Pelajaran 1Dasar-dasar struktur kebijakan kontrol akses Check Point (Pemrosesan aturan dari atas ke bawah, hitungan hit aturan)Pahami struktur logis kebijakan kontrol akses Check Point, termasuk evaluasi aturan berurutan, lapisan inline, hitungan hit, dan dampak penempatan aturan terhadap keamanan, pemecahan masalah, dan keterpeliharaan rulebase jangka panjang.
Top-down rule evaluation behaviorInline layers and ordered layers usageUsing rule hit counts for analysisShadowed and overlapping rule detectionChange control for policy structurePelajaran 2Komposisi aturan: Sumber, Tujuan, Layanan/Port, Aksi, Pelacakan, Instal Pada — contoh terperinciJelajahi setiap komponen aturan secara detail, termasuk Sumber, Tujuan, Layanan/Port, Aksi, Pelacakan, dan Instal Pada, dengan contoh konkret yang mengilustrasikan pola umum, kesalahan, dan praktik terbaik untuk membangun aturan yang mudah dibaca dan diaudit.
Choosing precise source definitionsDesigning accurate destinations and groupsSelecting services and custom portsAction and Track field best practicesInstall On targets and policy packagesPelajaran 3Optimalisasi rulebase dan pertimbangan kinerja: menggunakan grup, menyederhanakan aturan, dan memantau hitungan hit aturanOptimalkan kinerja rulebase dengan mengkonsolidasikan objek ke dalam grup, menyederhanakan aturan, menyesuaikan layanan, serta menggunakan data hitungan hit dan log untuk mengidentifikasi aturan yang tidak digunakan atau tidak efisien, sambil mempertahankan kejelasan dan postur keamanan.
Group networks and services logicallyConsolidate similar rules safelyTune services and application objectsUse hit counts to remove stale rulesMonitor performance and policy impactPelajaran 4Isolasi jaringan tamu: aturan dan lapisan untuk memaksa akses hanya Internet dan pemblokiran klien-ke-klienRancang isolasi jaringan tamu menggunakan lapisan khusus, zona, dan aturan ketat yang memaksa akses hanya ke Internet, memblokir lalu lintas klien-ke-klien, serta mencegah pergerakan lateral ke segmen internal, DMZ, dan manajemen.
Define guest VLANs and zonesEnforce Internet-only egress rulesBlock client-to-client communicationPrevent access to internal networksMonitor guest usage and anomaliesPelajaran 5Aturan untuk akses server-ke-server dan antar-situs (HQ_Server dan BR_Server) termasuk port terbatas dan batasan berbasis waktuPelajari cara merancang aturan server-ke-server dan antar-situs yang aman antara server pusat dan cabang, termasuk paparan layanan terbatas, jendela akses berbasis waktu, pencatatan, dan teknik validasi yang mempertahankan ketersediaan sambil meminimalkan permukaan serangan.
Identify HQ_Server and BR_Server assetsDefine allowed services and restricted portsImplement time-based access controlLog and monitor inter-site trafficTest and validate server access rulesPelajaran 6Aturan pembersihan, aturan tersirat, dan kebersihan rulebase: penempatan, penamaan, dan tujuanPahami aturan pembersihan, aturan tersirat, dan praktik kebersihan rulebase, termasuk pemesanan aturan, konvensi penamaan, dokumentasi, dan tinjauan berkala yang menjaga kebijakan tetap efisien, dapat diaudit, dan selaras dengan standar keamanan.
Analyze implied rules and defaultsDesign explicit cleanup and drop rulesApply clear naming conventionsDocument rule purpose and ownersSchedule periodic rulebase reviewsPelajaran 7Merancang aturan untuk web, DNS, dan email untuk HQ_Office dan BR_Office dengan prinsip hak istimewa terkecilRancang aturan hak istimewa terkecil untuk lalu lintas web, DNS, dan email untuk HQ_Office dan BR_Office, membatasi akses berdasarkan pengguna, jaringan, dan aplikasi, sambil memastikan kelangsungan bisnis, pencatatan, dan pemisahan alur keluar dan masuk yang jelas.
Identify office web, DNS, and mail flowsSeparate HQ_Office and BR_Office policiesRestrict services and destinations tightlyApply user and group-based controlsLog and review office traffic patternsPelajaran 8Penerbitan DMZ: aturan untuk mengizinkan Internet ke server web dan email HQ_DMZ dengan pertimbangan NAT dan inspeksiPelajari cara menerbitkan layanan DMZ secara aman, mengizinkan akses Internet ke server web dan email HQ_DMZ sambil menerapkan NAT, inspeksi HTTPS, anti-bot, dan kontrol IPS, serta memastikan pencatatan, redundansi, dan permukaan paparan minimal.
Identify HQ_DMZ web and mail assetsConfigure static and hide NAT rulesRestrict inbound services and portsApply HTTPS inspection and IPSMonitor DMZ traffic and anomaliesPelajaran 9Merancang set aturan berbasis peran untuk gateway HQ dan Cabang: pemisahan akses Internet, internal, DMZ, dan manajemenBangun set aturan berbasis peran untuk gateway pusat dan cabang yang dengan jelas memisahkan lalu lintas Internet, internal, DMZ, dan manajemen, menggunakan lapisan, objek jaringan, dan standar penamaan untuk menyederhanakan delegasi, audit, dan pemecahan masalah.
Identify roles and traffic categoriesSeparate Internet and internal rulesIsolate DMZ and management accessUse layers for role-based policiesDelegate administration by rolePelajaran 10Aturan akses manajemen: membatasi SSH/RDP/HTTPS ke HQ_Mgmt, penggunaan Zona Internal Aman dan kontrol kompensasiRancang aturan akses manajemen yang dikontrol ketat untuk SSH, RDP, dan HTTPS ke HQ_Mgmt, memanfaatkan Komunikasi Internal Aman, zona manajemen, host lompat, dan kontrol kompensasi seperti MFA, pencatatan, dan akses tepat waktu.
Define HQ_Mgmt networks and hostsRestrict SSH, RDP, and HTTPS sourcesUse Secure Internal Zones and SICApply MFA and just-in-time accessLog and review admin activity
