Solution de sécurité de pare-feu Check Point

Aperçu des fonctionnalités du pare-feu

Les pare-feu contrôlent le trafic entre les réseaux internes et externes et sont au cœur d’une politique de sécurité réseau solide. Les lames logicielles Check Point sont un ensemble de fonctionnalités de sécurité qui garantissent que la Passerelle de sécurité ou le serveur de gestion de la sécurité offre les fonctionnalités et les performances correctes. Le pare-feu Check Point fait partie de l’architecture de lame logicielle qui fournit des fonctionnalités de pare-feu  » de nouvelle génération « , notamment:

  • Connectivité VPN et périphérique mobile
  • Identité et connaissance de l’ordinateur
  • Accès et filtrage Internet
  • Contrôle des applications
  • Prévention des intrusions et des menaces
  • Prévention des pertes de données

Composants de la solution Check Point

Item

Description

Internet et réseaux externes

Security Gateway

SmartDashboard

Security Management Server

Internal network

These are the primary components of a Check Point solution:

  • Passerelle de sécurité – Le moteur qui applique la politique de sécurité de l’organisation, est un point d’entrée vers le réseau local et est géré par le serveur de gestion de la sécurité.
  • Serveur de gestion de la sécurité – L’application qui gère, stocke et distribue la stratégie de sécurité aux passerelles de sécurité.
  • SmartDashboard – Un client de point de contrôle utilisé pour créer et gérer la stratégie de sécurité.

Configuration réseau à double pile (IPv4 et IPv6)

Vous pouvez facilement configurer le pare-feu pour qu’il prenne en charge un réseau à double pile qui utilise des adresses IPv4 et IPv6. Configurez une ou plusieurs interfaces avec les adresses IPv4 et IPv6 applicables.

Item

Description

IPv4 network traffic

IPv6 network traffic

Security Gateway for dual stack network

Internal network (IPv6 traffic)

Dual stack web server in the DMZ

Security Gateway for IPv4 network

Security Gateway for IPv6 network

Mobile device (IPv4 traffic)

Mobile devices (IPv6 traffic)

Note – For R76 Security Gateways and higher, you can configure the interfaces to use only IPv6 addresses.

Contrôle d’accès et Base de règles

Un objectif principal d’un pare-feu est de contrôler l’accès et le trafic vers et depuis les réseaux internes et externes. Le pare-feu permet aux administrateurs système de contrôler en toute sécurité l’accès aux ordinateurs, aux clients, aux serveurs et aux applications. La base de règles de pare-feu définit la qualité du contrôle d’accès et des performances du réseau. Les règles qui sont conçues correctement garantissent qu’un réseau:

  • Permet uniquement les connexions autorisées et empêche les vulnérabilités dans un réseau
  • Donne aux utilisateurs autorisés l’accès aux réseaux internes corrects
  • Optimise les performances du réseau et inspecte efficacement les connexions

Licences

Certaines fonctionnalités LTE nécessitent des licences spéciales installées sur les passerelles de sécurité. Le serveur de gestion ne nécessite pas de licences spéciales.

  • Les fonctionnalités GTP nécessitent une licence d’opérateur, ou la licence GX/GTP antérieure.
  • CGNAT nécessite la licence du transporteur.
  • L’inspection du SCTP et du diamètre nécessite la licence du transporteur.

S’il n’y a pas de licence d’opérateur sur la passerelle de sécurité, vous ne pouvez pas installer une stratégie comportant les règles suivantes :

  • Règles CGNAT
  • Règles avec les services SCTP ou Diameter
  • Règles avec Service=Any et la correspondance pour n’importe quel attribut est activée pour un service SCTP.

Notes

  • Les services définis dans Services >Autres ne nécessitent pas de licence d’opérateur.
  • Les connexions SCTP correspondant à d’autres services ne sont pas inspectées.

Comment utiliser ce Guide

Lorsque vous configurez un Pare-feu, il est nécessaire que vous compreniez comment il est connecté aux autres Lames logicielles. Par exemple, vous devez ajouter une règle pour que le pare-feu autorise les utilisateurs distants à se connecter au réseau interne. En outre, vous pouvez activer les lames logicielles pour fournir une protection avancée pour le réseau, telles que les IPS et les Anti-Bots.

Certaines sections de ce guide vous expliquent comment activer un exemple de configuration d’une lame logicielle. Assurez-vous de lire le Guide d’administration applicable à la lame logicielle avant de configurer la fonctionnalité pour un environnement de production. Chaque section explique également les règles que vous devez ajouter à la base de règles de pare-feu pour terminer la configuration de cette fonctionnalité.

Software Blades in this Guide

Software

Blade

Chapter

Firewall

Creating a Strong Firewall Security Policy

Configuring the NAT Policy

Mobile Access

Remote Access to the Network

IPsec VPN

Creating VPN Policies

Identity Awareness

Adding Users to the Security Policy

URL Filtering

Defining an Internet Access Policy

Application Control

IPS

IPS

Defending against Network Intrusions

Anti-Bot

Anti-Virus

Threat Prevention Policies

Anti-Spam

Data Loss Prevention

Securing Data

Advanced Networking & Clustering

Maximizing Network Performance

SmartEvent

Monitoring and Logging

SmartLog

Barre d’outils SmartDashboard

Vous pouvez utiliser la barre d’outils SmartDashboard pour effectuer ces actions :

Icône

Description

Ouvrez le menu SmartDashboard. Lorsque vous êtes invité à sélectionner les options du menu, cliquez sur ce bouton pour afficher le menu.

Par exemple, si vous devez sélectionner Gérer >Utilisateurs et Administrateurs, cliquez sur ce bouton pour ouvrir le menu Gérer, puis sélectionnez l’option Utilisateurs et administrateurs.

Enregistrez la stratégie actuelle et tous les objets système.

Ouvrez un package de stratégies, qui est un ensemble de stratégies enregistrées avec le même nom.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsole.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.