4. NGFW foar lytse bedriuwen. VPN

Wy geane troch mei ús searje artikels oer NGFW foar lytse bedriuwen, lit my jo herinnerje dat wy it nije modelberik fan 'e 1500-searje besjogge. YN 1-dielen syklus, Ik neamde ien fan de meast brûkbere opsjes by it keapjen fan in SMB apparaat - it oanbod fan poarten mei ynboude Mobile Access lisinsjes (fan 100 oan 200 brûkers, ôfhinklik fan it model). Yn dit artikel sille wy sjen nei it ynstellen fan in VPN foar gateways fan 1500-searjes dy't komme mei Gaia 80.20 Embedded foarôf ynstalleare. Hjir is in gearfetting:

1. VPN-mooglikheden foar SMB.
2. Organisaasje fan tagong op ôfstân foar in lyts kantoar.
3. Beskikbere kliïnten foar ferbining.

1. VPN opsjes foar SMB

Om it materiaal fan hjoed ta te rieden, hat de amtner admin gids ferzje R80.20.05 (aktueel op it momint fan publikaasje fan it artikel). Dêrnjonken is d'r yn termen fan VPN mei Gaia 80.20 Embedded stipe foar:

1. Site-to-Site. VPN-tunnels oanmeitsje tusken jo kantoaren, wêr't brûkers kinne wurkje as wiene se op itselde "lokale" netwurk.

   

2. Tagong op ôfstân. Ferbining op ôfstân mei jo kantoarboarnen mei brûkerseinapparaten (pc's, mobile tillefoans, ensfh.). Derneist is d'r in SSL Network Extender, wêrmei jo yndividuele applikaasjes kinne publisearje en se útfiere mei de Java-applet, ferbine fia SSL. Tink derom: net te betiizjen mei Mobile Access Portal (gjin stipe foar Gaia Embedded).
   
   

Dêrneist Ik advisearje de auteurskursus TS Solution tige oan - Check Point Remote Access VPN it ûntbleatet Check Point-technologyen oangeande VPN, rekket op lisinsjeproblemen en befettet detaillearre opsetynstruksjes.

2. Remote Tagong foar lyts kantoar

Wy sille begjinne mei it organisearjen fan in ferbining op ôfstân nei jo kantoar:

1. Om brûkers in VPN-tunnel te bouwen mei in gateway, moatte jo in iepenbier IP-adres hawwe. As jo ​​de earste opset al foltôge hawwe (2 artikel út 'e syklus), dan, as in regel, External Link is al aktyf. Ynformaasje kin fûn wurde troch te gean nei Gaia Portal: Apparaat → Netwurk → Ynternet

   
   

   As jo ​​​​bedriuw in dynamysk iepenbier IP-adres brûkt, dan kinne jo Dynamic DNS ynstelle. Gean nei apparaat → DDNS & apparaat tagong

   
   

   Op it stuit is d'r stipe fan twa providers: DynDns en no-ip.com. Om de opsje te aktivearjen moatte jo jo referinsjes ynfiere (oanmelde, wachtwurd).

2. Litte wy dan in brûkersaccount oanmeitsje, it sil nuttich wêze foar it testen fan de ynstellings: VPN → Tagong op ôfstân → Brûkers op ôfstân

   
   

   Yn 'e groep (bygelyks: tagong op ôfstân) sille wy in brûker oanmeitsje nei de ynstruksjes yn' e skermôfbylding. It ynstellen fan in akkount is standert, set in oanmelding en wachtwurd yn, en skeakelje boppedat de tagongsrjochten foar ôfstân tagong yn.

   
   

   As jo ​​de ynstellings mei súkses tapast hawwe, moatte twa objekten ferskine: in lokale brûker, in lokale groep brûkers.

   

3. De folgjende stap is om te gean nei VPN → Tagong op ôfstân → Blade Control. Soargje derfoar dat jo blêd is ynskeakele en ferkear fan brûkers op ôfstân is tastien.

   

4. * It boppesteande wie de minimale set fan stappen om tagong op ôfstân yn te stellen. Mar foardat wy de ferbining testen, litte wy de avansearre ynstellingen ferkenne troch nei it ljepblêd te gean VPN → Tagong op ôfstân → Avansearre

   
   

   Op grûn fan 'e hjoeddeistige ynstellings sjogge wy dat as brûkers op ôfstân ferbine, se in IP-adres krije fan it netwurk 172.16.11.0/24, tank oan 'e opsje Office Mode. Dit is genôch mei in reserve foar in gebrûk 200 kompetitive lisinsjes (oanjûn foar 1590 NGFW Check Point).

   Opsje "Routearje ynternetferkear fan ferbûne kliïnten fia dizze gateway" is opsjoneel en is ferantwurdlik foar it routing fan alle ferkear fan de brûker op ôfstân troch de poarte (ynklusyf ynternetferbiningen). Hjirmei kinne jo it ferkear fan 'e brûker ynspektearje en syn wurkstasjon beskermje tsjin ferskate bedrigingen en malware.

5. * Wurkje mei tagongsbelied foar tagong op ôfstân

   Nei't wy tagong op ôfstân ynsteld hawwe, is in automatyske tagongsregel makke op it Firewall-nivo, om it te besjen moatte jo nei it ljepblêd gean: Tagongsbelied → Firewall → Belied

   
   

   Yn dit gefal kinne brûkers op ôfstân dy't lid binne fan in earder oanmakke groep tagong krije ta alle ynterne boarnen fan it bedriuw; tink derom dat de regel leit yn 'e algemiene seksje "Ynkommende, ynterne en VPN ferkear". Om VPN-brûkersferkear op it ynternet te tastean, moatte jo in aparte regel oanmeitsje yn 'e algemiene seksje "Utgeande tagong ta it ynternet".

6. Uteinlik moatte wy gewoan soargje dat de brûker mei súkses in VPN-tunnel kin meitsje nei ús NGFW-poarte en tagong krije ta de ynterne boarnen fan it bedriuw. Om dit te dwaan, moatte jo in VPN-kliïnt ynstallearje op 'e host dy't wurdt hifke, help wurdt levere link Foar it laden. Nei ynstallaasje moatte jo de standertproseduere útfiere foar it tafoegjen fan in nije side (oanjaan it iepenbiere IP-adres fan jo gateway). Foar gemak wurdt it proses presintearre yn GIF-foarm

   
   
   As de ferbining al is oprjochte, litte wy it ûntfongen IP-adres op 'e hostmasine kontrolearje mei it kommando yn CMD: ipconfig

   
   

   Wy hawwe derfoar soarge dat de firtuele netwurkadapter in IP-adres krige fan 'e Office Mode fan ús NGFW, pakketten waarden mei súkses ferstjoerd. Om te foltôgjen kinne wy ​​​​nei Gaia Portal gean: VPN → tagong op ôfstân → Ferbûne brûkers op ôfstân

   
   

   De brûker "ntuser" wurdt werjûn as ferbûn, litte wy it barren logging kontrolearje troch te gean nei Logs en tafersjoch → Feiligens logs

   
   

   De ferbining wurdt oanmeld mei it IP-adres as de boarne: 172.16.10.1 - dit is it adres ûntfongen troch ús brûker fia Office Mode.

   3. Stipe kliïnten foar tagong op ôfstân

   Nei't wy de proseduere hawwe besjoen foar it ynstellen fan in ferbining op ôfstân nei jo kantoar mei NGFW Check Point fan 'e SMB-famylje, wol ik skriuwe oer kliïntstipe foar ferskate apparaten:

   • Einpunt VPN foar Windows / Mac OS
   • Mobile Client (Android / IOS)
   • L2TP Native Client (Check Point beweart stipe foar de native VPN-app fan Microsoft).

   It ferskaat oan stipe bestjoeringssystemen en apparaten sil tastean jo te nimmen folslein foardiel fan jo lisinsje dy't komt mei NGFW. Om in apart apparaat te konfigurearjen is d'r in handige opsje "Hoe te ferbinen"

   

   It genereart automatysk stappen neffens jo ynstellings, wêrtroch behearders sûnder problemen nije kliïnten kinne ynstallearje.

   Fermelding: Om dit artikel te gearfetsje, seagen wy nei de VPN-mooglikheden fan 'e NGFW Check Point SMB-famylje. Folgjende, wy beskreaun de stappen foar it ynstellen fan Remote Access, yn it gefal fan remote ferbining fan brûkers nei it kantoar, en dan studearre tafersjoch ark. Oan 'e ein fan it artikel hawwe wy it oer beskikbere kliïnten en ferbiningsopsjes foar tagong op ôfstân. Sa sil jo filiaal de kontinuïteit en feiligens fan wurknimmers kinne garandearje mei VPN-technologyen, nettsjinsteande ferskate eksterne bedrigingen en faktoaren.

   Grutte seleksje fan materialen op Check Point út TS Solution. Bliuw op 'e hichte (Telegram, facebook, VK, TS Solution Blog, Yandex Zen).

Boarne: www.habr.com