Внедрение решения по межсетевому экранированию сегментов корпоративной сети с применением защиты от современных угроз механизмами CheckPoint NGFW и Checkpoint Sandblast , а именно:
-
Межсетевое экранирование (FW);
-
Контроль приложений (APCL);
-
Контроль передачи файлов (Content Awareness);
-
Сетевой антивирус (AV);
-
Обнаружение и предотвращение вторжений (IPS);
-
Фильтрация URL-адресов (URLF);
-
Расшифровывание HTTPS трафика (HTTPS Inspection);
-
Обнаружение и предотвращение сетевых аномалий и вредоносного трафика (Anti-bot);
-
Детектирование и блокировка целенаправленных атак (APT) и угроз нулевого дня (0-day).
Внедрение комплекса выполнялось в 3 этапа:
1 этап – подготовительная (начальная) настройка оборудования – апгрейд ОС, установка актуальных патчей, хотфиксов, обновлений;
2 этап – исследование топологии заказчика с целью определения расположения межсетевого экрана, режима работы кластерного узла и остальных компонентов системы.
3 этап – установка и продуктивная настройка программно-аппаратных комплексов системы CheckPoint NGFW и Sandblast.
NGFW шлюз – кластерный узел, работающий в режиме High Availability, с управляющим контуром Security Management Server и «песочницей» (Sandblast), представляют собой 4 программно-аппаратных комплекса (аплаенса / appliance), образующих единый контур фильтрации и анализа траффика посредством преднастроенных политик безопасности.
Принципиальная схема работы системы:
Шлюз Check Point NGFW установлен «в разрыв» в выбранном ЛВС, таким образом пользователи и компьютеры обращаются к сети Интернет через Шлюз NGFW. Защитные модули (блейды) активированы и настроены в соответствии с требованиями заказчика, политики и правила фильтрации прописываются администраторами безопасности заказчика на основе внутренних политик ИБ.
Check Point SandBlast («песочника») позволяет защитить организацию от угроз «нулевого дня» в режиме Prevention. Решение устойчиво к способам обхода детектирования, используемым злоумышленниками, что подтверждается высочайшим уровнем обнаружения. При этом SandBlast не тормозит бизнес-процессы и мгновенно доставляет безопасное содержимое.
В основе лежит целый ряд сложных технологий анализа и обработки трафика, в том числе Threat Emulation и Threat Extraction, которые поднимают защиту на новый уровень.
Threat Emulation — эмуляция всех подозрительных файлов с возможностью блокировки доступа к ним до окончания проверки. Используя машинное обучение, многостадийный анализ и исследование поведения, SandBlast обеспечивает не только высочайший уровень обнаружения, но и быструю эмуляцию и непревзойденную производительность. Вердикт выносится не более чем через 4 минуты.
Threat Extraction позволяет мгновенно предоставить пользователю безопасную копию подозрительного документа, пока производится анализ и эмуляция. Оригинал будет автоматически доступен пользователю в случае признания его безопасным.
Преимущества для клиента:
-
Контроль приложений, предотвращение вторжений, контентная и антивирусная фильтрация;
-
Защита опубликованных ресурсов, веб и почтовых серверов;
-
Сбалансированная конфигурация и производительность;
-
Отчетность по посещенным веб-ресурсам;
-
Распознавание и использование учетных записей пользователей и групп.
Сервер Check Point 5400 NGTX (CPU Intel Haswell Pentium G3420 3M Cache, 3.20 GHz, RAM 8Gb, HDD 500Gb, 8 x 1GbE) с программным обеспечением "GAiA"
Security Management Server Сервер Check Point Smart-1 (CPU Intel Xeon i5-4590S 3.00GHz, RAM 32Gb, HDD 2048Gb, 4 x 1GbE) с программным обеспечением "GAiA",
Sandblast Сервер Check Point SandBlast (CPU Intel Xeon E5-2640 v3 2.60 GHz, RAM 48Gb, HDD 2 по 2048Gb, 4 x 1GbE, 2 x 10GBase-F) с программным обеспечением "GAiA"
