ما به سری مقالات خود در مورد NGFW برای مشاغل کوچک ادامه می دهیم، به شما یادآوری می کنم که در حال بررسی مدل جدید سری 1500 هستیم. که در قطعات 1 چرخه، یکی از مفیدترین گزینه ها را هنگام خرید یک دستگاه SMB ذکر کردم - تهیه دروازه هایی با مجوزهای دسترسی داخلی (از 100 تا 200 کاربر، بسته به مدل). در این مقاله به راه اندازی VPN برای دروازه های سری 1500 که با Gaia 80.20 Embedded از پیش نصب شده است نگاهی خواهیم انداخت. در اینجا خلاصه ای وجود دارد:
قابلیت های VPN برای SMB.
سازماندهی دسترسی از راه دور برای یک دفتر کوچک.
مشتریان در دسترس برای اتصال.
1. گزینه های VPN برای SMB
به منظور تهیه مطالب امروز، مسئول راهنمای مدیریت نسخه R80.20.05 (فعال در زمان انتشار مقاله). بر این اساس، از نظر VPN با Gaia 80.20 Embedded پشتیبانی از:
سایت به سایت. ایجاد تونل های VPN بین دفاتر شما، که در آن کاربران می توانند به گونه ای کار کنند که گویی در همان شبکه "محلی" هستند.
دسترسی از راه دور. اتصال از راه دور به منابع اداری خود با استفاده از دستگاه های پایانی کاربر (کامپیوتر، تلفن همراه و غیره). علاوه بر این، یک توسعه دهنده شبکه SSL وجود دارد که به شما امکان می دهد برنامه های جداگانه را منتشر کنید و آنها را با استفاده از اپلت جاوا اجرا کنید و از طریق SSL متصل شوید. توجه: نباید با پورتال دسترسی به موبایل اشتباه گرفته شود (بدون پشتیبانی از Gaia Embedded).
علاوه بر این من به شدت دوره نویسنده TS Solution را توصیه می کنم - نقطه دسترسی از راه دور VPN را بررسی کنید فناوریهای Check Point را در رابطه با VPN نشان میدهد، مسائل مربوط به مجوز را لمس میکند و حاوی دستورالعملهای دقیق راهاندازی است.
2. دسترسی از راه دور برای دفتر کوچک
ما شروع به سازماندهی اتصال از راه دور به دفتر شما خواهیم کرد:
برای اینکه کاربران بتوانند یک تونل VPN با دروازه بسازند، باید یک آدرس IP عمومی داشته باشید. اگر قبلاً تنظیمات اولیه را تکمیل کرده اید (مقاله 2 از چرخه)، سپس، به عنوان یک قاعده، پیوند خارجی از قبل فعال است. اطلاعات را می توان با رفتن به پورتال Gaia پیدا کرد: دستگاه → شبکه → اینترنت
اگر شرکت شما از یک آدرس IP عمومی پویا استفاده می کند، می توانید Dynamic DNS را تنظیم کنید. رفتن به دستگاه → DDNS و دسترسی به دستگاه
در حال حاضر از دو ارائه دهنده پشتیبانی وجود دارد: DynDns و no-ip.com. برای فعال کردن این گزینه باید اطلاعات کاربری خود (ورودی، رمز عبور) را وارد کنید.
بعد، بیایید یک حساب کاربری ایجاد کنیم، برای آزمایش تنظیمات مفید خواهد بود: VPN → دسترسی از راه دور → کاربران دسترسی از راه دور
در گروه (به عنوان مثال: remoteaccess) ما یک کاربر را به دنبال دستورالعمل های موجود در تصویر ایجاد می کنیم. راه اندازی یک حساب کاربری استاندارد است، یک لاگین و رمز عبور تنظیم کنید و علاوه بر این گزینه Remote Access Permissions را فعال کنید.
اگر تنظیمات را با موفقیت اعمال کرده باشید، دو شی باید ظاهر شود: یک کاربر محلی، یک گروه محلی از کاربران.
مرحله بعدی رفتن به VPN → دسترسی از راه دور → کنترل تیغه. مطمئن شوید که تیغه شما روشن است و ترافیک کاربران راه دور مجاز است.
*مجموعه بالا حداقل مجموعه مراحل برای راه اندازی دسترسی از راه دور بود. اما قبل از اینکه اتصال را آزمایش کنیم، اجازه دهید تنظیمات پیشرفته را با رفتن به تب بررسی کنیم VPN → دسترسی از راه دور → پیشرفته
بر اساس تنظیمات فعلی، می بینیم که هنگام اتصال کاربران از راه دور، به لطف گزینه Office Mode، یک آدرس IP از شبکه 172.16.11.0/24 دریافت می کنند. این برای استفاده از 200 مجوز رقابتی (که برای 1590 NGFW Check Point مشخص شده است) کافی است.
گزینه "مسیریابی ترافیک اینترنت از مشتریان متصل از طریق این دروازه" اختیاری است و مسئول مسیریابی تمام ترافیک از کاربر راه دور از طریق دروازه (از جمله اتصالات اینترنت) است. این به شما اجازه می دهد تا ترافیک کاربر را بررسی کنید و از ایستگاه کاری او در برابر تهدیدات و بدافزارهای مختلف محافظت کنید.
* کار با سیاست های دسترسی برای دسترسی از راه دور
پس از پیکربندی Remote Access، یک قانون دسترسی خودکار در سطح فایروال ایجاد شد، برای مشاهده آن باید به برگه بروید: خط مشی دسترسی → فایروال → سیاست
در این صورت، کاربران از راه دور که عضو گروهی هستند که قبلا ایجاد شده اند، می توانند به تمام منابع داخلی شرکت دسترسی داشته باشند؛ توجه داشته باشید که قانون در بخش عمومی قرار دارد. “ترافیک ورودی، داخلی و VPN”. برای اجازه دادن به ترافیک کاربران VPN به اینترنت، باید یک قانون جداگانه در بخش عمومی ایجاد کنید.دسترسی خروجی به اینترنت".
در نهایت، ما فقط باید مطمئن شویم که کاربر می تواند با موفقیت یک تونل VPN در دروازه NGFW ما ایجاد کند و به منابع داخلی شرکت دسترسی پیدا کند. برای انجام این کار، شما نیاز به نصب یک سرویس گیرنده VPN بر روی هاست در حال آزمایش دارید، کمک ارائه می شود پیوند برای بارگیری. پس از نصب، باید روال استاندارد برای افزودن سایت جدید را انجام دهید (آدرس IP عمومی دروازه خود را نشان دهید). برای راحتی، فرآیند به صورت GIF ارائه شده است
هنگامی که اتصال از قبل برقرار شد، بیایید آدرس IP دریافتی را در دستگاه میزبان با استفاده از دستور در CMD بررسی کنیم: IPCONFIG
ما مطمئن شدیم که آداپتور شبکه مجازی یک آدرس IP از حالت Office NGFW ما دریافت کرده است، بسته ها با موفقیت ارسال شدند. برای تکمیل، می توانیم به پورتال گایا برویم: VPN → دسترسی از راه دور → کاربران از راه دور متصل
کاربر "ntuser" به عنوان متصل نمایش داده می شود، اجازه دهید ثبت رویداد را با رفتن به بررسی کنیم گزارشها و نظارت → گزارشهای امنیتی
اتصال با استفاده از آدرس IP به عنوان منبع ثبت می شود: 172.16.10.1 - این آدرسی است که کاربر ما از طریق حالت آفیس دریافت کرده است.
3. پشتیبانی از مشتریان برای دسترسی از راه دور
پس از بررسی روش راهاندازی اتصال از راه دور به دفتر شما با استفاده از NGFW Check Point خانواده SMB، میخواهم در مورد پشتیبانی مشتری برای دستگاههای مختلف بنویسم:
L2TP Native Client (Check Point ادعا می کند از برنامه VPN بومی مایکروسافت پشتیبانی می کند).
انواع سیستم عامل ها و دستگاه های پشتیبانی شده به شما این امکان را می دهد که از مجوز خود که با NGFW ارائه می شود، نهایت استفاده را ببرید. برای پیکربندی یک دستگاه جداگانه یک گزینه مناسب وجود دارد "چگونگی اتصال"
این به طور خودکار مراحل را مطابق تنظیمات شما ایجاد می کند که به مدیران اجازه می دهد بدون هیچ مشکلی کلاینت های جدید را نصب کنند.
نتیجه گیری: برای خلاصه کردن این مقاله، ما به قابلیت های VPN خانواده NGFW Check Point SMB نگاه کردیم. در ادامه مراحل راه اندازی Remote Access را در مورد اتصال از راه دور کاربران به دفتر شرح دادیم و سپس ابزارهای مانیتورینگ را بررسی کردیم. در پایان مقاله در مورد کلاینت های موجود و گزینه های اتصال برای دسترسی از راه دور صحبت کردیم. بنابراین، دفتر شعبه شما با وجود تهدیدات و عوامل خارجی مختلف، قادر خواهد بود از تداوم و امنیت کار کارکنان با استفاده از فناوریهای VPN اطمینان حاصل کند.