4. 中小企業向けの NGFW。 VPN

中小企業向けの NGFW に関する一連の記事を続けていますが、新しい 1500 シリーズ モデル範囲をレビューしていることを思い出してください。 で 1部品 サイクルの中で、SMB デバイスを購入するときに最も便利なオプションの 100 つであるモバイル アクセス ライセンス (モデルに応じて 200 ～ 1500 ユーザー) が組み込まれたゲートウェイの供給について触れました。 この記事では、Gaia 80.20 Embedded がプリインストールされている XNUMX シリーズ ゲートウェイの VPN のセットアップについて説明します。 要約は次のとおりです。

1. SMB 向けの VPN 機能。
2. 小規模オフィス向けのリモート アクセスの構成。
3. 接続可能なクライアント。

1. SMB 向けの VPN オプション

今日の資料を準備するために、公式 管理者ガイド バージョン R80.20.05 (記事公開時点)。 したがって、Gaia 80.20 Embedded を使用した VPN に関しては、以下がサポートされます。

1. サイト間。 オフィス間に VPN トンネルを作成すると、ユーザーは同じ「ローカル」ネットワーク上にいるかのように作業できます。

   

2. リモートアクセス。 ユーザーエンドデバイス (PC、携帯電話など) を使用したオフィスリソースへのリモート接続。 さらに、SSL Network Extender があり、これを使用すると、個々のアプリケーションを公開し、Java アプレットを使用して SSL 経由で接続して実行できます。 注意： Mobile Access Portal (Gaia Embedded はサポートされていません) と混同しないでください。
   
   

さらに 著者のコース「TS Solution」を強くお勧めします - チェック・ポイント リモート アクセス VPN VPN に関する Check Point テクノロジーを明らかにし、ライセンスの問題について触れ、詳細なセットアップ手順が含まれています。

2. 小規模オフィス向けのリモート アクセス

あなたのオフィスへのリモート接続の準備を開始します。

1. ユーザーがゲートウェイを使用して VPN トンネルを構築するには、パブリック IP アドレスが必要です。 すでに初期設定が完了している場合（2の記事 サイクルから)、通常、外部リンクはすでにアクティブになっています。 情報は、Gaia Portal にアクセスしてご覧ください。 デバイス → ネットワーク → インターネット

   
   

   会社が動的パブリック IP アドレスを使用している場合は、動的 DNS を設定できます。 に行く デバイス → DDNS とデバイスアクセス

   
   

   現在、DynDns と no-ip.com の XNUMX つのプロバイダーがサポートしています。 このオプションを有効にするには、資格情報 (ログイン、パスワード) を入力する必要があります。

2. 次に、ユーザー アカウントを作成しましょう。これは設定をテストするのに役立ちます。 VPN → リモートアクセス → リモートアクセスユーザー

   
   

   グループ (例: リモートアクセス) で、スクリーンショットの指示に従ってユーザーを作成します。 アカウントのセットアップは標準であり、ログインとパスワードを設定し、さらにリモート アクセス許可オプションを有効にします。

   
   

   設定が正常に適用されると、ローカル ユーザーとローカル ユーザー グループの XNUMX つのオブジェクトが表示されます。

   

3. 次のステップは、 VPN → リモート アクセス → ブレード コントロール。 ブレードの電源がオンになっていて、リモート ユーザーからのトラフィックが許可されていることを確認してください。

   

4. *上記は、リモート アクセスを設定するための最小限の手順です。 ただし、接続をテストする前に、タブに移動して詳細設定を調べてみましょう VPN → リモートアクセス → 詳細

   
   

   現在の設定に基づくと、リモート ユーザーが接続すると、オフィス モード オプションのおかげでネットワーク 172.16.11.0/24 から IP アドレスを受け取ることがわかります。 これは、200 の競合ライセンス (1590 NGFW Check Point に示されている) を使用するための予備を備えたもので十分です。

   オプション 「接続されたクライアントからのインターネット トラフィックをこのゲートウェイ経由でルーティングする」 はオプションであり、リモート ユーザーからのすべてのトラフィックをゲートウェイ経由でルーティングします (インターネット接続を含む)。 これにより、ユーザーのトラフィックを検査し、さまざまな脅威やマルウェアからワークステーションを保護できます。

5. *リモート アクセスのアクセス ポリシーの操作

   リモート アクセスを構成した後、自動アクセス ルールがファイアウォール レベルで作成されました。これを表示するには、次のタブに移動する必要があります。 アクセス ポリシー → ファイアウォール → ポリシー

   
   

   この場合、以前に作成したグループのメンバーであるリモート ユーザーは、会社のすべての内部リソースにアクセスできます。ルールは一般セクションにあることに注意してください。 「受信トラフィック、内部トラフィック、VPN トラフィック」。 インターネットへの VPN ユーザー トラフィックを許可するには、一般セクション「」で別のルールを作成する必要があります。インターネットへの発信アクセス"。

6. 最後に、ユーザーが NGFW ゲートウェイへの VPN トンネルを正常に作成し、会社の内部リソースにアクセスできることを確認する必要があります。 これを行うには、テスト対象のホストに VPN クライアントをインストールする必要があります。ヘルプが提供されています。 リンク 積み込み用。 インストール後、新しいサイトを追加するための標準手順を実行する必要があります (ゲートウェイのパブリック IP アドレスを指定します)。 便宜上、プロセスは GIF 形式で表示されます

   
   
   接続がすでに確立されている場合は、CMD のコマンドを使用して、ホスト マシンで受信した IP アドレスを確認してみましょう。 IPCONFIG

   
   

   仮想ネットワーク アダプターが NGFW のオフィス モードから IP アドレスを受信し、パケットが正常に送信されたことを確認しました。 完了するには、Gaia Portal に移動します。 VPN → リモートアクセス → 接続されているリモートユーザー

   
   

   ユーザー「ntuser」が接続済みとして表示されます。次の場所に移動してイベント ログを確認してみましょう。 ログと監視 → セキュリティログ

   
   

   接続は、ソースとして IP アドレスを使用してログに記録されます: 172.16.10.1 - これは、ユーザーがオフィス モードを通じて受信したアドレスです。

   3. リモート アクセスでサポートされるクライアント

   SMB ファミリの NGFW Check Point を使用してオフィスへのリモート接続を設定する手順を確認した後、さまざまなデバイスのクライアント サポートについて書きたいと思います。

   • Windows/Mac OS 用エンドポイント VPN
   • モバイルクライアント (Android / IOS)
   • L2TP ネイティブ クライアント (Check Point は Microsoft のネイティブ VPN アプリのサポートを主張しています)。

   サポートされているオペレーティング システムとデバイスの種類が豊富なため、NGFW に付属するライセンスを最大限に活用できます。 別のデバイスを設定するには便利なオプションがあります 「接続方法」

   

   設定に従ってステップが自動的に生成されるため、管理者は問題なく新しいクライアントをインストールできます。

   結論： この記事を要約するために、NGFW Check Point SMB ファミリの VPN 機能を調べました。 次に、ユーザーをオフィスにリモート接続する場合のリモート アクセスの設定手順を説明し、監視ツールについて検討しました。 記事の最後では、リモート アクセスで利用可能なクライアントと接続オプションについて説明しました。 したがって、支店は、さまざまな外部の脅威や要因にもかかわらず、VPN テクノロジーを使用して従業員の業務の継続性とセキュリティを確保できます。

   TS ソリューションの Check Point に関する豊富な資料。 乞うご期待 （Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com