Интересная инфа о Sofaware устройствах
23 Jul 2010 | Автор: dd |Скинули факу по устройствам Sofaware Edge и Safe@Office, и там я обнаружил несколько интересных моментов, на которые обратил внимание:
Варианты прошивок для устройств Sofaware:
n8.1.37n.img новая прошива для устройств нового поколения N-серии которое выгружается через GUI
x8.1.37x.img прошивка для устройств предыдущего поколения X-серии которое выгружается через GUI
8.1.37x.tftp прошивка для устройств предыдущего поколения X-серии которое выгружается через TFTP
Существуют ли какие нибудь специфические версии прошивок?
Версия 7.5.55_w6x.img имеет функционал WLAN-Client. Этот функционал будет введен в прошивке версии 9.
SofaWare предлагает специфическую прошивку по запросу, если клиенту требуется поддержка BGP
Имеются ли различия в прошивках с DSL-модемами
Да имеется отдельные прошики для версии аннеск А и аннекс В. Также существуют две версии прошивки SW2.0.*_pri.firm (primary) и SW2.0.*_sec.firm (secondary) которые идут в комплекте поставки. Первичное используется для загрузки устройство, а вторая создается при резервировании устройства и к нему откатываются в случае возврата к фабричным настройкам.
При использовании ADSL моделей необходимо сделать следующую процедуру, чтобы предотвратить попытку восстановления DSL сессии, которая происходит по умолчанию каждые 1 час 14 минут:
Идем по адресу нашего шлюза https://my.firewall.
Далее идем по адресу Setup -> Tools -> кнопочка Command
В появившемся интерфейсе набираем set port adsl auto-sra mode disable
Нажимаем Go
При управлении устройствами Edges из SmartCenter настоятельно не рекомендуется инсталить политики более чем на 10 устройств одновременно
Когда мигает индикатор PWR/SEC LED красным цветом, это означает что фаервол заблокировал какое либо соединение
Там же указано, что Sofaware действительно признает тот факт, что для управление устройством следует производить через IE, ибо Safari и Mozilla имеют проблемы работоспособности.
Существуют не явные страницы для диагностики устройства:
http://my.firewall/pop/Diagnostics.html
http://my.firewall/vpntopob.html для старых версий (7.0.x и ниже) использовать http://my.firewall/vpntopo.html
https://my.firewall/dnstopo.html доступно для новых версий прошивок (с версии 7.5+)
http://my.firewall/Log.html
http://my.firewall/Ports.html
http://my.firewall/pub/test.html – не документированная страница на которой доступна служебная и лицензионная информация
SmartDefense как и следовало ожидать, отключить невозможно. Единственно что можно- минимизировать его работу путем выставления параметров его работы в None. В случае центрального управления можно выставить настройку не распространять политику SmartDefense на этот шлюз. Для этого в объекте Edge необходимо пройти SmartDefense > Profile Assignment и включить галку Do not apply SmartDefense on this gateway
Существует специализированная дебажная прошивка, которая дает более богатый функционал логирования, путем запуска команды debug. Также можно запустить с SmartCenter сервера, отредактировав файл SofawareLoader.ini , для чего найти строку DebugLevel в секции [LOG] и выставить её в параметр Debug или Info. Для того чтобы запустить SofaWareLoader ручками необходимо в командной строке ввести fwm load -S -M -l41 policy_name.W <Edge>
Если при попытке соединения Edge со SmartCenter вываливается сообщение “Connection Refused: This UTM-1 Edge is not registered to the Service Center.” то следует проверить версию устройства в свойствах объекта на менеджмент сервере, чтобы они соответствовали действительной.
После инсталляции политики на менеджмент сервере Edge подхватывает политику спустя какое время, из-за того что устройства опрашивают менеджмент сервер на предмет обновленной политики, каждые 20 минут.
Полная версия в которой много информации по кластеризации устройств и использовании центрального менеджмента, можно найти по адресу:
http://www.cpug.org/forums/check-point-utm-1-edge-appliances/6341-utm-1-edges-faq.html
Теги: Checkpoint, IT безопасность, sofaware
