4. NGFW untuk usaha kecil. VPN

Kami melanjutkan rangkaian artikel kami tentang NGFW untuk usaha kecil, izinkan saya mengingatkan Anda bahwa kami sedang meninjau rangkaian model seri 1500 yang baru. DI DALAM 1 bagian siklus, saya menyebutkan salah satu opsi paling berguna saat membeli perangkat SMB - penyediaan gateway dengan lisensi Akses Seluler bawaan (dari 100 hingga 200 pengguna, tergantung modelnya). Pada artikel ini kita akan melihat pengaturan VPN untuk gateway seri 1500 yang dilengkapi dengan Gaia 80.20 Tertanam yang sudah diinstal sebelumnya. Berikut ringkasannya:

1. Kemampuan VPN untuk UKM.
2. Organisasi Akses Jarak Jauh untuk kantor kecil.
3. Klien yang tersedia untuk koneksi.

1. Opsi VPN untuk UKM

Untuk mempersiapkan materi hari ini, pejabat panduan admin versi R80.20.05 (terkini pada saat artikel diterbitkan). Oleh karena itu, dalam hal VPN dengan Gaia 80.20 Tertanam, terdapat dukungan untuk:

1. Situs-Ke-Situs. Membuat terowongan VPN antar kantor Anda, di mana pengguna dapat bekerja seolah-olah mereka berada di jaringan “lokal” yang sama.

   

2. Akses Jarak Jauh. Koneksi jarak jauh ke sumber daya kantor Anda menggunakan perangkat akhir pengguna (PC, ponsel, dll.). Selain itu, ada SSL Network Extender, yang memungkinkan Anda mempublikasikan aplikasi individual dan menjalankannya menggunakan Java Applet, terhubung melalui SSL. Catatan: jangan bingung dengan Portal Akses Seluler (tidak ada dukungan untuk Gaia Embedded).
   
   

tambahan Saya sangat merekomendasikan kursus penulis TS Solution - Periksa Titik VPN Akses Jarak Jauh itu mengungkapkan teknologi Check Point mengenai VPN, menyentuh masalah perizinan dan berisi instruksi pengaturan terperinci.

2. Akses Jarak Jauh untuk kantor kecil

Kami akan mulai mengatur koneksi jarak jauh ke kantor Anda:

1. Agar pengguna dapat membangun terowongan VPN dengan gateway, Anda harus memiliki alamat IP publik. Jika Anda telah menyelesaikan pengaturan awal (Artikel 2 dari siklus), maka, sebagai aturan, Tautan Eksternal sudah aktif. Informasi dapat ditemukan dengan membuka Portal Gaia: Perangkat → Jaringan → Internet

   
   

   Jika perusahaan Anda menggunakan alamat IP publik dinamis, maka Anda dapat mengatur DNS Dinamis. Pergi ke alat → DDNS & Akses Perangkat

   
   

   Saat ini terdapat dukungan dari dua penyedia: DynDns dan no-ip.com. Untuk mengaktifkan opsi ini, Anda harus memasukkan kredensial Anda (login, kata sandi).

2. Selanjutnya mari kita buat akun pengguna, ini akan berguna untuk menguji pengaturan: VPN → Akses Jarak Jauh → Pengguna Akses Jarak Jauh

   
   

   Di grup (misalnya: akses jarak jauh) kami akan membuat pengguna dengan mengikuti petunjuk di tangkapan layar. Menyiapkan akun adalah standar, mengatur login dan kata sandi, dan juga mengaktifkan opsi izin Akses Jarak Jauh.

   
   

   Jika Anda berhasil menerapkan pengaturan, dua objek akan muncul: pengguna lokal, grup pengguna lokal.

   

3. Langkah selanjutnya adalah pergi ke VPN → Akses Jarak Jauh → Kontrol Blade. Pastikan blade Anda dihidupkan dan lalu lintas dari pengguna jarak jauh diizinkan.

   

4. *Di atas adalah serangkaian langkah minimum untuk mengatur Akses Jarak Jauh. Namun sebelum kita menguji koneksi, mari jelajahi pengaturan lanjutan dengan membuka tab VPN → Akses Jarak Jauh → Tingkat Lanjut

   
   

   Berdasarkan pengaturan saat ini, kami melihat bahwa ketika pengguna jarak jauh terhubung, mereka akan menerima alamat IP dari jaringan 172.16.11.0/24, berkat opsi Mode Office. Ini cukup dengan cadangan untuk menggunakan 200 lisensi kompetitif (ditunjukkan untuk 1590 NGFW Check Point).

   Pilihan "Rutekan lalu lintas Internet dari klien yang terhubung melalui gateway ini" bersifat opsional dan bertanggung jawab untuk merutekan semua lalu lintas dari pengguna jarak jauh melalui gateway (termasuk koneksi Internet). Hal ini memungkinkan Anda untuk memeriksa lalu lintas pengguna dan melindungi stasiun kerjanya dari berbagai ancaman dan malware.

5. *Bekerja dengan kebijakan akses untuk Akses Jarak Jauh

   Setelah kami mengonfigurasi Akses Jarak Jauh, aturan akses otomatis dibuat di tingkat Firewall, untuk melihatnya Anda perlu membuka tab: Kebijakan Akses → Firewall → Kebijakan

   
   

   Dalam hal ini, pengguna jarak jauh yang menjadi anggota grup yang dibuat sebelumnya akan dapat mengakses semua sumber daya internal perusahaan; perhatikan bahwa aturannya terletak di bagian umum “Lalu lintas masuk, internal, dan VPN”. Untuk mengizinkan lalu lintas pengguna VPN ke Internet, Anda perlu membuat aturan terpisah di bagian umum “Akses keluar ke Internet".

6. Terakhir, kami hanya perlu memastikan bahwa pengguna berhasil membuat terowongan VPN ke gateway NGFW kami dan mendapatkan akses ke sumber daya internal perusahaan. Untuk melakukan ini, Anda perlu menginstal klien VPN pada host yang diuji, bantuan disediakan link Untuk memuat. Setelah instalasi, Anda perlu melakukan prosedur standar untuk menambahkan situs baru (sebutkan alamat IP publik gateway Anda). Untuk kenyamanan, prosesnya disajikan dalam bentuk GIF

   
   
   Ketika koneksi sudah terjalin, mari kita periksa alamat IP yang diterima di mesin host menggunakan perintah di CMD: ipconfig

   
   

   Kami memastikan bahwa adaptor jaringan virtual menerima alamat IP dari Mode Office NGFW kami, paket berhasil dikirim. Untuk menyelesaikannya, kita bisa pergi ke Gaia Portal: VPN → Akses Jarak Jauh → Pengguna Jarak Jauh yang Terhubung

   
   

   Pengguna "ntuser" ditampilkan sebagai terhubung, mari kita periksa pencatatan peristiwa dengan masuk ke Log & Pemantauan → Log Keamanan

   
   

   Koneksi dicatat menggunakan alamat IP sebagai sumbernya: 172.16.10.1 - ini adalah alamat yang diterima oleh pengguna kami melalui Mode Office.

   3. Klien yang didukung untuk Akses Jarak Jauh

   Setelah kami meninjau prosedur untuk mengatur koneksi jarak jauh ke kantor Anda menggunakan NGFW Check Point dari keluarga SMB, saya ingin menulis tentang dukungan klien untuk berbagai perangkat:

   • VPN Titik Akhir untuk Windows/Mac OS
   • Klien Seluler (Android / IOS)
   • L2TP Native Client (Check Point mengklaim dukungan untuk aplikasi VPN asli Microsoft).

   Beragamnya sistem operasi dan perangkat yang didukung akan memungkinkan Anda memanfaatkan sepenuhnya lisensi yang disertakan dengan NGFW. Untuk mengonfigurasi perangkat terpisah, ada opsi yang mudah “Cara menghubungkan”

   

   Secara otomatis menghasilkan langkah-langkah sesuai dengan pengaturan Anda, yang memungkinkan administrator menginstal klien baru tanpa masalah.

   Kesimpulan: Untuk meringkas artikel ini, kami melihat kemampuan VPN dari keluarga NGFW Check Point SMB. Selanjutnya, kami menjelaskan langkah-langkah untuk menyiapkan Akses Jarak Jauh, dalam kasus koneksi jarak jauh pengguna ke kantor, dan kemudian mempelajari alat pemantauan. Di akhir artikel kita berbicara tentang klien yang tersedia dan opsi koneksi untuk Akses Jarak Jauh. Dengan demikian, kantor cabang Anda akan dapat menjamin kelangsungan dan keamanan pekerjaan karyawan menggunakan teknologi VPN, meskipun terdapat berbagai ancaman dan faktor eksternal.

   Banyak pilihan material di Check Point dari TS Solution. Pantau terus (Telegram, Facebook, VK, Blog Solusi TS, Yandex Zen).

Sumber: www.habr.com