Uruchomienie i konfiguracja

Z uwagi na to, że urządzenie firmy Check Point przeznaczone jest głównie dla małych firm i z założenia ma się charakteryzować prostotą instalacji i konfiguracji, postanowiliśmy wstępnie skupić się na tych aspektach użyteczności.

Pierwszym krokiem do poznania Check Point 600 Appliance był wgląd do dokumentacji technicznej. Mimo zapewnień, że urządzenie jest proste w instalacji, chcieliśmy wyrobić własny pogląd na sposób zarządzania i konfiguracji. W tym celu ściągnęliśmy ze strony producenta aktualne wersje instrukcji „Quick Start Guide” oraz „Admin Guide”.

Najwygodniejszą metodą administracji jest użycie panelu webowego (umożliwiono również dostęp za pomocą narzędzi CLI). Po pierwszym zalogowaniu użytkownik może skorzystać z wygodnego kreatora konfiguracji, który pozwala w kilku krokach uruchomić podstawowe funkcjonalności. Jeśli z jakiegoś powodu nie uda się go ukończyć (przerwanie konfiguracji, zamknięcie okna przeglądarki), zostanie on uruchomiony ponownie. Kreator umożliwia skonfigurowanie podstawowych ustawień urządzenia, począwszy od daty i czasu, przez nazwę urządzenia, po ustawienia IP sieci LAN i WAN. My postanowiliśmy zrezygnować z kreatora na rzecz ręcznej konfiguracji.

Okno panelu webowego składa się z kilku obszarów funkcjonalnych. Właściwa nawigacja między konfiguracją funkcji odbywa się za pomocą zakładek. Pod każdą z nich znajdują się dodatkowe, natomiast bardziej szczegółowe ustawienia umieszczono w kolumnie po lewej stronie, a środkową część ekranu zajmują informacje dotyczące wybranych zagadnień.

Domyślna zakładka Home zawiera podstawowe dane odnośnie do pracy i obciążenia systemu, informacje o stanie połączeń oraz statystyki sieci. Oprócz tego znajdują się tam odnośniki do najważniejszych elementów informacyjnych, z których administrator korzysta najczęściej, czyli status elementów odpowiedzialnych za bezpieczeństwo (Security Dashboard), bieżące monitorowanie pracy oraz raporty.

Na samym dole strony jest belka informacyjna, która zawiera informacje o dostępnych nowych wersjach firmware oraz status licencji włącznie z powiadomieniami o aktualizacjach poszczególnych modułów funkcjonalnych.

Przystępując do konfiguracji urządzenia należy skorzystać z zakładki Device, gdzie zebrano wszystkie podstawowe ustawienia niezbędne do poprawnej pracy. Po określeniu daty i czasu oraz nazwy sieciowej przystąpiliśmy do konfiguracji sieci. Urządzenie posiada domyślną konfigurację od strony sieci LAN z włączoną usługą serwera DHCP, na co należy szczególnie uważać w infrastrukturze, gdzie taki serwer już działa. Dobrym rozwiązaniem jest możliwość grupowania portów LAN w wirtualne switche, tak aby móc je odseparować od siebie grupami w zależności od potrzeb. Natomiast połączenie od strony WAN (w przypadku, gdy nie korzystaliśmy z kreatora) zostało wyłączone. Liczba możliwych konfiguracji podłączenia do internetu jest wystarczająca dla każdej infrastruktury. Oprócz standardowych ustawień automatycznej konfiguracji z DHCP od dostawcy czy statycznego adresu IP lub PPPoE istnieje możliwość zestawienia na interfejsie WAN tunelu przy użyciu protokołów PPTP czy L2TP. Dodatkowo można ustanowić połączenie z internetem wykorzystując modem GSM wpięty do portu USB.

Wartym uwagi rozwiązaniem, jak na urządzenie tej klasy, są opcje wykorzystania dwóch aktywnych łączy. Jeśli na urządzeniu zostaną skonfigurowane dwa interfejsy dostępu do internetu, można ustawić je w taki sposób, że jeden będzie wykorzystywany jako typowa brama dostępowa, natomiast drugi, przy użyciu reguł routingu, do obsługi ruchu specjalnego. Drugą opcją wykorzystania dwóch łączy jest zapewnienie ciągłości dostępu do internetu poprzez ustawienie High Availability, określając odpowiednie priorytety na łączach. Domyślnie wykorzystywane jest to o wyższym priorytecie, natomiast to o niższym nie będzie niedostępne, dopóki to drugie działa poprawnie. Możliwe jest również ustawienie opcji równoważenia obciążenia sieciowego. Przy takim ustawieniu ruch kierowany jest odpowiednio na jedno bądź drugie łącze w zależności od ustawionej wagi połączenia.

Dzięki temu, że testowane urządzenie było wyposażone w moduł sieci bezprzewodowej, postanowiliśmy utworzyć dwie odseparowane od siebie sieci, z czego jedną przeznaczoną dla gości.