Проектирование безопасности средствами Check Point R81.20 (CCSE-R81.20)

Целевая аудитория

Курс рекомендован тем, кто занимается поддержкой, инсталляцией или администрированием систем безопасности на основе Check Point Software Blades, – системным администраторам, системным инженерам, менеджерам по безопасности, сетевым инженерам, а также тем, кто собирается сдавать экзамен на сертификат CCSE.

Предварительные требования

Данный курс предполагает предварительное прохождение курса Check Point Security Administrator R81.20 или наличие у слушателей эквивалентных знаний и навыков. Кроме того, подразумевается наличие у слушателей базового знания сетевых технологий, умения работать с Windows Server 2008 и UNIX, понимания TCP/IP и умения работать в Интернете. Рекомендуется опыт практической работы с продуктами Check Point от шести месяцев до года.

Программа курса

Глава 1. Введение в продвинутые механизмы внедрения

• Обзор основ механизмов развертывания
• Интерфейсы автоматизации
• Обзор API, способы запуска скриптов
• Сервер автоматизации
• Запуск скриптов из командной строки
• Использование внешнего механизма запуска скриптов
• Использование Web-сервисов для запуска скриптов
• Написание скриптов

Лабораторная работа. Использование API

Глава 2. Дублирование сервера управления

• Механизм обеспечения отказоустойчивости сервера управления
• Развертывание дублирующего сервера управления
• Мониторинг статуса серверов
• Состояние Active и Standby, смена состояния
• Резервное копирование и восстановление
• Выделенный лог-сервер, выделенный сервер SmartEvent
• Развертывание серверов логирования и SmartEvent
• Отладка работы механизма отказоустойчивости

Лабораторная работа. Развертывание дублирующего сервера управления

Лабораторная работа. Построение распределенной системы хранения лог-записей

Лабораторная работа. Развертывание сервера SmartEvent

Глава 3. Продвинутые варианты развертывания шлюзов

• Необходимость отказоустойчивой конфигурации шлюзов
• Введение в технологию кластеризации и работа компонента ClusterXL
• Синхронизация состояния модулей
• Обработка сбоев в работе модулей, требования, рекомендации, ограничения
• Развертывание кластера
• Виртуальные IP-адреса, адреса в отличающихся сетях
• Виртуальные MAC-адреса
• Протокол управления кластером (CCP)
• Кластер из модулей разных версий
• Отказ от синхронизации конкретных сервисов
• Cluster Correction Layer
• Настройка NAT и Proxy ARP для кластера
• Обзор работы режима моста, кластер и отдельный модуль в режиме моста
• Разделение управляющих и обрабатывающих компонентов шлюзов

Лабораторная работа. Построение кластера в режиме HA

Лабораторная работа. Работа с кластером

Глава 4. Дополнительные возможности настройки политики

• Обзор базовых возможностей политики безопасности
• Обзор процессов модулей Check Point
• Обзор инсталляции политики
• Работа с учетными записями пользователей
• Обновляемые объекты
• Работа с внешними списками объектов
• Логирование и мониторинг
• Расшифровка и инспекция HTTPS трафика
• Дополнительные инструменты

Лабораторная работа. Настройка обновляемых объектов

Лабораторная работа. Ускоренная инсталляция политики

Лабораторная работа. Инспекция HTTPS трафика 

Глава 5. Работа с учетными записями пользователей

• Обзор функционала Identity Awareness
• Варианты развертывания системы Identity Awareness
• Обзор настроек Identity Awareness, включение, выбор источников данных
• Дефолтные порты, используемые технологией Identity Awareness
• Объекты Access Role, их использование в политике

Лабораторная работа. Развертывание системы Identity Awareness

Глава 6. Настройка Threat Prevention в режиме Custom

• Обзор функционала Threat Prevention
• Компоненты Threat Prevention
• Настройки антивируса, анти-бота, работы песочницы, технологии Threat Extraction, антифишинга, защиты интернета вещей
• Движок Threat Prevention
• Облако Check Point
• Индикаторы угроз
• Анализ SSH пакетов
• Настройка Threat Prevention в режиме Custom, инструментарий политики

Лабораторная работа. Настройка Threat Prevention

Глава 7. Углубленная настройка Site-to-Site VPN

• Обзор VPN
• Построение VPN на основе доменов
• Аутентификация сторонними сертификатами

Лабораторная работа. Построение VPN между шлюзами, управляемыми разными серверами

Глава 8. VPN удаленного доступа (IPSec)

• Введение в VPN удаленного доступа
• Аутентификация
• Клиенты удаленного доступа
• Лицензионные требования
• Особенности коммуникации клиента со шлюзом
• Проверка настройки клиентской машины на соответствие требованиям
• Безопасность оконечного устройства
• Обеспечение отказоустойчивости VPN удаленного доступа
• Использование компонента SSL Network Extender
• Настройка VPN удаленного доступа

Лабораторная работа. Построение VPN удаленного доступа

Глава 9. Mobile Access VPN (SSL)

• Введение в технологию  Mobile Access VPN, принцип работы
• Политика безопасности  Mobile Access VPN
• Настройка  Mobile Access VPN
• Приложения и возможности

Лабораторная работа. Настройка Mobile Access VPN

Глава 10. Углубленное логирование и мониторинг

• Функционал проверки соответствия требованиям (Compliance)
• Работа системы SmartEvent

Лабораторная работа. Настройка проверки Compliance

Лабораторная работа. Развертывание системы SmartEvent

Глава 11. Настройка производительности

• Обзор возможностей настройки производительности
• Обзор технологии SecureXL, пути прохождения трафика, настройка, команды
• Использование утилиты CPView
• Обзор технологии CoreXL, прохождение трафика, настройка, команды
• Обзор технологии Multi-Queue, настройка, команды
• Обзор технологии HyperFlow

Лабораторная работа. Настройка производительности шлюза

Глава 12. Углубленное обслуживание шлюзов

• Обзор механизмов обновления и миграции
• Подготовка к апгрейду
• Мастер скачивания и обновления
• Встроенный механизм обновления
• Пакет инструментов для апгрейда и миграции сервера управления
• Обзор вариантов апгрейда сервера, продвинутый вариант, миграция
• Обзор механизма Blink
• Варианты апгрейда шлюза или модуля кластера.
• Централизованный апгрейд через SmartConsole (рекомендованный вариант), добавление пакетов в репозиторий, обновление кластера
• Обзор инструмента Central Deployment Tool
• Обновление кластера без потери сессий

Документы об окончании курса

• Сертификат Check Point об окончании авторизованного курса
• Сертификат Учебного центра Noventiq
• Cертификат об обучении установленного образца