Մենք ձեզ կպատմենք հեռակա աշխատակիցներին VPN կապերով ապահովելու մատչելի և անվտանգ եղանակի մասին՝ առանց ընկերության հեղինակության կամ ֆինանսական ռիսկերի ենթարկելու և առանց լրացուցիչ խնդիրներ ստեղծելու ՏՏ բաժնի և ընկերության ղեկավարության համար։
ՏՏ զարգացման հետ մեկտեղ հնարավոր է դարձել հեռավար աշխատողներին ներգրավել ավելի ու ավելի շատ պաշտոնների։
Եթե նախկինում հեռավար աշխատողների շրջանում հիմնականում ստեղծագործական մասնագիտությունների ներկայացուցիչներ էին, օրինակ՝ դիզայներներ, տեքստերի հեղինակներ, ապա այժմ հաշվապահները, իրավաբանական խորհրդատուները և այլ մասնագիտությունների շատ ներկայացուցիչներ կարող են հեշտությամբ աշխատել տնից՝ այցելելով գրասենյակ միայն անհրաժեշտության դեպքում։
Բայց ամեն դեպքում, անհրաժեշտ է աշխատանքը կազմակերպել անվտանգ ալիքով։
Ամենապարզ տարբերակը։ Մենք սերվերի վրա տեղադրում ենք VPN, աշխատակցին տրվում է մուտքի գաղտնաբառ և VPN-ի բանալի-վկայական, ինչպես նաև հրահանգներ, թե ինչպես տեղադրել VPN հաճախորդ իր համակարգչում։ Եվ IT բաժինը իր առաջադրանքը համարում է ավարտված։
Գաղափարը լավն է թվում, բացառությամբ մեկ բանի. դա պետք է լինի աշխատակից, որը գիտի, թե ինչպես ամեն ինչ ինքնուրույն կարգավորել: Եթե խոսքը ցանցային ծրագրերի որակավորված մշակողի մասին է, շատ հավանական է, որ նա կհաղթահարի այս խնդիրը:
Սակայն հաշվապահը, նկարիչը, դիզայները, տեխնիկական գրողը, ճարտարապետը և շատ այլ մասնագետներ պարտադիր չէ, որ հասկանան VPN կարգավորման նրբությունները։ Կամ ինչ-որ մեկը պետք է հեռակա կապ հաստատի նրանց հետ և օգնի, կամ անձամբ գա և ամեն ինչ կարգավորի տեղում։ Հետևաբար, եթե ինչ-որ բան դադարում է աշխատել նրանց համար, օրինակ՝ օգտատիրոջ պրոֆիլում խափանման պատճառով, ցանցային հաճախորդի կարգավորումները կորչում են, ապա ամեն ինչ պետք է կրկնել սկզբից։
Որոշ ընկերություններ հեռակա աշխատանքի համար տրամադրում են նախապես տեղադրված ծրագրակազմով և կարգավորված VPN հաճախորդով նոութբուք։ Տեսականորեն, այս դեպքում օգտատերերը չպետք է ունենան ադմինիստրատորի իրավունքներ։ Սա լուծում է երկու խնդիր. աշխատակիցներին երաշխավորվում է ունենալ իրենց առաջադրանքներին համապատասխանող լիցենզավորված ծրագրակազմ և պատրաստի հաղորդակցման ալիք։ Միևնույն ժամանակ, նրանք չեն կարող իրենք փոխել կարգավորումները, ինչը նվազեցնում է զանգերի հաճախականությունը։
տեխնիկական աջակցություն։
Որոշ դեպքերում սա հարմար է։ Օրինակ, եթե դուք ունեք նոութբուք, կարող եք հարմարավետորեն տեղավորվել ձեր սենյակում ցերեկը, իսկ գիշերը լուռ աշխատել խոհանոցում, որպեսզի ոչ մեկին չարթնացնեք։
Ո՞րն է հիմնական թերությունը։ Նույն առավելությունն է՝ այն շարժական սարք է, որը կարելի է տեղափոխել։ Օգտատերերը բաժանվում են երկու կատեգորիայի՝ նրանք, ովքեր նախընտրում են սեղանադիր համակարգիչ՝ դրա հզորության և մեծ մոնիտորի պատճառով, և նրանք, ովքեր սիրում են շարժունակություն։
Երկրորդ խումբ օգտատերերը երկու ձեռքով քվեարկում են նոութբուքերի օգտին։ Ստանալով կորպորատիվ նոութբուք՝ նման աշխատակիցները սկսում են ուրախությամբ գնալ սրճարաններ, ռեստորաններ, բնության գրկում և փորձել այնտեղից աշխատել։ Թեկուզ միայն աշխատելու համար, այլ ոչ թե պարզապես օգտագործել ստացված սարքը որպես սեփական համակարգիչ սոցիալական ցանցերի և այլ զվարճանքի համար։
Վաղ թե ուշ, կորպորատիվ նոութբուքը կորչում է ոչ միայն կոշտ սկավառակի վրա գտնվող աշխատանքային տեղեկատվության հետ միասին, այլև կարգավորված VPN մուտքի հետ միասին: Եթե VPN հաճախորդի կարգավորումներում նշված է «պահպանել գաղտնաբառը» վանդակը, ապա ամեն րոպեն հաշվվում է: Այն դեպքերում, երբ կորուստը անմիջապես չի հայտնաբերվում, աջակցության ծառայությունը անմիջապես չի տեղեկացվում, անմիջապես չի գտնվում արգելափակման իրավունք ունեցող համապատասխան աշխատակցին. սա կարող է վերածվել մեծ աղետի:
Երբեմն օգնում է տեղեկատվությանը մուտքի սահմանափակումը։ Սակայն մուտքի սահմանափակումը չի նշանակում սարքի կորստի խնդրի լիակատար լուծում, այն պարզապես տվյալների բացահայտման և վտանգման դեպքում կորուստները նվազեցնելու միջոց է։
Կարող եք օգտագործել կոդավորում կամ երկփուլանի նույնականացում, օրինակ՝ USB բանալիով։ Արտաքուստ, գաղափարը լավ տեսք ունի, հիմա, եթե նոութբուքը ընկնի սխալ ձեռքերում, դրա տերը ստիպված կլինի քրտնաջան աշխատել տվյալներին մուտք գործելու համար, այդ թվում՝ VPN մուտք գործելու համար։ Այս ընթացքում կարող եք արգելափակել կորպորատիվ ցանցին մուտքը։ Եվ հեռակա օգտատիրոջ համար բացվում են նոր հնարավորություններ՝ բաց թողնել կամ նոութբուքը, կամ մուտքի բանալին, կամ երկուսն էլ միաժամանակ։ Պաշտոնապես, պաշտպանության մակարդակը բարձրացել է, բայց տեխնիկական աջակցության ծառայությունը չի ձանձրանա։ Բացի այդ, հիմա դուք ստիպված կլինեք գնել երկփուլանի նույնականացման (կամ կոդավորման) հավաքածու յուրաքանչյուր հեռակա օգտատիրոջ համար։
Առանձին տխուր և երկար պատմություն է կորած կամ վնասված նոութբուքերի (հատակին նետված, քաղցր թեյի, սուրճի հետ թափված և այլ պատահարների) և կորցրած մուտքի բանալիների համար փոխհատուցման հավաքագրումը։
Բացի մնացած ամեն ինչից, նոութբուքը պարունակում է մեխանիկական մասեր, ինչպիսիք են ստեղնաշարը, USB միացքները և էկրանին կափարիչը միացնող ամրակը. այս ամենը ժամանակի ընթացքում մաշվում է, դեֆորմացվում, թուլանում և ենթակա է վերանորոգման կամ փոխարինման (ամենից հաճախ փոխարինվում է ամբողջ նոութբուքը):
Հիմա ի՞նչ անել։ Խստիվ արգելվում է նոութբուքը բնակարանից և մոնիտորից դուրս բերելը։
շարժվում է՞
Ապա ինչո՞ւ նրանք նոութբուք տվեցին։
Մի պատճառն այն է, որ նոութբուքն ավելի հեշտ է հանձնել։ Եկեք մտածենք մեկ այլ բանի մասին, նույնպես կոմպակտ։
Կարող եք թողարկել ոչ թե նոութբուք, այլ պաշտպանված LiveUSB ֆլեշ կրիչներ՝ արդեն կարգավորված VPN կապով, և օգտատերը կօգտագործի իր համակարգիչը։ Բայց այստեղ նույնպես վիճակախաղ է. ծրագրային ապահովման կոմպիլյացիան կաշխատի՞ օգտատիրոջ համակարգչի վրա, թե՞ ոչ։ Խնդիրը կարող է լինել անհրաժեշտ դրայվերների տարրական բացակայության մեջ։
Մենք պետք է պարզենք, թե ինչպես կազմակերպել հեռավար աշխատող աշխատակիցների կապը, մինչդեռ ցանկալի է, որ մարդը չտրվի քաղաքում կորպորատիվ նոութբուքով թափառելու գայթակղությանը, այլ նստի տանը և հանգիստ աշխատի՝ առանց իրեն վստահված սարքը ինչ-որ տեղ մոռանալու կամ կորցնելու վտանգի։
VPN-ի միջոցով ֆիքսված մուտք
Բայց ի՞նչ անել, եթե մենք թողարկենք ոչ թե վերջնական սարք, օրինակ՝ նոութբուք, կամ նույնիսկ ավելին՝ ոչ թե առանձին ֆլեշ կրիչ միացման համար, այլ ցանցային դարպաս՝ VPN հաճախորդի հետ միասին։
Օրինակ՝ պատրաստի ռաութեր, որը ներառում է տարբեր արձանագրությունների աջակցություն, որում VPN կապն արդեն նախապես կարգավորված է։ Հեռակա աշխատողը պարզապես պետք է միացնի իր համակարգիչը դրան և սկսի աշխատել։
Ի՞նչ խնդիրների լուծմանն է սա օգնում։
- VPN-ի միջոցով կորպորատիվ ցանցին կարգավորված մուտք ունեցող սարքավորումները տնից դուրս չեն բերվում։
- Դուք կարող եք մի քանի սարքեր միացնել մեկ VPN ալիքին։
Մենք արդեն վերևում գրել ենք, որ հաճելի է բնակարանում տեղաշարժվել նոութբուքով, բայց հաճախ ավելի հեշտ և հարմար է աշխատել սեղանադիր համակարգչով։
Եվ դուք կարող եք միացնել համակարգիչ, նոութբուք, սմարթֆոն, պլանշետ և նույնիսկ էլեկտրոնային գիրք ռաութերի վրա գտնվող VPN-ին՝ ցանկացած բան, որը աջակցում է Wi-Fi-ի կամ լարային Ethernet-ի միջոցով մուտք գործելուն։
Եթե իրավիճակին ավելի լայնորեն նայենք, սա կարող է լինել, օրինակ, մինի-գրասենյակի միացման կետ, որտեղ կարող են աշխատել մի քանի մարդ։
Նման պաշտպանված հատվածի շրջանակներում միացված սարքերը կարող են փոխանակվել տեղեկատվությամբ, դուք կարող եք կազմակերպել ինչ-որ բան, ինչպիսին է ֆայլերի փոխանակման ռեսուրսը, միաժամանակ ունենալով ինտերնետին նորմալ մուտք, ուղարկելով փաստաթղթեր արտաքին տպիչի վրա տպագրելու համար և այլն:
Կորպորատիվ հեռախոսակապ։ Որքա՜ն շատ բան կա այս ձայնի մեջ, որը հնչում է հեռախոսի ինչ-որ տեղ։ Մի քանի սարքերի համար կենտրոնացված VPN ալիքը թույլ է տալիս միացնել սմարթֆոնը Wi-Fi ցանցի միջոցով և օգտագործել IP հեռախոսակապը կորպորատիվ ցանցի ներսում կարճ համարներին զանգեր կատարելու համար։
Հակառակ դեպքում, դուք ստիպված կլինեք զանգահարել ձեր բջջայինով կամ օգտագործել արտաքին հավելվածներ, ինչպիսին է WhatsApp-ը, ինչը միշտ չէ, որ համապատասխանում է կորպորատիվ անվտանգության քաղաքականությանը։
Եվ քանի որ խոսքը անվտանգության մասին է, արժե նշել ևս մեկ կարևոր փաստ։ VPN ապարատային դարպասի միջոցով դուք կարող եք ուժեղացնել պաշտպանությունը՝ օգտագործելով մուտքային դարպասի վրա նոր կառավարման գործառույթներ։ Սա թույլ է տալիս բարձրացնել անվտանգությունը և երթևեկության պաշտպանության բեռի մի մասը փոխանցել ցանցային դարպասին։
Ի՞նչ լուծում կարող է առաջարկել Zyxel-ը այս դեպքում։
Մենք քննարկում ենք մի սարք, որը կարող է ժամանակավոր օգտագործման համար տրամադրվել բոլոր այն աշխատակիցներին, ովքեր կարող են և ցանկանում են հեռավար աշխատել։
Հետևաբար, նման սարքը պետք է լինի.
- էժան;
- հուսալի (որպեսզի չվատնի գումար և ժամանակ վերանորոգման վրա);
- հասանելի է մանրածախ ցանցերում գնման համար;
- հեշտ է տեղադրել (նախատեսված է օգտագործել առանց հատուկ զանգի)
որակավորված մասնագետ):
Շատ իրատեսական չի հնչում, այնպես չէ՞։
Այնուամենայնիվ, նման սարք գոյություն ունի, այն իսկապես գոյություն ունի և անվճար է
— Zyxel ZyWALL VPN2S
VPN2S-ը VPN firewall է, որը թույլ է տալիս օգտագործել մասնավոր կապ
կետից կետ՝ առանց բարդ ցանցային պարամետրերի կարգավորումների։
Նկար 1. Zyxel ZyWALL VPN2S-ի տեսքը
Սարքի համառոտ նկարագրությունը
Սարքավորումների առանձնահատկություններ
10/100/1000 Մբ/վ RJ-45 միացքներ
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB պորտեր
2 x USB 2.0
Երկրպագու չկա
Այո
Համակարգի հզորությունը և կատարողականությունը
SPI Firewall-ի թողունակություն (Մբ/վ)
1.5 Gbps
VPN թողունակություն (Մբիթ/վ)
35
TCP միաժամանակյա սեսիաների առավելագույն քանակը
50000
Максимальное число одновременных туннелей IPsec VPN [5]
20
Կարգավորելի գոտիներ
Այո
IPv6 աջակցություն
Այո
VLAN-ների առավելագույն քանակը
16
Ծրագրային ապահովման հիմնական գործառույթները
Բազմակի WAN բեռնվածության հավասարակշռում/անհաջող անցում
Այո
Վիրտուալ մասնավոր ցանց (VPN)
Այո (IPSec, L2TP IPSec-ի միջոցով, PPTP, L2TP, GRE)
VPN հաճախորդ
IPSec/L2TP/PPTP
Բովանդակության զտում
1 տարի անվճար
Firewall- ը
Այո
VLAN/Միջերեսային խումբ
Այո
Թողունակության կառավարում
Այո
Իրադարձությունների գրանցամատյան և մոնիթորինգ
Այո
Cloud Helper
Այո
Հեռակառավարման վահանակ
Այո
Նշում. Աղյուսակում ներկայացված տվյալները տրված են OPAL BE միկրոկոդի 1.12 կամ ավելի բարձր տարբերակի համար։
ուշ տարբերակ։
ZyWALL VPN2S-ը ինչ VPN տարբերակներ է աջակցում
Իրականում, անունից պարզ է դառնում, որ ZyWALL VPN2S սարքը հիմնականում
նախատեսված էր հեռակա աշխատակիցներին և մինի-մասնաճյուղերը VPN-ի միջոցով կապելու համար։
- Վերջնական օգտատերերի համար տրամադրվում է L2TP Over IPSec VPN արձանագրությունը։
- Մինի-գրասենյակները միացնելու համար տրամադրվում է Site-to-Site IPSec VPN կապ։
- Բացի այդ, ZyWALL VPN2S-ի օգնությամբ դուք կարող եք կառուցել L2TP VPN կապ
ծառայություն մատուցող՝ անվտանգ ինտերնետ մուտք գործելու համար։
Պետք է նշել, որ այս բաժանումը բավականին կամայական է։ Օրինակ՝ կարելի է
հեռավոր կետ՝ կայքից կայք IPSec VPN կապը մեկ կետով կարգավորելու համար
օգտագործողը պարագծի ներսում։
Իհարկե, այս ամենը արվում է ուժեղ VPN ալգորիթմների միջոցով (IKEv2 և SHA-2):
Օգտագործելով բազմաթիվ WAN-ներ
Հեռավար աշխատանքի համար գլխավորը կայուն ալիք ունենալն է։ Ցավոք, միայն մեկով
Նույնիսկ ամենահուսալի մատակարարի կապի գիծը չի կարող երաշխավորել սա։
Խնդիրները կարելի է բաժանել երկու տեսակի՝
- արագության անկում - Multi-WAN բեռի հավասարակշռման գործառույթը կօգնի դրանում
պահպանելով կայուն կապը պահանջվող արագությամբ; - ալիքի խափանում - սա է Multi-WAN failover ֆունկցիայի նպատակը
կրկնօրինակման միջոցով սխալների նկատմամբ հանդուրժողականության ապահովումը։
Ի՞նչ ապարատային հնարավորություններ կան դրա համար.
- Չորրորդ LAN միացքը կարող է կարգավորվել որպես լրացուցիչ WAN միացք։
- USB միացքը կարող է օգտագործվել 3G/4G մոդեմ միացնելու համար, որը ապահովում է
պահուստային ալիք բջջային կապի տեսքով:
Ցանցային անվտանգության բարելավում
Ինչպես նշվեց վերևում, սա հատուկ օգտագործման հիմնական առավելություններից մեկն է
կենտրոնացված սարքեր։
ZyWALL VPN2S-ը ունի Stateful Packet Inspection (SPI) firewall ֆունկցիա՝ տարբեր տեսակի հարձակումներին հակազդելու համար, ներառյալ DoS (Denial of Service), կեղծ IP հասցեներով հարձակումներին, ինչպես նաև համակարգերին չարտոնված հեռակա մուտքին, կասկածելի ցանցային երթևեկությանը և փաթեթներին։
Որպես լրացուցիչ պաշտպանություն, սարքն ունի բովանդակության զտում՝ կասկածելի, վտանգավոր և կողմնակի բովանդակությանը օգտատիրոջ մուտքը արգելափակելու համար։
Արագ և հեշտ կարգավորում 5 քայլով՝ կարգավորման օգնականի միջոցով
Արագ կապի կարգավորման համար կա հարմար կարգավորման վարպետ և գրաֆիկական ինտերֆեյս
Բազմալեզու ինտերֆեյս։
Նկար 2. Կարգավորման օգնականի էկրաններից մեկի օրինակ:
Արդյունավետ և արդյունավետ կառավարման համար Zyxel-ը առաջարկում է հեռակառավարման ամբողջական փաթեթ, որը հեշտացնում է VPN2S-ի կարգավորումը և մոնիթորինգը։
Կարգավորումները կրկնօրինակելու հնարավորությունը մեծապես պարզեցնում է բազմաթիվ ZyWALL VPN2S սարքերի պատրաստումը հեռակա աշխատակիցներին բաշխելու համար։
VLAN աջակցություն
Չնայած այն հանգամանքին, որ ZyWALL VPN2S-ը նախատեսված է հեռավար աշխատանքի համար, այն աջակցում է VLAN-ին: Սա թույլ է տալիս բարձրացնել ցանցի անվտանգությունը, օրինակ, եթե միացված է անհատ ձեռնարկատիրոջ գրասենյակը, որն ունի հյուրերի Wi-Fi: VLAN-ի ստանդարտ գործառույթները, ինչպիսիք են հեռարձակման տիրույթների սահմանափակումը, փոխանցվող երթևեկության կրճատումը և անվտանգության քաղաքականության կիրառումը, պահանջարկ ունեն կորպորատիվ ցանցերում, բայց փոքր բիզնեսներում, սկզբունքորեն, դրանք նույնպես կարող են կիրառություն գտնել:
VLAN աջակցությունը նույնպես օգտակար է առանձին ցանց կազմակերպելու համար, օրինակ՝ IP հեռախոսակապի համար։
VLAN-ի աշխատանքն ապահովելու համար ZyWALL VPN2S սարքը աջակցում է IEEE 802.1Q ստանդարտին։
Ամփոփելով
Կազմաձևված VPN ալիքով բջջային սարքը կորցնելու ռիսկը պահանջում է կորպորատիվ նոութբուքերի բաշխումից բացի այլ լուծումներ։
Կոմպակտ և էժան VPN դարպասների օգտագործումը թույլ է տալիս հեշտությամբ կազմակերպել հեռակա աշխատակիցների աշխատանքը։
ZyWALL VPN2S մոդելը սկզբնապես նախատեսված էր հեռակա աշխատակիցներին և փոքր գրասենյակներին միացնելու համար։
Օգտակար հղումներ
→
→
→
→
→
Source: www.habr.com
