4. NGFW për bizneset e vogla. VPN

Ne vazhdojmë serinë tonë të artikujve rreth NGFW për bizneset e vogla, më lejoni t'ju kujtoj se po rishikojmë gamën e modeleve të serisë 1500 të re. NË Pjesë 1 ciklit, përmenda një nga opsionet më të dobishme kur blini një pajisje SMB - furnizimin e portave me licenca të integruara të Access Mobile (nga 100 në 200 përdorues, në varësi të modelit). Në këtë artikull do të shikojmë vendosjen e një VPN për portat e serive 1500 që vijnë me Gaia 80.20 Embedded të para-instaluar. Këtu është një përmbledhje:

1. Aftësitë VPN për SMB.
2. Organizimi i qasjes në distancë për një zyrë të vogël.
3. Klientë të disponueshëm për lidhje.

1. Opsionet VPN për SMB

Për të përgatitur materialin e sotëm, zyrtari udhëzues admin versioni R80.20.05 (aktual në kohën e botimit të artikullit). Prandaj, për sa i përket VPN me Gaia 80.20 Embedded ka mbështetje për:

1. Site-në-Sit. Krijimi i tuneleve VPN midis zyrave tuaja, ku përdoruesit mund të punojnë sikur të ishin në të njëjtin rrjet “lokal”.

   

2. Qasja në distancë. Lidhja në distancë me burimet e zyrës suaj duke përdorur pajisjet fundore të përdoruesit (PC, telefona celularë, etj.). Për më tepër, ekziston një Zgjerues i Rrjetit SSL, ai ju lejon të publikoni aplikacione individuale dhe t'i ekzekutoni ato duke përdorur Applet Java, duke u lidhur përmes SSL. Shenim: të mos ngatërrohet me Portalin e Qasjes në Mobile (nuk ka mbështetje për Gaia Embedded).
   
   

Përveç kësaj Unë rekomandoj shumë kursin e autorit TS Solution - Check Point Remote Access VPN ai zbulon teknologjitë Check Point në lidhje me VPN, prek çështjet e licencimit dhe përmban udhëzime të hollësishme të konfigurimit.

2. Qasje në distancë për zyra të vogla

Ne do të fillojmë të organizojmë një lidhje në distancë me zyrën tuaj:

1. Në mënyrë që përdoruesit të ndërtojnë një tunel VPN me një portë, ju duhet të keni një adresë IP publike. Nëse e keni përfunduar tashmë konfigurimin fillestar (Artikull 2 nga cikli), atëherë, si rregull, Lidhja e Jashtme është tashmë aktive. Informacioni mund të gjendet duke shkuar te Gaia Portal: Pajisja → Rrjeti → Interneti

   
   

   Nëse kompania juaj përdor një adresë IP publike dinamike, atëherë mund të vendosni Dinamik DNS. Shko tek pajisje → DDNS dhe qasja në pajisje

   
   

   Aktualisht ka mbështetje nga dy ofrues: DynDns dhe no-ip.com. Për të aktivizuar opsionin duhet të futni kredencialet tuaja (hyrja, fjalëkalimi).

2. Tjetra, le të krijojmë një llogari përdoruesi, do të jetë e dobishme për testimin e cilësimeve: VPN → Qasja në distancë → Përdoruesit e qasjes në distancë

   
   

   Në grup (për shembull: remoteaccess) ne do të krijojmë një përdorues duke ndjekur udhëzimet në pamjen e ekranit. Krijimi i një llogarie është standard, vendosni një hyrje dhe fjalëkalim dhe aktivizoni gjithashtu opsionin e lejeve të qasjes në distancë.

   
   

   Nëse i keni aplikuar me sukses cilësimet, duhet të shfaqen dy objekte: një përdorues lokal, një grup lokal përdoruesish.

   

3. Hapi tjetër është të shkoni në VPN → Qasja në distancë → Kontrolli i tehut. Sigurohuni që tehu juaj të jetë i ndezur dhe trafiku nga përdoruesit e largët të lejohet.

   

4. * Sa më sipër ishte grupi minimal i hapave për konfigurimin e Qasjes në distancë. Por përpara se të testojmë lidhjen, le të eksplorojmë cilësimet e avancuara duke shkuar te skeda VPN → Qasje në distancë → E avancuar

   
   

   Bazuar në cilësimet aktuale, shohim se kur përdoruesit e largët lidhen, ata do të marrin një adresë IP nga rrjeti 172.16.11.0/24, falë opsionit Office Mode. Kjo është e mjaftueshme me një rezervë për të përdorur 200 licenca konkurruese (të treguara për 1590 NGFW Check Point).

   Opsioni "Rrugëtoni trafikun e internetit nga klientët e lidhur përmes kësaj porte" është opsionale dhe është përgjegjëse për drejtimin e të gjithë trafikut nga përdoruesi i largët përmes portës (duke përfshirë lidhjet në internet). Kjo ju lejon të inspektoni trafikun e përdoruesit dhe të mbroni stacionin e tij të punës nga kërcënime të ndryshme dhe malware.

5. *Puna me politikat e aksesit për qasje në distancë

   Pasi konfiguruam Remote Access, u krijua një rregull automatik i hyrjes në nivelin e Firewall, për ta parë atë duhet të shkoni te skeda: Politika e hyrjes → Firewall → Politika

   
   

   Në këtë rast, përdoruesit e largët që janë anëtarë të një grupi të krijuar më parë do të jenë në gjendje të aksesojnë të gjitha burimet e brendshme të kompanisë; vini re se rregulli ndodhet në seksionin e përgjithshëm "Trafiku në hyrje, i brendshëm dhe VPN". Për të lejuar trafikun e përdoruesve VPN në internet, do t'ju duhet të krijoni një rregull të veçantë në seksionin e përgjithshëm "Qasje dalëse në internet".

6. Më në fund, ne vetëm duhet të sigurohemi që përdoruesi mund të krijojë me sukses një tunel VPN në portën tonë NGFW dhe të fitojë akses në burimet e brendshme të kompanisë. Për ta bërë këtë, duhet të instaloni një klient VPN në hostin që po testohet, ofrohet ndihma lidhje Për ngarkim. Pas instalimit, do t'ju duhet të kryeni procedurën standarde për shtimin e një siti të ri (tregoni adresën IP publike të portës suaj). Për lehtësi, procesi paraqitet në formë GIF

   
   
   Kur lidhja është krijuar tashmë, le të kontrollojmë adresën IP të marrë në makinën pritës duke përdorur komandën në CMD: ipconfig

   
   

   Ne u siguruam që përshtatësi i rrjetit virtual të merrte një adresë IP nga modaliteti i Office i NGFW-së tonë, paketat u dërguan me sukses. Për të përfunduar, mund të shkojmë te Gaia Portal: VPN → Qasje në distancë → Përdorues të lidhur në distancë

   
   

   Përdoruesi "ntuser" shfaqet si i lidhur, le të kontrollojmë regjistrimin e ngjarjeve duke shkuar te Regjistrat dhe monitorimi → Regjistrat e sigurisë

   
   

   Lidhja regjistrohet duke përdorur adresën IP si burim: 172.16.10.1 - kjo është adresa e marrë nga përdoruesi ynë përmes modalitetit të Office.

   3. Klientët e mbështetur për qasje në distancë

   Pasi të kemi shqyrtuar procedurën për vendosjen e një lidhjeje në distancë me zyrën tuaj duke përdorur NGFW Check Point të familjes SMB, do të doja të shkruaja për mbështetjen e klientit për pajisje të ndryshme:

   • Endpoint VPN për Windows/Mac OS
   • Klient celular (android / IOS)
   • L2TP Native Client (Check Point pretendon mbështetje për aplikacionin vendas VPN të Microsoft).

   Shumëllojshmëria e sistemeve dhe pajisjeve operative të mbështetura do t'ju lejojë të përfitoni plotësisht nga licenca juaj që vjen me NGFW. Për të konfiguruar një pajisje të veçantë, ekziston një mundësi e përshtatshme "Si të lidheni"

   

   Ai gjeneron automatikisht hapa sipas cilësimeve tuaja, të cilat do t'i lejojnë administratorët të instalojnë klientë të rinj pa asnjë problem.

   Përfundim: Për ta përmbledhur këtë artikull, ne shikuam aftësitë VPN të familjes NGFW Check Point SMB. Më pas, përshkruam hapat për konfigurimin e Remote Access, në rastin e lidhjes në distancë të përdoruesve me zyrën, dhe më pas studiuam mjetet e monitorimit. Në fund të artikullit folëm për klientët e disponueshëm dhe opsionet e lidhjes për Qasjen në distancë. Kështu, zyra juaj e degës do të jetë në gjendje të sigurojë vazhdimësinë dhe sigurinë e punës së punonjësve duke përdorur teknologjitë VPN, pavarësisht kërcënimeve dhe faktorëve të ndryshëm të jashtëm.

   Një përzgjedhje e madhe materialesh në Check Point nga TS Solution. Qëndroni të sintonizuar (Telegram, Facebook, VK, TS Zgjidhja Blog, Yandex Zen).

Burimi: www.habr.com