MÄs turpinÄm rakstu sÄriju par NGFW mazajiem uzÅÄmumiem, atgÄdinÄÅ”u, ka mÄs pÄrskatÄm jauno 1500. sÄrijas modeļu klÄstu. IN 1 daļas ciklÄ minÄju vienu no noderÄ«gÄkajiem variantiem, iegÄdÄjoties SMB ierÄ«ci - vÄrtejas piegÄdi ar iebÅ«vÄtÄm Mobile Access licencÄm (no 100 lÄ«dz 200 lietotÄjiem, atkarÄ«bÄ no modeļa). Å ajÄ rakstÄ mÄs apskatÄ«sim VPN iestatÄ«Å”anu 1500. sÄrijas vÄrtejÄm, kurÄm ir iepriekÅ” instalÄta Gaia 80.20 Embedded. Å eit ir kopsavilkums:
Lai sagatavotu Å”odienas materiÄlu, ierÄdnis administratora rokasgrÄmata versija R80.20.05 (paÅ”reizÄjÄ raksta publicÄÅ”anas brÄ«dÄ«). AttiecÄ«gi attiecÄ«bÄ uz VPN ar Gaia 80.20 Embedded tiek atbalstÄ«ts:
Vietne uz vietni. VPN tuneļu izveide starp jÅ«su birojiem, kur lietotÄji var strÄdÄt tÄ, it kÄ viÅi atrastos tajÄ paÅ”Ä ālokÄlajÄā tÄ«klÄ.
AttÄlÄ piekļuve. AttÄlinÄts savienojums ar biroja resursiem, izmantojot lietotÄja gala ierÄ«ces (personÄlos datorus, mobilos tÄlruÅus utt.). Papildus ir pieejams SSL tÄ«kla paplaÅ”inÄtÄjs, kas ļauj publicÄt atseviŔķas lietojumprogrammas un palaist tÄs, izmantojot Java sÄ«klietotni, izveidojot savienojumu, izmantojot SSL. PiezÄ«me: nedrÄ«kst sajaukt ar mobilÄs piekļuves portÄlu (nav atbalsta Gaia Embedded).
papildus Es ļoti iesaku autora kursu TS risinÄjums - Check Point Remote Access VPN tas atklÄj Check Point tehnoloÄ£ijas saistÄ«bÄ ar VPN, skar licencÄÅ”anas problÄmas un satur detalizÄtas iestatÄ«Å”anas instrukcijas.
2. AttÄlÄ piekļuve mazam birojam
MÄs sÄksim organizÄt attÄlo savienojumu ar jÅ«su biroju:
Lai lietotÄji varÄtu izveidot VPN tuneli ar vÄrteju, jums ir jÄbÅ«t publiskai IP adresei. Ja esat jau pabeidzis sÄkotnÄjo iestatÄ«Å”anu (2 raksts no cikla), tad, kÄ likums, ÄrÄjÄ saite jau ir aktÄ«va. InformÄciju var atrast, dodoties uz Gaia portÄlu: IerÄ«ce ā TÄ«kls ā Internets
Ja jÅ«su uzÅÄmums izmanto dinamisku publisko IP adresi, varat iestatÄ«t dinamisko DNS. Iet uz IerÄ«ce ā DDNS un ierÄ«Äu piekļuve
PaÅ”laik atbalstu nodroÅ”ina divi pakalpojumu sniedzÄji: DynDns un no-ip.com. Lai aktivizÄtu opciju, jÄievada savi akreditÄcijas dati (pieteikÅ”anÄs, parole).
GrupÄ (piemÄram: attÄlÄ piekļuve) mÄs izveidosim lietotÄju, izpildot ekrÄnuzÅÄmumÄ sniegtos norÄdÄ«jumus. Konta iestatÄ«Å”ana ir standarta, iestatiet pieteikumvÄrdu un paroli un papildus iespÄjojiet attÄlÄs piekļuves atļauju opciju.
Ja iestatÄ«jumi ir veiksmÄ«gi lietoti, jÄparÄdÄs diviem objektiem: vietÄjam lietotÄjam, lokÄlai lietotÄju grupai.
NÄkamais solis ir doties uz VPN ā AttÄlÄ piekļuve ā Blade vadÄ«ba. PÄrliecinieties, vai jÅ«su asmens ir ieslÄgts un ir atļauta attÄlo lietotÄju satiksme.
*IepriekÅ”minÄtais bija minimÄlais darbÄ«bu kopums, lai iestatÄ«tu attÄlo piekļuvi. Bet pirms savienojuma pÄrbaudes, izpÄtÄ«sim papildu iestatÄ«jumus, atverot cilni VPN ā AttÄlÄ piekļuve ā Papildu
Pamatojoties uz paÅ”reizÄjiem iestatÄ«jumiem, mÄs redzam, ka attÄlinÄtie lietotÄji, izveidojot savienojumu, saÅems IP adresi no tÄ«kla 172.16.11.0/24, pateicoties opcijai Office Mode. Tas ir pietiekami ar rezervi, lai izmantotu 200 konkurÄtspÄjÄ«gas licences (norÄdÄ«tas 1590 NGFW Check Point).
Opcija "NovirzÄ«t interneta trafiku no savienotajiem klientiem caur Å”o vÄrteju" nav obligÄta un ir atbildÄ«ga par visas attÄlÄ lietotÄja trafika marÅ”rutÄÅ”anu caur vÄrteju (ieskaitot interneta savienojumus). Tas ļauj pÄrbaudÄ«t lietotÄja trafiku un aizsargÄt viÅa darbstaciju no dažÄdiem draudiem un ļaunprÄtÄ«gas programmatÅ«ras.
* Darbs ar attÄlÄs piekļuves piekļuves politikÄm
PÄc attÄlÄs piekļuves konfigurÄÅ”anas ugunsmÅ«ra lÄ«menÄ« tika izveidota automÄtiskÄs piekļuves kÄrtula, lai to skatÄ«tu, atveriet cilni: Piekļuves politika ā UgunsmÅ«ris ā Politika
Å ajÄ gadÄ«jumÄ attÄlie lietotÄji, kuri ir iepriekÅ” izveidotas grupas dalÄ«bnieki, varÄs piekļūt visiem uzÅÄmuma iekÅ”Äjiem resursiem; Åemiet vÄrÄ, ka noteikums atrodas vispÄrÄ«gajÄ sadaÄ¼Ä āIenÄkoÅ”Ä, iekÅ”ÄjÄ un VPN trafikaā. Lai atļautu VPN lietotÄju trafiku uz internetu, jums bÅ«s jÄizveido atseviŔķs noteikums vispÄrÄ«gajÄ sadaÄ¼Ä āIzejoÅ”Ä piekļuve internetam".
Visbeidzot, mums vienkÄrÅ”i jÄpÄrliecinÄs, ka lietotÄjs var veiksmÄ«gi izveidot VPN tuneli uz mÅ«su NGFW vÄrteju un piekļūt uzÅÄmuma iekÅ”Äjiem resursiem. Lai to izdarÄ«tu, pÄrbaudÄmajÄ resursdatorÄ jÄinstalÄ VPN klients, tiek sniegta palÄ«dzÄ«ba saite IekrauÅ”anai. PÄc instalÄÅ”anas jums bÅ«s jÄveic standarta procedÅ«ra jaunas vietnes pievienoÅ”anai (norÄdiet vÄrtejas publisko IP adresi). ÄrtÄ«bas labad process tiek parÄdÄ«ts GIF formÄtÄ
Kad savienojums jau ir izveidots, pÄrbaudÄ«sim saÅemto IP adresi resursdatorÄ, izmantojot komandu CMD: ipconfig
MÄs pÄrliecinÄjÄmies, ka virtuÄlais tÄ«kla adapteris saÅÄma IP adresi no mÅ«su NGFW Office režīma, paketes tika veiksmÄ«gi nosÅ«tÄ«tas. Lai pabeigtu, mÄs varam doties uz Gaia portÄlu: VPN ā AttÄlÄ piekļuve ā Savienotie attÄlie lietotÄji
LietotÄjs āntuserā tiek parÄdÄ«ts kÄ savienots, pÄrbaudÄ«sim notikumu reÄ£istrÄÅ”anu, dodoties uz ŽurnÄli un uzraudzÄ«ba ā DroŔības žurnÄli
Savienojums tiek reÄ£istrÄts, izmantojot IP adresi kÄ avotu: 172.16.10.1 - Ŕī ir adrese, kuru mÅ«su lietotÄjs ir saÅÄmis, izmantojot Office režīmu.
3. AtbalstÄ«tie attÄlÄs piekļuves klienti
Kad esam pÄrskatÄ«juÅ”i procedÅ«ru attÄlÄ savienojuma izveidei ar jÅ«su biroju, izmantojot SMB saimes NGFW Check Point, vÄlos rakstÄ«t par klientu atbalstu dažÄdÄm ierÄ«cÄm:
L2TP Native Client (Check Point apgalvo, ka tiek atbalstÄ«ta Microsoft vietÄja VPN lietotne).
AtbalstÄ«to operÄtÄjsistÄmu un ierÄ«Äu daudzveidÄ«ba ļaus jums pilnÄ«bÄ izmantot NGFW pievienotÄs licences priekÅ”rocÄ«bas. Lai konfigurÄtu atseviŔķu ierÄ«ci, ir Ärta iespÄja "KÄ izveidot savienojumu"
Tas automÄtiski Ä£enerÄ darbÄ«bas atbilstoÅ”i jÅ«su iestatÄ«jumiem, kas ļaus administratoriem bez problÄmÄm instalÄt jaunus klientus.
SecinÄjums: Lai apkopotu Å”o rakstu, mÄs apskatÄ«jÄm NGFW Check Point SMB saimes VPN iespÄjas. TÄlÄk mÄs aprakstÄ«jÄm attÄlÄs piekļuves iestatÄ«Å”anas darbÄ«bas gadÄ«jumÄ, ja lietotÄji ir attÄlinÄti savienoti ar biroju, un pÄc tam pÄtÄ«jÄm uzraudzÄ«bas rÄ«kus. Raksta beigÄs mÄs runÄjÄm par pieejamajiem klientiem un attÄlÄs piekļuves savienojuma iespÄjÄm. TÄdÄjÄdi JÅ«su filiÄle varÄs nodroÅ”inÄt darbinieku darba nepÄrtrauktÄ«bu un droŔību, izmantojot VPN tehnoloÄ£ijas, neskatoties uz dažÄdiem ÄrÄjiem draudiem un faktoriem.