4. NGFW för småföretag. VPN

Vi fortsätter vår serie med artiklar om NGFW för småföretag, låt mig påminna dig om att vi granskar den nya 1500-seriens modellserie. I 1 delar cykel, nämnde jag ett av de mest användbara alternativen när man köper en SMB-enhet - utbudet av gateways med inbyggda Mobile Access-licenser (från 100 till 200 användare, beroende på modell). I den här artikeln kommer vi att titta på hur vi ställer in ett VPN för 1500-seriens gateways som kommer med Gaia 80.20 Embedded förinstallerat. Här är en sammanfattning:

1. VPN-funktioner för SMB.
2. Organisation av fjärråtkomst för ett litet kontor.
3. Tillgängliga klienter för anslutning.

1. VPN-alternativ för SMB

För att förbereda dagens material, tjänstemannen admin guide version R80.20.05 (aktuell vid tidpunkten för publicering av artikeln). När det gäller VPN med Gaia 80.20 Embedded finns det följaktligen stöd för:

1. Webbplats till webbplats. Skapa VPN-tunnlar mellan dina kontor, där användare kan arbeta som om de var på samma "lokala" nätverk.

   

2. Fjärranslutning. Fjärranslutning till dina kontorsresurser med hjälp av användarens slutenheter (datorer, mobiltelefoner, etc.). Dessutom finns det en SSL Network Extender, den låter dig publicera enskilda applikationer och köra dem med Java-appleten, ansluta via SSL. Notera: inte att förväxla med Mobile Access Portal (inget stöd för Gaia Embedded).
   
   

dessutom Jag rekommenderar starkt författarkursen TS Solution - Check Point Remote Access VPN den avslöjar Check Point-teknologier angående VPN, berör licensfrågor och innehåller detaljerade installationsinstruktioner.

2. Fjärråtkomst för små kontor

Vi kommer att börja organisera en fjärranslutning till ditt kontor:

1. För att användare ska kunna bygga en VPN-tunnel med en gateway måste du ha en offentlig IP-adress. Om du redan har slutfört den första installationen (2 artikel från cykeln), är External Link som regel redan aktiv. Information kan hittas genom att gå till Gaia Portal: Enhet → Nätverk → Internet

   
   

   Om ditt företag använder en dynamisk offentlig IP-adress kan du ställa in dynamisk DNS. Gå till Anordning → DDNS och enhetsåtkomst

   
   

   För närvarande finns det stöd från två leverantörer: DynDns och no-ip.com. För att aktivera alternativet måste du ange dina referenser (inloggning, lösenord).

2. Låt oss sedan skapa ett användarkonto, det kommer att vara användbart för att testa inställningarna: VPN → Fjärråtkomst → Fjärråtkomstanvändare

   
   

   I gruppen (till exempel: fjärråtkomst) kommer vi att skapa en användare enligt instruktionerna i skärmdumpen. Att konfigurera ett konto är standard, ställ in en inloggning och lösenord, och aktivera dessutom alternativet för fjärråtkomstbehörigheter.

   
   

   Om du har tillämpat inställningarna, bör två objekt visas: en lokal användare, en lokal grupp av användare.

   

3. Nästa steg är att gå till VPN → Fjärråtkomst → Bladkontroll. Se till att din blade är påslagen och trafik från fjärranvändare tillåts.

   

4. *Ovanstående var den minsta uppsättningen steg för att ställa in fjärråtkomst. Men innan vi testar anslutningen, låt oss utforska de avancerade inställningarna genom att gå till fliken VPN → Fjärråtkomst → Avancerat

   
   

   Baserat på de nuvarande inställningarna ser vi att när fjärranvändare ansluter kommer de att få en IP-adress från nätverket 172.16.11.0/24, tack vare alternativet Office Mode. Detta räcker med en reserv för att använda 200 konkurrenskraftiga licenser (indicerat för 1590 NGFW Check Point).

   alternativ "Dirigera internettrafik från anslutna klienter genom denna gateway" är valfritt och ansvarar för att dirigera all trafik från fjärranvändaren genom gatewayen (inklusive Internetanslutningar). Detta gör att du kan inspektera användarens trafik och skydda hans arbetsstation från olika hot och skadlig programvara.

5. *Arbetar med åtkomstpolicyer för fjärråtkomst

   Efter att vi konfigurerat fjärråtkomst skapades en automatisk åtkomstregel på brandväggsnivå, för att se den måste du gå till fliken: Åtkomstpolicy → Brandvägg → Policy

   
   

   I det här fallet kommer fjärranvändare som är medlemmar i en tidigare skapad grupp att kunna komma åt alla interna resurser i företaget; observera att regeln finns i det allmänna avsnittet "Inkommande, intern och VPN-trafik". För att tillåta VPN-användartrafik till Internet måste du skapa en separat regel i det allmänna avsnittet "Utgående tillgång till Internet".

6. Slutligen behöver vi bara se till att användaren framgångsrikt kan skapa en VPN-tunnel till vår NGFW-gateway och få tillgång till företagets interna resurser. För att göra detta måste du installera en VPN-klient på värden som testas, hjälp ges länk För lastning. Efter installationen måste du utföra standardproceduren för att lägga till en ny webbplats (ange den offentliga IP-adressen för din gateway). För enkelhetens skull presenteras processen i GIF-form

   
   
   När anslutningen redan är upprättad, låt oss kontrollera den mottagna IP-adressen på värddatorn med kommandot i CMD: ipconfig

   
   

   Vi såg till att den virtuella nätverksadaptern fick en IP-adress från kontorsläget för vår NGFW, paket skickades framgångsrikt. För att slutföra kan vi gå till Gaia Portal: VPN → Fjärråtkomst → Anslutna fjärranvändare

   
   

   Användaren "ntuser" visas som ansluten, låt oss kontrollera händelseloggningen genom att gå till Loggar och övervakning → Säkerhetsloggar

   
   

   Anslutningen loggas med IP-adressen som källa: 172.16.10.1 - detta är adressen som vår användare tar emot via Office Mode.

   3. Klienter som stöds för fjärråtkomst

   Efter att vi har granskat proceduren för att sätta upp en fjärranslutning till ditt kontor med hjälp av NGFW Check Point i SMB-familjen, skulle jag vilja skriva om klientsupport för olika enheter:

   • Endpoint VPN för Windows/Mac OS
   • Mobil klient (Android / IOS)
   • L2TP Native Client (Check Point hävdar stöd för Microsofts inbyggda VPN-app).

   Mångfalden av operativsystem och enheter som stöds gör att du kan dra full nytta av din licens som följer med NGFW. För att konfigurera en separat enhet finns det ett bekvämt alternativ "Hur man ansluter"

   

   Den genererar automatiskt steg enligt dina inställningar, vilket gör att administratörer kan installera nya klienter utan problem.

   Slutsats: För att sammanfatta den här artikeln tittade vi på VPN-funktionerna hos NGFW Check Point SMB-familjen. Därefter beskrev vi stegen för att ställa in fjärråtkomst, i fallet med fjärranslutning av användare till kontoret, och studerade sedan övervakningsverktyg. I slutet av artikeln pratade vi om tillgängliga klienter och anslutningsalternativ för fjärråtkomst. Således kommer ditt filialkontor att kunna säkerställa kontinuiteten och säkerheten i de anställdas arbete med hjälp av VPN-tekniker, trots olika externa hot och faktorer.

   Stort urval av material på Check Point från TS Solution. Håll utkik (Telegram, Facebook, VK, TS Lösningsblogg, Yandex.Zen).

Källa: will.com