Folytatjuk cikksorozatunkat az NGFW-ről kisvállalkozásoknak, hadd emlékeztessem Önöket, hogy az új 1500-as sorozatú modellpalettát tekintjük át. BAN BEN 1 alkatrészek ciklusban említettem az egyik leghasznosabb lehetőséget SMB-eszköz vásárlásakor - átjárók biztosítását beépített Mobile Access licencekkel (100-200 felhasználó, típustól függően). Ebben a cikkben megvizsgáljuk a VPN beállítását az 1500-as sorozatú átjárókhoz, amelyek előre telepítve vannak a Gaia 80.20 Embedded programmal. Íme egy összefoglaló:
VPN-képességek SMB-k számára.
Távoli hozzáférés szervezése egy kis iroda számára.
A csatlakozáshoz elérhető kliensek.
1. VPN-beállítások SMB-hez
A mai anyag elkészítése érdekében a hivatalos adminisztrátori útmutató R80.20.05 verzió (aktuális a cikk közzétételekor). Ennek megfelelően a Gaia 80.20 Embedded VPN-t illetően a következők állnak rendelkezésre:
Site-To-Site. VPN-alagutak létrehozása az irodák között, ahol a felhasználók úgy dolgozhatnak, mintha ugyanazon a „helyi” hálózaton lennének.
Távoli hozzáférés. Távoli kapcsolat az irodai erőforrásokhoz felhasználói végberendezések (számítógép, mobiltelefon stb.) segítségével. Ezenkívül van egy SSL Network Extender, amely lehetővé teszi az egyes alkalmazások közzétételét és futtatását a Java kisalkalmazás segítségével, SSL-n keresztül csatlakozva. Megjegyzés: nem tévesztendő össze a Mobile Access Portal-lal (nincs támogatás a Gaia Embedded-hez).
emellett Nagyon ajánlom a szerzői kurzus TS Solution - Check Point Remote Access VPN feltárja a Check Point-technológiákat a VPN-sel kapcsolatban, érinti a licencelési kérdéseket, és részletes beállítási utasításokat tartalmaz.
2. Távoli hozzáférés kis irodákhoz
Elkezdjük a távoli kapcsolat megszervezését az irodájával:
Ahhoz, hogy a felhasználók VPN-alagutat építhessenek átjáróval, nyilvános IP-címmel kell rendelkeznie. Ha már befejezte a kezdeti beállítást (2 cikk ciklusból), akkor általában a Külső hivatkozás már aktív. Információk a Gaia portálon találhatók: Eszköz → Hálózat → Internet
Ha cége dinamikus nyilvános IP-címet használ, akkor beállíthatja a dinamikus DNS-t. Menj eszköz → DDNS és eszköz hozzáférés
Jelenleg két szolgáltató támogatja: a DynDns és a no-ip.com. Az opció aktiválásához meg kell adnia hitelesítő adatait (bejelentkezési név, jelszó).
Ezután hozzunk létre egy felhasználói fiókot, amely hasznos lesz a beállítások teszteléséhez: VPN → Remote Access → Remote Access Users
A csoportban (például: remoteaccess) létrehozunk egy felhasználót a képernyőképen látható utasításokat követve. A fiók beállítása szabványos, be kell állítania a bejelentkezési nevet és a jelszót, valamint engedélyezni kell a Távoli hozzáférési engedélyek opciót.
Ha sikeresen alkalmazta a beállításokat, két objektumnak kell megjelennie: egy helyi felhasználónak, egy helyi felhasználócsoportnak.
A következő lépés az, hogy menjen VPN → Remote Access → Blade Control. Győződjön meg arról, hogy a blade be van kapcsolva, és engedélyezett a távoli felhasználóktól érkező forgalom.
*A fenti lépések minimális lépései voltak a távelérés beállításához. Mielőtt azonban tesztelnénk a kapcsolatot, nézzük meg a speciális beállításokat a lapra lépve VPN → Távoli elérés → Speciális
A jelenlegi beállítások alapján azt látjuk, hogy a távoli felhasználók csatlakozáskor a 172.16.11.0/24 IP-címet kapják a hálózatról, köszönhetően az Office Mode opciónak. Ez elegendő tartalékkal 200 versenyképes licenc használatához (1590 NGFW Check Pointra jelölve).
választási lehetőség "Internet forgalom irányítása a csatlakoztatott ügyfelektől ezen az átjárón keresztül" opcionális, és felelős a távoli felhasználótól érkező összes forgalom átjárón keresztüli továbbításáért (beleértve az internetkapcsolatokat is). Ezzel ellenőrizheti a felhasználó forgalmát, és megvédheti munkaállomását a különféle fenyegetésektől és rosszindulatú programoktól.
*A távoli elérés hozzáférési szabályzataival dolgozik
Miután konfiguráltuk a Távoli hozzáférést, a tűzfal szintjén létrejött egy automatikus hozzáférési szabály, amelynek megtekintéséhez lépjen a lapra: Hozzáférési házirend → Tűzfal → Házirend
Ebben az esetben a távoli felhasználók, akik egy korábban létrehozott csoport tagjai, hozzáférhetnek a vállalat összes belső erőforrásához; vegye figyelembe, hogy a szabály az általános részben található „Bejövő, belső és VPN forgalom”. Annak érdekében, hogy a VPN-felhasználói forgalmat engedélyezze az internetre, létre kell hoznia egy külön szabályt az általános részben "Kimenő hozzáférés az internethez".
Végül csak meg kell győződnünk arról, hogy a felhasználó sikeresen létrehozhat egy VPN alagutat az NGFW átjárónkhoz, és hozzáférhet a vállalat belső erőforrásaihoz. Ehhez telepítenie kell egy VPN-klienst a tesztelt gazdagépen, a segítség elérhető link A betöltéshez. A telepítés után végre kell hajtania az új webhely hozzáadásának szokásos eljárását (jelezze meg az átjáró nyilvános IP-címét). A kényelem érdekében a folyamatot GIF-formátumban mutatjuk be
Ha a kapcsolat már létrejött, ellenőrizzük a fogadott IP-címet a gazdagépen a CMD parancsával: ipconfig
Megbizonyosodtunk arról, hogy a virtuális hálózati adapter IP-címet kapott az NGFW-nk Office módjából, a csomagok sikeresen elküldve. A befejezéshez felkereshetjük a Gaia portált: VPN → Távoli elérés → Csatlakoztatott távoli felhasználók
Az „ntuser” felhasználó csatlakozásként jelenik meg, nézzük meg az eseménynaplózást a címre lépve Naplók és megfigyelés → Biztonsági naplók
A kapcsolat naplózása az IP-cím forrásként való felhasználásával történik: 172.16.10.1 - ez az a cím, amelyet a felhasználónk az Office módban kapott.
3. Támogatott kliensek a távoli eléréshez
Miután áttekintettük az SMB család NGFW Check Point segítségével az irodájával való távoli kapcsolat létrehozásának eljárását, szeretnék írni a különböző eszközök ügyféltámogatásáról:
L2TP Native Client (Check Point azt állítja, hogy támogatja a Microsoft natív VPN-alkalmazását).
A támogatott operációs rendszerek és eszközök sokfélesége lehetővé teszi, hogy teljes mértékben kihasználja az NGFW-hez mellékelt licencét. Külön eszköz konfigurálásához van egy kényelmes lehetőség „Hogyan kapcsolódjunk”
A beállításoknak megfelelően automatikusan lépéseket generál, amelyek lehetővé teszik az adminisztrátorok számára, hogy probléma nélkül telepítsenek új ügyfeleket.
Következtetés: A cikk összefoglalásaként megvizsgáltuk az NGFW Check Point SMB család VPN-képességeit. Ezt követően ismertettük a távoli elérés beállításának lépéseit a felhasználók irodai távoli csatlakozása esetén, majd a megfigyelő eszközöket tanulmányoztuk. A cikk végén a távelérés elérhető klienseiről és csatlakozási lehetőségeiről beszéltünk. Így az Ön fióktelepe a különböző külső fenyegetések és tényezők ellenére is biztosítani tudja a munkavállalói munka folytonosságát és biztonságát VPN-technológiák segítségével.