Blog

Az R80(.10) újdonságai

Közel egy éve jelent meg a Check Point régóta várt R80 verziója. Elterjedésének némiképp gátat szabott, hogy az R80 verziót csak menedzsment szerverként lehetett telepíteni. A nemrégiben publikussá vált R80.10 EA (Early Availability, tulajdonképpen béta) verzióban viszont már lehetőség van a tűzfal modulok telepítésére is, ezért elérkezettnek láttuk az időt, hogy röviden, a teljesség igénye nélkül szemezgessünk az új verzió legfontosabb újdonságaiból.

Mi nem változott?

Az R75.40 verzióval bevezetett Gaia operációs rendszer az R77-es verziókra már stabil, kiforrott és általunk kedvelt rendszerré vált. Szerencsére a Check Point itt nem változtatott a jól bevált recepten. A clish változatlan formában van jelen (vagyis az eddigi script-ek ugyanúgy használhatók), mindössze a webes adminisztrációs felület kapott egy ráncfelvarrást, de az alapkoncepció nem változott: aki eligazodott az R7x verziók Gaia felületén, az itt sem lesz gondban.

A Gaia webes felülete

És mi változott?

Gyakorlatilag minden más. Teljesen új a rendszer a „motorháztető alatt”, a teljes konfigurációs adatbázis most már tényleg adatbázisban van, nem strukturált textfájlokban, és ez magával hozott néhány jelentős változást, amit felhasználóink már nagyon régóta igényeltek:

  • Több felhasználó dolgozhat egyszerre az adott szabályrendszeren, akár ugyanazon a soron is, mert az új architektúra lehetővé teszi az egyes mezők zárolását az egész szabályrendszer zárolása helyett. Természetesen a gyártó nagy gondot fordított az esetleges ütközések kezelésére is.
  • Egy véletlenül megszakadt kapcsolat (a SmartCenter és a gépünk között) miatt nem veszik el a munkánk, ugyanott folytathatjuk, ahol abbamaradt.
  • Az eddigi verziókhoz képest sokkal granulárisabb jogosultsági profilok lehetővé teszik, akár a szabály szintű jogosultságok kiosztását is.
  • Az eddigi verziókban is volt lehetőség a szabályrendszer script-ekkel megvalósított kezelésére, de ez semmiképpen sem volt felhasználóbarátnak nevezhető. Az R80-ban megjelent API-k és az eleve beépített parancssoros felület sokkal szorosabb integrációt biztosíthatnak más gyártók rendszereivel és jobb automatizálhatóságot biztosítanak. Természetesen ez a megoldás is ugyanazt a biztonságot nyújtja, mint a SmartConsole használata, pl. ugyanazok a jogosultsági profilok érvényesek itt is, stb.
  • Az eddigi GUI kliens gyűjtemény helyett mindössze egy GUI kliensünk van (kis csúszatással, mert egyes szoftver blade-ek management funkcióit nem integrálták az új kliensbe, ezért ilyenkor a régi kliens nyílik meg automatikusan)
  • Az új kliens nagyon jól átgondolt, és kézreálló felületet kapott, meggyőződésünk, hogy pár év múlva úgy fogunk gondolni az R7x kliensekre, mint most a 4.1, NG, R55 vagy R65 kliensekre.

Hogy ne csak beszéljünk róla, –így néz ki az új felület:

R80.10

  •  A SmartView Tracker-t nyugdíjazta a gyártó, helyette az R80-tól kezdve kötelezően a SmartLog-hoz hasonló megoldás használható, ami gyors, szabadszöveges keresést tesz lehetővé. Mivel az új architektúrának köszönhetően ennek sincs akadálya, lehetőség van például arra is, hogy a szabályrendszer alatt nézzük meg az egy adott szabályhoz tartozó logbejegyzéseket.
  • A szabályokhoz és az objektumokhoz is sokkal több adat rögzíthető, megjeleníthető, például címkék, a jegykezelő rendszerhez tartozó jegyszámok, stb.
  • Az objektumok és a szabályok sokkal jobb kereshetőek, végre jól működik a szabályrendszeren is a szöveges keresés!

Néhány egyéb újdonság

Csak címszavakban, a teljesség igénye nélkül:

  • megváltozott szabályrendszer architektúra: bevezetésre kerültek a szabályrendszer rétegek, és a az alszabályok.
  • Unified Security Policies: a szoftver blade-ekből két csoportot alkottak:
    • Az Access Control, vagyis a hozzáférések szabályozását biztosító szabályrendszer egyesíti a Firewall, az Application Control és URL Filtering, Content Awareness és Mobile Access szoftver blade-ek szabályrendszereit
    • Threat Prevention szabályrendszer pedig az IPS, az Anti-Virus, az Anti-Bot és a Threat Emulation blade-ek szabályrendszereit egyesíti
  • többmagos rendszereken jelentősen növekszik a VPN áteresztőképesség
  • NAT-T támogatás Site-to-Site VPN esetében is
  • Reverse Proxy funkcionalitás belső szerverek internet felőli eléréséhez
  • Identity Collector: új agent, ami AD-ból és ISE-ből is be tudja gyűjteni a felhasználó vagy a számítógép azonosítási adatait
  • A távoli kliensek típusa is kikényszeríthatő az access role-okban

Mibe kerül?

Licenszek szempontjából nincs változás. A fentebb említett példák csak egy igen kis szeletét tartalmazzák az összes újdonságnak. Sokévnyi tapasztalatból tudjuk: egy ilyen mélységű változás mindig problémákkal jár.

Ha másban nem is, de az új rendszerre való átszokásban mindenképp többletmunkát fog jelenteni, de újra kellhet írni jónéhány script-et, amik az évek során hozzánőttek a jelenlegi rendszerekhez. Mellesleg az általunk tesztelt upgrade-ek nem okoztak nagyobb problémát, mint egy R77.10 -> R77.30 váltás.

Az R80-nak némileg megnövekedett a gépigénye is. Természetesen az újabb sorozatú Check Point appliance-ek könnyedén megbirkóznak a feladattal, de a régebbi hardverek nagy része is támogatott.

Ugyanakkor gondoljunk csak bele! A jelenlegi váltás egy kb. 20 éves koncepció átalakítását jelenti, amelyben már jellemző volt, hogy az évek során megnövekedett, akár 3000+ sorból álló szabályrendszerek alá akármilyen hardvert is tettünk, az előbb-utóbb lassú lett. A jelenlegi rendszer megfelelő hardverrel nagy szabályrendszerek esetében is villámgyors, ami már rövidtávon számolva is komoly munkaóra megtakarítással járhat, amit tovább fokozhat az új verzió automatizálási képességeinek kihasználása.

Részletesebben érdekli melyek a Checpoint legújabb verziójának újdonságai?

S&T Magyarország S&T Magyarország • Cégünk, az S&T Consulting Hungary Kft. információ-tecnológiai tanácsadást, IT megoldások és szolgáltatások szállítását és integrációját, valamint testre szabott, egyedi fejlesztéseket kínál Önnek. Portfoliónk a vállalatirányítási és szoftver szolgáltatási megoldásoktól, az ipari termék-életciklus menedzsment rendszereken és az IT infrastruktúrán (hálózatépítés, szerver- és tároló rendszerek, virtualizáció) keresztül az IT biztonsági megoldásokig terjed.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.