Ni daŭrigas nian serion de artikoloj pri NGFW por malgrandaj entreprenoj, lasu min memorigi al vi, ke ni revizias la novan 1500-serio-modelon. EN ciklo, mi menciis unu el la plej utilaj elektoj aĉetante SMB-aparaton - la provizon de enirejoj kun enkonstruitaj licencoj de Mobile Access (de 100 ĝis 200 uzantoj, laŭ la modelo). En ĉi tiu artikolo ni rigardos agordi VPN por 1500-seriaj enirejoj, kiuj venas kun Gaia 80.20 Embedded antaŭinstalita. Jen resumo:
- VPN-kapabloj por SMB.
- Organizo de Fora Aliro por malgranda oficejo.
- Disponeblaj klientoj por konekto.
1. VPN-opcioj por SMB
Por prepari la hodiaŭan materialon, la oficialulo versio R80.20.05 (nuna en la momento de publikigo de la artikolo). Sekve, laŭ VPN kun Gaia 80.20 Embedded ekzistas subteno por:
- Retejo-Al-Ejo. Kreante VPN-tunelojn inter viaj oficejoj, kie uzantoj povas labori kvazaŭ ili estus en la sama "loka" reto.
- Fora Aliro. Fora konekto al viaj oficejaj rimedoj per uzantaj finaj aparatoj (komputiloj, poŝtelefonoj, ktp.). Aldone, ekzistas SSL Network Extender, ĝi permesas vin publikigi individuajn aplikojn kaj ruli ilin uzante la Java Applet, konektante per SSL. Notu: Ne konfuzu kun Mobile Access Portal (neniu subteno por Gaia Embedded).
aldone Mi tre rekomendas la kurson de la aŭtoro TS Solution - ĝi malkaŝas Check Point-teknologiojn pri VPN, tuŝas licencajn problemojn kaj enhavas detalajn instalinstrukciojn.
2. Fora Aliro por malgranda oficejo
Ni komencos organizi foran konekton al via oficejo:
- Por ke uzantoj konstruu VPN-tunelon kun enirejo, vi devas havi publikan IP-adreson. Se vi jam kompletigis la komencan agordon ( de la ciklo), tiam, kiel regulo, Ekstera Ligo jam estas aktiva. Informoj troveblas irante al Gaia Portal: Aparato → Reto → Interreto
Se via kompanio uzas dinamikan publikan IP-adreson, tiam vi povas agordi Dynamic DNS. Iru al artefakto → DDNS & Aparato-Aliro
Nuntempe ekzistas subteno de du provizantoj: DynDns kaj no-ip.com. Por aktivigi la opcion vi devas enigi viajn akreditaĵojn (ensaluto, pasvorto).
- Poste, ni kreu uzantkonton, ĝi estos utila por provi la agordojn: VPN → Fora Aliro → Fora Aliro Uzantoj
En la grupo (ekzemple: remoteaccess) ni kreos uzanton sekvante la instrukciojn en la ekrankopio. Agordo de konto estas norma, agordu ensaluton kaj pasvorton, kaj aldone ebligu la opcion de permesoj de Fora Aliro.
Se vi sukcese aplikis la agordojn, du objektoj aperu: loka uzanto, loka grupo de uzantoj.
- La sekva paŝo estas iri al VPN → Fora Aliro → Klingo-Kontrolo. Certigu, ke via klingo estas ŝaltita kaj ke trafiko de foraj uzantoj estas permesita.
- *La ĉi-supra estis la minimuma aro de paŝoj por agordi Foran Aliron. Sed antaŭ ol ni testas la konekton, ni esploru la altnivelajn agordojn irante al la langeto VPN → Fora Aliro → Altnivela
Surbaze de la nunaj agordoj, ni vidas, ke kiam foraj uzantoj konektas, ili ricevos IP-adreson de la reto 172.16.11.0/24, danke al la opcio Office Mode. Ĉi tio sufiĉas kun rezervo por uzi 200 konkurencivajn permesilojn (indikita por 1590 NGFW Check Point).
Opcio "Irigi Interretan trafikon de konektitaj klientoj tra ĉi tiu enirejo" estas laŭvola kaj respondecas pri direktado de la tuta trafiko de la fora uzanto tra la enirejo (inkluzive de interretaj konektoj). Ĉi tio permesas vin inspekti la trafikon de la uzanto kaj protekti lian laborstacion kontraŭ diversaj minacoj kaj malware.
- * Laborante kun alirpolitikoj por Fora Aliro
Post kiam ni agordis Malproksiman Aliron, aŭtomata alira regulo estis kreita ĉe la Fajroŝirmilo-nivelo, por vidi ĝin, vi devas iri al la langeto: Politiko de aliro → Fajromuro → Politiko
En ĉi tiu kazo, foraj uzantoj, kiuj estas membroj de antaŭe kreita grupo, povos aliri ĉiujn internajn rimedojn de la kompanio; notu, ke la regulo troviĝas en la ĝenerala sekcio. "Envenanta, Interna kaj VPN-trafiko". Por permesi VPN-uzanttrafikon al Interreto, vi devos krei apartan regulon en la ĝenerala sekcio "Eksiĝinta aliro al Interreto".
-
Fine, ni nur bezonas certigi, ke la uzanto povas sukcese krei VPN-tunelon al nia NGFW-enirejo kaj akiri aliron al la internaj rimedoj de la kompanio. Por fari tion, vi devas instali VPN-klienton sur la provita gastiganto, helpo estas provizita Por ŝarĝo. Post instalado, vi devos plenumi la norman proceduron por aldoni novan retejon (indiku la publikan IP-adreson de via enirejo). Por komforto, la procezo estas prezentita en GIF formo
Kiam la konekto jam estas establita, ni kontrolu la ricevitan IP-adreson sur la gastiga maŝino uzante la komandon en CMD: ipconfig
Ni certigis, ke la virtuala retadaptilo ricevis IP-adreson de la Oficeja Reĝimo de nia NGFW, pakoj estis senditaj sukcese. Por kompletigi, ni povas iri al Gaia Portal: VPN → Fora Aliro → Konektitaj Foraj Uzantoj
La uzanto "ntuser" montriĝas kiel konektita, ni kontrolu la eventon registrante irante al Registroj kaj Monitorado → Sekurecaj Protokoloj
La konekto estas registrita uzante la IP-adreson kiel la fonto: 172.16.10.1 - ĉi tiu estas la adreso ricevita de nia uzanto per Office Mode.
3. Subtenataj klientoj por Fora Aliro
Post kiam ni reviziis la proceduron por starigi malproksiman konekton al via oficejo per NGFW Check Point de la SMB-familio, mi ŝatus skribi pri klienta subteno por diversaj aparatoj:
- Poŝtelefona Kliento ( / )
- L2TP Native Client (Check Point asertas subtenon por la denaska VPN-apo de Mikrosofto).
La vario de subtenataj operaciumoj kaj aparatoj permesos al vi plene profiti vian permesilon, kiu venas kun NGFW. Por agordi apartan aparaton estas oportuna opcio "Kiel konekti"
Ĝi aŭtomate generas paŝojn laŭ viaj agordoj, kiuj permesos al administrantoj instali novajn klientojn sen problemoj.
Konkludo: Por resumi ĉi tiun artikolon, ni rigardis la VPN-kapablojn de la NGFW Check Point SMB-familio. Poste, ni priskribis la paŝojn por agordi Foran Aliron, en la kazo de fora konekto de uzantoj al la oficejo, kaj poste studis monitorajn ilojn. Fine de la artikolo ni parolis pri disponeblaj klientoj kaj konekto-opcioj por Fora Aliro. Tiel, via branĉoficejo povos certigi la kontinuecon kaj sekurecon de dungita laboro uzante VPN-teknologiojn, malgraŭ diversaj eksteraj minacoj kaj faktoroj.
. Restu agordita (, , , , ).
fonto: www.habr.com