4. NGFW kisvállalkozások számára. VPN

Folytatjuk cikksorozatunkat az NGFW-ről kisvállalkozásoknak, hadd emlékeztessem Önöket, hogy az új 1500-as sorozatú modellpalettát tekintjük át. BAN BEN 1 alkatrészek ciklusban említettem az egyik leghasznosabb lehetőséget SMB-eszköz vásárlásakor - átjárók biztosítását beépített Mobile Access licencekkel (100-200 felhasználó, típustól függően). Ebben a cikkben megvizsgáljuk a VPN beállítását az 1500-as sorozatú átjárókhoz, amelyek előre telepítve vannak a Gaia 80.20 Embedded programmal. Íme egy összefoglaló:

1. VPN-képességek SMB-k számára.
2. Távoli hozzáférés szervezése egy kis iroda számára.
3. A csatlakozáshoz elérhető kliensek.

1. VPN-beállítások SMB-hez

A mai anyag elkészítése érdekében a hivatalos adminisztrátori útmutató R80.20.05 verzió (aktuális a cikk közzétételekor). Ennek megfelelően a Gaia 80.20 Embedded VPN-t illetően a következők állnak rendelkezésre:

1. Site-To-Site. VPN-alagutak létrehozása az irodák között, ahol a felhasználók úgy dolgozhatnak, mintha ugyanazon a „helyi” hálózaton lennének.

   

2. Távoli hozzáférés. Távoli kapcsolat az irodai erőforrásokhoz felhasználói végberendezések (számítógép, mobiltelefon stb.) segítségével. Ezenkívül van egy SSL Network Extender, amely lehetővé teszi az egyes alkalmazások közzétételét és futtatását a Java kisalkalmazás segítségével, SSL-n keresztül csatlakozva. Megjegyzés: nem tévesztendő össze a Mobile Access Portal-lal (nincs támogatás a Gaia Embedded-hez).
   
   

emellett Nagyon ajánlom a szerzői kurzus TS Solution - Check Point Remote Access VPN feltárja a Check Point-technológiákat a VPN-sel kapcsolatban, érinti a licencelési kérdéseket, és részletes beállítási utasításokat tartalmaz.

2. Távoli hozzáférés kis irodákhoz

Elkezdjük a távoli kapcsolat megszervezését az irodájával:

1. Ahhoz, hogy a felhasználók VPN-alagutat építhessenek átjáróval, nyilvános IP-címmel kell rendelkeznie. Ha már befejezte a kezdeti beállítást (2 cikk ciklusból), akkor általában a Külső hivatkozás már aktív. Információk a Gaia portálon találhatók: Eszköz → Hálózat → Internet

   
   

   Ha cége dinamikus nyilvános IP-címet használ, akkor beállíthatja a dinamikus DNS-t. Menj eszköz → DDNS és eszköz hozzáférés

   
   

   Jelenleg két szolgáltató támogatja: a DynDns és a no-ip.com. Az opció aktiválásához meg kell adnia hitelesítő adatait (bejelentkezési név, jelszó).

2. Ezután hozzunk létre egy felhasználói fiókot, amely hasznos lesz a beállítások teszteléséhez: VPN → Remote Access → Remote Access Users

   
   

   A csoportban (például: remoteaccess) létrehozunk egy felhasználót a képernyőképen látható utasításokat követve. A fiók beállítása szabványos, be kell állítania a bejelentkezési nevet és a jelszót, valamint engedélyezni kell a Távoli hozzáférési engedélyek opciót.

   
   

   Ha sikeresen alkalmazta a beállításokat, két objektumnak kell megjelennie: egy helyi felhasználónak, egy helyi felhasználócsoportnak.

   

3. A következő lépés az, hogy menjen VPN → Remote Access → Blade Control. Győződjön meg arról, hogy a blade be van kapcsolva, és engedélyezett a távoli felhasználóktól érkező forgalom.

   

4. *A fenti lépések minimális lépései voltak a távelérés beállításához. Mielőtt azonban tesztelnénk a kapcsolatot, nézzük meg a speciális beállításokat a lapra lépve VPN → Távoli elérés → Speciális

   
   

   A jelenlegi beállítások alapján azt látjuk, hogy a távoli felhasználók csatlakozáskor a 172.16.11.0/24 IP-címet kapják a hálózatról, köszönhetően az Office Mode opciónak. Ez elegendő tartalékkal 200 versenyképes licenc használatához (1590 NGFW Check Pointra jelölve).

   választási lehetőség "Internet forgalom irányítása a csatlakoztatott ügyfelektől ezen az átjárón keresztül" opcionális, és felelős a távoli felhasználótól érkező összes forgalom átjárón keresztüli továbbításáért (beleértve az internetkapcsolatokat is). Ezzel ellenőrizheti a felhasználó forgalmát, és megvédheti munkaállomását a különféle fenyegetésektől és rosszindulatú programoktól.

5. *A távoli elérés hozzáférési szabályzataival dolgozik

   Miután konfiguráltuk a Távoli hozzáférést, a tűzfal szintjén létrejött egy automatikus hozzáférési szabály, amelynek megtekintéséhez lépjen a lapra: Hozzáférési házirend → Tűzfal → Házirend

   
   

   Ebben az esetben a távoli felhasználók, akik egy korábban létrehozott csoport tagjai, hozzáférhetnek a vállalat összes belső erőforrásához; vegye figyelembe, hogy a szabály az általános részben található „Bejövő, belső és VPN forgalom”. Annak érdekében, hogy a VPN-felhasználói forgalmat engedélyezze az internetre, létre kell hoznia egy külön szabályt az általános részben "Kimenő hozzáférés az internethez".

6. Végül csak meg kell győződnünk arról, hogy a felhasználó sikeresen létrehozhat egy VPN alagutat az NGFW átjárónkhoz, és hozzáférhet a vállalat belső erőforrásaihoz. Ehhez telepítenie kell egy VPN-klienst a tesztelt gazdagépen, a segítség elérhető link A betöltéshez. A telepítés után végre kell hajtania az új webhely hozzáadásának szokásos eljárását (jelezze meg az átjáró nyilvános IP-címét). A kényelem érdekében a folyamatot GIF-formátumban mutatjuk be

   
   
   Ha a kapcsolat már létrejött, ellenőrizzük a fogadott IP-címet a gazdagépen a CMD parancsával: ipconfig

   
   

   Megbizonyosodtunk arról, hogy a virtuális hálózati adapter IP-címet kapott az NGFW-nk Office módjából, a csomagok sikeresen elküldve. A befejezéshez felkereshetjük a Gaia portált: VPN → Távoli elérés → Csatlakoztatott távoli felhasználók

   
   

   Az „ntuser” felhasználó csatlakozásként jelenik meg, nézzük meg az eseménynaplózást a címre lépve Naplók és megfigyelés → Biztonsági naplók

   
   

   A kapcsolat naplózása az IP-cím forrásként való felhasználásával történik: 172.16.10.1 - ez az a cím, amelyet a felhasználónk az Office módban kapott.

   3. Támogatott kliensek a távoli eléréshez

   Miután áttekintettük az SMB család NGFW Check Point segítségével az irodájával való távoli kapcsolat létrehozásának eljárását, szeretnék írni a különböző eszközök ügyféltámogatásáról:

   • Endpoint VPN Windows/Mac OS rendszerhez
   • Mobil kliens (Android / IOS)
   • L2TP Native Client (Check Point azt állítja, hogy támogatja a Microsoft natív VPN-alkalmazását).

   A támogatott operációs rendszerek és eszközök sokfélesége lehetővé teszi, hogy teljes mértékben kihasználja az NGFW-hez mellékelt licencét. Külön eszköz konfigurálásához van egy kényelmes lehetőség „Hogyan kapcsolódjunk”

   

   A beállításoknak megfelelően automatikusan lépéseket generál, amelyek lehetővé teszik az adminisztrátorok számára, hogy probléma nélkül telepítsenek új ügyfeleket.

   Következtetés: A cikk összefoglalásaként megvizsgáltuk az NGFW Check Point SMB család VPN-képességeit. Ezt követően ismertettük a távoli elérés beállításának lépéseit a felhasználók irodai távoli csatlakozása esetén, majd a megfigyelő eszközöket tanulmányoztuk. A cikk végén a távelérés elérhető klienseiről és csatlakozási lehetőségeiről beszéltünk. Így az Ön fióktelepe a különböző külső fenyegetések és tényezők ellenére is biztosítani tudja a munkavállalói munka folytonosságát és biztonságát VPN-technológiák segítségével.

   Anyagok nagy választéka a Check Pointon a TS Solution-tól. Maradjon velünk (Telegram, Facebook, VK, TS Solution Blog, Yandex Zen).

Forrás: will.com