Lektion 1Grunderna i Check Point-åtkomstkontrollpolicys struktur (topp-ner regelbehandling, regelträffräknare)Förstå den logiska strukturen i Check Point-åtkomstkontrollpolicyer, inklusive ordnad regelutvärdering, inbäddade lager, träffräknare och påverkan av regelplacering på säkerhet, felsökning och långsiktig regelbasunderhåll.
Top-down rule evaluation behaviorInline layers and ordered layers usageUsing rule hit counts for analysisShadowed and overlapping rule detectionChange control for policy structureLektion 2Regelsammansättning: Källa, Mål, Tjänst/Port, Åtgärd, Spårning, Installera på – detaljerade exempelUtforska varje regelkomponent i detalj, inklusive Källa, Mål, Tjänst/Port, Åtgärd, Spårning och Installera på, med konkreta exempel som illustrerar vanliga mönster, fallgropar och bästa praxis för att bygga läsbara, granskbara regler.
Choosing precise source definitionsDesigning accurate destinations and groupsSelecting services and custom portsAction and Track field best practicesInstall On targets and policy packagesLektion 3Regelbasoptimering och prestandaöverväganden: använda grupper, förenkla regler och övervaka regelträffarOptimera regelbasprestanda genom att konsolidera objekt till grupper, förenkla regler, justera tjänster och använda träffräknardata och loggar för att identifiera oanvända eller ineffektiva regler, samtidigt som tydlighet och säkerhetshållning bevaras.
Group networks and services logicallyConsolidate similar rules safelyTune services and application objectsUse hit counts to remove stale rulesMonitor performance and policy impactLektion 4Gästnätsisolering: regler och lager för att tvinga Internet-bara åtkomst och klient-mot-klient-blockeringDesigna gästnätsisolering med dedikerade lager, zoner och restriktiva regler som tvingar Internet-bara åtkomst, blockerar klient-mot-klient-trafik och förhindrar lateralt rörelse till interna, DMZ- och hanteringssegment.
Define guest VLANs and zonesEnforce Internet-only egress rulesBlock client-to-client communicationPrevent access to internal networksMonitor guest usage and anomaliesLektion 5Regler för server-mot-server- och intersajersåtkomst (HQ_Server och BR_Server) inklusive restriktiva portar och tidsbaserade begränsningarLär dig designa säkra server-mot-server- och intersajersregler mellan HQ- och filialservrar, inklusive restriktiv tjänsteexponering, tidsbaserade åtkomstfönster, loggning och valideringstekniker som bevarar tillgänglighet samtidigt som angreppsyta minimeras.
Identify HQ_Server and BR_Server assetsDefine allowed services and restricted portsImplement time-based access controlLog and monitor inter-site trafficTest and validate server access rulesLektion 6Rengöringsregler, implicita regler och regelbashygien: placering, namngivning och syfteFörstå rengöringsregler, implicita regler och regelbashygienpraxis, inklusive regelordning, namngivningskonventioner, dokumentation och periodiska granskningar som håller policyn effektiv, granskbar och anpassad till säkerhetsstandarder.
Analyze implied rules and defaultsDesign explicit cleanup and drop rulesApply clear naming conventionsDocument rule purpose and ownersSchedule periodic rulebase reviewsLektion 7Designa regler för webb, DNS och e-post för HQ_Office och BR_Office med minsta-privilegium-principerDesigna minsta-privilegium-regler för webb-, DNS- och e-posttrafik för HQ_Office och BR_Office, begränsa åtkomst efter användare, nätverk och applikation, samtidigt som affärskontinuitet, loggning och tydlig separation av utgående och inkommande flöden säkerställs.
Identify office web, DNS, and mail flowsSeparate HQ_Office and BR_Office policiesRestrict services and destinations tightlyApply user and group-based controlsLog and review office traffic patternsLektion 8DMZ-publicering: regler för att tillåta Internet till HQ_DMZ-webb- och e-postservrar med NAT- och inspektionsövervägandenLär dig publicera DMZ-tjänster säkert, tillåta Internet-åtkomst till HQ_DMZ-webb- och e-postservrar samtidigt som NAT, HTTPS-inspektion, anti-bot och IPS-kontroller tillämpas, och säkerställa loggning, redundans och minimal exponerad yta.
Identify HQ_DMZ web and mail assetsConfigure static and hide NAT rulesRestrict inbound services and portsApply HTTPS inspection and IPSMonitor DMZ traffic and anomaliesLektion 9Designa rollbaserade regeluppsättningar för HQ- och filialgateways: separation av Internet, intern, DMZ och hanteringsåtkomstBygg rollbaserade regeluppsättningar för HQ- och filialgateways som tydligt separerar Internet-, intern-, DMZ- och hanteringstrafik, med lager, nätverksobjekt och namngivningsstandarder för att förenkla delegering, granskning och felsökning.
Identify roles and traffic categoriesSeparate Internet and internal rulesIsolate DMZ and management accessUse layers for role-based policiesDelegate administration by roleLektion 10Hanteringstillgångsregler: begränsa SSH/RDP/HTTPS till HQ_Mgmt, användning av Secure Internal Zones och kompenserande kontrollerDesigna strikt kontrollerade hanteringsåtkomstregler för SSH, RDP och HTTPS till HQ_Mgmt, med Secure Internal Communications, hanteringszoner, hopp-värdar och kompenserande kontroller som MFA, loggning och just-in-time-åtkomst.
Define HQ_Mgmt networks and hostsRestrict SSH, RDP, and HTTPS sourcesUse Secure Internal Zones and SICApply MFA and just-in-time accessLog and review admin activity
