Geekly articles weekly

检查点Gaia R80.40。 有什么新东西?



即将发布Gaia R80.40操作系统的下一个版本。 几周前,启动了Early Access程序 ,根据该程序 ,您可以访问以测试发行版。 与往常一样,我们发布有关新功能的信息,并突出显示从我们的角度来看最有趣的观点。 展望未来,我可以说创新非常重要。 因此,值得为早期更新程序做准备。 我们之前曾发表过有关如何执行此操作的文章 (有关更多信息,请单击此处 )。 让我们继续这个话题...

最新消息


考虑此处正式宣布的创新。 信息取自Check Mates网站(官方Check Point社区)。 在您允许的情况下,由于观众允许,因此我不会翻译此文本。 相反,我将在下一章中发表评论。

1.物联网安全。 与物联网有关的新功能
  • 从经过认证的IoT发现引擎(当前支持Medigate,Cyber​​MDX,Cynerio,Claroty,Indegy,SAM和Armis)收集IoT设备和流量属性。
  • 在策略管理中配置新的IoT专用策略层。
  • 配置和管理基于IoT设备属性的安全规则。


2. TLS检查
HTTP / 2:

  • HTTP / 2是对HTTP协议的更新。 此更新改进了速度,效率和安全性,并带来了更好的用户体验。
  • Check Point的安全网关现在支持HTTP / 2,并通过所有Threat Prevention和Access Control刀片以及针对HTTP / 2协议的新保护,在获得全面安全性的同时提高了速度和效率,并带来了好处。
  • 支持清除和SSL加密流量,并与HTTPS / TLS完全集成
  • 检验能力。

TLS检查层 。 关于HTTPS检查的创新:

  • SmartConsole中专门用于TLS检查的新策略层。
  • 可以在不同的策略包中使用不同的TLS检查层。
  • 跨多个策略包共享TLS检查层。
  • TLS操作的API。


3.威胁预防
  • 全面提高威胁防御流程和更新的效率。
  • 自动更新威胁提取引擎。
  • 现在,可以在威胁防护和TLS检查策略中使用动态,域和可更新对象。 可更新对象是代表外部服务或IP地址的已知动态列表的网络对象,例如-Office365 / Google / Azure / AWS IP地址和Geo对象。
  • 防病毒现在使用SHA-1和SHA-256威胁指示根据其哈希值来阻止文件。 从SmartConsole威胁指示器视图或“定制智能源” CLI导入新指示器。
  • 现在,防病毒和SandBlast威胁仿真支持通过POP3协议检查电子邮件流量,并改进了通过IMAP协议检查电子邮件流量。
  • 防病毒和SandBlast威胁仿真现在使用新引入的SSH检查功能来检查通过SCP和SFTP协议传输的文件。
  • 现在,防病毒和SandBlast威胁仿真为SMBv3检查(3.0、3.0.2、3.1.1)提供了改进的支持,其中包括对多通道连接的检查。 Check Point现在是唯一支持检查通过多个通道进行文件传输的供应商(该功能在所有Windows环境中都是默认启用的)。 这使客户在使用此性能增强功能时可以保持安全。


4.身份意识
  • 支持与SAML 2.0和第三方身份提供商的Captive Portal集成。
  • 支持Identity Broker,以在PDP之间进行身份信息的可伸缩性和细粒度共享以及跨域共享。
  • 增强了终端服务器代理,以实现更好的扩展性和兼容性。


5. IPsec VPN
  • 在作为多个VPN社区成员的安全网关上配置不同的VPN加密域。 提供:
  • 改进的隐私-内部网络未在IKE协议协商中公开。
  • 改进的安全性和粒度-指定在指定的VPN社区中可访问哪些网络。
  • 改进的互操作性-简化的基于路由的VPN定义(在使用空的VPN加密域时建议使用)。
  • 在LSV配置文件的帮助下,创建大型VPN(LSV)环境并与之无缝协作。


6. URL过滤
  • 改进的可伸缩性和弹性。
  • 扩展的故障排除功能。


7. NAT
  • 增强的NAT端口分配机制-在具有6个或更多CoreXL Firewall实例的安全网关上,所有实例都使用相同的NAT端口池,从而优化了端口利用率和重用性。
  • 使用CPView和SNMP监视NAT端口利用率。


8. IP语音(VoIP)
多个CoreXL Firewall实例处理SIP协议以提高性能。

9.远程访问VPN
使用机器证书来区分公司资产和非公司资产,并设置一个仅使用公司资产的策略。 强制执行可以是登录前(仅设备身份验证)或登录后(设备和用户身份验证)。

10.移动访问门户代理
移动访问门户代理中增强的按需端点安全性,以支持所有主要的Web浏览器。 有关更多信息,请参见sk113410。

11. CoreXL和多队列
  • 支持自动分配CoreXL SND和防火墙实例,而无需重启安全网关。
  • 改进的即装即用体验-Security Gateway会根据当前流量负载自动更改CoreXL SND和防火墙实例的数量以及Multi-Queue配置。


12.聚类
  • 支持单播模式下的群集控制协议,从而无需CCP

广播或多播模式:
  • 现在默认情况下启用了群集控制协议加密。
  • 新的ClusterXL模式-Active / Active,它支持位于不同子网中且具有不同IP地址的不同地理位置的Cluster Member。
  • 支持运行不同软件版本的ClusterXL Cluster成员。
  • 当多个群集连接到同一子网时,无需进行MAC Magic配置。


13. VSX
  • 在Gaia Portal中使用CPUSE支持VSX升级。
  • 在VSLS中支持Active Up模式。
  • 支持每个虚拟系统的CPView统计报告


14.零接触
安装设备的简单即插即用设置过程-无需技术专家,并且必须连接到设备进行初始配置。

15. Gaia REST API
Gaia REST API提供了一种新的方式来读取信息并将信息发送到运行Gaia操作系统的服务器。 请参阅sk143612。

16.高级路由
  • OSPF和BGP的增强允许重置和重新启动每个CoreXL Firewall实例相邻的OSPF,而无需重新启动路由的守护程序。
  • 增强路由刷新以改善对BGP路由不一致的处理。


17.新的内核功能
  • 升级的Linux内核
  • 新分区系统(gpt):
  • 支持超过2TB的物理/逻辑驱动器
  • 更快的文件系统(xfs)
  • 支持更大的系统存储(已测试高达48TB)
  • I / O相关的性能改进
  • 多队列:
  • 全面的Gaia Clish对多队列命令的支持
  • 自动“默认打开”配置
  • 移动访问刀片中的SMB v2 / 3安装支持
  • 添加了NFSv4(客户端)支持(使用的默认NFS版本为NFS v4.2)
  • 支持用于调试,监视和配置系统的新系统工具


18. CloudGuard控制器
  • 与外部数据中心的连接的性能增强。
  • 与VMware NSX-T集成。
  • 支持其他API命令来创建和编辑数据中心服务器对象。


19.多域服务器
  • 备份并还原多域服务器上的单个域管理服务器。
  • 将一台多域服务器上的域管理服务器迁移到另一台多域安全管理。
  • 迁移安全管理服务器,使其成为多域服务器上的域管理服务器。
  • 将域管理服务器迁移为安全管理服务器。
  • 将多域服务器或安全管理服务器上的域还原到以前的版本以进行进一步的编辑。


20. SmartTasks和API
  • 使用自动生成的API密钥的新管理API身份验证方法。
  • 新的Management API命令可创建群集对象。
  • 从SmartConsole集中部署Jumbo Hotfix Accumulator和Hotfix,或者使用API​​允许并行安装或升级多个安全网关和群集。
  • SmartTasks-配置由管理员任务触发的自动脚本或HTTPS请求,例如发布会话或安装策略。


21.部署
从SmartConsole集中部署Jumbo Hotfix Accumulator和Hotfix,或者使用API​​允许并行安装或升级多个安全网关和群集。

22. SmartEvent
与其他管理员共享SmartView视图和报告。

23.日志导出器
导出根据字段值过滤的日志。

24.端点安全
  • 支持BitLocker加密以进行全盘加密。
  • 支持Endpoint Security客户端的外部证书颁发机构证书
  • 身份验证以及与Endpoint Security管理服务器的通信。
  • 支持根据所选的Endpoint Security Client软件包的动态大小
  • 部署功能。
  • 策略现在可以控制向最终用户的通知级别。
  • 端点策略管理中对持久VDI环境的支持。


我们最喜欢的(根据客户任务)


如您所见,有很多创新。 但是对于我们来说,作为系统集成商 ,有一些非常有趣的观点(我们的客户也很感兴趣)。 我们的前10名:

  1. 终于有了对物联网设备的全面支持。 遇到没有这种设备的公司已经很困难了。
  2. TLS检查现在位于单独的层(层)中。 它比现在(80.30)更方便。 您不再需要运行旧的Legasy仪表板。 另外,现在在HTTPS检查策略中,您可以使用可更新对象,例如Office365,Google,Azure,AWS等。 当您需要配置异常时,这非常方便。 但是,仍然不支持tls 1.3。 显然,以下修补程序会“赶上”。
  3. Anti-Virus和SandBlast的重大更改。 现在,您可以检查SCP,SFTP和SMBv3等协议(顺便说一句,没有人可以再检查此多通道协议)。
  4. 与站点到站点VPN相关的许多改进。 现在,您可以在网关上配置多个VPN域,该域由多个VPN社区组成。 这是非常方便且安全得多。 此外,Check Point最终还记住了基于路由的VPN,并稍微提高了其稳定性/兼容性。
  5. 对于远程用户来说,一个非常流行的功能已经出现。 现在,您不仅可以验证用户,还可以验证用户连接的设备。 例如,我们只允许来自公司设备的VPN连接。 当然,这是在证书的帮助下完成的。 使用VPN客户端自动为远程用户安装(SMB v2 / 3)文件球也是可能的。
  6. 集群的运行发生了很多变化。 但是,最有趣的功能之一可能是操作集群的能力,其中网关具有不同版本的Gaia。 这对于计划的升级很方便。
  7. 零接触的改进功能。 对于那些经常安装“小型”网关(例如,用于ATM的网关)的用户而言,这是一件有用的事情。
  8. 对于日志,现在最多支持48TB的存储。
  9. 您可以与其他管理员“混淆”您的SmartEvent仪表板。
  10. Log Exporter现在允许您按字段预过滤已发送的消息。 即 仅将必要的日志和事件传递到您的SIEM系统

更新资料


也许许多人已经在考虑更新。 不要着急。 要开始使用,版本80.40应该转到常规可用性。 但是即使如此,也不值得立即进行更新。 最好至少等待第一个修补程序。
也许许多“坐在”旧版本上。 我可以说,至少有可能(甚至有必要)升级到80.30。 这是一个稳定可靠的系统!

您还可以订阅我们的公众( TelegramFacebookVKTS解决方案博客 ),在这里您可以监视Check Point和其他安全产品上新材料的出现。

Source: https://habr.com/ru/post/zh-CN467723/

More articles:


All Articles