Продължаваме нашата поредица от статии за NGFW за малкия бизнес, позволете ми да ви напомня, че преглеждаме новата моделна гама от серия 1500. IN 1 части цикъл, споменах една от най-полезните опции при закупуване на SMB устройство - доставката на шлюзове с вградени лицензи за мобилен достъп (от 100 до 200 потребители, в зависимост от модела). В тази статия ще разгледаме настройката на VPN за шлюзове от серия 1500, които идват с предварително инсталирана Gaia 80.20 Embedded. Ето резюме:
VPN възможности за SMB.
Организация на отдалечен достъп за малък офис.
Налични клиенти за връзка.
1. VPN опции за SMB
За да подготви днешния материал, официалният администраторско ръководство версия R80.20.05 (актуална към момента на публикуване на статията). Съответно, по отношение на VPN с Gaia 80.20 Embedded има поддръжка за:
От сайт до сайт. Създаване на VPN тунели между вашите офиси, където потребителите могат да работят, сякаш са в една и съща „локална“ мрежа.
Отдалечен достъп. Дистанционна връзка с ресурсите на вашия офис чрез потребителски крайни устройства (компютри, мобилни телефони и др.). Освен това има SSL Network Extender, който ви позволява да публикувате отделни приложения и да ги стартирате с помощта на Java Applet, свързвайки се чрез SSL. Забележка: да не се бърка с портала за мобилен достъп (няма поддръжка за Gaia Embedded).
Освен това Силно препоръчвам курса на автора TS Solution - VPN за отдалечен достъп на Check Point той разкрива технологиите на Check Point по отношение на VPN, засяга проблемите с лицензирането и съдържа подробни инструкции за настройка.
2. Отдалечен достъп за малък офис
Ще започнем да организираме дистанционна връзка с вашия офис:
За да могат потребителите да изграждат VPN тунел с шлюз, трябва да имате публичен IP адрес. Ако вече сте завършили първоначалната настройка (2 статия от цикъла), тогава по правило външната връзка вече е активна. Информация можете да намерите, като отидете на Gaia Portal: Устройство → Мрежа → Интернет
Ако вашата компания използва динамичен публичен IP адрес, можете да зададете динамичен DNS. Отидете на Приспособление → DDNS и достъп до устройства
В момента има поддръжка от два доставчика: DynDns и no-ip.com. За да активирате опцията е необходимо да въведете вашите идентификационни данни (вход, парола).
След това нека създадем потребителски акаунт, ще бъде полезно за тестване на настройките: VPN → Отдалечен достъп → Потребители с отдалечен достъп
В групата (например: remoteaccess) ще създадем потребител, следвайки инструкциите на екранната снимка. Създаването на акаунт е стандартно, задайте потребителско име и парола и допълнително активирайте опцията за разрешения за отдалечен достъп.
Ако успешно сте приложили настройките, трябва да се появят два обекта: локален потребител, локална група потребители.
Следващата стъпка е да отидете на VPN → Отдалечен достъп → Управление на блейд. Уверете се, че вашият блейд е включен и трафикът от отдалечени потребители е разрешен.
*Горният беше минималният набор от стъпки за настройка на отдалечен достъп. Но преди да тестваме връзката, нека разгледаме разширените настройки, като отидем в раздела VPN → Отдалечен достъп → Разширени
Въз основа на текущите настройки виждаме, че когато отдалечени потребители се свържат, те ще получат IP адрес от мрежата 172.16.11.0/24, благодарение на опцията Office Mode. Това е достатъчно с резерв за използване на 200 конкурентни лиценза (посочени за 1590 NGFW Check Point).
Вариант „Маршрутизиране на интернет трафик от свързани клиенти през този шлюз“ е незадължителен и отговаря за маршрутизирането на целия трафик от отдалечения потребител през шлюза (включително интернет връзки). Това ви позволява да проверявате трафика на потребителя и да защитавате неговата работна станция от различни заплахи и зловреден софтуер.
*Работа с политики за достъп за отдалечен достъп
След като конфигурирахме отдалечен достъп, беше създадено правило за автоматичен достъп на ниво защитна стена, за да го видите, трябва да отидете в раздела: Правила за достъп → Защитна стена → Правила
В този случай отдалечените потребители, които са членове на предварително създадена група, ще имат достъп до всички вътрешни ресурси на компанията; имайте предвид, че правилото се намира в общия раздел „Входящ, вътрешен и VPN трафик“. За да разрешите VPN потребителски трафик към интернет, ще трябва да създадете отделно правило в общия раздел „Изходящ достъп до интернет".
И накрая, просто трябва да сме сигурни, че потребителят може успешно да създаде VPN тунел към нашия NGFW шлюз и да получи достъп до вътрешните ресурси на компанията. За да направите това, трябва да инсталирате VPN клиент на хоста, който се тества, предоставя се помощ връзка За зареждане. След инсталирането ще трябва да извършите стандартната процедура за добавяне на нов сайт (посочете публичния IP адрес на вашия шлюз). За удобство процесът е представен в GIF формат
Когато връзката вече е установена, нека проверим получения IP адрес на хост машината, като използваме командата в CMD: Ipconfig
Уверихме се, че виртуалният мрежов адаптер получи IP адрес от Office Mode на нашия NGFW, пакетите бяха изпратени успешно. За да завършим, можем да отидем на Gaia Portal: VPN → Отдалечен достъп → Свързани отдалечени потребители
Потребителят „ntuser“ се показва като свързан, нека проверим регистрирането на събития, като отидем на Дневници и наблюдение → Дневници за сигурност
Връзката се регистрира, като се използва IP адресът като източник: 172.16.10.1 - това е адресът, получен от нашия потребител чрез Office Mode.
3. Поддържани клиенти за отдалечен достъп
След като прегледахме процедурата за настройка на отдалечена връзка с вашия офис с помощта на NGFW Check Point от семейството на SMB, бих искал да напиша за клиентска поддръжка за различни устройства:
L2TP Native Client (Check Point твърди, че поддържа собственото VPN приложение на Microsoft).
Разнообразието от поддържани операционни системи и устройства ще ви позволи да се възползвате напълно от вашия лиценз, който идва с NGFW. За да конфигурирате отделно устройство, има удобна опция „Как да се свържа“
Той автоматично генерира стъпки според вашите настройки, което ще позволи на администраторите да инсталират нови клиенти без никакви проблеми.
Заключение: За да обобщим тази статия, разгледахме VPN възможностите на фамилията NGFW Check Point SMB. След това описахме стъпките за настройка на отдалечен достъп в случай на отдалечено свързване на потребители към офиса и след това проучихме инструментите за наблюдение. В края на статията говорихме за наличните клиенти и опциите за свързване за отдалечен достъп. По този начин вашият клон ще може да осигури непрекъснатост и сигурност на работата на служителите, използвайки VPN технологии, въпреки различни външни заплахи и фактори.