4. Шағын бизнеске арналған NGFW. VPN

Біз шағын бизнеске арналған NGFW туралы мақалалар сериясын жалғастырамыз, біз жаңа 1500 сериялы модельдер ауқымын қарастырып жатқанымызды еске салайын. IN 1 бөлік цикл, мен SMB құрылғысын сатып алу кезінде ең пайдалы нұсқалардың бірін атап өттім - кірістірілген Mobile Access лицензиялары бар шлюздерді жеткізу (үлгіге байланысты 100-ден 200 пайдаланушыға дейін). Бұл мақалада біз алдын ала орнатылған Gaia 1500 енгізілген 80.20 сериялы шлюздер үшін VPN орнатуды қарастырамыз. Міне, қорытынды:

1. SMB үшін VPN мүмкіндіктері.
2. Шағын кеңсе үшін қашықтан қол жеткізуді ұйымдастыру.
3. Қосылу үшін қолжетімді клиенттер.

1. SMB үшін VPN опциялары

Бүгінгі материалды дайындау мақсатында ресми әкімші нұсқаулығы R80.20.05 нұсқасы (мақала жарияланған кездегі қолданыстағы). Тиісінше, Gaia 80.20 Embedded бар VPN тұрғысынан мыналарға қолдау көрсетіледі:

1. Сайттан сайтқа. Пайдаланушылар бір «жергілікті» желіде сияқты жұмыс істей алатын кеңселер арасында VPN туннельдерін жасау.

   

2. Қашықтан қол жеткізу. Пайдаланушының соңғы құрылғыларын (ДК, ұялы телефондар және т.б.) пайдаланып кеңсе ресурстарына қашықтан қосылу. Сонымен қатар, SSL Network Extender бар, ол жеке қосымшаларды жариялауға және оларды SSL арқылы қосылатын Java Applet арқылы іске қосуға мүмкіндік береді. Ескертпе: Мобильді кіру порталымен шатастырмау керек (Gaia Embedded үшін қолдау жоқ).
   
   

қосымша Мен TS Solution авторлық курсын ұсынамын - Check Point Remote Access VPN ол VPN-ге қатысты Check Point технологияларын ашады, лицензиялау мәселелерін қозғайды және егжей-тегжейлі орнату нұсқауларын қамтиды.

2. Шағын кеңсеге қашықтан қол жеткізу

Біз сіздің кеңсеңізге қашықтан қосылуды ұйымдастыруды бастаймыз:

1. Пайдаланушылар шлюзі бар VPN туннелін құруы үшін сізде жалпыға қолжетімді IP мекенжайы болуы керек. Егер сіз бастапқы орнатуды аяқтаған болсаңыз (2 мақала циклден), содан кейін, әдетте, Сыртқы сілтеме қазірдің өзінде белсенді. Ақпаратты Gaia порталына өту арқылы табуға болады: Құрылғы → Желі → Интернет

   
   

   Егер сіздің компанияңыз динамикалық жалпы IP мекенжайын пайдаланса, динамикалық DNS орнатуға болады. Бару құрал → DDNS және құрылғыға қол жеткізу

   
   

   Қазіргі уақытта екі провайдерден қолдау бар: DynDns және no-ip.com. Опцияны іске қосу үшін тіркелгі деректерін (логин, пароль) енгізу қажет.

2. Әрі қарай, пайдаланушы тіркелгісін жасайық, ол параметрлерді тексеру үшін пайдалы болады: VPN → Қашықтан қол жеткізу → Қашықтан кіру пайдаланушылары

   
   

   Топта (мысалы: remoteaccess) біз скриншоттағы нұсқауларды орындай отырып, пайдаланушы жасаймыз. Тіркелгіні орнату стандартты болып табылады, логин мен құпия сөзді орнатыңыз, сонымен қатар қашықтан кіру рұқсаттары опциясын қосыңыз.

   
   

   Параметрлерді сәтті қолдансаңыз, екі нысан пайда болуы керек: жергілікті пайдаланушы, жергілікті пайдаланушылар тобы.

   

3. Келесі қадам - ​​бару VPN → Қашықтан қол жеткізу → Blade Control. Жүзіңіздің қосулы екеніне және қашықтағы пайдаланушылардың трафигі рұқсат етілгеніне көз жеткізіңіз.

   

4. *Жоғарыдағылар қашықтан қол жеткізуді орнату үшін ең аз қадамдар жинағы болды. Бірақ қосылымды тексермес бұрын, қойындыға өту арқылы кеңейтілген параметрлерді зерттейік VPN → Қашықтан қол жеткізу → Кеңейтілген

   
   

   Ағымдағы параметрлерге сүйене отырып, қашықтағы пайдаланушылар қосылған кезде Office Mode опциясының арқасында 172.16.11.0/24 желіден IP мекенжайын алатынын көреміз. Бұл 200 бәсекеге қабілетті лицензияны пайдалану резервімен жеткілікті (1590 NGFW Check Point үшін көрсетілген).

   Опция «Осы шлюз арқылы қосылған клиенттерден интернет-трафикті бағыттау» қосымша болып табылады және қашықтағы пайдаланушыдан шлюз арқылы (соның ішінде Интернет қосылымдары) барлық трафикті бағыттауға жауапты. Бұл пайдаланушының трафигін тексеруге және оның жұмыс станциясын әртүрлі қауіптер мен зиянды бағдарламалардан қорғауға мүмкіндік береді.

5. *Қашықтан қол жеткізуге рұқсат беру саясатымен жұмыс істеу

   Қашықтан қол жеткізуді теңшегеннен кейін брандмауэр деңгейінде автоматты кіру ережесі жасалды, оны көру үшін қойындыға өту керек: Қатынас саясаты → Брандмауэр → Саясат

   
   

   Бұл жағдайда бұрын құрылған топтың мүшелері болып табылатын қашықтағы пайдаланушылар компанияның барлық ішкі ресурстарына қол жеткізе алады; ереже жалпы бөлімде орналасқанын ескеріңіз. «Кіріс, ішкі және VPN трафигі». VPN пайдаланушысының Интернетке трафигіне рұқсат беру үшін жалпы бөлімде жеке ереже жасау қажет болады «Интернетке шығыс қатынасы«.

6. Ақырында, пайдаланушы біздің NGFW шлюзіне VPN туннелін сәтті жасап, компанияның ішкі ресурстарына қол жеткізе алатынына көз жеткізуіміз керек. Ол үшін тексерілетін хостқа VPN клиентін орнату керек, көмек көрсетіледі байланыс Жүктеу үшін. Орнатқаннан кейін сізге жаңа сайтты қосудың стандартты процедурасын орындау қажет (шлюзіңіздің жалпыға қолжетімді IP мекенжайын көрсетіңіз). Ыңғайлы болу үшін процесс GIF түрінде ұсынылған

   
   
   Байланыс орнатылған кезде, CMD пәрменін пайдаланып хост машинасында алынған IP мекенжайын тексерейік: ipconfig

   
   

   Виртуалды желі адаптері біздің NGFW кеңсе режимінен IP мекенжайын алғанына көз жеткіздік, пакеттер сәтті жіберілді. Аяқтау үшін біз Gaia порталына бара аламыз: VPN → Қашықтан қол жеткізу → Қосылған қашықтағы пайдаланушылар

   
   

   «ntuser» пайдаланушысы қосылған ретінде көрсетіледі, келесіге өту арқылы оқиғаларды тіркеуді тексерейік Журналдар және бақылау → Қауіпсіздік журналдары

   
   

   Қосылым көз ретінде IP мекенжайы арқылы тіркеледі: 172.16.10.1 - бұл біздің пайдаланушы Office Mode арқылы алған мекенжай.

   3. Қашықтан қол жеткізу үшін қолдау көрсетілетін клиенттер

   SMB тобының NGFW Check Point көмегімен кеңсеңізге қашықтан қосылуды орнату процедурасын қарастырғаннан кейін мен әртүрлі құрылғыларға клиенттік қолдау көрсету туралы жазғым келеді:

   • Windows/Mac OS үшін соңғы нүкте VPN
   • Мобильді клиент (Android / IOS)
   • L2TP Native Client (Check Point Microsoft корпорациясының жергілікті VPN қолданбасын қолдауды талап етеді).

   Қолдау көрсетілетін операциялық жүйелер мен құрылғылардың әртүрлілігі NGFW-мен бірге келетін лицензияны толық пайдалануға мүмкіндік береді. Бөлек құрылғыны конфигурациялау үшін ыңғайлы опция бар «Қалай қосылуға болады»

   

   Ол сіздің параметрлеріңізге сәйкес қадамдарды автоматты түрде жасайды, бұл әкімшілерге жаңа клиенттерді еш қиындықсыз орнатуға мүмкіндік береді.

   Қорытынды: Осы мақаланы қорытындылау үшін біз NGFW Check Point SMB отбасының VPN мүмкіндіктерін қарастырдық. Әрі қарай, пайдаланушыларды кеңсеге қашықтан қосу жағдайында қашықтан қол жеткізуді орнату қадамдарын сипаттадық, содан кейін бақылау құралдарын зерттедік. Мақаланың соңында біз қашықтан қол жеткізу үшін қолжетімді клиенттер мен қосылым опциялары туралы айттық. Осылайша, сіздің филиалыңыз әртүрлі сыртқы қауіптер мен факторларға қарамастан, VPN технологияларын пайдалана отырып, қызметкерлер жұмысының үздіксіздігі мен қауіпсіздігін қамтамасыз ете алады.

   TS Solution-тен Check Point бойынша материалдардың үлкен таңдауы. Бізбен бірге қалыңыз (Telegram, Facebook, VK, TS Solution блогы, Яндекс Зен).

Ақпарат көзі: www.habr.com