности.

fwm Эта команда используется для выполнения операций Сервера управления безопасностью. Она управляет демонами fwd и всеми демонами Check Point.

fwm dbimport fwm dbimport импортирует пользователей в базу данных пользователей сервера управления безопасностью из внешнего файла. Вы можете создать этот файл самостоятельно или использовать файл, сгенерированный fwm dbexport.

fwm dbexport fwm dbexport экспортирует базу данных пользователей Сервера управления безопасностью в файл. Файл может быть в одном из следующих форматов: - Использующим тот же формат, как файл импорта для fwm Dbimport - Формат LDIF, который может быть импортирован в Сервер LDAP, используя ldapmodify

fwm dbload Эта команда загружает базу данных пользователей и сетевые объекты информации по выбранным адресатам. Если адресат не указан, то база данных загружается по адресу localhost (Рабочая станция, на которой работает пользователь.)

fwm ikecrypt Командная строка команды fwm ikecrypt шифрует пароль пользователя SecuRemote, используя IKE. Результирующая строка после этого должна быть сохранена в базе данных LDAP.

fwm load Эта команда компилирует и устанавливает Политику безопасности или определенную версию Политики безопасности на шлюзах безопасности виртуальной частной сети адресата. Это делается одним из двух способов: - fwm load компилирует и устанавливает файл Сценария инспекции (*.pf) на заданных Шлюзах Безопасности. - fwm load преобразовывает файл Базы правил (*.W), созданный в графическом интерфейсе пользователя в файле сценария инспекции (*.pf), а затем устанавливает его на заданных шлюзах безопасности. Версии Политики безопасности и баз данных поддерживаются в архиве версий на сервере управления безопасностью. Используя эту команду, могут быть установлены определенные версии Политики безопасности на шлюзе безопасности (локальном или удаленном), не изменяя определение текущей активной версии базы данных на Сервере управления безопасностью. Чтобы защитить адресата, вы должны загрузить Политику, которая содержит правила, возможности которых соответствуют адресату. Если ни одно из правил у адресата не осуществляется, то весь трафик через адресата блокируется.



fwm lock admin Эта команда дает возможность просмотреть и разблокировать заблокированных администраторов.

fwm logexport fwm logexport экспортирует файл системного журнала в файл ASCII.

fwm unload <targets>

Эта команда деинсталлирует загруженный в настоящий момент код инспекции на выбранных адресатах.

fwm ver fwm ver отображает номер сборки.

fwm verify <policy-name>

Эта команда проверяет указанный пакет политик, не устанавливая его.

GeneratorApp Эта команда генерирует отчет для SmartReporter. Требуются оба параметра командной строки.

inet alert Эта команда уведомляет провайдера услуг интернета компании (поставщикв интернет-сервиса), когда корпоративная сеть компании подвергается злонамеренному воздействию. Утилита inet_alert пересылает журнальные сообщения, сгенерированные сигнальным демоном, на внешний Сервер управления безопасностью, обычно находящийся на сайте поставщика интернет-сервиса. Поставщик интернет-сервиса после этого может проанализировать предупреждение и решить, как реагировать на эту ситуацию. Утилита inet_alert использует протокол ELA для отправки предупреждений. Сервер управления безопасностью, получающий предупреждение, должен запустить Прокси-сервер ELA. Если для связи с Прокси-сервером ELA следует аутентифицироваться или она должна зашифрована, должен быть выполнен обмен ключами между Сервером управления безопасностью, запускающим Прокси-сервер ELA, и шлюзом, генерирующим предупреждение. Чтобы использовать эту утилиту, введите ее в сценарий в Global Properties > Logs и alert > alert commands и введите имя сценария.

ldapcmd ldapcmd используется для того, чтобы управлять процессами, совместно или индивидуально выполняющимися на межсетевой защите. Она включает в себя: Cache - кэширует операции, например, освобождение кэша, а также предоставление отладочной информации. Statistics - статистика операций поиска, например, все операции поиска пользователя, отложенные операции поиска (когда две или больше операции поиска идентичны), и полное время поиска (полное время поиска для определенной операции поиска), статистика кэша, например, ответы и неудачные соединения Logging - рассматривает предупреждения и тревожные сообщения файла регистрации в отношении отладки

ldapcompare ldapcompare используется для того, чтобы выполнять сравнение запросов, которые печатают сообщение, полученный результат является соответствующим или нет. ldapcompare открывает подключение к серверу каталога LDAP, связывает и выполняет сравнение, указанное в командной строке, или с указанным файлом.

ldapconvert ldapconvert является утилитой для переключения из конфигурации Member в конфигурацию MemberOf. Это выполняется путем поиска на всех указанных входах группы/шаблона и выбора их атрибутов со значением Member. Каждое значение – это DN записи элемента. Элемент, идентифицированный по этому имени домена, будет добавлен к атрибуту со значением MemberOf DN имеющейся группы/шаблона. Кроме того, эти атрибуты со значением Member будут удалены из группы/шаблона, если не будет указана конфигурация Both. В ходе выполнения программы файл системного журнала под названием ldapconvert.log генерируется в текущем каталоге, регистрируя все выполненные изменения и встречающиеся ошибки.



ldapmodify ldapmodify импортирует пользователей на сервер LDAP. Входной файл должен быть в формате LDIF.

ldapsearch ldapsearch делает запрос к каталогу LDAP и выдает результаты.

log export log_export является утилитой, которая позволяет передавать данные файла системного журнала во внешнюю базу данных. Эта утилита ведет себя как клиент LEA. LEA (API экспорта файла системного журнала) дает возможность экспортировать данные файла системного журнала шлюза безопасности в сторонние приложения. log_export получает файлы регистрации с Сервера управления безопасностью через LEA, таким образом, она может выполняться с любого хоста, который имеет подключение SIC к серверу управления безопасностью и определен как хост OPSEC. log_export должна быть определена как передающий шлюз безопасности, чтобы действовать в среде распределенной системы. Чтобы выполнить log_export, необходимо в основном понимать и иметь практические знания по: - Администрированию базы данных Oracle - LEA

queryDB util queryDB_util активирует поиск по базе данных объектов согласно параметрам поиска.

rs db tool rs_db_tool используется для того, чтобы управлять модулями DAIP в базе данных DAIP.

sam alert Это инструментальное средство выполняет операции Check Point SAM (контроль подозрительной деятельности) согласно информации, полученной через стандартный вход. Это инструментальное средство предназначено для того, чтобы выполнять операции SAM с использованием определяемого пользователем механизма предупреждений Check Point.

Алфавитный указатель

A Account Units • 24 Account Units and High Availability • 26 Active versus Standby • 105 Actualizing an Implied network • 80 Add a Connectivity Cloud • 80 Add a Network Object to SmartMap • 78 Add an Internet Cloud • 80 Add or Change Administrator Window Warning • 60 Adding a Policy to an Existing Policy Package • 66 Adding a Section Title • 66 Adding New Attributes to the Active Directory • 31 Adding the contents of a SmartMap folder to the Rule Base • 82 Address Ranges • 126 Adjusting and Customizing SmartMap • 77 Adjusting SmartMap using the Navigator • 77 Administrator Groups • 57 Advanced Search Attributes • 93 Affecting SmartMap Layout (Arranging Styles) • 77 Anti-spoofing Parameters and OSE Devices Setup (Cisco and Nortel) • 125 Assigning a Permissions Profile • 54 AttributesTranslationMap • 45 Authenticating the Administrator • 12 Authenticating the Security Management Server Using its Fingerprint • 12 Authenticating with Certificates • 27 Authentication • 54 AutomaticAttrs • 49 B Backing Up the Security Management server • 104 Backup and Restore the Security Management server • 75 BadPwdCountAttr • 44 Balance Method • 126 Basic Search Attributes • 93 BranchObjectClass • 45 BranchOCOperator • 45 C CA Cleanup • 96 CA Data Types • 96 Calculating topology information • 83 Certificate Longevity and Statuses • 87 Certificate Operations Using the ICA Management Tool • 94 Certificates • 55, 58 Changing the Active SMS to the Standby SMS • 109 Changing the Standby SMS to the Active SMS • 109

Changing the Status of the Security Management server • 107 Check Point Host • 122 Check Point Objects • 122 CLI Appendix • 128 Client Side Requirements • 103 ClientSideCrypt • 44 cn • 33 Collapsing locales • 81 Collapsing other Topology Structures • 81 Completing Basic Configuration • 15 Completing the Configuration • 117 Configuration Procedures • 116 Configure Alert Destinations • 116 Configure Automatic Deletion • 74 Configure Global Alert Settings • 116 Configure Thresholds • 117 Configuring a New Query • 67 Configuring Administrator Groups • 58 Configuring Administrators • 56 Configuring Authentication • 58 Configuring Customized Permissions • 62 Configuring Default Expiration Parameters • 60 Configuring General Properties • 56 Configuring Security Gateways for SNMP • 113 Configuring Security Gateways for SNMP Requests • 113 Configuring Security Gateways for SNMP Traps • 114 Configuring SNMP Monitoring • 115 Configuring the CA • 96 Configuring Users • 53 Connecting a network to Connectivity clouds/an Internet cloud, where there is more than one/a Containing Network • 80 Connecting a Network to Internet Clouds • 80 Connecting multiple networks to a Connectivity Cloud • 80 Connecting to the Management Portal • 103 Connection Times • 55 Converting a Check Point host into a Security Gateway • 122 Converting a Cluster Member into a Security Gateway • 123 Converting a Security Gateway into a Check Point host • 122 Converting Nodes • 123 Create a Group • 78 Create a Version • 73 Creating a New Policy Package • 65 Creating a PKCS#10 Certificate • 95 Creating and Changing Permission Profiles • 61 Creating Objects in the Objects Tree • 14 Creating or Changing a User • 53 Creating or Changing an Administrator • 56 CRL Management • 89 CRL Modes • 89 CRL Operations • 96 CryptedPasswordPrefix • 44 Customize color and width of objects and edges • 79 Customize the Display of Object Labels and IP Addresses • 79 Customize Tooltips for Objects • 79 Customizing Objects Tree Views • 16

D Data Overload During Synchronization • 108 Database Revision Control and Version Upgrade • 75 Default User Directory Profiles • 40 DefaultCryptAlgorith • 44 Defining LDAP Account Units • 24 Defining Protected Objects as Groups • 84 Defining Router Anti-Spoofing Properties • 125 Defining the contents of a • 81 Defining the Policy Package's Installation Targets • 66 Defining User Directory Server • 26 Defining UTM-1 Edge Gateway Objects • 122 Delegating Control • 30 Delete a Version • 74 Deploying the Management Portal on a Dedicated Server • 101 Развертывание Портала управления на Сервере управления безопасностью • 102 Deployments • 9 Описание • 34 Различные методы синхронизации • 133 Display a Legend for regular and/or NAT rules • 82 Display the Rule Color Legend • 83 Distributing Users in Multiple Servers • 28 Dividing the Rule Base into Sections using Section Titles • 70 DomainObjectClass • 46, 50 DomainRDN • 49 Domains • 123 Dynamic Objects • 127 E Edit Network Objects • 78 Editing External Objects • 82 Enable SmartMap • 76 Enabling and Disabling • 119 Enabling and Viewing SmartMap • 76 Encryption • 55 Enhancements • 23 Establishing Trust for Objects • 15 Example of Query • 29 Expanding Topology folders • 81 ExpirationDateAttr • 43 ExpirationDateFormat • 43 Export and Import a Version • 74 Export SmartMap (as an image file) • 85 Export SmartMap (to Microsoft Visio) • 85 Extending the Active Directory Schema • 30 Externally Managed Gateway/Host • 123 F Fetch User Information Effectively • 41 File Operations • 69 Fixed Connections versus Editable Connections • 79 For what objects are topology calculations made? • 83 fw1allowed-dst • 36 fw1allowed-src • 36 fw1allowed-vlan • 36

fw1authmethod • 34 fw1authserver • 35 fw1badPwdCount • 39 fw1day • 36 fw1enc-fwz-expiration • 37 fw1enc-Methods • 39 fw1expiration-date • 35 fw1groupTemplate • 37 fw1hour-range-from • 35 fw1hour-range-to • 36 fw1ISAKMP-AuthMethods • 38 fw1ISAKMP-DataEncMethod • 39 fw1ISAKMP-DataIntegrityMethod • 38 fw1ISAKMP-EncMethod • 38 fw1ISAKMP-HashMethods • 38 fw1ISAKMP-SharedSecret • 38 fw1ISAKMP-Transform • 38 fw1lastLoginFailure • 39 fw1pwdLastMod • 35 fw1sr-auth-track • 37 fw1SR-datam • 37 fw1SR-keym • 36 fw1SR-mdm • 37 fw1userPwdPolicy • 39 G Gateway Cluster • 123 Gateway VPN Certificate Management • 88 General Properties • 53 Generating a Certificate • 95 Glossary • 10, 51 Group Conventions • 17 GroupObjectClass • 46, 49 GroupOCOperator • 47 GroupRDN • 48 Groups • 124 H Handling SNMP Requests on SecurePlatform • 113 Handling SNMP Requests on Unix • 112 Handling SNMP Requests on Windows • 112 Hiding the contents of • 81 How is it done? • 89 I ICA Administrators with Reduced Privileges • 91 ICA Advanced Options • 90 ICA Clients • 86 ICA Configuration • 91 Identity Awareness • 18 Important Information • 3 Initializing Multiple Certificates Simultaneously • 95 Initializing the Trust Establishment Process • 19 Initiating a Certificate • 94 Initiating a Search • 93 Installation Targets • 69 Installing the User Database • 73 Integrating SmartMap and the Rule Base • 82 Interoperable Device • 123 Intersecting Queries • 67 Introduction • 9 Introduction to Objects • 121

Introduction to the ICA • 86 Invoking the ICA Management Tool • 92 L Launching SmartMap • 77 LDAP and User Directory • 22 Licensing a Dynamic Security Management • 120 Limitations for a Dynamic Security Management • 120 Limiting Access to Specific IP Addresses • 102 ListOfAttrsToAvoid • 45 Locations • 55 Log In Warning • 59 Logging In • 12 Logical Servers • 126 M Magnifying and Diminishing the SmartMap View

• 77 mail • 34 Management High Availability • 104 Management High Availability Configuration • 109 Management High Availability Considerations • 108 Management High Availability Deployment • 105 Management of Gateway VPN Certificates • 92 Management of SIC Certificates • 91 Management of User Certificates via SmartDashboard • 92 Management Portal • 101 Management Portal Commands • 102 Management Portal Configuration • 102 Management Software Blades • 10 Managing Permissions Profiles • 62 Managing Policy Versions • 73 Managing User and Administrator Expiration • 59 Managing User Groups • 55 Managing Users and Administrators Internally • 51 Managing Users on a User Directory Server • 27 Manual versus Automatic Version Creation • 75 member • 34 memberof template • 39 Microsoft Active Directory • 29 Modifying the ICA Key • 90 Modifying the Key Size • 89 Modifying User Directory Profiles • 40 Monitoring SNMP Thresholds • 118 N Netscape LDAP Schema • 31 Network Objects • 121, 122 Network Topology • 16 Networks • 123 Nodes • 123 Notifying Users about Certificate Initialization • 90

O Objects List • 18 Objects Tree • 14 OID Proprietary Attributes • 32 Open Security Extension (OSE) Devices • 124 Optimally arranging SmartMap (Global Arrange) • 78 Optimally arranging SmartMap (Incremental Arrange) • 78 OrganizationObjectClass • 45, 49 OrganizationRDN • 48 OrgUnitObjectClass • 46, 49 OrgUnitRDN • 48 OSE Device Properties Window — General Tab • 125 OSE Device Properties Window — Topology Tab • 125 Overview of Management Portal • 101 Overview of SmartMap • 76 Overview to OSE Devices • 124 P Pasting Network Objects in the Rule Base • 82 Performing Multiple Simultaneous Operations • 91 PhoneNumberAttr • 44 Policy Management • 64 Policy Management Considerations • 65 Policy Management Overview • 65 Policy Packages • 68 Print SmartMap • 85 Profile Attributes • 42 PsswdDateAttr • 43 PsswdDateFormat • 43 Q Querying Multiple LDAP Servers • 29 Querying Network Objects • 71 Querying Objects • 68 Querying Rules • 70 R Refreshing the Synchronization Status of the SMS • 109 Remote versus Local Installation of the Secondary SMS • 108 Remove Network Objects • 78 Removing & Revoking Certificates and Sending Email Notifications • 94 Removing the Connection between a Containing and a Contained network • 80 Renaming Topology folders • 81 Requirements • 119 Resetting the Trust State • 20 Retrieving Information from a User Directory Server • 28 Retrieving the ICA Certificate • 91 Revert to a Previous Version • 74 Rule Base • 18 Rules that require special attention • 83 S Schema Checking • 32

Scrolling • 77 Search Attributes • 93 Search for a Certificate • 93 Secondary Management Creation and Synchronization - the First Time • 109 Secure Internal Communication (SIC) • 19 Security Gateways • 122 Security Management Overview • 9 Security Management Servers on DHCP Interfaces • 119 Select an area in SmartMap (Select Mode) • 79 Selecting a Permissions Profile • 57 Selecting the Synchronization Method • 109 Setting High Availability Priority • 27 Setting the Expiration Date • 54, 57 Setting the Layers for SmartMap • 79 Setting User-to-Group Membership Mode • 41 Showing a rule in SmartMap • 82 SIC Certificate Management • 88 SmartDashboard • 52 SmartDashboard Access Modes • 12 SmartDashboard Toolbar • 13 SmartMap • 19, 76 SmartWorkflow • 18 SNMP Monitoring Thresholds • 114 SNMP Traps • 113 Sorting Objects in the Objects List Pane • 68 Sorting the Objects Tree and the Objects List Pane • 71 Special Consideration for the Unix SNMP Daemon • 113 Submitting a Certificate Request to the CA Using the ICA Management Tool • 94 Synchronization Diagnostics • 108 Synchronization Modes • 106 Synchronization Status • 106 T TemplateMembership • 47 TemplateMembershipAttr • 47 TemplateObjectClass • 43 Testing the SIC Status • 20 The Check Point Schema • 32 The Check Point Solution for LDAP Servers • 22 The Check Point Solution for SNMP • 111 The ICA Management Tool • 90 The ICA Management Tool GUI • 90 The ICA Solution • 86 The Internal Certificate Authority • 86 The Internal Certificate Authority (ICA) • 19 The Management High Availability Environment • 105 The Management High Availability Solution • 104 The Need for an Effective Policy Management Tool • 64 The Need for Management High Availability • 104 The Need for the ICA • 86 The Need to Support SNMP Management Tools • 111 The Objects Creation Workflow • 121 The Search Results • 93

The SmartDashboard User Interface • 13 The SmartMap Solution • 76 The User Directory Schema • 32 To automatically zoom into a particular area of SmartMap: • 77 To calculate topology for a selected object • 84 To Install a Policy Package • 72 To select the level of magnification • 77 To Uninstall a Policy Package • 72 Toggle SmartMap • 76 Tracking Management High Availability Throughout the System • 110 Troubleshooting duplicated networks • 84 Troubleshooting SIC • 20 Troubleshooting Tools • 103 Troubleshooting unresolved object interfaces • 84 Troubleshooting with SmartMap • 83 Types of Alerts • 115 Typical Object Configuration • 15 U uid • 33 Understanding the Rule Color Legend • 83 Understanding the SNMP MIB • 111 Updating the Registry Settings • 30 User Certificate Management • 88 User Directory Considerations • 22 User Directory Deployment • 23 User Directory Groups • 27 User Directory Profiles • 40 User Directory Schema Attributes • 33 User Templates • 52 UserLoginAttr • 42 UserMembershipAttr • 47 UserObjectClass • 46, 50 UserOCOperator • 46 userPassword • 34 UserPasswordAttr • 43 UserRDN • 48 Users Database • 52 UserTemplateMembershipAttr • 48 Using a Dynamic IP Address • 119 Using a Simple Non-LDAP Query • 96 Using an LDAP Query • 95 Using SmartDashboard • 13 Using the Expired Accounts Window • 59 Using the Management Portal • 103 Using User Directory Queries • 28 UTM-1 Edge Gateway • 122 V Version Configuration • 74 Version Diagnostics • 75 View a Version • 74 Viewing a Network Object selected in the Rule Base in SmartMap • 82 Viewing and Managing Objects • 121 Viewing and Saving Certificate Details • 93 Viewing Gateway Clusters • 82 Viewing Network Objects selected in SmartMap in the Rule Base • 82 Viewing the Content of • 81 Viewing the Settings of an Implied network • 80

VoIP Domains • 127 W What Data is Backed Up by the Standby Security Management servers? • 106 What is SmartMap Helper? • 84 What objects can be defined as protected objects? • 84 When Synchronization Fails • 108 Working with Expiration Warnings • 59 Working with Folders in SmartMap • 81 Working with Network Objects and Groups in SmartMap • 78 Working with Permissions Profiles • 61 Working with Policies • 71 Working with SmartMap • 76 Working with SmartMap Objects • 79 Working with SmartMap Output • 84 Working with SNMP Management Tools • 111

Security Management Serverrrc.ru/uploads/20180627/CP_R75.40VS_Security_Management_Admi… ·...

Documents

Transcript of Security Management Serverrrc.ru/uploads/20180627/CP_R75.40VS_Security_Management_Admi… ·...