Gaia - întrebări frecvente, firewall de nouă generație

Ce este Gaia?

Check Point GAiA TM este următoarea generație de sistem de operare securizat pentru soluțiile Check Point (Appliances, Servers Open, Virtualized Gateways). GAiA combină cele mai bune funcționalități ale sistemelor de operare IPSO și SecurePlatform (SPLAT) într-un singur sistem de operare unificat, care oferă o eficiență și o productivitate mai mare. Tranziția la GAiA oferă un număr mai mare de sesiuni susținute simultan și un cost mai scăzut al suportului pentru soluții prin reducerea complexității multor operațiuni. Cu GAiA, chiar și clienții care utilizează IP Appliance vor putea să utilizeze puterea completă a soluțiilor Check Point, prin susținerea tuturor Software Blades. GAiA protejează, de asemenea, rețelele IPv6 folosind tehnologiile de accelerare Check Point Clustering, și suportă, de asemenea, 5 protocoale diferite de rutare dinamică.

GAiA simplifică gestionarea prin separarea responsabilităților prin administrarea bazată pe rol (RBA). În plus, GAiA crește semnificativ eficiența managementului prin actualizarea automată (Automatic Software Update).

Interfața de administrare a dispozitivelor bazată pe interfață (portalul GAiA) are o căutare integrată, care vă permite să localizați comanda sau configurația necesare în câteva secunde. Partea de linie de comandă GAIA este compatibilă atât cu IPSO, și SPLAT, care asigură o tranziție lină la un nou sistem de operare pentru clienții existenți Check Point.

Când va apărea Gaia?

R75.40 va fi doar pe Gaia?

Versiunea R75.40 este disponibilă pe platformele Gaia, SecurePlatform, IPSO și Windows.

Cu toate acestea, Check Point recomandă trecerea la GAIA dacă este posibil.

Cel mai important în R75.40?

R75.40 conține multe îmbunătățiri semnificative, precum și o nouă blade Anti-Bot.

Cel mai important în Gaia?

  • Suport pentru toate dispozitivele (aparatura Check Point)
  • Suport pentru servere (servere deschise) - consultați Lista compatibilității hardware Check Point
  • Suport pentru mai multe sesiuni simultane datorită arhitecturii pe 64 de biți pe mai multe dispozitive.
  • Noul portal (Web UI) oferă un control deplin al sistemului cu capabilități de căutare și terminal încorporat
  • O interfață unificată de linie de comandă care este compatibilă atât cu Clish, cât și cu cpshell.
  • Sprijin pentru IPv6, inclusiv tehnologii de accelerare, ClusterXL, Web UI și linie de comandă
  • ClusterXL și VRRP -
  • Administrarea pe bază de roluri - controlul fin al privilegiilor Administratorului.
  • Suport RADIUS și TACACS +.

Will Gaia va fi lansat pentru versiuni mai vechi, de exemplu R70?

Ce înseamnă cuvântul "Gaia"?

Încercați să citiți ghidul de administrare Gaia. în special pagina 9.

Poate Gaia să fie utilizată pentru un server de administrare a securității?

Pot folosi serverul FTP Windows pentru a instala Gaia pe un dispozitiv IP?

Am probleme cu instalarea echipamentului Gaia pe seria IP. Ce ar trebui să caut?

Asigurați-vă că managerul de boot Gaia cu o versiune de IP-Series-BM-GAIA81_B730174019 sau IP-Series-BM-GAIA81_B730174020.

Asigurați-vă că serverul FTP este accesibil din IP-ul dispozitivului și nu este blocat de paravanul de protecție, liste de acces.

Programul de instalare necesită ca serverul FTP să accepte mai mult de 50 de conexiuni simultane, nu fiecare server FTP sub Windows este capabil de acest lucru în mod implicit.

Congestia de rețea ridicată poate duce, de asemenea, la probleme de instalare. Este mai bine să utilizați o interfață gigabit, și cu siguranță nu Wi-Fi.

Este posibil să faceți upgrade la IPSO Appliance, care rulează și serverul de administrare?

Da, doar câțiva pași suplimentari.

Cum pot rula expertul pentru prima dată din linia de comandă (CLI)?

Din clish, executați system_config.

Upgrade-ul de la SecurePlatform la Gaia păstrează complet configurația mea?

Da, cu câteva excepții

  • Dynamic Routing (GateD) nu este actualizată. Gaia folosește IPSO rutare.
  • Setările SNMP nu vor fi salvate.
  • Tincturile IPv6 se vor actualiza, dar într-un mod ușor diferit.

Este posibil să utilizați VRRP pe Power-1?

Pe, în Gaia, puteți utiliza VRRP pe orice aparate și servere.

Pot folosi VRRP pentru IPv6?

Am configurat Gaia VRRP sau am modernizat cu IPSO, iar acum ambele dispozitive se consideră Maestru

În Gaia, trebuie să creați în mod explicit o regulă privind pachetele de protocol ITU: Accept VRRP.

Unde în Gaia permiteți să primiți traficul pe VRRP IP?

În Gaia, această opțiune nu este disponibilă, deoarece în Gaia (spre deosebire de IPSO), pachetele care ajung la VRRP IP sunt acceptate în mod implicit.

În Gaia, serverul DHCP suportă IPv6?

Nu, nu este. Serverul nostru DHCP este proiectat numai pentru IPv4.

Este suportat BGP de la MD5 la Gaia?

Da, dar numai în modul pe 32 de biți. Dacă trebuie să utilizați BGP cu MD5 în modul pe 64 de biți, contactați asistența tehnică pentru remedierea rapidă.

Gaia suportă interfețele de tunel virtual VPN (VTI)?

Da, și nu numai în CLI, ci și în UI Web (portalul Gaia).

Gaia suportă rutarea bazată pe servicii sau rutarea bazată pe porturi?

Pot configura un port numai pentru monitor, cunoscut și ca un port TAP sau un port Mirror?

Da, puteți configura portul de monitorizare. Pentru aceasta trebuie să faceți câțiva pași simpli.

Creați o interfață de bridge de la un dispozitiv fizic prin intermediul interfeței UI sau a unei comenzi

clish> adăugați interfața de grup 1 interfață eth3

Creați fișierul / etc / monitor_mode și adăugați o listă de interfețe la acesta, fiecare pe o linie nouă. De exemplu, eth3

Cum se conectează prin scp sau sftp la gateway-ul Gaia?

Puteți utiliza scp (dar nu sftp). Cu toate acestea, utilizatorul nu poate folosi clish ca shell-ul implicit. Ar trebui fie să o schimbați, fie să creați un utilizator nou cu / bin / bash. Chiar și mai bine în acest scop, utilizați / usr / bin / scponly (conectarea la consola pentru acest utilizator va fi imposibilă).

Există o licență specială pentru IPv6?

Puteți obține gratuit o licență IPv6. Procedura este descrisă în SK66082.

Cum pot configura Proxy ARP pe Gaia?

Proxy ARP este o funcție de firewall, nu un sistem de operare. Prin urmare, configurați Proxy ARP în mod standard (SmartDashboard și local.arp).

Ce dispozitive (aparatele Check Point) suportă Gaia?

Aproape toate relevante:

Ce servere standard (Open Servers) suportă Gaia?

Gaia suportă același hardware ca și SecurePlatform. Detalii în lista de compatibilitate hardware.

Unde pot găsi discurile pentru instalare pe Check Point Appliance?

Au existat discuri diferite pentru servere și dispozitive pentru SecurePlatform. În Gaia, un singur disc este utilizat pentru toate modelele.

Ce dispozitive suportă capacitatea de conectare ridicată (64-biți) pe Gaia?

Suport pe 64 de biți:

  • Check Point 21400
  • Check Point 12600
  • Check Point 12400
  • Check Point 12200
  • Check Point 4800
  • IP 2450
  • IP 1280
  • Power-1 11000

În acest caz, modul pe 64 de biți este disponibil numai dacă există mai mult de 4 GB de memorie RAM. Pentru unele dispozitive aceasta înseamnă 6 GB, pentru altele 8 GB.

Ce servere acceptă modul de 64 de biți în Gaia?

În prezent, următoarele modele sunt certificate de Check Point pentru utilizarea în modul pe 64 de biți, cu o memorie RAM de 6 GB și mai mare:

  • IBM x3650 M3
  • Dell PowerEdge R710
  • Fujitsu RX300 S6
  • HP ProLiant DL380 G7

Care este cantitatea maximă de memorie care poate fi utilizată în modul pe 64 de biți?

În mod automat pornesc modul pe 64 de biți. Cum să comutați pe 32 de biți?

Comanda "set edition" vă va ajuta.

Am modernizat sistemul la Gaia, dar funcționează încă în modul pe 32 de biți. Ce fac greșit?

Implicit trebuie să fie modul pe 32 de biți. Pentru ao schimba, executați comanda "set edition default 64-bit".

De asemenea, puteți modifica manual /etc/grub.conf și setați modul de încărcare implicit (implicit = 5).

Este disponibil modul pe 64 de biți pe VMware?

Se face excepție pentru VMWare. Și puteți verifica modul pe 64 de biți dacă alocați cel puțin 1 GB de memorie sistemului.

Dar aceasta este pentru teste, pentru o funcționare reală această acțiune nu are sens.

Gaia suportă dispozitive IP bazate pe blitz?

Conform notelor de lansare sunt acceptate nu numai modele bazate pe bliț, ci și hibride.

Cu toate acestea, din câte îmi amintesc, pentru modelele flash bazde cu memorie de 1 GB de memorie au fost acceptate doar 3 lame (FW + IPS + VPN). Restul doar cu 2 GB

În plus, recomand sa lucreze cu Gaia inlocui modelul hibrid la o mai modern, sunt bune procedurile de comerț în, cu un preț de compensare parțială a dispozitivului de înlocuire.

De ce este scris că nu există loc pentru salvarea imaginilor de rezervă (în Maintenance> Image Management) pe IP Appliances?

Această caracteristică este acceptată numai pe dispozitive IP cu o unitate hard disk de 80 GB. Pe dispozitivele cu un disc de 40 GB, nu există suficient spațiu pentru stocarea imaginilor.

Pe aceleași servere deschise, nume diferite de interfață

1. lspci -nv> pci_id

3. Comparați conținutul /etc/udev/rules.d/00-OS-XX.rules pe ambele mașini. Trebuie să coincidă absolut.

4. Puteți copia /etc/udev/rules.d/00-OS-XX.rules de la o mașină la alta pentru a păstra identitatea numelor interfeței.

Gaia suportă autentificarea utilizând un server RADIUS extern?

Serios și TACACS +?

Da. Cu toate acestea, până acum numai suport inițial, nu sunt susținute toate capacitățile grupurilor și RBA. Dacă este necesar, contactați asistența tehnică

Am schimbat parola expert, dar după repornire, modificările nu au fost salvate.

Asigurați-vă că ați dat comanda "save config" astfel încât modificările să fie salvate. Acest lucru se aplică tuturor setărilor pe care le faceți din linia de comandă clish.

Când faceți setări de la portalul Gaia (Web UI), setările sunt salvate automat.

Are Gaia nevoie de o licență specială?

Gaia aplică aceleași licențe ca și IPSO și SecurePlatform.

Dar rețineți că R75.40 necesită o licență precum Software Blades și nu funcționează cu licențe vechi (NGX).

Există o licență specială pentru IPv6?

Puteți obține gratuit o licență IPv6. Procedura este descrisă în SK66082.

Gestionarea utilizatorilor

Pot folosi un cont de root?

Dacă într-adevăr aveți nevoie de un utilizator numit root, editați fișierul / etc / hidden_user_names și eliminați cuvântul "root" de acolo.

Unde se descarcă documentația?

Când trebuie să activez modul pe 64 de biți?

Dacă suma RAM nu depășește 4 GB, avantajele utilizării modului pe 64 de biți nu vor fi.

De ce am nevoie de atât de multe sesiuni simultane?

Conform documentației, numărul de sesiuni simultane suportate:

Aceste valori sunt pentru modul firewall.

Și, deoarece cantitatea de memorie alocată pentru stocarea informațiilor despre sesiune crește odată cu utilizarea de lame adiționale, în realitate este posibil ca 12 GB de RAM să fie necesare pentru a susține 1 milion de sesiuni concurente.

Ce se întâmplă cu SecurePlatform în modul pe 64 de biți?

Teoretic, ambele SPLAT și Gaia utilizează același nucleu. Prin urmare, este posibil (cel puțin în timpul disponibilității timpurii o astfel de opțiune) să ruleze SPLAT în modul pe 64 de biți.

Dar de ce? Accentul principal al Check Point va fi vizat în mod specific la Gaia, iar după un timp SPLAT (ca IPSO) va înceta să fie susținut.

Deci, du-te la GAiA! Nu vei regreta!

Gaia - întrebări frecvente, firewall de nouă generație

Articole similare