4. Жижиг бизнесүүдэд зориулсан NGFW. VPN

Бид жижиг бизнесүүдэд зориулсан NGFW-ийн талаархи цуврал нийтлэлээ үргэлжлүүлж байгаа тул бид 1500 цувралын шинэ загваруудыг хянаж байгааг сануулъя. IN 1 хэсэг мөчлөгийн үед би SMB төхөөрөмж худалдан авахдаа хамгийн ашигтай сонголтуудын нэг болох гар утасны хандалтын тусгай зөвшөөрөл бүхий гарцуудыг (загвараас хамааран 100-аас 200 хэрэглэгч) нийлүүлэх талаар дурдсан. Энэ нийтлэлд бид Gaia 1500 Embedded-ийг урьдчилан суулгасан 80.20 цуврал гарцуудад VPN тохируулах талаар авч үзэх болно. Энд тойм байна:

1. SMB-д зориулсан VPN боломжууд.
2. Жижиг оффисын алсын зайн хандалтын зохион байгуулалт.
3. Холболт хийх боломжтой үйлчлүүлэгчид.

1. SMB-д зориулсан VPN сонголтууд

Өнөөдрийн материалыг бэлтгэхийн тулд албаны админ гарын авлага хувилбар R80.20.05 (нийтлэлийг нийтлэх үед одоогийн). Үүний дагуу Gaia 80.20 Embedded-тэй VPN-ийн хувьд дараахь зүйлийг дэмждэг.

1. Сайтаас Сайт руу. Хэрэглэгчид ижил "орон нутгийн" сүлжээнд байгаа юм шиг ажиллах боломжтой оффисынхоо хооронд VPN хонгил үүсгэх.

   

2. Алсын хандалт. Хэрэглэгчийн эцсийн төхөөрөмж (компьютер, гар утас гэх мэт) ашиглан оффисын нөөцөд алсаас холбогдох. Нэмж дурдахад SSL Network Extender байдаг бөгөөд энэ нь SSL-ээр холбогдож Java Applet ашиглан бие даасан програмуудыг нийтлэх, ажиллуулах боломжийг олгодог. Тайлбар: Mobile Access Portal-тай андуурч болохгүй (Gaia Embedded-ийг дэмждэггүй).
   
   

Үүнээс гадна Би зохиогчийн курс TS Solution-ийг санал болгож байна - Check Point Remote Access VPN Энэ нь VPN-тэй холбоотой Check Point технологийг илчилж, лицензийн асуудлыг хөндөж, тохируулах дэлгэрэнгүй зааврыг агуулдаг.

2. Жижиг оффисын алсын удирдлагатай

Бид танай оффис руу алсаас холбогдох ажлыг зохион байгуулж эхэлнэ:

1. Хэрэглэгчид гарцтай VPN туннель барихын тулд та нийтийн IP хаягтай байх шаардлагатай. Хэрэв та анхны тохиргоог хийж дуусгасан бол (2 нийтлэл мөчлөгөөс), дараа нь дүрмээр бол Гадаад холбоос аль хэдийн идэвхтэй байна. Мэдээллийг Gaia портал руу орж авах боломжтой: Төхөөрөмж → Сүлжээ → Интернет

   
   

   Хэрэв танай компани динамик нийтийн IP хаяг ашигладаг бол Динамик DNS тохируулж болно. Руу явах төхөөрөмжийн → DDNS & Төхөөрөмжийн хандалт

   
   

   Одоогоор DynDns болон no-ip.com гэсэн хоёр үйлчилгээ үзүүлэгчээс дэмжлэг үзүүлж байна. Сонголтыг идэвхжүүлэхийн тулд та өөрийн итгэмжлэл (нэвтрэх, нууц үг) оруулах шаардлагатай.

2. Дараа нь хэрэглэгчийн бүртгэл үүсгэцгээе, энэ нь тохиргоог шалгахад хэрэгтэй болно: VPN → Remote Access → Remote Access Хэрэглэгчид

   
   

   Бүлэгт (жишээ нь: remoteaccess) бид дэлгэцийн агшин дээрх зааврын дагуу хэрэглэгч үүсгэх болно. Бүртгэлийг тохируулах нь стандарт бөгөөд нэвтрэх нэр, нууц үгээ тохируулахаас гадна Алсын зайнаас нэвтрэх зөвшөөрлийн сонголтыг идэвхжүүлнэ.

   
   

   Хэрэв та тохиргоог амжилттай хэрэгжүүлсэн бол хоёр объект гарч ирэх ёстой: локал хэрэглэгч, локал хэрэглэгчдийн бүлэг.

   

3. Дараагийн алхам бол очих явдал юм VPN → Remote Access → Blade Control. Таны ир асаалттай, алсын хэрэглэгчдийн урсгалыг зөвшөөрсөн эсэхийг шалгаарай.

   

4. *Дээрх нь Алсын хандалтыг тохируулах хамгийн бага алхамууд байсан. Гэхдээ холболтыг шалгахын өмнө таб руу орж дэвшилтэт тохиргоог авч үзье VPN → Алсын зайнаас хандалт → Нарийвчилсан

   
   

   Одоогийн тохиргоон дээр үндэслэн алсын хэрэглэгчид холбогдох үед Office Mode сонголтын ачаар 172.16.11.0/24 сүлжээнээс IP хаяг хүлээн авах болно гэдгийг бид харж байна. Энэ нь өрсөлдөх чадвартай 200 лиценз ашиглах нөөцтэй байхад хангалттай (1590 NGFW Check Point-д заасан).

   Сонголт "Холбогдсон үйлчлүүлэгчдээс интернетийн урсгалыг энэ гарцаар дамжуулан чиглүүлэх" нь сонголттой бөгөөд алсын хэрэглэгчээс гарах бүх урсгалыг гарцаар (интернэт холболтыг оруулаад) чиглүүлэх үүрэгтэй. Энэ нь хэрэглэгчийн траффикийг шалгаж, түүний ажлын станцыг янз бүрийн аюул заналхийлэл, хортой програмаас хамгаалах боломжийг олгоно.

5. *Алсын зайнаас хандах хандалтын бодлоготой ажиллах

   Бид алсын зайнаас хандалтыг тохируулсны дараа Галт ханын түвшинд автомат хандалтын дүрмийг үүсгэсэн бөгөөд үүнийг үзэхийн тулд та таб руу очих хэрэгтэй: Хандалтын бодлого → Галт хана → Бодлого

   
   

   Энэ тохиолдолд өмнө нь үүсгэсэн бүлгийн гишүүд болох алсын зайн хэрэглэгчид компанийн бүх дотоод нөөцөд хандах боломжтой болно; дүрэм нь ерөнхий хэсэгт байрлана гэдгийг анхаарна уу. "Ирж буй, дотоод болон VPN урсгал". Интернэтэд VPN хэрэглэгчийн урсгалыг зөвшөөрөхийн тулд "Ерөнхий хэсэгт" тусдаа дүрэм гаргах шаардлагатай болно.Интернэт рүү гарах хандалт".

6. Эцэст нь бид хэрэглэгч манай NGFW гарц руу VPN туннелийг амжилттай үүсгэж, компанийн дотоод нөөцөд хандах боломжтой эсэхийг шалгах хэрэгтэй. Үүнийг хийхийн тулд та туршиж буй хост дээр VPN клиент суулгах шаардлагатай бөгөөд тусламжийг үзүүлж байна ссылка Ачаалах зориулалттай. Суулгасны дараа та шинэ сайт нэмэх стандарт процедурыг хийх шаардлагатай болно (гарцынхаа нийтийн IP хаягийг зааж өгнө үү). Тохиромжтой болгохын тулд процессыг GIF хэлбэрээр үзүүлэв

   
   
   Холболт аль хэдийн үүссэн үед CMD дээрх командыг ашиглан хост машин дээрх хүлээн авсан IP хаягийг шалгацгаая. ipconfig

   
   

   Виртуал сүлжээний адаптер нь манай NGFW-ийн Оффисын горимоос IP хаягийг хүлээн авч, пакетуудыг амжилттай илгээсэн эсэхийг шалгасан. Үүнийг дуусгахын тулд бид Gaia портал руу орж болно: VPN → Алсын зайнаас хандах → Холбогдсон алсаас хэрэглэгчид

   
   

   "ntuser" хэрэглэгч холбогдсон гэж гарч ирэх тул үйл явдлын бүртгэлийг эндээс шалгацгаая Бүртгэл ба хяналт → Аюулгүй байдлын бүртгэл

   
   

   Холболтыг IP хаягийг эх сурвалж болгон ашиглан бүртгэдэг: 172.16.10.1 - энэ нь манай хэрэглэгчийн Office Mode-ээр дамжуулан хүлээн авсан хаяг юм.

   3. Алсын зайнаас хандахад зориулагдсан үйлчлүүлэгчид

   Бид SMB гэр бүлийн NGFW Check Point ашиглан оффис руугаа алсаас холболт хийх журамтай танилцсаны дараа би янз бүрийн төхөөрөмжид үйлчлүүлэгчдэд үзүүлэх тусламжийн талаар бичихийг хүсч байна.

   • Windows/Mac үйлдлийн системд зориулсан төгсгөлийн VPN
   • Мобайл үйлчлүүлэгч (Android / IOS)
   • L2TP Native Client (Check Point нь Microsoft-ын уугуул VPN програмыг дэмждэг гэж мэдэгддэг).

   Төрөл бүрийн дэмжигдсэн үйлдлийн системүүд болон төхөөрөмжүүд нь NGFW-тэй хамт ирдэг лицензийнхээ давуу талыг бүрэн ашиглах боломжийг танд олгоно. Тусдаа төхөөрөмжийг тохируулахын тулд тохиромжтой сонголт байдаг "Хэрхэн холбогдох вэ"

   

   Энэ нь таны тохиргооны дагуу автоматаар алхамуудыг үүсгэдэг бөгөөд энэ нь администраторуудад ямар ч асуудалгүйгээр шинэ үйлчлүүлэгч суулгах боломжийг олгоно.

   Дүгнэлт: Энэ нийтлэлийг нэгтгэн дүгнэхийн тулд бид NGFW Check Point SMB гэр бүлийн VPN боломжуудыг авч үзсэн. Дараа нь бид хэрэглэгчдийг оффис руу алсаас холбосон тохиолдолд Алсын хандалтыг тохируулах алхмуудыг тайлбарлаж, дараа нь хяналтын хэрэгслийг судалсан. Өгүүллийн төгсгөлд бид боломжтой үйлчлүүлэгчид болон Remote Access-ийн холболтын сонголтуудын талаар ярилцсан. Ингэснээр танай салбар гадны янз бүрийн аюул заналхийлэл, хүчин зүйлээс үл хамааран VPN технологийг ашиглан ажилчдын ажлын тасралтгүй, аюулгүй байдлыг хангах боломжтой болно.

   TS Solution-ийн Check Point дээрх материалын өргөн сонголт. Хамтдаа байгаарай (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог, Yandex Zen).

Эх сурвалж: www.habr.com