Közel egy éve jelent meg a Check Point régóta várt R80 verziója. Elterjedésének némiképp gátat szabott, hogy az R80 verziót csak menedzsment szerverként lehetett telepíteni. A nemrégiben publikussá vált R80.10 EA (Early Availability, tulajdonképpen béta) verzióban viszont már lehetőség van a tűzfal modulok telepítésére is, ezért elérkezettnek láttuk az időt, hogy röviden, a teljesség igénye nélkül szemezgessünk az új verzió legfontosabb újdonságaiból.

Mi nem változott?

Az R75.40 verzióval bevezetett Gaia operációs rendszer az R77-es verziókra már stabil, kiforrott és általunk kedvelt rendszerré vált. Szerencsére a Check Point itt nem változtatott a jól bevált recepten. A clish változatlan formában van jelen (vagyis az eddigi script-ek ugyanúgy használhatók), mindössze a webes adminisztrációs felület kapott egy ráncfelvarrást, de az alapkoncepció nem változott: aki eligazodott az R7x verziók Gaia felületén, az itt sem lesz gondban.

A Gaia webes felülete

És mi változott?

Gyakorlatilag minden más. Teljesen új a rendszer a „motorháztető alatt”, a teljes konfigurációs adatbázis most már tényleg adatbázisban van, nem strukturált textfájlokban, és ez magával hozott néhány jelentős változást, amit felhasználóink már nagyon régóta igényeltek:

• Több felhasználó dolgozhat egyszerre az adott szabályrendszeren, akár ugyanazon a soron is, mert az új architektúra lehetővé teszi az egyes mezők zárolását az egész szabályrendszer zárolása helyett. Természetesen a gyártó nagy gondot fordított az esetleges ütközések kezelésére is.
• Egy véletlenül megszakadt kapcsolat (a SmartCenter és a gépünk között) miatt nem veszik el a munkánk, ugyanott folytathatjuk, ahol abbamaradt.
• Az eddigi verziókhoz képest sokkal granulárisabb jogosultsági profilok lehetővé teszik, akár a szabály szintű jogosultságok kiosztását is.
• Az eddigi verziókban is volt lehetőség a szabályrendszer script-ekkel megvalósított kezelésére, de ez semmiképpen sem volt felhasználóbarátnak nevezhető. Az R80-ban megjelent API-k és az eleve beépített parancssoros felület sokkal szorosabb integrációt biztosíthatnak más gyártók rendszereivel és jobb automatizálhatóságot biztosítanak. Természetesen ez a megoldás is ugyanazt a biztonságot nyújtja, mint a SmartConsole használata, pl. ugyanazok a jogosultsági profilok érvényesek itt is, stb.
• Az eddigi GUI kliens gyűjtemény helyett mindössze egy GUI kliensünk van (kis csúszatással, mert egyes szoftver blade-ek management funkcióit nem integrálták az új kliensbe, ezért ilyenkor a régi kliens nyílik meg automatikusan)
• Az új kliens nagyon jól átgondolt, és kézreálló felületet kapott, meggyőződésünk, hogy pár év múlva úgy fogunk gondolni az R7x kliensekre, mint most a 4.1, NG, R55 vagy R65 kliensekre.

Hogy ne csak beszéljünk róla, –így néz ki az új felület:

R80.10

•  A SmartView Tracker-t nyugdíjazta a gyártó, helyette az R80-tól kezdve kötelezően a SmartLog-hoz hasonló megoldás használható, ami gyors, szabadszöveges keresést tesz lehetővé. Mivel az új architektúrának köszönhetően ennek sincs akadálya, lehetőség van például arra is, hogy a szabályrendszer alatt nézzük meg az egy adott szabályhoz tartozó logbejegyzéseket.
• A szabályokhoz és az objektumokhoz is sokkal több adat rögzíthető, megjeleníthető, például címkék, a jegykezelő rendszerhez tartozó jegyszámok, stb.
• Az objektumok és a szabályok sokkal jobb kereshetőek, végre jól működik a szabályrendszeren is a szöveges keresés!

Néhány egyéb újdonság

Csak címszavakban, a teljesség igénye nélkül:

• megváltozott szabályrendszer architektúra: bevezetésre kerültek a szabályrendszer rétegek, és a az alszabályok.
• Unified Security Policies: a szoftver blade-ekből két csoportot alkottak:
  • Az Access Control, vagyis a hozzáférések szabályozását biztosító szabályrendszer egyesíti a Firewall, az Application Control és URL Filtering, Content Awareness és Mobile Access szoftver blade-ek szabályrendszereit
  • Threat Prevention szabályrendszer pedig az IPS, az Anti-Virus, az Anti-Bot és a Threat Emulation blade-ek szabályrendszereit egyesíti
• többmagos rendszereken jelentősen növekszik a VPN áteresztőképesség
• NAT-T támogatás Site-to-Site VPN esetében is
• Reverse Proxy funkcionalitás belső szerverek internet felőli eléréséhez
• Identity Collector: új agent, ami AD-ból és ISE-ből is be tudja gyűjteni a felhasználó vagy a számítógép azonosítási adatait
• A távoli kliensek típusa is kikényszeríthatő az access role-okban

Mibe kerül?

Licenszek szempontjából nincs változás. A fentebb említett példák csak egy igen kis szeletét tartalmazzák az összes újdonságnak. Sokévnyi tapasztalatból tudjuk: egy ilyen mélységű változás mindig problémákkal jár.

Ha másban nem is, de az új rendszerre való átszokásban mindenképp többletmunkát fog jelenteni, de újra kellhet írni jónéhány script-et, amik az évek során hozzánőttek a jelenlegi rendszerekhez. Mellesleg az általunk tesztelt upgrade-ek nem okoztak nagyobb problémát, mint egy R77.10 -> R77.30 váltás.

Az R80-nak némileg megnövekedett a gépigénye is. Természetesen az újabb sorozatú Check Point appliance-ek könnyedén megbirkóznak a feladattal, de a régebbi hardverek nagy része is támogatott.

Ugyanakkor gondoljunk csak bele! A jelenlegi váltás egy kb. 20 éves koncepció átalakítását jelenti, amelyben már jellemző volt, hogy az évek során megnövekedett, akár 3000+ sorból álló szabályrendszerek alá akármilyen hardvert is tettünk, az előbb-utóbb lassú lett. A jelenlegi rendszer megfelelő hardverrel nagy szabályrendszerek esetében is villámgyors, ami már rövidtávon számolva is komoly munkaóra megtakarítással járhat, amit tovább fokozhat az új verzió automatizálási képességeinek kihasználása.