Що таке Gaia?
Check Point GAiA TM - це нове покоління захищеної операційної системи для рішень Check Point (Appliances, Open Servers, Virtualized Gateways). GAiA об'єднує кращий функціонал операційних систем IPSO і SecurePlatform (SPLAT) в єдину уніфіковану операційну систему, що забезпечує ще більшу ефективність і продуктивність. Перехід на GAiA забезпечує більш високі показники числа одночасно підтримуваних сесій і нижчу вартість підтримки рішення за рахунок зниження трудомісткості багатьох операцій. З GAiA навіть замовники, які використовують IP Appliance, отримають можливість використовувати всю міць рішень Check Point за рахунок підтримки всіх Software Blades. GAiA також захищає мережі IPv6, в т.ч. з використанням технологій Check Point Acceleration Clustering, а також підтримує 5 різних протоколів динамічної маршрутизації.
GAiA спрощує управління за рахунок розмежування обов'язків завдяки рольового управління (role-based administration - RBA). Крім цього, GAiA значно підвищує ефективність управління за рахунок автоматичного оновлення (Automatic Software Update).
Web інтерфейс управління пристроєм (GAiA portal) має вбудований пошук, що дозволяє локалізувати необхідну команду або настройку в лічені секунди. У частині командного рядка GAiA назад сумісна як з IPSO, так і SPLAT, що забезпечує безболісний перехід на нову операційну систему для існуючих замовників Check Point.
Коли з'явиться Gaia?
R75.40 буде тільки на Gaia?
Версія R75.40 доступна на Gaia, SecurePlatform, IPSO і Windows платформах.
Однак Check Point рекомендує по можливості переходити на GAIA.
Найбільш важливе в R75.40?
R75.40 містить безліч значних поліпшень, а так само включає новий Anti-Bot blade.
Найбільш важливе в Gaia?
- Підтримка всіх пристроїв (Check Point appliances)
- Підтримка серверів (open servers) - дивіться Check Point Hardware Compatibility List
- Підтримка безлічі одночасних сесій завдяки 64-бітної архітектури на багатьох пристроях.
- Новий портал (Web UI) забезпечує повний контроль системи з можливостями пошуку і вбудованим терміналом
- Уніфікований інтерфейс командного рядка, сумісний як з Clish, так і з cpshell.
- Підтримка IPv6, включаючи технології прискорення, ClusterXL, Web UI і командний рядок
- ClusterXL і VRRP -
- Role Based Administration - fine grained control of Administrator's privileges.
- RADIUS and TACACS + support.
Чи буде Gaia випущена для старих релізів, наприклад R70?
Що означає слово "Gaia"?
Спробуйте почитати Gaia administration guide. особливо сторінку 9.
Чи може Gaia використовуватися для Security Management server?
Чи можна використовувати Windows FTP сервер для установки Gaia на IP appliance?
У мене проблеми з установкою Gaia на IP-Series Appliances. На що звернути увагу?
Переконайтеся, що встановлено Gaia boot manager з версією IP-Series-BM-GAIA81_B730174019 або IP-Series-BM-GAIA81_B730174020.
Переконайтеся, що FTP сервер доступний з IP Ареса пристрою і не блокуються фаєрволом, списками доступу.
Інсталятор вимагає, щоб FTP сервер підтримував більше 50 одночасних підключень, не кожен FTP серевер під windows на таке здатний за замовчуванням.
Висока завантаженість мережі також може призводити до проблем при установці. Краще використовувати гігабітний інтерфейс, і аж ніяк не Wi-Fi.
Чи можна проапгрейдить IPSO Appliance, на якому також працює Management server?
Так, просто з'явиться кілька додаткових кроків.
Як запустити First Time Wizard з командного рядка (CLI)?
З clish запустіть system_config.
Апгрейд з SecurePlatform на Gaia повністю збереже мою конфігурацію?
Так, за невеликими винятками
- Dynamic Routing (GateD) не оновлюється. У Gaia використовується routed від IPSO.
- Налаштування SNMP не будуть збережені.
- Настоянки IPv6 оновляться, але трохи іншим способом.
Невже можна використовувати VRRP на Power-1?
На, в Gaia ви можете використовувати VRRP на будь-яких апплаенсах і серверах.
Чи можна використовувати VRRP для IPv6?
Я налаштував на Gaia VRRP або проапгрейдить з IPSO, і тепер обидва пристрої вважають себе Master
У Gaia необхідно явно створити на МСЕ правило: Accept VRRP protocol packets.
Де в Gaia дозволити приймати трафік на VRRP IP?
У Gaia така опція відсутня, оскільки в Gaia (на відміну від IPSO) за замовчуванням дозволені пакети, що приходять на VRRP IP.
У Gaia DHCP сервер підтримує IPv6?
Ні. Наш DHCP сервер розрахований тільки на IPv4.
Чи підтримується BGP з MD5 на Gaia?
Так, але тільки в 32-бітному режимі. При необхідності використовувати BGP з MD5 в 64-бітному режимі звертайтеся в техпідтримку за хотфиксов.
Gaia підтримує VPN Virtual Tunneling Interfaces (VTI)?
Так, і не тільки в CLI, але і в Web UI (Gaia portal).
Gaia підтримує Service-based routing або Port-based routing?
Можу я налаштувати monitor-only port, також відомий як TAP port або Mirror port?
Так, ви можете налаштувати порт моніторингу. Для цього потрібно виконати кілька простих кроків.
Створити bridge інтерфейс з одного фізичного через Web UI або командою
clish> add bridging group 1 interface eth3
Створити файл / etc / monitor_mode і додати в нього список інтерфейсів, кожен на новому рядку. Наприклад, eth3
Як підключитися по scp або sftp до шлюзу Gaia?
Можна використовувати scp (але не sftp). При цьому користувач не може використовувати clish як shell за замовчуванням. Слід або змінити, або створити нового користувача з / bin / bash. Ще краще для цих цілей використовувати / usr / bin / scponly (логін на консоль для даного користувача буде неможливий).
Чи потрібна спеціальна ліцензія для IPv6?
Ліцензію IPv6 можна отримати безкоштовно. Процедура описана в SK66082.
How can I configure Proxy ARP on Gaia?
Proxy ARP - функція брандмауера, а не операційної системи. Тому налаштовуйте Proxy ARP стандартним чином (SmartDashboard and local.arp).
Які пристрої (Check Point appliances) підтримує Gaia?
Практично всі актуальні:
Які стандартні сервера (Open Servers) підтримує Gaia?
Gaia підтримує той же обладнання, що і SecurePlatform. Подробиці в Hardware Compatibility List.
Де знайти диски для установки на Check Point Appliance?
У SecurePlatform були різні диски для серверів і для appliances. У Gaia для всіх моделей використовується єдиний диск.
Які пристрої підтримують режим High Connection Capacity (64-bit) на Gaia?
64-бітний режим підтримують:
- Check Point 21400
- Check Point 12600
- Check Point 12400
- Check Point 12200
- Check Point 4800
- IP 2450
- IP 1280
- Power-1 11000
При цьому 64-бітний режим доступний тільки при наявності більш 4GB RAM. Для деяких пристроїв це означає 6GB, для інших 8GB.
Які сервера підтримують 64-бітний режим в Gaia?
На даний момент такі моделі сертифіковані Check Point для використання в 64-бітному режимі з оперативною пам'яттю 6GB і вище:
- IBM x3650 M3
- Dell PowerEdge R710
- Fujitsu RX300 S6
- HP ProLiant DL380 G7
Який максимальний обсяг пам'яті може бути використаний в 64-бітному режимі?
У мене автоматично стартує 64-бітний режим. Як переключтіься в 32-бітний?
Вам допоможе команда clish "set edition".
Я оновив систему до Gaia, але воно як і раніше працює в 32-бітному режимі. Що я роблю не так?
За замовчуванням ідолжен бути 32-бітний режим. Щоб його змінити виконайте команду clish "set edition default 64-bit".
Також можна вручну змінити /etc/grub.conf і встановити режим завантаження за замовчуванням (default = 5).
Чи доступний 64-бітний режим на VMware?
Саме для VMWare зроблено виняток. І ви можете перевірити 64-бітний режим, якщо виділити системі не менше 1 ГБ пам'яті.
Але це саме для тестів, для реальної експлуатації дана дія сенсу не має.
Чи підтримує Gaia flash-based IP appliances?
Згідно Release Notes підтримуються не тільки flash-based, але і hybrid моделі.
Однак, наскільки я пам'ятаю, для flash basde моделей з 1GB пам'яті підтримувалися тільки 3 Блейда (FW + IPS + VPN). Решта тільки при 2 GB
Крім того, я рекомендую для роботи з Gaia замінити hybrid моделі на більш сучасні, благо є процедури trade-in, з частковим заліком ціни замінного пристрою.
Чому пишеться, що немає місця для збереження резервних образів (images) (в Maintenance> Image Management) на IP Appliances?
Дана можливість підтримується тільки на IP Appliances з 80GB жорстким диском. На пристроях з 40GB диском дійсно недостатньо місця для зберігання образів.
На однакових open servers різні імена інтерфейсів
1. lspci -nv> pci_id
3. Порівняйте вміст /etc/udev/rules.d/00-OS-XX.rules на обох машинах. Воно повинно абсолютно збігатися.
4. Чи можете скопіювати /etc/udev/rules.d/00-OS-XX.rules з однієї машини на іншу для підтримки ідентичності найменування інтерфейсів.
Gaia підтримує аутентифікацію з використанням зовнішнього RADIUS сервера?
Невже і TACACS + теж?
Так. Однак поки тільки початкова підтримка, не всі можливості груп і RBA підтримуються. При необхідності звертайтеся в техпідтримку
Я змінив пароль експерта (expert password), але після перезавантаження зміни не збереглися.
Обов'язково давайте команду "save config", щоб зміни зберігалися. Це стосується будь-яких налаштувань, які ви робите з командного рядка clish.
Коли ви виконуєте налаштування з Gaia portal (Web UI), настройки зберігаються автоматично.
Чи потребує Gaia спеціальної ліцензії?
До Gaia застосовується той же ліцензування, що і до IPSO і SecurePlatform.
Але пам'ятайте, що R75.40 вимагає ліцензії типу Software Blades і не працює зі старими (NGX) ліцензіями.
Чи потрібна спеціальна ліцензія для IPv6?
Ліцензію IPv6 можна отримати безкоштовно. Процедура описана в SK66082.
Керування користувачами
Можу я використовувати root account?
Якщо ж настільки необхідний користувач з ім'ям root, змініть файл / etc / hidden_user_names і видаліть звідти слово "root".
Де завантажити документацію?
Коли слід включати 64-бітний режим?
Якщо обсяг оперативної пам'яті не перевищує 4GB, переваг від використання 64-бітного режиму не буде.
Навіщо мені так багато одночасних сесій?
Згідно з документацією кількість одночасно підтримуваних сесій:
Ці значення наведені для режиму брандмауера.
І, оскільки обсяг пам'яті, що виділяється для зберігання інформації про сесію, збільшується при використанні додаткових Блейд, в реальності не виключено, коли для підтримки 1 мільйона одночасних сесій буде потрібно 12GB оперативної пам'яті.
А що щодо SecurePlatform в 64-бітному режимі?
Теоретично і SPLAT і Gaia використовують один і той же ядро. Тому можливо (по-крайней мере під час Early Availability така можливість існувала) запустити SPLAT в режимі 64-біт.
Але навіщо? Основний фокус Check Point буде націлений саме на Gaia, і через якийсь час SPLAT (як і IPSO) перестануть підтримуватися.
Тому переходите на GAiA! Не пошкодуєте!
