設定安全性原則

本節介紹如何在小規模部署中使用安全政策關閉 一群組規則集合,可控制網路流量並強制執行資料保護的組織準則,以及透過封包檢查來存取資源。

創建安全政策

R80.20 及更高版本支援政策的order layer和inline layer,政策是閘道對傳入和傳出流量強制執行的一群組關閉 具有共用屬性的物件集合,例如使用者帳號。規則關閉 規則庫中的一群組流量參數和其他條件,可導致針對通訊工作階段採取指定的動作。。您可以構建包含層的規則庫關閉 在給定的安全政策中設定的所有規則。Synonym:規則庫。,每個層都有自己的一群組安全規則。層按定義順序進行檢查,從而可以控制規則庫流和安全功能的優先順序。如果在層中執行“接受”操作,則檢查將在下一層中繼續。

子政策是附加到特定規則的規則集。如果規則匹配,則在附加到規則的子政策中繼續檢查。如果規則不匹配,則跳過子政策。例如,子政策可以管理網段或分支機構。

政策層和子政策可由特定管理者根據其許可權設定檔進行管理。

使用安全區域網路物件

安全區域網路物件關閉 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。是表示指定介面後面的網路的邏輯物件。例如, InternalZone 物件表示所有內部閘道介面後面的內部網路IP位址。

您可以使用安全區域網路物件創建通用安全政策,並減少規則庫中所需的規則數量。此安全政策可套用於多個Check Point閘道。安全區域網路的解析由SmartConsole關閉 Check Point GUI 應用程式用於管理 Check Point 環境 - 設定安全政策、設定設備、監控產品和事件、安裝更新等。中Check Point設備閘道物件上的實際關聯完成。

工作流程

  1. 將安全區域網路物件與閘道物件中的介面關聯。

  2. 在規則中使用安全區域網路物件。

  3. 安裝政策。

要將安全區域網路物件與閘道物件中的介面關聯,請執行以下操作:

  1. 在左側導覽面板中,點擊「閘道與伺服器」。

  2. 點擊Check Point設備閘道物件。

  3. 拓撲中,選擇適用的介面,然後按下編輯

  4. 在「安全區域網路」 欄位中,選擇一個預定義的安全區域網路

  5. 可選 - 如果要創建新的安全區域網路,請按下新增,輸入詳細資訊,然後按下確定

  6. 點擊確定 以關閉介面 屬性 視窗。

  7. 點擊確定 以關閉物件視窗。

要使用安全區域網路建立規則,請執行以下操作:

將安全區域網路物件關聯到閘道上的適用介面後,可以在規則中使用它。若要創建具有安全區域網路的規則,只需將安全區域網路物件新增到“來源”或“目標”單元格。

例如,要創建允許內部使用者存取任何外部網路的規則,請使用以下欄位建立規則:

政策欄位

來來源

內部專區

目的地

外部區域網路

行動

接受

安裝在

其中之一:

  1. 在左側導航面板中,點擊安全 政策

  2. 在頂部,點擊訪問控制 > 政策

  3. 使用「新增規則」按鈕在規則庫中定位規則。

  4. 點擊新規則的「名稱」列,然後輸入適用的文字。

  5. 在新規則的「來源」列中,按下+圖示,然後從清單中選擇「內部區域網路 」。

  6. 在新規則的「目標」列中,點擊+圖示,然後從清單中選擇「外部區域網路」。

  7. 在新規則的「操作」列中,選擇「接受」。

  8. 在新規則的「 安裝」 列中,按下 + 圖示並選擇適用的物件。

  9. 發佈SmartConsole工作階段.

使用可更新物件

可更新物件關閉 代表外部服務的網路物件,例如微軟 365、AWS、地理位置等。是代表外部服務的網路物件,例如 Office 365、AWS、地理位置等。您可以從可更新物件列表中進行選擇。類別取決於在線服務更新。

外部服務提供商發布 IP 地址或網域或兩者的列表以允許訪關閉 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。他們的服務。這些列表是動態更新的。可更新物件從這些已發布的提供商列表中獲取內容,Check Point 將其上傳到 Check Point 雲端。每次提供商更改列表時,可更新物件都會在安全閘道關閉 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。上自動更新。無需安裝政策即可使更新生效。

有關詳細訊息,請參閱 Quantum Security Management Administration Guide 對於你的版本 > 章節 Managing Objects> 部分 Network Object Types> 部分 Updatable Objects.

筆記:

  • 在線服務 - Office 365、AWS、Azure、Google等。

  • GEO 位置 - GEO 資料庫提供位置數據到 IP 地址的對應。對於每個位置,都有一個網路物件可以導入到 SmartConsole。您可以根據 IP 地址阻止或允許對特定位置的訪問。

  • 對於每個國家/地區,Check Point 提供一個可以導入到 SmartConsole 的網路物件。

  • 每個國家/地區物件根據外部服務 (MaxMind) 資料庫匹配一個 IP 地址列表。

  • 每次 MaxMind 資料庫更新時,這些物件都會在閘道上自動更新(無需安裝政策)。

  • 當來源或目標 IP 地址與可更新物件匹配時,將根據政策選擇操作。

已知限制:

安裝安全性原則

使用此程序來準備閘道連線時自動安裝的原則。

-如果 Quantum Spark 設備已實際設定和設定,當您成功完成此步驟時,原則會推送至閘道。如需可能的狀態清單,請參閱檢視政策安裝狀態

在安裝政策過程結束時,尚未設定的Quantum Spark 設備的政策狀態為「等待首次連線」。這表示安全性管理伺服器與 Quantum Spark 設備之間尚未建立受信任的通訊。當閘道連線時,它會建立信任並嘗試自動安裝政策。

若要在SmartProvisioning GUI 中安裝安全性原則:

  1. 從功能表中點擊「政策>安裝」。

    [安裝原則] 視窗隨即開啟。

  2. 選取安裝目標-Quantum Spark 設備安全閘道,以便在其上安裝原則和原則元件 (例如網路安全性或 QoS)。

    依預設,所有由「Security Management Server關閉 執行 Check Point 軟體以管理單一管理網域內 Check Point 環境中的物件和原則的專用 Check Point 伺服器。Synonym:單網域Security Management Server。」管理的閘道都可供選取。

  3. 在「安裝模式」段落中,選取安全性原則的安裝方式:

    • 在每個選定的閘道上單獨使用 - 對於處於「管理第一」部署模式的設備,僅應使用此選項。

    • 在所有選定的閘道上,如果失敗,請不要在相同版本的閘道上安裝

  4. 點擊確定.

    重要事項 - 如果設備定義的 Quantum Spark 設備物件未設定,並且處於 「等待首次連線」狀態, ,則會看到以下訊息:安裝已成功完成。這表示原則已成功準備好進行安裝。

使用「政策安裝」和狀態列繼續追蹤安全性原則安裝的狀態。

檢視政策安裝狀態

您可以透過 SmartConsole 視窗底部顯示的狀態列,查看受管理閘道的安裝狀態。狀態列會顯示處於「置中」或「失敗」模式的閘道數目。

  • 擱置中-正在等待第一個連線狀態或處於擱置中狀態的閘道 (請參閱下方的詳細說明)。

  • 失敗-無法安裝政策的閘道。

每次閘道嘗試安裝政策或嘗試連線到 Security Management Server 時,狀態列都會動態更新。發生此類事件時,這些動作的結果也會顯示在 SmartConsole 快顯通知訊息球中。您可以設定這些通知。

要監控每個閘道上安裝的最後一個政策的狀態,可以使用“ 政策安裝狀態” 視窗。

該視窗有兩個部分。頂端區段顯示與已安裝政策相關的閘道清單和狀態詳細資訊。透過定義每個欄位的適用條件,您可以使用過濾欄位來僅查看感興趣的政策並隱藏其他詳細資訊。套用過濾條件之後,只會顯示符合所選條件的項目。如果系統記錄來自未知閘道的信任通訊 (SIC關閉 安全的內部通信。Check Point 專有機制,運行 Check Point 軟體的 Check Point 裝置通過 SSL 相互驗證,以實現安全通信。此身份驗證基於 Check Point 管理服務器上的 ICA 頒發的證書。) 嘗試,則過濾器欄位下方會開啟黃色狀態列。

底部區段顯示您在閘道清單中選取之資料列的詳細資料 (發生的錯誤、準備政策的日期、驗證警告)。如果狀態列顯示黃色,請點擊「顯示詳細資料」以顯示嘗試連線到 Security Management Server 之未知閘道的詳細資料。

表:政策安裝狀態

圖示

政策狀態

描述

成功

政策安裝成功。

成功

原則安裝成功,但有驗證警告。

正在等待第一個連線

設定了Quantum Spark 設備物件,但閘道未連線到Security Management Server(未建立初始信任)。

  • 如果已準備好政策,則在連線閘道時將其提取。

  • 如果政策是not prepared,則「政策類型」欄會顯示「未準備政策」。「 第一次連線閘道時,只會建立信任。

正在等待第一個連線

與上述相同,並帶有嘗試建立信任失敗的警告或存在驗證警告。

等待中

政策會保持擱置狀態,直到設備成功連線到 Security Management Server 並擷取政策為止。只有在至少有一個成功安裝政策時,才會顯示此狀態。 例如,當Security Management Server連線到閘道時發生問題(閘道無法接收通訊,如 NAT 後面所示)。

等待中

與上述相同,但存在驗證警告。

警告

警告

訊息

訊息

失敗

因為驗證錯誤而未安裝原則。

失敗

政策安裝失敗。

您可以透過以下方式存取「政策安裝狀態」 視窗:

  • 從功能表列-點擊「政策>策略安裝狀態」。

  • 從工具列 - 點擊 政策安裝狀態 圖示。

  • 從狀態列-點擊「失敗」或「擱置中」。“政策安裝狀態”視窗的內容將根據點擊的連結進行過濾。

  • 從通知球標-點擊訊息通知中的「查看詳細資料

在第三方 NAT 設備後面設定管理伺服器 IP 位址

使用 Management First 部署方案時,政策已準備好在設定時由設備獲取。

在每個設備的首次設定期間,將手動設定Security Management Server的可路由IP位址以創建第一個連線。

在設備和Security Management Server之間建立 SIC 時,將首次獲取政策。然後,自動機制會計算Security Management Server的可路由IP位址,以便進行定期政策獲取嘗試。但是,如果Security Management Server位於第三方 NAT 設備後面,則自動機制將失敗。

在這種情況下,您可以手動確定Security Management Server的可路由IP位址,而不僅僅是第一個連線。您可以請求設備始終嘗試使用手動設定的IP位址進行連線。您可以從「首次設定精靈 - Security Management Server連線」頁(選擇」始終使用此IP位址並輸入IP位址或「WebUI主頁 >安全管理」 頁進行設定。