Serveur d'impression

Appliance Check Point 1400 – FAQ – Serveur d’impression

Par Titanfall , le 9 octobre 2019 - 20 minutes de lecture

Q: Quel est le site officiel du produit?
A: Appareil Check Point 1400 | Fiche technique | Centre de soutien

Q: Quel est l'article de SecureKnowledge sur 1400 Appliance?
A: sk110985 | Notes de publication | Limitations Connues

Q: Où puis-je trouver des guides de démarrage?
A: Appareils électroménagers 1430/1450 gérés de manière centralisée | Appareils gérés centralement 1470/1490

image.png

Q: Quoi de neuf ?
R: La série d'appareils Check Point 1400 a été introduite lors du Check Point Experience 2016 à Nice, en France. Elle succède à la série d'appareils 1100. En tant que tel, il offre la meilleure solution de sécurité de classe entreprise NGF tout-en-un pour les succursales. L’appliance 1400 intègre un commutateur ADSL (Annexe A / B), un commutateur 8/18 ports (couche 3, administré), un pare-feu de nouvelle génération (y compris un routeur NAT, la prévention des menaces, IPS, Anti-Virus, Anti-Spam, Application). Contrôle et filtrage d'URL), sensibilisation à l'identité, accès mobile, routeur WLAN, point d'accès Wi-Fi, PoE, etc. Il propose également un routage dynamique, des fonctions de déploiement rapide, une connectivité 3G utilisant une prise en charge USB ou Express Card, plusieurs connexions Internet, un routage basé sur des stratégies, un DDNS (DynDns, No-IP), etc., sont prévus avec les prochaines versions de firmware.

Q: A quoi ça ressemble ?
1430/1450 Appliance avec option WiFi:
image.png

Appliance 1470/1490 avec option WiFi et PoE:
image.png

Q: Quel appareil 1400 Licence les modèles sont disponibles?
UNE: 1430 Appliance -> remplace 1120 & 1140 Appliance
UNE: 1450 Appliance -> remplace 1180 Appliance
UNE: 1470 Appareil
UNE: 1490 Appareil

Q: Puis-je mettre à niveau le modèle sous licence ultérieurement (1430 -> 1350 ou 1470 -> 1490)?
Un: bien sûr. Lire ici

Q: Quel appareil 1400 Matériel les modèles sont disponibles?
Un modèle: L-71 Appareils électroménagers Check Point 1430/1450
Un modèle: L-71W Appareils WiFi Check Point 1430/1450
Un modèle: L-72 Appareils électroménagers Check Point 1470/1490
Un modèle: L-72W Appareils WiFi Check Point 1470/1490
Un modèle: L-72P Appareils PoE Check Point 1470/1490

Le matériel ne diffère pas entre les appareils 1430/1450 et 1470/1490. C'est la licence qui limite l'appliance et la verrouille aux qualités du système sous licence.

Q: Que montre l'écran de démarrage?
Un code:

U-Boot 2015.01-alpine_db_s1-1.65.1-HAL (17 nov. 2016 - 10:24:23) Version de Check Point: 85

I2C: prêt
DRAM: 1 Go

   ______ __ __ _______ _ _
 ' ___ |[  |                  [  |  _   |_   __          (_)          / |_
/ .'   _| | |--.  .---.  .---.  | | / ]    | | __) | .-- __ _ .--. `| | - '
| | | .-. | / / __ \ / / '`]| '' <| ___ // .'`  [  | [ `.-. | | |
 `.___.' | | | || __.,| __.  | |`    _| |_   | __. | | |  | | | | | |,
 `.____ .'[___]| __]'.__.''.___.'[__|  _] | _____ | '.__.' [___][___||__] __ /


power_init_board: EEPROM par information de périphérique - en utilisant les valeurs par défaut!
Identifiant de configuration du conseil: alpine_db (S1-L71)
NAND: 1024 Mio
  00: 00.0 - Contrôleur de réseau
  00: 01.0 - Contrôleur de réseau
  00: 02.0 - Contrôleur de réseau
  00: 03.0 - Contrôleur de réseau
  00: 04.0 - Dispositif cryptographique
  00: 05.0 - Périphérique du système de base
  01: 00.0 - Contrôleur de bus série
En série
Out: série
Err: série

Vérification du CRC pour la zone de paramètres ... Terminé

************ Appuyez sur 'Ctrl + C' pour le menu de démarrage *************

## Amorçage du noyau depuis Legacy Image à 08001000 ...
   Nom de l'image: Linux-3.10.20-al-5.0-pr2
   Créé: 2017-05-21 12:24:05 UTC
   Type d'image: Image du noyau Linux ARM (non compressé)
   Taille de données: 8710168 octets = 8,3 Mio
   Adresse de chargement: 00008000
   Point d'entrée: 00008000
   Vérification de la somme de contrôle ... OK
   Chargement de l'image du noyau ... OK

Noyau de départ ...

Décompresser Linux ... c'est fait, démarrer le noyau.
INIT: démarrage de la version 2.88

Démarrage de l'espace utilisateur du point de contrôle ...
INIT: entrée du niveau d'exécution: 3
Système démarré ...

Q: Quelles sont les différences entre les références Wi-Fi-FCCA et Wi-Fi-WORLD et lesquelles dois-je commander?
R: La référence FCCA concerne les États-Unis. Le SKU MONDE est pour le reste du monde.

Q: Quelle est la recommandation de dimensionnement?
R: La recommandation de dimensionnement est basée sur SPU (SecurePower Units).
UNE: 1430 Appliance -> 75 SPU (Home Office)
UNE: 1450 Appliance -> 141 SPU (Home Office)
UNE: 1470 Appliance -> 194 SPU (succursale)
UNE: 1490 Appliance -> 233 SPU (succursale)

Q: Dois-je renouveler les lames de prévention des menaces pour obtenir des signatures mises à jour?
A: oui Les lames de service durent un an, deux ou trois ans. Lorsque cette période se termine, ils doivent être renouvelés pour obtenir des mises à jour.

Q: Quels sont les débits des appareils 1430/1450/1470/1490 utilisés en production?
UNE: Pare-feu: 900/1100/1600/1800 Mbps
UNE: Pare-feu et prévention des menaces: 90/150/175/220 Mbps

Q: Quelle est la différence entre les modèles 700 Appliance et les modèles 1400 Appliance?
R: Les modèles 700 Appliance sont techniquement identiques aux modèles 1400 Appliance. Ils utilisent même le même firmware. Cependant, ils sont vendus et vendus comme une solution tout-en-un pour le marché des PME et ne peuvent donc pas être gérés de manière centralisée par un serveur Check Point SmartCenter, tout comme la ligne Check Point Safe @ Office qu'ils ont remplacée.

Q: Comment puis-je commencer?
R: Check Point fournit ce guide de prise en main.

Q: Quelle est la partie du package de contenu?
R: L'appliance elle-même, une alimentation, deux câbles réseau, un câble de console série, un câble USB pour la connexion de console et le Guide de démarrage habituel.

Q: Quel processeur fonctionne à l'intérieur?
A: ARM926EJ-S rév 1 (v5l)

Q: Sur quel système d'exploitation tourne-t-il?
A: L'appareil 1100 dit: Point de contrôle GAiA Embedded R77.20

Q: Quelles sont les fonctionnalités du système d'exploitation intégré Check Point GAiA?
A: Check Point en fait la liste ici.

Q: Combien de RAM cela comporte-t-il?
A: 1 Go de RAM

Q: Quel schéma d'adressage MAC est utilisé pour la série 1400 Appliance?
A: 00: 1C: 7F:__: __: __

Q: A partir de quelle version du SmartCenter, 1400 appliances peuvent-elles être gérées de manière centralisée?
UNE: R77.30 avec add-on 1400 types d'appareils (Télécharger).
UNE: R80 avec add-on 1400 types d'appareils (Télécharger).

Q: Quelle est la version la plus récente du firmware?
R: Check Point répertorie tous les 1400 firmwares dans sk97766.

Q: Quel est le port de gestion par défaut?
A: Port 4434 / tcp (https://192.168.1.1:4434)

Q: Quel navigateur dois-je utiliser pour le gérer?
R: Utilisez uniquement la dernière version de Google Chrome. Certains problèmes sont connus lors de l'utilisation de Microsoft Internet Explorer pour exporter des certificats VPN et lors de l'utilisation d'un navigateur Web sur Apple Mac OS X.

Q: Comment puis-je trouver des choses rapidement?
A: Utilisez le formulaire de recherche dans le coin supérieur droit.

image.png

Q: Où puis-je trouver le plan du site pour un accès rapide à toutes les pages de configuration disponibles?
A: juste sous "Accueil> Plan du site".

image.png

Q: Où puis-je voir rapidement le statut de mon 1400 Appliance dans l'interface utilisateur Web?
A: à droite de la barre d'état. Les survols vous fournissent des aperçus rapides de l'état, les clics vous transfèrent vers les pages de configuration spécifiques.

image.png

Q: Quels types de cartes SD sont pris en charge?
R: Les types de cartes SD-HC jusqu’à 32 Go seulement. S'il est inséré, l'appliance 1400 les formatera automatiquement. Les journaux peuvent ensuite être enregistrés sur la carte.

Q: Quels modems 3G sont supportés?
A: Check Point répertorie tous les modems pris en charge dans sk92809.

Q: Quels modems 4G / LTE sont pris en charge?
A: Check Point répertorie tous les modems pris en charge dans sk92809.

Modèle Type Port Référence de support
Huawei (Vodafone) K5150 USB sk92809
Huawei E398 USB sk92809
Sierra G-MC7710u Industriel USB sk92809
Sierra AirCard 312U USB sk92809
Sierra AirCard 313U USB sk92809
NCXX NCXX UX302NC USB sk92809

Q: Le type d’appliance 1400 est manquant dans le SmartDashboard R77.30 / R80?
R: Check Point fournit une procédure permettant à R77.30 et à R80 de l'ajouter.

Q: Pourquoi ai-je des problèmes pour modifier la liste de filtrage des adresses MAC autorisées pour les connexions sans fil?
R: Il s'agit d'un problème connu dans les versions actuelles. Ne modifiez les paramètres sans fil que lorsque vous êtes directement connecté à votre appareil 1400. La modification des paramètres sans fil, tels que la liste de filtrage des adresses MAC, lors d’une connexion WLAN (via Wi-Fi) entraîne une erreur permanente de la configuration qui ne sera même pas résolue en se connectant directement ultérieurement. Seule une réinitialisation complète de l’appliance 1400 aidera actuellement à résoudre ce problème.

Q: Pourquoi mon appliance 1400 ne fonctionne-t-elle pas aussi vite que ma précédente appliance UTM-1 Edge N?
R: L’appliance 1400 exécute bien plus de fonctions de sécurité qu’un UTM-1 Edge N, c’est pourquoi vous constatez des différences de performances. En désactivant les lames que vous n'utilisez pas dans Accueil> Security Dashboard, les performances devraient s'améliorer. N'oubliez jamais qu'une appliance 1400 est la plus petite appliance NGTP de Check Points, conçue pour une sécurité optimale, même dans les environnements de bureau à domicile ou de petite taille. Comme il s’agit d’une appliance intégrée fonctionnant sur un processeur ARM, les performances du produit sont plutôt limitées. Plus le nombre de lames à exécuter est important, moins la performance globale sera grande.

Q: Pourquoi est-ce que je reçois une erreur lors de l'activation de mon appareil Check Point 1400?
R: Il est toujours recommandé d'activer manuellement l'appliance Check Point 1400. Par conséquent, il suffit de générer et de télécharger le fichier d’activation dans votre compte Check Point UserCenter. Activez ensuite votre appliance 1400 avec le fichier d'activation téléchargé. Sauvegardez le fichier d'activation pour des activations ultérieures.
R: Comme décrit dans sk93382, l'activation peut entraîner plusieurs erreurs, telles que 'Nombre maximal d'activations dépassé.' ou 'Impossible de trouver les informations d'enregistrement de l'appliance dans le Check Point User Center. Utilise actuellement une licence d'essai. '

Q: L'appliance 1400 prend-elle en charge la mise en cluster?
Un: bien sûr. ClusterXL et Internet La haute disponibilité (HA -> Actif / Veille) est entièrement pris en charge. Seulement Partage de charge Internet (LS) est pris en charge cependant. Ceci s’applique à la gestion locale et centrale.

Q: Comment configurer un cluster entre deux appliances 1400 gérées localement?
A: sk121096 décrit la procédure correcte.

Q: Comment créer un script de démarrage personnalisé / désactiver SecureXL de manière permanente?
A: sk65015 décrit une solution où une coutume userScript peuvent être créés pour être chargés après chaque redémarrage. C’est aussi simple que de mettre vos commandes ou scripts contenant des chemins complets dans /pfrm2.0/etc/userScript

Code:

[Expert@fw]# cd /pfrm2.0/etc/
[Expert@fw]# vi userScript
[Expert@fw]# chmod 777 userScript

Q: Comment la synchronisation est-elle configurée dans un cluster 1400 Appliance?
A: le Sync l'interface est généralement configurée sur LAN2. L'utilisation de l'interface sans fil comme interface de synchronisation n'est pas prise en charge.
Avant de configurer un cluster local, assurez-vous que l'interface de synchronisation n'est pas affectée en vérifiant la page Périphérique> Réseau local dans l'interface Web.
A: sk52500 explique comment configurer une interface Sync autre que LAN2.

Q: Comment puis-je vérifier rapidement les principaux résultats de la règle de stratégie de pare-feu?
R: Connectez-vous à votre appliance 1400 via SSH. Entrez la commande: afficher les règles-hits

Q: Comment copier des fichiers en toute sécurité via scp vers / depuis mon appliance 1400?
R: Activez simplement l'accès Scp avec cette commande en mode expert: bashUser sur

Code:

[Expert@fw]# bashUser on
utilisateur: admin

Connexion Bash activée.
Accès Scp activé.

Remarque:
        Votre shell par défaut sera maintenant bash,
        et lorsque vous vous connecterez, vous passerez en mode expert.
        Nous vous recommandons d’utiliser Clish comme shell par défaut,
        et passer en mode expert uniquement lorsque cela est nécessaire.
        Vous pouvez passer de bash à clish en utilisant la commande "clish".
        Pour restaurer votre shell par défaut afin de le nettoyer, exécutez "bashUser off"

A: Désactivez l'accès Scp après avoir copié vos fichiers via: bashUser off

[Expert@fw]# bashUser off
utilisateur: admin

Connexion Bash désactivée.
Accès Scp désactivé.
Cpshell activé.

A: sk52763 décrit la même procédure d'utilisation de WinSCP.

Q: Puis-je exécuter mes propres scripts sur l'appliance 1400?
A: oui Cependant, ils ne survivront pas à une mise à niveau du micrologiciel, alors gardez une trace de vos ajouts / modifications et recréez-les après la mise à niveau.

Q: Comment puis-je sauvegarder les sauvegardes locales le plus facilement?
R: Connectez simplement une clé USB standard au format FAT au port USB avant ou arrière de votre appliance 1400 en tant que périphérique de stockage local pour les sauvegardes.

clish> paramètres de sauvegarde en usb
Création d'une sauvegarde...
Chargement de backup_filename.zip sur le périphérique USB
Téléchargement complet
Vos paramètres ont été sauvegardés et enregistrés avec succès sur votre clé USB

UNE: Notez s'il vous plaît: Un fichier de sauvegarde vide sera créé si l'appliance 1400 s'exécute uniquement avec une licence d'évaluation. Pour résoudre ce problème, vous devez sauvegarder manuellement les fichiers spécifiques.

Q: Le routage dynamique est-il pris en charge?
A: bien sur.

Q: Quels ports dois-je autoriser pour que mon appareil 1400 puisse communiquer avec mon serveur de journalisation Check Management Security?
A: sk93566 répertorie les ports à autoriser. Habituellement c'est:

1: Src – Any, Dst – IP du serveur de gestion de la sécurité, port TCP 18210 (service FW1_ica_pull)
2: Src – Any, Dst – IP du serveur de gestion de la sécurité, port TCP 18191 (CPD de service)
3: Src – Any, Dst – IP du serveur de serveur de journalisation, port TCP 257 (service FW1_log)

Q: Comment puis-je configurer un VPN basé sur un certificat sur mon appliance 1100/1400?
R: Danny Jung a écrit un article sur les VPN basés sur les certificats avec les appliances Check Point.

Q: Comment puis-je résoudre les problèmes de réseau privé virtuel sur mon appliance 1100/1400?
# UI Web
A: Recherchez les entrées de journal VPN associées à l'adresse Journaux et surveillance> Journaux de sécurité
A: Vérifiez l'état de vos tunnels VPN à l'adresse VPN> Tunnels VPN
A: Testez votre configuration VPN à VPN> Sites VPN

# Console
A: Vous pouvez faire un débogage IKE complet dans Mode expert via ces étapes:
Étape 1: activez le mode de débogage VPN: vpn debug tunc; vpn debug on TDERROR_ALL_ALL = 5
Étape 2: recréer le problème VPN
Étape 3: Désactivez le mode de débogage VPN: vpn debug off; vpn debug ikeoff
Étape 4: Copier $ FWDIR / log / ike.elg sur votre PC et inspectez-le avec IKEView

Q: Comment puis-je désactiver l'assistant de première configuration?
R: L'assistant de première configuration sera désactivé par défaut une fois l'opération terminée.
R: Vous pouvez également le désactiver manuellement en exécutant la commande suivante sur la console: désactiver la première propriété de l'assistant

$ ssh -l admin 192.168.1.1
Le mot de passe de admin@192.168.1.1:
> Bienvenue chez CLISH. L'assistant de première configuration n'était pas encore terminé
> REMARQUE: L’assistant de première configuration peut supprimer ou remplacer certains des paramètres définis dans CLISH.
> Pour désactiver l'assistant de première configuration (et la configuration automatique USB), veuillez exécuter l'option "Définir l'assistant initial pour la propriété".

clish>

Q: Comment puis-je réexécuter l'Assistant de première configuration?
R: Vous pouvez l'exécuter une fois en entrant la commande suivante sur la console: Définir la propriété première fois-assistant une fois

Q: Comment établir avec succès une connexion VPN avec une appliance 1100 gérée localement à l'aide de certificats?
R: Bien que l’appliance Check Point 1100 ait été principalement conçue pour être gérée de manière centralisée dans les réseaux d’entreprise, il est également possible qu’une appliance 1100 gérée localement (c’est-à-dire gérée en externe) doive être configurée pour une connexion VPN avec votre réseau privé d'entreprise Check Point VPN. passerelle / cluster. Même les solutions de passerelle DAIP (adresse IP affectée dynamiquement) qui doivent conserver un tunnel VPN permanent vers le bureau de l'entreprise sont possibles. sk94028 décrit la procédure de configuration complète.

Q: Comment configurer des VPN basés sur des certificats avec mon appareil Check Point 1100/1400?
R: Veuillez lire mon article sur la configuration des VPN basés sur des certificats.

Q: Pourquoi aucun trafic ne traverse-t-il le tunnel VPN entre mes appareils 1400 et un périphérique interopérable?
R: Vous avez probablement oublié de marquer le périphérique interopérable en tant que passerelle Check Point, comme décrit ici.

Q: Quelle technologie de regroupement est utilisée par les appliances Check Point 1400?
A: Point de contrôle ClusterXL.

Q: Puis-je configurer un cluster Check Point 1400 Appliance géré localement en utilisant deux modèles 1400 différents?
A: oui Toutefois, les clusters doivent toujours être configurés à l'aide de nœuds de cluster identiques pour améliorer la cohérence, la stabilité et la fiabilité.

Q: Puis-je configurer un cluster d'appareils Check Point 1400 avec des nœuds de cluster s'exécutant sur différents firmwares?
Cela entraînerait l'erreur suivante:
image.png

Q: Existe-t-il une autre limitation lorsque vous envisagez d'exécuter les appliances Check Point 1400 en mode clustering?
R: Oui, vous ne pouvez pas utiliser de commutateurs ni de ponts dans la configuration locale de vos appareils 1400.

image.png

Q: Comment savoir si mon nœud de cluster inactif est devenu actif lors de l'exécution des appliances Check Point 1400 en mode cluster?
R: Dans la gestion centralisée, il suffit de vérifier SmartView Monitor. Dans la gestion locale, vous recevez une notification dans l'interface Web.

image.png


Q: Comment savoir si mon nœud de cluster actif est devenu inactif lors de l'exécution des appliances Check Point 1400 en mode clustering?
R: Dans la gestion centralisée, il suffit de vérifier SmartView Monitor. Dans la gestion locale, vous recevez une notification dans l'interface Web.
image.png

Q: Lorsque vous exécutez des appliances Check Point 1400 en mode cluster, comment puis-je modifier manuellement l'activité des nœuds de cluster?
R: Dans la gestion centralisée, il suffit de changer la priorité des nœuds de cluster dans les propriétés de l'objet de cluster et d'installer la stratégie de sécurité.
R: Dans la gestion locale, vous pouvez forcer un membre à descendre en appuyant sur le bouton. 'Membre de force vers le bas' dans l'interface utilisateur Web du nœud de cluster spécifique.
R: Vous pouvez toujours utiliser les commandes classiques ClusterXL sur la console pour contrôler votre cluster Check Point 1100 Appliance. (c'est-à-dire clusterXL_admin up / down)

Q: J'ai configuré un cluster d'appareils Check Point 1400 mais je continue à avoir des erreurs?
R: N'oubliez pas de redémarrer vos appliances Check Point 1400 juste après la configuration du cluster afin de faire fonctionner le cluster. Sinon, vous pourriez voir des connexions bloquées pour le service 'CP_Cluster_sync'dans vos fichiers de log.

image.png

Q: Je continue à recevoir un 'Erreur lors de la synchronisation du système d'exploitation' à la fin de la configuration de mon cluster Check Point 1400 Appliance?
R: Pour résoudre ce problème, redémarrez simplement votre appliance Check Point 1400 sans fermer la fenêtre d'erreur ci-dessous.

image.png

Q: Pourquoi les connexions au port TCP 443 sont-elles bloquées sur mon appliance 1400?
R: Parce que ce port est déjà utilisé par la fonctionnalité de mode visiteur pour les utilisateurs d'accès à distance. sk93746 fournit une solution.

Q: Pourquoi mon téléphone VoIP ne fonctionne-t-il pas derrière mon appliance 1400 gérée localement? Pourquoi ma lame IPS bloque-t-elle toujours le trafic SIP avec le message d'erreur 'IPS – Données SIP mal formées ou Erreur avec les données SIP.' même après l'avoir éteint?
R: Parce que sur les appliances Check Point 1400 gérées localement, les règles de stratégie implicites du serveur lame IPS fonctionnent, même si le serveur lame est désactivé ou qu'une règle d'exception est créée. sk93200 fournit une solution en modifiant le port par défaut (5060) du SIP_TCP et SIP_UDP objets et en créer deux nouveaux. Cela contourne le moteur d'inspection du contenu et permettra donc à votre téléphone VoIP de fonctionner.

Q: Comment créer une règle "Autoriser et transférer" sur mon appliance 1400 gérée localement?
A: sk93588 explique comment utiliser les types de serveur pour cela.

Q: Un kit de montage en rack 19 "est-il disponible pour mes appareils 1400?
R: Oui, il suffit de commander l’accessoire de montage en rack 1400 qui permettra de loger deux appareils 1400 côte à côte dans un rack de 19 pouces de large.

Q: Une démonstration de l’appareil 1400 est-elle disponible?
UNE: Bien qu'il n'y ait pas de démo pour le 1400, il y en a une pour le 700 qui est très similaire au 1400 lorsqu'elle est gérée localement.

————————————–

Démo 700 Appliance

S'identifier: démo

Mot de passe: point de contrôle

————————————–

Q: Comment réinitialiser à distance le mot de passe administrateur / expert sur l'appliance 1100 / 1200R / 1400 à gestion centralisée à partir d'un serveur Security Management Server?

UNE: sk119633 fournit une solution.

Q: Qu'est-ce qui manque?
R: La fenêtre intégrée Terminal Console du portail GAiA.
A: Un aperçu visuel de tous les ports et de l’état de leur connexion, similaire à celui proposé par l’UTM-1 Edge Réseau> Ports.
A: Plus d'informations sur la page Informations système. Comme le statut du cluster, le statut du VPN, les clés USB connectées, les cartes SD, etc.
R: Une option permettant à deux administrateurs ou plus de se connecter à WebUI en même temps.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.