שיעור 1יסודות מבנה מדיניות בקרת גישה של Check Point (עיבוד חוקים מלמעלה למטה, ספירות פגיעות חוקים)הבינו את המבנה הלוגי של מדיניות בקרת גישה של Check Point, כולל הערכת חוקים מסודרת, שכבות inline, ספירות פגיעה והשפעת מיקום חוקים על אבטחה, איתור תקלות ותחזוקה ארוכת טווח של בסיס חוקים.
Top-down rule evaluation behaviorInline layers and ordered layers usageUsing rule hit counts for analysisShadowed and overlapping rule detectionChange control for policy structureשיעור 2רכיבי חוק: מקור, יעד, שירות/פורט, פעולה, מעקב, התקנה על — דוגמאות מפורטותחקרו כל רכיב חוק בפירוט, כולל מקור, יעד, שירות/פורט, פעולה, מעקב והתקנה על, עם דוגמאות קונקרטיות הממחישות דפוסים נפוצים, מלכודות ושיטות עבודה מומלצות לבניית חוקים קריאים וניתנים לביקורת.
Choosing precise source definitionsDesigning accurate destinations and groupsSelecting services and custom portsAction and Track field best practicesInstall On targets and policy packagesשיעור 3אופטימיזציה של בסיס חוקים ושיקולים של ביצועים: שימוש בקבוצות, פישוט חוקים ומעקב אחר פגיעות חוקיםאופטימיזו ביצועי בסיס חוקים על ידי איחוד אובייקטים לקבוצות, פישוט חוקים, כוונון שירותים ושימוש בנתוני ספירות פגיעה ולוגים לזיהוי חוקים לא בשימוש או לא יעילים, תוך שמירה על בהירות ומצב אבטחה.
Group networks and services logicallyConsolidate similar rules safelyTune services and application objectsUse hit counts to remove stale rulesMonitor performance and policy impactשיעור 4בידוד רשת אורחים: חוקים ושכבות לאכיפת גישה לאינטרנט בלבד וחסימת לקוח-ללקוחעצבו בידוד רשת אורחים באמצעות שכבות ייעודיות, אזורים וחוקים מגבילים האוכפים גישה לאינטרנט בלבד, חוסמים תעבורה בין לקוחות ומניעים תנועה צידית לקטעים פנימיים, DMZ וניהול.
Define guest VLANs and zonesEnforce Internet-only egress rulesBlock client-to-client communicationPrevent access to internal networksMonitor guest usage and anomaliesשיעור 5חוקים לגישה שרת-לשרת ובין אתרים (HQ_Server ו-BR_Server) כולל פורטים מוגבלים ומגבלות מבוססות זמןלמדו כיצד לעצב חוקים מאובטחים שרת-לשרת וגישה בין אתרים בין שרתי מטה וסניפים, כולל חשיפת שירותים מוגבלת, חלונות גישה מבוססי זמן, לוגינג וטכניקות אימות השומרות על זמינות תוך מזעור משטח התקפה.
Identify HQ_Server and BR_Server assetsDefine allowed services and restricted portsImplement time-based access controlLog and monitor inter-site trafficTest and validate server access rulesשיעור 6חוקי ניקוי, חוקים משתמעים והיגיינת בסיס חוקים: מיקום, שמות ומטרההבינו חוקי ניקוי, חוקים משתמעים ושיטות היגיינה של בסיס חוקים, כולל סידור חוקים, אמנות שמות, תיעוד וסקירות תקופתיות השומרות על מדיניות יעילה, ניתנת לביקורת ומתואמת לתקני אבטחה.
Analyze implied rules and defaultsDesign explicit cleanup and drop rulesApply clear naming conventionsDocument rule purpose and ownersSchedule periodic rulebase reviewsשיעור 7עיצוב חוקים לאינטרנט, DNS ודואר עבור HQ_Office ו-BR_Office עם עקרונות הרשאה מינימליתעצבו חוקי הרשאה מינימלית לתעבורת אינטרנט, DNS ודואר עבור HQ_Office ו-BR_Office, מגבילים גישה לפי משתמש, רשת ויישום, תוך הבטחת המשכיות עסקית, לוגינג והפרדה ברורה של זרימות יוצאות ונכנסות.
Identify office web, DNS, and mail flowsSeparate HQ_Office and BR_Office policiesRestrict services and destinations tightlyApply user and group-based controlsLog and review office traffic patternsשיעור 8פרסום DMZ: חוקים לאפשר גישה מאינטרנט לשרתי אינטרנט ודואר ב-HQ_DMZ עם NAT ובדיקותלמדו כיצד לפרסם שירותי DMZ באופן מאובטח, מאפשרים גישה מאינטרנט לשרתי אינטרנט ודואר ב-HQ_DMZ תוך יישום NAT, בדיקת HTTPS, anti-bot ו-IPS, והבטחת לוגינג, גיבוי ומשטח חשיפה מינימלי.
Identify HQ_DMZ web and mail assetsConfigure static and hide NAT rulesRestrict inbound services and portsApply HTTPS inspection and IPSMonitor DMZ traffic and anomaliesשיעור 9עיצוב קבוצות חוקים מבוססות תפקיד לשערי HQ וסניף: הפרדת אינטרנט, פנימי, DMZ וניהולבנו קבוצות חוקים מבוססות תפקידים לשערי מטה וסניפים המפרידות בבירור תעבורת אינטרנט, פנימית, DMZ וניהול, באמצעות שכבות, אובייקטי רשת ואמנות שמות לפישוט העברה, ביקורת ואיתור תקלות.
Identify roles and traffic categoriesSeparate Internet and internal rulesIsolate DMZ and management accessUse layers for role-based policiesDelegate administration by roleשיעור 10חוקי גישה ניהולית: הגבלת SSH/RDP/HTTPS ל-HQ_Mgmt, שימוש באזורי פנים מאובטחים ובקרת פיצויעצבו חוקי גישה ניהולית מבוקרים היטב עבור SSH, RDP ו-HTTPS ל-HQ_Mgmt, מנצלים תקשורת פנימית מאובטחת, אזורי ניהול, jump hosts ובקרות מפצות כמו MFA, לוגינג וגישה בזמן אמת.
Define HQ_Mgmt networks and hostsRestrict SSH, RDP, and HTTPS sourcesUse Secure Internal Zones and SICApply MFA and just-in-time accessLog and review admin activity
