4. NGFW mazajiem uzņēmumiem. VPN

Mēs turpinām rakstu sēriju par NGFW mazajiem uzņēmumiem, atgādināšu, ka mēs pārskatām jauno 1500. sērijas modeļu klāstu. IN 1 daļas ciklā minēju vienu no noderīgākajiem variantiem, iegādājoties SMB ierīci - vārtejas piegādi ar iebūvētām Mobile Access licencēm (no 100 līdz 200 lietotājiem, atkarībā no modeļa). Šajā rakstā mēs apskatīsim VPN iestatīšanu 1500. sērijas vārtejām, kurām ir iepriekš instalēta Gaia 80.20 Embedded. Šeit ir kopsavilkums:

1. VPN iespējas MVU.
2. Attālās piekļuves organizēšana nelielam birojam.
3. Savienojumam pieejamie klienti.

1. VPN iespējas SMB

Lai sagatavotu šodienas materiālu, ierēdnis administratora rokasgrāmata versija R80.20.05 (pašreizējā raksta publicēšanas brīdī). Attiecīgi attiecībā uz VPN ar Gaia 80.20 Embedded tiek atbalstīts:

1. Vietne uz vietni. VPN tuneļu izveide starp jūsu birojiem, kur lietotāji var strādāt tā, it kā viņi atrastos tajā pašā “lokālajā” tīklā.

   

2. Attālā piekļuve. Attālināts savienojums ar biroja resursiem, izmantojot lietotāja gala ierīces (personālos datorus, mobilos tālruņus utt.). Papildus ir pieejams SSL tīkla paplašinātājs, kas ļauj publicēt atsevišķas lietojumprogrammas un palaist tās, izmantojot Java sīklietotni, izveidojot savienojumu, izmantojot SSL. Piezīme: nedrīkst sajaukt ar mobilās piekļuves portālu (nav atbalsta Gaia Embedded).
   
   

papildus Es ļoti iesaku autora kursu TS risinājums - Check Point Remote Access VPN tas atklāj Check Point tehnoloģijas saistībā ar VPN, skar licencēšanas problēmas un satur detalizētas iestatīšanas instrukcijas.

2. Attālā piekļuve mazam birojam

Mēs sāksim organizēt attālo savienojumu ar jūsu biroju:

1. Lai lietotāji varētu izveidot VPN tuneli ar vārteju, jums ir jābūt publiskai IP adresei. Ja esat jau pabeidzis sākotnējo iestatīšanu (2 raksts no cikla), tad, kā likums, ārējā saite jau ir aktīva. Informāciju var atrast, dodoties uz Gaia portālu: Ierīce → Tīkls → Internets

   
   

   Ja jūsu uzņēmums izmanto dinamisku publisko IP adresi, varat iestatīt dinamisko DNS. Iet uz Ierīce → DDNS un ierīču piekļuve

   
   

   Pašlaik atbalstu nodrošina divi pakalpojumu sniedzēji: DynDns un no-ip.com. Lai aktivizētu opciju, jāievada savi akreditācijas dati (pieteikšanās, parole).

2. Tālāk izveidosim lietotāja kontu, tas noderēs iestatījumu pārbaudei: VPN → Attālā piekļuve → Attālās piekļuves lietotāji

   
   

   Grupā (piemēram: attālā piekļuve) mēs izveidosim lietotāju, izpildot ekrānuzņēmumā sniegtos norādījumus. Konta iestatīšana ir standarta, iestatiet pieteikumvārdu un paroli un papildus iespējojiet attālās piekļuves atļauju opciju.

   
   

   Ja iestatījumi ir veiksmīgi lietoti, jāparādās diviem objektiem: vietējam lietotājam, lokālai lietotāju grupai.

   

3. Nākamais solis ir doties uz VPN → Attālā piekļuve → Blade vadība. Pārliecinieties, vai jūsu asmens ir ieslēgts un ir atļauta attālo lietotāju satiksme.

   

4. *Iepriekšminētais bija minimālais darbību kopums, lai iestatītu attālo piekļuvi. Bet pirms savienojuma pārbaudes, izpētīsim papildu iestatījumus, atverot cilni VPN → Attālā piekļuve → Papildu

   
   

   Pamatojoties uz pašreizējiem iestatījumiem, mēs redzam, ka attālinātie lietotāji, izveidojot savienojumu, saņems IP adresi no tīkla 172.16.11.0/24, pateicoties opcijai Office Mode. Tas ir pietiekami ar rezervi, lai izmantotu 200 konkurētspējīgas licences (norādītas 1590 NGFW Check Point).

   Opcija "Novirzīt interneta trafiku no savienotajiem klientiem caur šo vārteju" nav obligāta un ir atbildīga par visas attālā lietotāja trafika maršrutēšanu caur vārteju (ieskaitot interneta savienojumus). Tas ļauj pārbaudīt lietotāja trafiku un aizsargāt viņa darbstaciju no dažādiem draudiem un ļaunprātīgas programmatūras.

5. * Darbs ar attālās piekļuves piekļuves politikām

   Pēc attālās piekļuves konfigurēšanas ugunsmūra līmenī tika izveidota automātiskās piekļuves kārtula, lai to skatītu, atveriet cilni: Piekļuves politika → Ugunsmūris → Politika

   
   

   Šajā gadījumā attālie lietotāji, kuri ir iepriekš izveidotas grupas dalībnieki, varēs piekļūt visiem uzņēmuma iekšējiem resursiem; ņemiet vērā, ka noteikums atrodas vispārīgajā sadaļā “Ienākošā, iekšējā un VPN trafika”. Lai atļautu VPN lietotāju trafiku uz internetu, jums būs jāizveido atsevišķs noteikums vispārīgajā sadaļā “Izejošā piekļuve internetam".

6. Visbeidzot, mums vienkārši jāpārliecinās, ka lietotājs var veiksmīgi izveidot VPN tuneli uz mūsu NGFW vārteju un piekļūt uzņēmuma iekšējiem resursiem. Lai to izdarītu, pārbaudāmajā resursdatorā jāinstalē VPN klients, tiek sniegta palīdzība saite Iekraušanai. Pēc instalēšanas jums būs jāveic standarta procedūra jaunas vietnes pievienošanai (norādiet vārtejas publisko IP adresi). Ērtības labad process tiek parādīts GIF formātā

   
   
   Kad savienojums jau ir izveidots, pārbaudīsim saņemto IP adresi resursdatorā, izmantojot komandu CMD: ipconfig

   
   

   Mēs pārliecinājāmies, ka virtuālais tīkla adapteris saņēma IP adresi no mūsu NGFW Office režīma, paketes tika veiksmīgi nosūtītas. Lai pabeigtu, mēs varam doties uz Gaia portālu: VPN → Attālā piekļuve → Savienotie attālie lietotāji

   
   

   Lietotājs “ntuser” tiek parādīts kā savienots, pārbaudīsim notikumu reģistrēšanu, dodoties uz Žurnāli un uzraudzība → Drošības žurnāli

   
   

   Savienojums tiek reģistrēts, izmantojot IP adresi kā avotu: 172.16.10.1 - šī ir adrese, kuru mūsu lietotājs ir saņēmis, izmantojot Office režīmu.

   3. Atbalstītie attālās piekļuves klienti

   Kad esam pārskatījuši procedūru attālā savienojuma izveidei ar jūsu biroju, izmantojot SMB saimes NGFW Check Point, vēlos rakstīt par klientu atbalstu dažādām ierīcēm:

   • Galapunkta VPN operētājsistēmai Windows/Mac OS
   • Mobilais klients (android / IOS)
   • L2TP Native Client (Check Point apgalvo, ka tiek atbalstīta Microsoft vietēja VPN lietotne).

   Atbalstīto operētājsistēmu un ierīču daudzveidība ļaus jums pilnībā izmantot NGFW pievienotās licences priekšrocības. Lai konfigurētu atsevišķu ierīci, ir ērta iespēja "Kā izveidot savienojumu"

   

   Tas automātiski ģenerē darbības atbilstoši jūsu iestatījumiem, kas ļaus administratoriem bez problēmām instalēt jaunus klientus.

   Secinājums: Lai apkopotu šo rakstu, mēs apskatījām NGFW Check Point SMB saimes VPN iespējas. Tālāk mēs aprakstījām attālās piekļuves iestatīšanas darbības gadījumā, ja lietotāji ir attālināti savienoti ar biroju, un pēc tam pētījām uzraudzības rīkus. Raksta beigās mēs runājām par pieejamajiem klientiem un attālās piekļuves savienojuma iespējām. Tādējādi Jūsu filiāle varēs nodrošināt darbinieku darba nepārtrauktību un drošību, izmantojot VPN tehnoloģijas, neskatoties uz dažādiem ārējiem draudiem un faktoriem.

   Liela materiālu izvēle vietnē Check Point no TS Solution. Sekojiet līdzi (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com