Курс CPT-12 Check Point Security NGX – Администрирование II. Версия 1.1 Продолжительность: 24 академических часа Учебный курс по вопросам обновления, конфигурирования, установки и сопровождения шлюзов VPN-1 NGX во внутренних и внешних сетях, максимально полного использования возможностей средств безопасности и устранения неполадок. Курс предназначен для системных администраторов, специалистов по информационной безопасности и инженеров-сетевиков, выполняющих сопровождение шлюзов защиты VPN-1 NGX. Также курс будет полезен претендентам на получение сертификата Check Point Certified Security Administrator (CCSA) NGX. Чему Вы научитесь Применять инструменты NGX для установки на платформах Windows Server 2003 и SecurePlatform. Использовать инструменты NGX для обновления VPN-1/FireWall-1 NG и VPN-1 NG with Application Intelligence до уровня NGX. Создавать распределенные схемы защиты контента с использованием шлюзов защиты, блокировать доступ к URL и подозрительные веб-данные, обеспечивать аудит и формировать отчеты. Создавать виртуальные частные сети с использованием шифрования IKE и упрощенных процедур развертывания VPN-конфигураций Check Point. Использовать VPN-1 SecuRemote/SecureClient для организации удаленного доступа. Настраивать VPN-1 NGX для работы с приложениями VoIP. Определять параметры распределения полосы пропускания канала в зависимости от настроек Check Point QoS. Идентифицировать возможности и ограничения решений высокой доступности Check Point. Предварительная подготовка Знания и навыки в объеме курса Check Point Security NGX – Администрирование I. Программа курса Модуль 1. Обзор курса Цели курса План курса Предварительные требования Check Point Certified Security Expert (CCSE) Экзамен 156-315.1 Рекомендации по организации практических занятий Модуль 2. Установка и обновление VPN-1 NGX Предустановочная конфигурация Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Распределенная установка Обновление до VPN-1 NGX Руководство по обновлению Порядок обновления Экспорт/импорт при выполнении обновления Обновление средствами SmartUpdate Обратная совместимость NGX Поддерживаемые версии Лицензирование VPN-1 NGX Получение лицензий Развертывание лицензий Обновление лицензий до уровня VPN-1 NGX Устранение неполадок, связанных с лицензиями Просмотр лицензий с помощью User Center Просмотр лицензий с программе SmartView Monitor Подготовка к обновлению SmartCenter Server Синтаксис Pre-Upgrade Verification-Tool Обновление SmartCenter Server Обновление SmartCenter High AvaiПрактическая работаility Обновление SecurePlatform Дополнительные функции обновления Обновление на платформе Windows Обновление шлюза защиты Security Gateway Обновление кластерных конфигураций Обновление SmartUpdate Обновление с помощью SmartUpdate Обновление SecurePlatform R54, R55 и более поздних версий Обновление SecurePlatform NG FP2, FP3 или FP3 Edition 2 Обновление на шлюза платформе Windows Практическая работа 1: Обновление шлюза NG AI R55 до уровня NGX Практическая работа 2: Обновление шлюза NG with AI Security Gateway с помощью SmartUpdate (опционально) Практическая работа 3: Распределенная установка NGX Практическая работа 4: Установка VPN-1 Pro Gateway на платформе SecurePlatform Pro Модуль 3. Защита контента Роль сервера Security Server Обзор Security Server OPSEC Что такое защита контента Протокол Content Vectoring Protocol (CVP) Технология проверки Inspection Протокол URI Filtering Protocol (UFP) Как работает UFP Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Реализация защиты контента Общие рекомендации Фильтрация URI Mail — SMTP FTP Security Server Блокировка FTP поверх HTTP для заданных групп Фильтрация элементов Java и ActiveX CVP Inspection Ресурсы и база правил Выбор правильного порядка правил Последствия размещения правил в неверном порядке. Распределение нагрузки и цепочки CVP Chaining CVP Chaining Реализация ресурсов TCP Настройка серверов TCP Security Server Свойства ресурсов TCP Вкладка UFP Вкладка CVP Практическая работа 5: Настройка фильтрации URL Модуль 4. Настройка VPN IKE Конфигурация «шлюз-шлюз» Выбор метода шифрования Развертывание VPN Интранет-VPN VPN удаленного доступа Реализация VPN Три основных компонента VPN Настройка VPN Основные принципы Упрощенная настройка для интранет-конфигураций Сообщества VPN Интеграция VPN с базой правил Практическая работа 6: Настройка IKE-шифрования для конфигурации из двух шлюзов зашиты с использованием общего секрета (Shared Secret). Практическая работа 7: Настройка IKE-шифрования для конфигурации из двух шлюзов зашиты с использованием сертификатов. Модуль 5. Настройка удаленного доступа VPN-1 SecuRemote/SecureClient Использование SecuRemote Настройка SecuRemote Настройка базы правил Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Настройка VPN-сетей удаленного доступа Настройка сообщества свойства сообщества Настройка глобальных свойств Настройки удаленного доступа Аутентификация клиентов Структура подключения удаленного доступа Топология Аутентификация Обмен ключами Подключение Аспекты маршрутизации Практическая работа 8: Настройка удаленного доступа для VPN-сети IKE Практическая работа 9: Установка SecuRemote Дополнительная настройка Защищенный вход в домен Аутентификация по IP-адресу SecuRemote Client Практическая работа 10: Использование VPN-1 SecuRemote в VPN-сети IKE Графический интерфейс SecureClient Экран аутентификации Экран настроек Меню в панели задач Включение/отключение настольных политик Desktop Policies Загрузка политик Desktop Policies с сервера политик Получение топологии сайта userc.C Пересекающиеся VPN-домены Значок SecureClient Пароли Автоматический локальный вход Auto Local Logon Настройка Auto Local Logon Отключение Auto Local Logon Рекомендации по использовании SecureClient Модификация настроек сети Несколько сетевых адаптеров Файлы SecureClient Обновление SecureClient Средства диагностики SecureClient Diagnostic Viewer Policy Viewer SmartView Tracker Частичная настройка топологии Режим подключения Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Профили подключения Режим Office Mode Обзор Принципы работы Использование сервера RADIUS Доработки DHCP Использование режима Office Mode для пользователей Использование режима Office Mode для сайтов Использование режима Office Mode для диапазона IP-адресов Аспекты маршрутизации Практическая работа 11: Режим Office Mode Модуль 6. Голосовой IP-трафик Базовые концепции передачи голоса по IP-сетям Поддерживаемые протоколы Настройка VPN-1 NGX для поддержки VoIP-трафика H.323 Организация работы VoIP-приложений H.323 Конфигурация объекта Gatekeeper Настройка режима Gatekeeper Routing Mode Создание объекта Gateway (опционально) Настройка режима Gateway Routing Mode Настройка глобальных свойств Настройка базы правил для поддержки трафика H.323 Организация работы VoIP-приложений SIP Создание домена SIP Настройка глобальных свойств Настройка базы правил для поддержки SIP Сервисы SIP Практическая работа 12: Настройка шлюза безопасности для поддержки VoIPкоммуникаций Модуль 7. Check Point QoS Обзор Check Point QoS Архитектура Check Point QoS Рекомендации по развертыванию Check Point QoS Check Point QoS Policy База правил Check Point QoS Свойств действий QoS Action Распределение полосы пропускания и правила Службы Differentiated Services DiffServ-маркировка пакетов IPSec Взаимодействие правил DiffServ с другими правилами Очереди с малой задержкой (Low Latency Queuing) Классы Low Latency Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Приоритеты классов Low Latency Рекомендации по использовании очередей Low Latency Дополнительные функции Аутентификация QoS Поддержка Citrix MetaFrame Распределение нагрузки Мониторинг политики QoS SmartView Tracker SmartView Monitor Eventia Reporter Оптимизация Check Point QoS Практическая работа 13: Настройка политики Check Point QoS Модуль 8. Кластеризация и высокая доступность Конфигурации высокой доступности Схема «основной-вспомогательный» Схема «активный-пассивный» Ограничения Синхронизация Практическая работа 14: Развертывание конфигурации высокой доступности Высокая доступность и ClusterXL Основные элементы Ограничения Распределение нагрузки Режим распределение multicast-нагрузки Режим распределения unicast-нагрузки Как работает режим Pivot Высокая доступность и распределение нагрузки Синхронизация состояний Режимы синхронизации Выборочная синхронизация Типовые проблемы, связанные с таймингом Команды CPHA cphastart cphastop cphaprob fw hastat Отладка в среде ClusterXL Результаты выполнения команды fw ctl pstat Sync Устранение неполадок в конфигурациях ClusterXL Режимы ClusterXL с поддержкой SecureXL Соединение двух членов кластера с помощью кроссоверного кабеля Практическая работа 15: Развертывание нового режима высокой доступности Практическая работа 16: Ручное переключение (опционально) Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78 Практическая работа 17: Распределение Unicast-нагрузки (режима Pivot) Практическая работа 18: Распределение Multicast-нагрузки (опционально) Москва Санкт-Петербург Екатеринбург Нижний Новгород Новосибирск Красноярск +7 (495) 221-10-70 +7 (812) 336-44-46 +7 (343) 371-08-67 +7 (8312) 61-92-08 +7 (383) 334-00-63 +7 (3912) 525-992 Ростов-на-Дону Самара Уфа Хабаровск Омск +7 +7 +7 +7 +7 (863) 220-36-03 (846) 270-04-80 (3472) 92-48-65 (4212) 32-92-95 (3812) 31-83-63 Беларусь, Минск Казахстан, Алматы Кыргызстан, Бишкек Украина, Киев Азербайджан, Баку Узбекистан, Ташкент +375(17) 202-14-58 +7 (3272) 507-570 +996 (312) 51-23-06 +380 (44) 201-03-00 +994 (12) 436-81-59 +998 (71) 134-56-78