Jätkame väikeettevõtetele mõeldud NGFW-teemalist artiklite sarja, lubage mul teile meelde tuletada, et vaatame üle uue 1500-seeria mudelivaliku. IN tsükli jooksul mainisin SMB-seadme ostmisel üht kõige kasulikumat võimalust - sisseehitatud mobiilse juurdepääsu litsentsidega lüüside pakkumist (100 kuni 200 kasutajat, olenevalt mudelist). Selles artiklis vaatleme VPN-i seadistamist 1500-seeria lüüside jaoks, mis on varustatud eelinstallitud Gaia 80.20 Embeddediga. Siin on kokkuvõte:
- VPN-i võimalused SMB jaoks.
- Kaugjuurdepääsu korraldamine väikesele kontorile.
- Ühenduse loomiseks saadaolevad kliendid.
1. SMB VPN-valikud
Tänase materjali ettevalmistamiseks ametnik versioon R80.20.05 (artikli avaldamise ajal kehtiv). Seega toetab Gaia 80.20 Embedded VPN-i:
- Saidilt saidile. Kontorite vahel VPN-tunnelite loomine, kus kasutajad saavad töötada nii, nagu oleksid nad samas “kohalikus” võrgus.
- Kaugjuurdepääs. Kaugühendus teie kontoriressurssidega, kasutades kasutaja lõppseadmeid (arvutid, mobiiltelefonid jne). Lisaks on olemas SSL Network Extender, mis võimaldab avaldada üksikuid rakendusi ja käivitada neid Java apleti abil, ühendudes SSL-i kaudu. Märkus: mitte segi ajada mobiilse juurdepääsu portaaliga (Gaia Embedded ei toeta).
Lisaks Soovitan soojalt autorikursust TS Lahendus - see paljastab VPN-iga seotud Check Pointi tehnoloogiad, puudutab litsentsimise küsimusi ja sisaldab üksikasjalikke häälestusjuhiseid.
2. Kaugjuurdepääs väikesele kontorile
Alustame teie kontoriga kaugühenduse korraldamist:
- Selleks, et kasutajad saaksid lüüsiga VPN-tunneli ehitada, peab teil olema avalik IP-aadress. Kui olete algseadistuse juba lõpetanud ( tsüklist), siis on väline link reeglina juba aktiivne. Teavet leiate Gaia portaalist: Seade → Võrk → Internet
Kui teie ettevõte kasutab dünaamilist avalikku IP-aadressi, saate määrata dünaamilise DNS-i. Minema Seadme → Juurdepääs DDNS-ile ja seadmetele
Praegu toetab kaks pakkujat: DynDns ja no-ip.com. Selle valiku aktiveerimiseks peate sisestama oma mandaadid (sisselogimine, parool).
- Järgmiseks loome kasutajakonto, see on kasulik seadete testimiseks: VPN → Kaugjuurdepääs → Kaugjuurdepääsu kasutajad
Grupis (näiteks: kaugjuurdepääs) loome kasutaja, järgides ekraanipildil olevaid juhiseid. Konto seadistamine on standardne, määrake sisselogimine ja parool ning lisaks lubage kaugjuurdepääsu lubade valik.
Kui olete seaded edukalt rakendanud, peaks ilmuma kaks objekti: kohalik kasutaja, kohalik kasutajate rühm.
- Järgmine samm on minna VPN → Kaugjuurdepääs → Blade Control. Veenduge, et teie tera on sisse lülitatud ja kaugkasutajate liiklus on lubatud.
- * Ülaltoodu oli kaugjuurdepääsu seadistamise minimaalne komplekt. Kuid enne ühenduse testimist uurime täpsemaid seadeid, minnes vahekaardile VPN → Kaugjuurdepääs → Täpsemad
Praeguste sätete põhjal näeme, et kaugkasutajad saavad ühenduse loomisel tänu Office Mode valikule IP-aadressi 172.16.11.0/24 võrgust. Sellest piisab 200 konkurentsivõimelise litsentsi kasutamiseks (näidatud 1590 NGFW kontrollpunkti jaoks).
Variant "Route Interneti-liiklus ühendatud klientidelt selle lüüsi kaudu" on valikuline ja vastutab kogu kaugkasutaja liikluse suunamise eest läbi lüüsi (sh Interneti-ühendused). See võimaldab kontrollida kasutaja liiklust ning kaitsta tema tööjaama erinevate ohtude ja pahavara eest.
- *Kaugjuurdepääsu juurdepääsupoliitikatega töötamine
Pärast kaugjuurdepääsu konfigureerimist loodi tulemüüri tasemel automaatne juurdepääsureegel, mille vaatamiseks peate minema vahekaardile: Juurdepääsupoliitika → Tulemüür → Poliitika
Sel juhul saavad kaugkasutajad, kes on varem loodud grupi liikmed, juurde pääseda kõigile ettevõtte sisemistele ressurssidele; pange tähele, et reegel asub üldises jaotises "Sissetulev, sisemine ja VPN-liiklus". VPN-i kasutajate liikluse Internetti lubamiseks peate looma üldises jaotises eraldi reegli "Väljuv juurdepääs Internetile".
-
Lõpuks peame lihtsalt veenduma, et kasutaja saab edukalt luua VPN-tunneli meie NGFW lüüsi ja pääseda juurde ettevõtte sisemistele ressurssidele. Selleks peate testitavasse hosti installima VPN-kliendi, abi antakse Laadimiseks. Pärast installimist peate läbima uue saidi lisamise standardprotseduuri (märkige oma lüüsi avalik IP-aadress). Mugavuse huvides on protsess esitatud GIF-vormingus
Kui ühendus on juba loodud, kontrollime vastuvõetud IP-aadressi hostmasinas, kasutades käsku CMD-s: ipconfig
Veendusime, et virtuaalne võrguadapter sai meie NGFW kontorirežiimist IP-aadressi, paketid saadeti edukalt. Lõpetamiseks võime minna Gaia portaali: VPN → Kaugjuurdepääs → Ühendatud kaugkasutajad
Kasutajat "ntuser" kuvatakse ühendatuna, kontrollime sündmuste logimist, minnes aadressile Logid ja jälgimine → Turvalogid
Ühendus logitakse, kasutades allikana IP-aadressi: 172.16.10.1 – see on aadress, mille meie kasutaja sai Office Mode'i kaudu.
3. Kaugjuurdepääsu toetatud kliendid
Pärast seda, kui oleme üle vaadanud teie kontoriga kaugühenduse loomise protseduuri SMB perekonna NGFW kontrollpunkti abil, tahaksin kirjutada erinevate seadmete klienditoest:
- Mobiilne klient ( / )
- L2TP Native Client (Check Point väidab, et Microsofti VPN-rakendus toetab tuge).
Toetatud operatsioonisüsteemide ja seadmete mitmekesisus võimaldab teil NGFW-ga kaasasolevat litsentsi täielikult ära kasutada. Eraldi seadme konfigureerimiseks on mugav valik "Kuidas ühendada"
See genereerib automaatselt sammud vastavalt teie seadetele, mis võimaldab administraatoritel installida uusi kliente ilma probleemideta.
Järeldus: Selle artikli kokkuvõtteks vaatasime NGFW Check Pointi SMB perekonna VPN-i võimalusi. Järgmisena kirjeldasime kaugjuurdepääsu seadistamise samme kasutajate kontoriga kaugühenduse korral ning seejärel uurisime jälgimistööriistu. Artikli lõpus rääkisime saadaolevatest klientidest ja kaugjuurdepääsu ühendusvõimalustest. Seega suudab teie harukontor VPN-tehnoloogiaid kasutades tagada töötajate töö järjepidevuse ja turvalisuse, hoolimata erinevatest välistest ohtudest ja teguritest.
. Jääge lainel (, , , , ).
Allikas: www.habr.com