4. NGFW za mala podjetja. VPN

Nadaljujemo s serijo člankov o NGFW za mala podjetja, naj vas spomnim, da pregledujemo novo serijo modelov 1500. IN Deli 1 ciklu sem omenil eno najbolj uporabnih možnosti pri nakupu SMB naprave - dobavo prehodov z vgrajenimi licencami za mobilni dostop (od 100 do 200 uporabnikov, odvisno od modela). V tem članku si bomo ogledali nastavitev VPN-ja za prehode serije 1500, ki imajo vnaprej nameščeno Gaia 80.20 Embedded. Tukaj je povzetek:

1. Zmogljivosti VPN za SMB.
2. Organizacija oddaljenega dostopa za majhno pisarno.
3. Razpoložljivi odjemalci za povezavo.

1. Možnosti VPN za SMB

Za pripravo današnjega gradiva uradni skrbniški vodnik različica R80.20.05 (aktualna v času objave članka). V skladu s tem je v smislu VPN z vgrajeno Gaia 80.20 na voljo podpora za:

1. Site-to-Site. Ustvarjanje tunelov VPN med vašimi pisarnami, kjer lahko uporabniki delajo, kot da bi bili v istem »lokalnem« omrežju.

   

2. Oddaljen dostop. Oddaljena povezava z viri vaše pisarne z uporabniškimi končnimi napravami (osebni računalniki, mobilni telefoni itd.). Poleg tega je na voljo SSL Network Extender, ki vam omogoča objavo posameznih aplikacij in njihovo izvajanje z uporabo programčka Java, ki se povezuje prek SSL. Opomba: ne smete zamenjati s portalom za mobilni dostop (brez podpore za Gaia Embedded).
   
   

dodatno Zelo priporočam avtorjev tečaj TS Solution - Check Point oddaljeni dostop VPN razkriva tehnologije Check Point v smislu VPN, se dotika vprašanj licenciranja in vsebuje podrobna navodila za namestitev.

2. Oddaljeni dostop za majhne pisarne

Začeli bomo z organizacijo oddaljene povezave do vaše pisarne:

1. Da lahko uporabniki zgradijo tunel VPN s prehodom, morate imeti javni naslov IP. Če ste že dokončali začetno nastavitev (2 članek iz cikla), potem je praviloma Zunanja povezava že aktivna. Informacije lahko najdete na portalu Gaia: Naprava → Omrežje → Internet

   
   

   Če vaše podjetje uporablja dinamični javni naslov IP, lahko nastavite dinamični DNS. Pojdi do Device → DDNS in dostop do naprave

   
   

   Trenutno obstaja podpora dveh ponudnikov: DynDns in no-ip.com. Za aktiviranje možnosti morate vnesti svoje poverilnice (prijavo, geslo).

2. Nato ustvarimo uporabniški račun, uporaben bo za testiranje nastavitev: VPN → Oddaljeni dostop → Uporabniki oddaljenega dostopa

   
   

   V skupini (na primer: remoteaccess) bomo ustvarili uporabnika po navodilih na posnetku zaslona. Nastavitev računa je standardna, nastavite prijavo in geslo ter dodatno omogočite možnost dovoljenj za oddaljeni dostop.

   
   

   Če ste nastavitve uspešno uporabili, bi se morala prikazati dva objekta: lokalni uporabnik, lokalna skupina uporabnikov.

   

3. Naslednji korak je, da greste na VPN → Oddaljeni dostop → Nadzor rezila. Prepričajte se, da je rezilo vklopljeno in da je dovoljen promet oddaljenih uporabnikov.

   

4. *Zgoraj je bil minimalni niz korakov za nastavitev oddaljenega dostopa. Toda preden preizkusimo povezavo, raziščimo napredne nastavitve na zavihku VPN → Oddaljeni dostop → Napredno

   
   

   Na podlagi trenutnih nastavitev vidimo, da bodo oddaljeni uporabniki, ko se povežejo, prejeli naslov IP iz omrežja 172.16.11.0/24, zahvaljujoč možnosti Office Mode. To je dovolj z rezervo za uporabo 200 tekmovalnih licenc (navedeno za 1590 NGFW Check Point).

   Možnost "Usmeri internetni promet od povezanih odjemalcev skozi ta prehod" je neobvezen in je odgovoren za usmerjanje celotnega prometa od oddaljenega uporabnika prek prehoda (vključno z internetnimi povezavami). To vam omogoča pregledovanje uporabnikovega prometa in zaščito njegove delovne postaje pred različnimi grožnjami in zlonamerno programsko opremo.

5. *Delo s pravilniki dostopa za oddaljeni dostop

   Ko smo konfigurirali oddaljeni dostop, je bilo na ravni požarnega zidu ustvarjeno pravilo za samodejni dostop, če si ga želite ogledati, morate iti na zavihek: Politika dostopa → Požarni zid → Politika

   
   

   V tem primeru bodo oddaljeni uporabniki, ki so člani predhodno ustvarjene skupine, lahko dostopali do vseh notranjih virov podjetja; upoštevajte, da se pravilo nahaja v splošnem razdelku »Dohodni, interni in VPN promet«. Če želite dovoliti uporabniški promet VPN v internetu, boste morali ustvariti ločeno pravilo v splošnem razdelku "Odhodni dostop do interneta".

6. Nazadnje moramo samo zagotoviti, da lahko uporabnik uspešno ustvari tunel VPN do našega prehoda NGFW in pridobi dostop do notranjih virov podjetja. Če želite to narediti, morate namestiti odjemalca VPN na gostitelja, ki ga testirate, pomoč je na voljo povezava Za nalaganje. Po namestitvi boste morali izvesti standardni postopek za dodajanje novega mesta (navedite javni naslov IP vašega prehoda). Zaradi udobja je postopek predstavljen v obliki GIF

   
   
   Ko je povezava že vzpostavljena, preverimo prejeti naslov IP na gostiteljskem računalniku z ukazom v CMD: ipconfig

   
   

   Poskrbeli smo, da je navidezni omrežni adapter prejel naslov IP iz pisarniškega načina našega NGFW, paketi so bili uspešno poslani. Za dokončanje gremo lahko na portal Gaia: VPN → Oddaljeni dostop → Povezani oddaljeni uporabniki

   
   

   Uporabnik »ntuser« je prikazan kot povezan, preverimo beleženje dogodkov tako, da obiščemo Dnevniki in spremljanje → Varnostni dnevniki

   
   

   Povezava se beleži z uporabo naslova IP kot vira: 172.16.10.1 – to je naslov, ki ga je naš uporabnik prejel prek pisarniškega načina.

   3. Podprti odjemalci za oddaljeni dostop

   Ko smo pregledali postopek za vzpostavitev oddaljene povezave z vašo pisarno s pomočjo NGFW Check Point družine SMB, bi rad pisal o podpori odjemalcem za različne naprave:

   • Endpoint VPN za Windows/Mac OS
   • Mobilni odjemalec (Android / IOS)
   • Izvorni odjemalec L2TP (Check Point zahteva podporo za Microsoftovo domačo aplikacijo VPN).

   Raznolikost podprtih operacijskih sistemov in naprav vam bo omogočila, da v celoti izkoristite svojo licenco, ki je priložena NGFW. Za konfiguracijo ločene naprave obstaja priročna možnost "Kako se povezati"

   

   Samodejno generira korake glede na vaše nastavitve, kar bo skrbnikom omogočilo brez težav namestiti nove odjemalce.

   Zaključek: Če povzamemo ta članek, smo si ogledali zmogljivosti VPN družine NGFW Check Point SMB. V nadaljevanju smo opisali korake za nastavitev oddaljenega dostopa, v primeru oddaljene povezave uporabnikov s pisarno, nato pa preučili orodja za spremljanje. Na koncu članka smo govorili o razpoložljivih odjemalcih in možnostih povezave za oddaljeni dostop. Tako bo vaša poslovalnica kljub različnim zunanjim grožnjam in dejavnikom lahko zagotovila kontinuiteto in varnost dela zaposlenih s pomočjo VPN tehnologij.

   Velik izbor materialov na Check Point iz TS Solution. Ostani na vezi (Telegram, Facebook , VK, Spletni dnevnik rešitev TS, Yandex Zen).

Vir: www.habr.com