4. NGFW fyrir lítil fyrirtæki. VPN

Við höldum áfram greinaröðinni okkar um NGFW fyrir lítil fyrirtæki, ég minni þig á að við erum að endurskoða nýja 1500 seríuna. IN 1 hlutar hringrás, nefndi ég einn af gagnlegustu valkostunum þegar keypt var SMB tæki - framboð af hliðum með innbyggðum farsímaaðgangsleyfum (frá 100 til 200 notendum, allt eftir gerð). Í þessari grein munum við skoða að setja upp VPN fyrir 1500 röð gáttir sem koma með Gaia 80.20 Embedded fyrirfram uppsett. Hér er samantekt:

1. VPN möguleikar fyrir SMB.
2. Skipulag fjaraðgangs fyrir litla skrifstofu.
3. Tiltækir viðskiptavinir fyrir tengingu.

1. VPN valkostir fyrir SMB

Í því skyni að undirbúa efni dagsins, embættismaður stjórnendahandbók útgáfa R80.20.05 (núverandi við birtingu greinarinnar). Í samræmi við það, hvað varðar VPN með Gaia 80.20 Embedded, er stuðningur við:

1. Site-to-site. Að búa til VPN göng á milli skrifstofu þinna, þar sem notendur geta unnið eins og þeir væru á sama „staðbundnu“ neti.

   

2. Fjaraðgangur. Fjartenging við skrifstofuauðlindir þínar með því að nota notendatæki (tölvur, farsíma osfrv.). Að auki er til SSL Network Extender, það gerir þér kleift að birta einstök forrit og keyra þau með Java smáforritinu, sem tengist í gegnum SSL. Ath: ekki að rugla saman við Mobile Access Portal (enginn stuðningur við Gaia Embedded).
   
   

auki Ég mæli eindregið með höfundanámskeiðinu TS Solution - Check Point Remote Access VPN það sýnir Check Point tækni varðandi VPN, snertir leyfisvandamál og inniheldur nákvæmar uppsetningarleiðbeiningar.

2. Fjaraðgangur fyrir litla skrifstofu

Við byrjum að skipuleggja fjartengingu við skrifstofuna þína:

1. Til þess að notendur geti byggt VPN göng með gátt þarftu að hafa opinbert IP-tölu. Ef þú hefur þegar lokið fyrstu uppsetningu (2 grein úr lotunni), þá er ytri hlekkur að jafnaði þegar virkur. Upplýsingar má finna með því að fara á Gaia Portal: Tæki → Net → Internet

   
   

   Ef fyrirtækið þitt notar kraftmikið opinbert IP-tölu geturðu stillt Dynamic DNS. Fara til Tæki → DDNS & Tækjaaðgangur

   
   

   Eins og er er stuðningur frá tveimur veitendum: DynDns og no-ip.com. Til að virkja valkostinn þarftu að slá inn skilríki (innskráning, lykilorð).

2. Næst skulum við búa til notandareikning, það mun vera gagnlegt til að prófa stillingarnar: VPN → Fjaraðgangur → Fjaraðgangsnotendur

   
   

   Í hópnum (til dæmis: fjaraðgangur) munum við búa til notanda eftir leiðbeiningunum á skjámyndinni. Að setja upp reikning er staðalbúnaður, stilltu notandanafn og lykilorð og virkjaðu að auki valkostinn fyrir fjaraðgangsheimildir.

   
   

   Ef þú hefur beitt stillingunum með góðum árangri ættu tveir hlutir að birtast: staðbundinn notandi, staðbundinn hópur notenda.

   

3. Næsta skref er að fara í VPN → Fjaraðgangur → Blaðstýring. Gakktu úr skugga um að kveikt sé á blaðinu þínu og umferð frá ytri notendum sé leyfð.

   

4. *Oftangreint var lágmarksskref til að setja upp fjaraðgang. En áður en við prófum tenginguna skulum við kanna háþróaðar stillingar með því að fara í flipann VPN → Fjaraðgangur → Ítarlegt

   
   

   Miðað við núverandi stillingar sjáum við að þegar ytri notendur tengjast munu þeir fá IP-tölu frá netinu 172.16.11.0/24, þökk sé Office Mode valkostinum. Þetta er nóg með varasjóði til að nota 200 samkeppnisleyfi (víst fyrir 1590 NGFW Check Point).

   Valkostur „Beina netumferð frá tengdum viðskiptavinum í gegnum þessa gátt“ er valfrjálst og ber ábyrgð á að beina allri umferð frá ytri notandanum í gegnum gáttina (þar á meðal nettengingar). Þetta gerir þér kleift að skoða umferð notandans og vernda vinnustöð hans fyrir ýmsum ógnum og spilliforritum.

5. *Að vinna með aðgangsstefnu fyrir fjaraðgang

   Eftir að við stilltum fjaraðgang var sjálfvirk aðgangsregla búin til á eldveggsstigi, til að skoða hana þarftu að fara í flipann: Aðgangsstefna → Eldveggur → Stefna

   
   

   Í þessu tilviki munu fjarnotendur sem eru meðlimir áður stofnaðs hóps geta fengið aðgang að öllum innri auðlindum fyrirtækisins; athugið að reglan er staðsett í almenna hlutanum „Komandi, innri og VPN umferð“. Til að leyfa VPN notendaumferð á internetið þarftu að búa til sérstaka reglu í almenna hlutanum "Útleiðandi aðgangur að internetinu".

6. Að lokum þurfum við bara að ganga úr skugga um að notandinn geti búið til VPN göng að NGFW gáttinni okkar og fengið aðgang að innri auðlindum fyrirtækisins. Til að gera þetta þarftu að setja upp VPN viðskiptavin á gestgjafann sem verið er að prófa, hjálp er veitt tengill Til að hlaða. Eftir uppsetningu þarftu að framkvæma staðlaða aðferð til að bæta við nýrri síðu (tilgreindu opinbera IP tölu gáttarinnar þinnar). Til hægðarauka er ferlið kynnt á GIF formi

   
   
   Þegar tengingunni er þegar komið á, skulum við athuga móttekna IP tölu á hýsingarvélinni með því að nota skipunina í CMD: ipconfig

   
   

   Við tryggðum að sýndarnetmillistykkið fengi IP-tölu frá skrifstofuham NGFW okkar, pakkar voru sendir með góðum árangri. Til að ljúka við getum við farið á Gaia Portal: VPN → Fjaraðgangur → Tengdir fjarnotendur

   
   

   Notandinn „ntuser“ birtist sem tengdur, við skulum athuga atburðaskráninguna með því að fara á Dagskrár og eftirlit → Öryggisskrár

   
   

   Tengingin er skráð með því að nota IP töluna sem uppruna: 172.16.10.1 - þetta er heimilisfangið sem notandi okkar fær í gegnum Office Mode.

   3. Stuðningsaðilar fyrir fjaraðgang

   Eftir að við höfum farið yfir aðferðina við að setja upp fjartengingu við skrifstofuna þína með því að nota NGFW Check Point af SMB fjölskyldunni, langar mig að skrifa um stuðning viðskiptavina fyrir ýmis tæki:

   • Endpoint VPN fyrir Windows/Mac OS
   • Farsímaviðskiptavinur (Android / IOS)
   • L2TP Native Client (Check Point krefst stuðning við innbyggt VPN app Microsoft).

   Fjölbreytni studdra stýrikerfa og tækja gerir þér kleift að nýta þér leyfið þitt sem fylgir NGFW til fulls. Til þess að stilla sérstakt tæki er þægilegur valkostur „Hvernig á að tengjast“

   

   Það býr sjálfkrafa til skref í samræmi við stillingar þínar, sem gerir stjórnendum kleift að setja upp nýja viðskiptavini án vandræða.

   Ályktun: Til að draga saman þessa grein skoðuðum við VPN getu NGFW Check Point SMB fjölskyldunnar. Næst lýstum við skrefunum til að setja upp fjaraðgang, ef um er að ræða fjartengingu notenda við skrifstofuna, og rannsökuðum síðan vöktunartæki. Í lok greinarinnar ræddum við um tiltæka viðskiptavini og tengimöguleika fyrir fjaraðgang. Þannig mun útibúið þitt geta tryggt samfellu og öryggi vinnu starfsmanna með VPN tækni, þrátt fyrir ýmsar utanaðkomandi ógnir og þætti.

   Mikið úrval af efnum á Check Point frá TS Solution. Fylgstu með (Telegram, Facebook, VK, TS lausnarblogg, Yandex Zen).

Heimild: www.habr.com