4. NGFW pienyrityksille. VPN

Jatkamme pienyritysten NGFW-artikkelisarjaamme, haluan muistuttaa, että olemme tarkistamassa uutta 1500-sarjan mallistoa. SISÄÄN 1-osat syklin aikana mainitsin yhden hyödyllisimmistä vaihtoehdoista SMB-laitetta ostettaessa - yhdyskäytäviä, joissa on sisäänrakennetut Mobile Access -lisenssit (100 - 200 käyttäjää mallista riippuen). Tässä artikkelissa tarkastellaan VPN:n määrittämistä 1500-sarjan yhdyskäytäville, joissa on esiasennettu Gaia 80.20 Embedded. Tässä yhteenveto:

1. VPN-ominaisuudet pk-yrityksille.
2. Etäkäytön järjestäminen pieneen toimistoon.
3. Yhteyttä varten käytettävissä olevat asiakkaat.

1. VPN-asetukset pk-yrityksille

Tämän päivän materiaalin valmistelemiseksi virkamies järjestelmänvalvojan opas versio R80.20.05 (nykyinen artikkelin julkaisuhetkellä). Näin ollen VPN:n ja Gaia 80.20 Embedded -tuki on:

1. Sivustosta toiseen. VPN-tunneleiden luominen toimistojesi välille, joissa käyttäjät voivat työskennellä ikään kuin he olisivat samassa "paikallisessa" verkossa.

   

2. Etäyhteys. Etäyhteys toimistosi resursseihin käyttäjälaitteilla (PC:t, matkapuhelimet jne.). Lisäksi on SSL Network Extender, jonka avulla voit julkaista yksittäisiä sovelluksia ja käyttää niitä Java-sovelman avulla muodostaen yhteyden SSL:n kautta. Huom: ei pidä sekoittaa Mobile Access Portaliin (ei tukea Gaia Embeddedille).
   
   

lisäksi Suosittelen lämpimästi kirjoittajan kurssia TS Solution - Check Point Remote Access VPN se paljastaa Check Pointin VPN-tekniikoita, käsittelee lisensointikysymyksiä ja sisältää yksityiskohtaiset asennusohjeet.

2. Etäkäyttö pieneen toimistoon

Aloitamme etäyhteyden järjestämisen toimistoosi:

1. Jotta käyttäjät voivat rakentaa VPN-tunnelin yhdyskäytävällä, sinulla on oltava julkinen IP-osoite. Jos olet jo suorittanut alkuasennuksen (2-artikkeli syklistä), silloin ulkoinen linkki on yleensä jo aktiivinen. Tietoja löytyy Gaia-portaalista: Laite → Verkko → Internet

   
   

   Jos yrityksesi käyttää dynaamista julkista IP-osoitetta, voit asettaa dynaamisen DNS:n. Mene Laite → DDNS ja laitepääsy

   
   

   Tällä hetkellä tukea on kahdelta palveluntarjoajalta: DynDns ja no-ip.com. Aktivoidaksesi vaihtoehdon, sinun on syötettävä tunnistetietosi (kirjautumistunnus, salasana).

2. Luodaan seuraavaksi käyttäjätili, se on hyödyllinen asetusten testaamiseen: VPN → Etäkäyttö → Etäkäyttökäyttäjät

   
   

   Ryhmään (esimerkiksi: etäkäyttö) luodaan käyttäjä kuvakaappauksen ohjeiden mukaan. Tilin luominen on normaalia, aseta kirjautumistunnus ja salasana ja ota lisäksi käyttöön Etäkäyttöoikeudet.

   
   

   Jos olet ottanut asetukset käyttöön onnistuneesti, kahden objektin pitäisi näkyä: paikallinen käyttäjä, paikallinen käyttäjäryhmä.

   

3. Seuraava askel on mennä VPN → Etäkäyttö → Blade Control. Varmista, että blade on päällä ja etäkäyttäjien liikenne on sallittua.

   

4. *Yllä oleva oli vähimmäisvaiheet etäkäytön määrittämiseksi. Mutta ennen kuin testaamme yhteyttä, tutkitaan lisäasetuksia siirtymällä välilehteen VPN → Etäkäyttö → Lisäasetukset

   
   

   Nykyisten asetusten perusteella näemme, että kun etäkäyttäjät muodostavat yhteyden, he saavat IP-osoitteen verkosta 172.16.11.0/24 Office Mode -vaihtoehdon ansiosta. Tämä riittää 200 kilpailevan lisenssin käyttöön (merkitty 1590 NGFW Check Pointille).

   Vaihtoehto "Reititä Internet-liikenne yhdistetyiltä asiakkailta tämän yhdyskäytävän kautta" on valinnainen ja vastaa kaiken liikenteen reitittämisestä etäkäyttäjältä yhdyskäytävän kautta (mukaan lukien Internet-yhteydet). Näin voit tarkastaa käyttäjän liikenteen ja suojata hänen työasemaansa erilaisilta uhilta ja haittaohjelmilta.

5. * Työskentely käyttöoikeuskäytäntöjen kanssa etäkäytölle

   Kun määritimme etäkäytön, palomuurin tasolla luotiin automaattinen pääsysääntö, jonka tarkastelemiseksi sinun on siirryttävä välilehdelle: Pääsykäytäntö → Palomuuri → Käytäntö

   
   

   Tässä tapauksessa etäkäyttäjät, jotka ovat aiemmin luodun ryhmän jäseniä, voivat käyttää kaikkia yrityksen sisäisiä resursseja; huomaa, että sääntö sijaitsee yleisosiossa "Saapuva, ​​sisäinen ja VPN-liikenne". Jotta VPN-käyttäjäliikenne voidaan sallia Internetiin, sinun on luotava erillinen sääntö yleiseen osioon "Lähtevä pääsy Internetiin".

6. Lopuksi meidän on vain varmistettava, että käyttäjä voi onnistuneesti luoda VPN-tunnelin NGFW-yhdyskäytävällemme ja päästä käsiksi yrityksen sisäisiin resursseihin. Tätä varten sinun on asennettava VPN-asiakas testattavaan isäntään, apua tarjotaan linkki Lataamista varten. Asennuksen jälkeen sinun on suoritettava vakiomenettely uuden sivuston lisäämiseksi (ilmoita yhdyskäytäväsi julkinen IP-osoite). Mukavuuden vuoksi prosessi esitetään GIF-muodossa

   
   
   Kun yhteys on jo muodostettu, tarkistetaan vastaanotettu IP-osoite isäntäkoneelta CMD:n komennolla: ipconfig

   
   

   Varmistimme, että virtuaalinen verkkosovitin sai IP-osoitteen NGFW:n Office-tilasta, pakettien lähetys onnistui. Suorittaaksemme loppuun voimme siirtyä Gaia-portaaliin: VPN → Etäkäyttö → Yhdistetyt etäkäyttäjät

   
   

   Käyttäjä "ntuser" näytetään yhdistettynä, tarkistetaan tapahtumaloki siirtymällä osoitteeseen Lokit ja valvonta → Suojauslokit

   
   

   Yhteys kirjataan lokiin käyttämällä IP-osoitetta lähteenä: 172.16.10.1 - tämä on osoite, jonka käyttäjämme vastaanottaa Office-tilan kautta.

   3. Tuetut etäkäyttöasiakkaat

   Kun olemme käyneet läpi prosessin etäyhteyden muodostamiseksi toimistoosi SMB-perheen NGFW Check Pointin avulla, haluaisin kirjoittaa asiakastuesta eri laitteille:

   • Endpoint VPN Windows/Mac OS:lle
   • Mobiiliasiakas (Android / IOS)
   • L2TP Native Client (Check Point väittää tukevan Microsoftin alkuperäistä VPN-sovellusta).

   Monien tuettujen käyttöjärjestelmien ja laitteiden ansiosta voit hyödyntää NGFW:n mukana tulevaa lisenssiäsi täysimääräisesti. Erillisen laitteen konfiguroimiseksi on kätevä vaihtoehto "Kuinka yhdistää"

   

   Se luo automaattisesti vaiheet asetustesi mukaan, jolloin järjestelmänvalvojat voivat asentaa uusia asiakkaita ilman ongelmia.

   Johtopäätös: Tämän artikkelin tiivistämiseksi tarkastelimme NGFW Check Point SMB -perheen VPN-ominaisuuksia. Seuraavaksi kuvailimme etäkäytön määrittämisen vaiheet, jos käyttäjien etäyhteys toimistoon, ja sitten tutkimme valvontatyökaluja. Artikkelin lopussa puhuimme käytettävissä olevista asiakkaista ja etäkäytön yhteysvaihtoehdoista. Näin sivukonttorisi pystyy varmistamaan työntekijöiden työn jatkuvuuden ja turvallisuuden VPN-teknologioiden avulla erilaisista ulkoisista uhista ja tekijöistä huolimatta.

   Laaja valikoima materiaaleja Check Pointissa TS Solutionilta. Pysy kanavalla (Telegram, Facebook, VK, TS Solution -blogi, Yandex Zen).

Lähde: will.com