4. NGFW ji bo karsaziyên piçûk. VPN

Em rêze gotarên xwe yên di derbarê NGFW de ji bo karsaziyên piçûk didomînin, bihêle ez ji we re bi bîr bînim ku em rêzika modela rêza nû ya 1500 dinirxînin. LI 1 parçe çerxê, min gava kirîna amûrek SMB-ê yek ji vebijarkên herî bikêr behs kir - peydakirina dergehên bi destûrnameyên Têketinê yên Mobîl ên çêkirî (ji 100 heya 200 bikarhêneran, li gorî modelê girêdayî ye). Di vê gotarê de em ê li sazkirina VPN-ê ji bo 1500 dergehên rêzê yên ku bi Gaia 80.20 Embedded-a pêş-sazkirî ve têne saz bikin binêrin. Li vir kurteyek heye:

1. Kapasîteyên VPN ji bo SMB.
2. Rêxistina Gihîştina Dûr a ji bo nivîsgehek piçûk.
3. Ji bo girêdanê xerîdarên berdest.

1. Vebijarkên VPN ji bo SMB

Ji bo amadekirina materyalê îro, fermî rêberê admin guhertoya R80.20.05 (niha di dema weşandina gotarê de). Li gorî vê yekê, di warê VPN-ê de bi Gaia 80.20 Embedded piştgirî heye:

1. Malper-To-Malper. Afirandina tunelên VPN di navbera ofîsên we de, ku bikarhêner dikarin mîna ku ew li ser heman torê "herêmî" bin bixebitin.

   

2. Remote Access. Girêdana ji dûr ve bi çavkaniyên nivîsgeha we re bi karanîna amûrên dawiya bikarhêner (PC, têlefonên desta, hwd.). Wekî din, Berfirehkirina Tora SSL-ê heye, ew dihêle hûn serîlêdanên kesane biweşînin û wan bi karanîna Java Applet-ê bimeşînin, bi SSL-ê ve girêbidin. Têbînî: Bi Portala Têketinê ya Mobîl re neyê tevlihev kirin (ji bo Gaia Embedded piştgirî tune).
   
   

herweha Ez qursa nivîskarê TS Solution pir pêşniyar dikim - Xala Têketinê ya Dûr VPN kontrol bikin ew teknolojiyên Check Point di derheqê VPN-ê de eşkere dike, li ser pirsgirêkên lîsansê disekine û rêwerzên sazkirinê yên hûrgulî vedigire.

2. Gihîştina dûr ji bo nivîsgeha piçûk

Em ê dest bi organîzekirina pêwendiyek dûr a nivîsgeha we bikin:

1. Ji bo ku bikarhêner bi dergehek tunelek VPN ava bikin, hûn hewce ne ku navnîşek IP-ya gelemperî hebe. Ger we berê sazkirina destpêkê qedand (2 gotar ji çerxê), wê hingê, wekî qaîdeyek, Girêdana Derveyî jixwe çalak e. Agahdarî bi çûna Gaia Portal dikare were dîtin: Amûr → Tora → Înternet

   
   

   Ger pargîdaniya we navnîşek IP-ya gelemperî ya dînamîkî bikar tîne, wê hingê hûn dikarin DNS-ya Dînamîkî saz bikin. Biçe device → DDNS & Gihîştina Amûrê

   
   

   Heya niha ji du pêşkêşvanan piştgirî heye: DynDns û no-ip.com. Ji bo çalakkirina vebijarkê divê hûn pêbaweriyên xwe (têketin, şîfre) têkevin.

2. Dûv re, em hesabek bikarhênerek biafirînin, ew ê ji bo ceribandina mîhengan bikêr be: VPN → Gihîştina Dûr → Bikarhênerên Gihîştina Dûr

   
   

   Di komê de (mînak: remoteaccess) em ê bikarhênerek li gorî rêwerzên di dîmenderê de biafirînin. Sazkirina hesabek standard e, têketinek û şîfreyek saz bikin, û ji bilî vê vebijarka destûrên Gihîştina Dûr çalak bikin.

   
   

   Ger we mîhengan bi serfirazî sepandiye, divê du tişt xuya bibin: bikarhênerek herêmî, komek bikarhênerek herêmî.

   

3. Pêngava din ew e ku biçin VPN → Gihîştina Dûr → Kontrola Blade. Piştrast bikin ku bladeya we vekirî ye û seyrûsefera bikarhênerên dûr destûr e.

   

4. *Ya jorîn ji bo sazkirina Gihîştina Dûr mînîmal koma gavên bû. Lê berî ku em pêwendiyê ceribînin, bila em bi çûna tabê ve mîhengên pêşkeftî bikolin VPN → Gihîştina Dûr → Pêşketî

   
   

   Li ser bingeha mîhengên heyî, em dibînin ku dema ku bikarhênerên dûr bi hev ve girêdidin, ew ê bi saya vebijarka Moda Office-ê navnîşek IP-yê ji torê 172.16.11.0/24 bistînin. Ev bi rezervek bes e ku meriv 200 lîsansên pêşbaziyê bikar bîne (ji bo 1590 NGFW xala kontrolê tê destnîşan kirin).

   Dibe "Trafîka Înternetê ji xerîdarên girêdayî bi vê dergehê rêve bike" vebijarkî ye û berpirsiyar e ku hemî seyrûsefera ji bikarhênerê dûr bi navgîniya dergehê (tevî girêdanên Înternetê jî tê de) rêve bike. Ev dihêle hûn seyrûsefera bikarhêner kontrol bikin û qereqola wî ya xebatê ji cûrbecûr gef û malware biparêzin.

5. * Bi polîtîkayên gihîştinê re ji bo Gihîştina Dûr dixebitin

   Piştî ku me Têkiliya Dûr mîheng kir, di asta Firewallê de qaîdeyek gihîştina otomatîkî hate afirandin, ji bo dîtina wê hûn hewce ne ku biçin tabê: Siyaseta Gihîştinê → Firewall → Siyaset

   
   

   Di vê rewşê de, bikarhênerên dûr ên ku endamên grûpek berê hatine afirandin dê karibin xwe bigihînin hemî çavkaniyên navxweyî yên pargîdaniyê; bîr bînin ku qaîdeyek di beşa gelemperî de cih digire. "Trafîka hatinî, navxweyî û VPN". Ji bo ku hûn rê bidin seyrûsefera bikarhênerê VPN ya li ser Înternetê, hûn ê hewce bikin ku di beşa giştî de qaîdeyek cûda biafirînin "Gihîştina derketinê ya înternetê".

6. Di dawiyê de, em tenê hewce ne ku pê ewle bin ku bikarhêner dikare bi serfirazî tunelek VPN-ê li deriyê meya NGFW-ê biafirîne û bigihîje çavkaniyên navxweyî yên pargîdanî. Ji bo vê yekê, hûn hewce ne ku xerîdarek VPN li ser mêvandarê ku tê ceribandin saz bikin, alîkarî tê peyda kirin pirtûk Ji bo barkirinê. Piştî sazkirinê, hûn ê hewce bikin ku prosedûra standard ji bo lê zêdekirina malperek nû pêk bînin (navnîşana IP-ya giştî ya dergehê xwe destnîşan bikin). Ji bo rehetiyê, pêvajo di forma GIF de tê pêşkêş kirin

   
   
   Dema ku girêdan jixwe hatî saz kirin, bila em navnîşana IP-ya wergirtî li ser makîneya mêvandar bi karanîna fermana di CMD-ê de kontrol bikin: ipconfig

   
   

   Me piştrast kir ku adaptera torê ya virtual navnîşek IP-ya ji Moda Office ya NGFW-ya me wergirtiye, pakêt bi serfirazî hatin şandin. Ji bo temamkirina, em dikarin biçin Gaia Portal: VPN → Gihîştina Dûr → Bikarhênerên Dûr ên Girêdayî

   
   

   Bikarhêner "ntuser" wekî girêdayî tê xuyang kirin, ka em bi çûna ser qeydkirina bûyerê kontrol bikin Têketin & Çavdêrî → Têketinên Ewlekariyê

   
   

   Têkilî bi karanîna navnîşana IP-ê wekî çavkanî tê tomar kirin: 172.16.10.1 - ev navnîşana ku ji hêla bikarhênerê me ve bi moda Office ve hatî wergirtin e.

   3. Xerîdarên piştgirî ji bo Têketina Dûr

   Piştî ku me prosedûra sazkirina pêwendiyek ji dûr ve bi nivîsgeha we re bi karanîna NGFW Check Point ya malbata SMB vekoland, ez dixwazim li ser piştevaniya xerîdar ji bo amûrên cihêreng binivîsim:

   • Endpoint VPN ji bo Windows / Mac OS
   • Xerîdar Mobile (Android / iOS)
   • L2TP Native Client (Check Point îdîa dike ku ji bo sepana VPN ya xwemalî ya Microsoft-ê piştgirî dike).

   Cûrbecûr pergalên xebitandinê û cîhazên destekkirî dê bihêle ku hûn ji lîsansa xweya ku bi NGFW re tê sûd werbigirin. Ji bo mîhengkirina amûrek cihêreng vebijarkek hêsan heye "Çawa tê girêdan"

   

   Ew bixweber li gorî mîhengên we gavan diafirîne, ku dê rê bide rêvebiran ku bêyî pirsgirêk xerîdarên nû saz bikin.

   Encam: Ji bo kurtkirina vê gotarê, me li kapasîteyên VPN yên malbata NGFW Check Point SMB nihêrî. Dûv re, me gavên ji bo sazkirina Têkiliya Dûr, di mijara girêdana ji dûr a bikarhêneran de bi nivîsgehê re diyar kir, û dûv re amûrên çavdêriyê lêkolîn kir. Di dawiya gotarê de me li ser xerîdarên berdest û vebijarkên pêwendiyê yên ji bo Têketina Dûr axivî. Bi vî rengî, ofîsa şaxê we dê karibe domdarî û ewlehiya xebata karmendan bi karanîna teknolojiyên VPN, tevî tehdîd û faktorên cûrbecûr yên derveyî peyda bike.

   Hilbijartina mezin a materyalên li ser Check Point ji TS Solution. Li bendê bin (Têlxiram, facebook, VK, TS Çareseriya Blog, Yandex Zen).

Source: www.habr.com