4. NGFW untuk perniagaan kecil. VPN

Kami meneruskan siri artikel kami tentang NGFW untuk perniagaan kecil, izinkan saya mengingatkan anda bahawa kami sedang menyemak rangkaian model siri 1500 baharu. DALAM Bahagian 1 kitaran, saya menyebut salah satu pilihan yang paling berguna apabila membeli peranti SMB - pembekalan pintu masuk dengan lesen Akses Mudah Alih terbina dalam (dari 100 hingga 200 pengguna, bergantung pada model). Dalam artikel ini kita akan melihat pada penyediaan VPN untuk gerbang siri 1500 yang disertakan dengan Gaia 80.20 Embedded prapasang. Berikut adalah ringkasan:

1. Keupayaan VPN untuk SMB.
2. Organisasi Akses Jauh untuk pejabat kecil.
3. Pelanggan yang tersedia untuk sambungan.

1. Pilihan VPN untuk SMB

Untuk menyediakan bahan hari ini, rasmi panduan admin versi R80.20.05 (semasa pada masa penerbitan artikel). Sehubungan itu, dari segi VPN dengan Gaia 80.20 Embedded terdapat sokongan untuk:

1. Tapak-Ke-Tapak. Mencipta terowong VPN antara pejabat anda, tempat pengguna boleh bekerja seolah-olah mereka berada di rangkaian "tempatan" yang sama.

   

2. Akses Jauh. Sambungan jauh ke sumber pejabat anda menggunakan peranti akhir pengguna (PC, telefon mudah alih, dsb.). Selain itu, terdapat SSL Network Extender, ia membolehkan anda menerbitkan aplikasi individu dan menjalankannya menggunakan Java Applet, menyambung melalui SSL. Nota: jangan dikelirukan dengan Portal Akses Mudah Alih (tiada sokongan untuk Gaia Embedded).
   
   

tambahan Saya sangat mengesyorkan kursus pengarang TS Solution - VPN Akses Jauh Titik Semak ia mendedahkan teknologi Check Point berkenaan VPN, menyentuh isu pelesenan dan mengandungi arahan persediaan terperinci.

2. Akses Jauh untuk pejabat kecil

Kami akan mula mengatur sambungan jauh ke pejabat anda:

1. Untuk membolehkan pengguna membina terowong VPN dengan get laluan, anda perlu mempunyai alamat IP awam. Jika anda telah menyelesaikan persediaan awal (2 artikel daripada kitaran), maka, sebagai peraturan, Pautan Luaran sudah aktif. Maklumat boleh didapati dengan pergi ke Gaia Portal: Peranti → Rangkaian → Internet

   
   

   Jika syarikat anda menggunakan alamat IP awam dinamik, maka anda boleh menetapkan DNS Dinamik. Pergi ke Peranti → DDNS & Akses Peranti

   
   

   Pada masa ini terdapat sokongan daripada dua pembekal: DynDns dan no-ip.com. Untuk mengaktifkan pilihan anda perlu memasukkan kelayakan anda (log masuk, kata laluan).

2. Seterusnya, mari buat akaun pengguna, ia berguna untuk menguji tetapan: VPN → Akses Jauh → Pengguna Akses Jauh

   
   

   Dalam kumpulan (contohnya: akses jauh) kami akan membuat pengguna mengikut arahan dalam tangkapan skrin. Menyediakan akaun adalah standard, tetapkan log masuk dan kata laluan, dan tambahan pula dayakan pilihan kebenaran Akses Jauh.

   
   

   Jika anda telah berjaya menggunakan tetapan, dua objek akan muncul: pengguna tempatan, kumpulan pengguna setempat.

   

3. Langkah seterusnya ialah pergi ke VPN → Akses Jauh → Kawalan Blade. Pastikan bilah anda dihidupkan dan trafik daripada pengguna jauh dibenarkan.

   

4. *Di atas ialah set langkah minimum untuk menyediakan Akses Jauh. Tetapi sebelum kita menguji sambungan, mari kita terokai tetapan lanjutan dengan pergi ke tab VPN → Akses Jauh → Lanjutan

   
   

   Berdasarkan tetapan semasa, kami melihat bahawa apabila pengguna jauh menyambung, mereka akan menerima alamat IP daripada rangkaian 172.16.11.0/24, terima kasih kepada pilihan Mod Office. Ini cukup dengan rizab untuk menggunakan 200 lesen kompetitif (ditunjukkan untuk 1590 NGFW Check Point).

   Pilihan "Haluskan trafik Internet daripada pelanggan yang disambungkan melalui gerbang ini" adalah pilihan dan bertanggungjawab untuk menghalakan semua trafik daripada pengguna jauh melalui get laluan (termasuk sambungan Internet). Ini membolehkan anda memeriksa trafik pengguna dan melindungi stesen kerjanya daripada pelbagai ancaman dan perisian hasad.

5. *Bekerja dengan dasar akses untuk Akses Jauh

   Selepas kami mengkonfigurasi Akses Jauh, peraturan akses automatik telah dibuat pada peringkat Firewall, untuk melihatnya anda perlu pergi ke tab: Dasar Akses → Firewall → Dasar

   
   

   Dalam kes ini, pengguna jauh yang merupakan ahli kumpulan yang dibuat sebelum ini akan dapat mengakses semua sumber dalaman syarikat; ambil perhatian bahawa peraturan itu terletak di bahagian umum “Trafik Masuk, Dalaman dan VPN”. Untuk membenarkan trafik pengguna VPN ke Internet, anda perlu membuat peraturan berasingan di bahagian umum “Akses keluar ke Internet".

6. Akhir sekali, kami hanya perlu memastikan bahawa pengguna boleh berjaya mencipta terowong VPN ke gerbang NGFW kami dan mendapat akses kepada sumber dalaman syarikat. Untuk melakukan ini, anda perlu memasang klien VPN pada hos yang sedang diuji, bantuan disediakan pautan Untuk memuatkan. Selepas pemasangan, anda perlu menjalankan prosedur standard untuk menambah tapak baharu (tunjukkan alamat IP awam pintu masuk anda). Untuk kemudahan, proses itu dibentangkan dalam bentuk GIF

   
   
   Apabila sambungan sudah diwujudkan, mari semak alamat IP yang diterima pada mesin hos menggunakan arahan dalam CMD: ipconfig

   
   

   Kami memastikan bahawa penyesuai rangkaian maya menerima alamat IP daripada Mod Pejabat NGFW kami, paket berjaya dihantar. Untuk melengkapkan, kita boleh pergi ke Gaia Portal: VPN → Akses Jauh → Pengguna Jauh Disambungkan

   
   

   Pengguna "ntuser" dipaparkan sebagai disambungkan, mari semak pengelogan acara dengan pergi ke Log & Pemantauan → Log Keselamatan

   
   

   Sambungan dilog menggunakan alamat IP sebagai sumber: 172.16.10.1 - ini adalah alamat yang diterima oleh pengguna kami melalui Mod Office.

   3. Pelanggan yang disokong untuk Akses Jauh

   Selepas kami menyemak prosedur untuk menyediakan sambungan jauh ke pejabat anda menggunakan Titik Semak NGFW bagi keluarga SMB, saya ingin menulis tentang sokongan pelanggan untuk pelbagai peranti:

   • VPN Endpoint untuk Windows/Mac OS
   • Pelanggan Mudah Alih (Android / IOS)
   • L2TP Native Client (Check Point menuntut sokongan untuk apl VPN asli Microsoft).

   Pelbagai sistem pengendalian dan peranti yang disokong akan membolehkan anda memanfaatkan sepenuhnya lesen anda yang disertakan dengan NGFW. Untuk mengkonfigurasi peranti yang berasingan terdapat pilihan yang mudah “Bagaimana untuk menyambung”

   

   Ia secara automatik menjana langkah mengikut tetapan anda, yang akan membolehkan pentadbir memasang klien baharu tanpa sebarang masalah.

   Kesimpulan: Untuk meringkaskan artikel ini, kami melihat keupayaan VPN keluarga NGFW Check Point SMB. Seterusnya, kami menerangkan langkah-langkah untuk menyediakan Akses Jauh, dalam kes sambungan jauh pengguna ke pejabat, dan kemudian mengkaji alat pemantauan. Pada akhir artikel kami bercakap tentang pelanggan yang tersedia dan pilihan sambungan untuk Akses Jauh. Oleh itu, pejabat cawangan anda akan dapat memastikan kesinambungan dan keselamatan kerja pekerja menggunakan teknologi VPN, walaupun terdapat pelbagai ancaman dan faktor luaran.

   Banyak pilihan bahan di Check Point dari TS Solution. Nantikan (Telegram, Facebook, VK, Blog Penyelesaian TS, Yandex Zen).

Sumber: www.habr.com