4. NGFW kwa biashara ndogo ndogo. VPN

Tunaendelea na mfululizo wetu wa makala kuhusu NGFW kwa biashara ndogo ndogo, wacha nikukumbushe kwamba tunakagua safu mpya ya mfululizo wa 1500. KATIKA Sehemu 1 mzunguko, nilitaja moja ya chaguo muhimu zaidi wakati wa kununua kifaa cha SMB - ugavi wa lango na leseni za Upatikanaji wa Simu ya Mkono (kutoka kwa watumiaji 100 hadi 200, kulingana na mfano). Katika nakala hii tutaangalia kusanidi VPN kwa lango la safu 1500 zinazokuja na Gaia 80.20 Iliyopachikwa iliyosakinishwa mapema. Huu hapa ni muhtasari:

1. Uwezo wa VPN kwa SMB.
2. Shirika la Ufikiaji wa Mbali kwa ofisi ndogo.
3. Wateja wanaopatikana kwa unganisho.

1. Chaguo za VPN kwa SMB

Ili kuandaa nyenzo za leo, afisa mwongozo wa admin toleo la R80.20.05 (sasa wakati wa kuchapishwa kwa makala). Ipasavyo, kwa suala la VPN na Gaia 80.20 Iliyopachikwa kuna msaada kwa:

1. Tovuti-To-Site. Kuunda vichuguu vya VPN kati ya ofisi zako, ambapo watumiaji wanaweza kufanya kazi kana kwamba wako kwenye mtandao mmoja wa "ndani".

   

2. Ufikiaji wa Mbali. Muunganisho wa mbali kwa rasilimali za ofisi yako kwa kutumia vifaa vya mwisho vya watumiaji (Kompyuta, simu za rununu, n.k.). Zaidi ya hayo, kuna SSL Network Extender, inakuwezesha kuchapisha programu za kibinafsi na kuziendesha kwa kutumia Java Applet, kuunganisha kupitia SSL. Kumbuka: isichanganywe na Tovuti ya Ufikiaji wa Simu ya Mkononi (hakuna usaidizi wa Gaia Iliyopachikwa).
   
   

kuongeza Ninapendekeza sana kozi ya mwandishi TS Solution - Angalia VPN ya Ufikiaji wa Mbali inafichua teknolojia za Check Point kuhusu VPN, inagusa masuala ya leseni na ina maagizo ya kina ya usanidi.

2. Ufikiaji wa Mbali kwa ofisi ndogo

Tutaanza kupanga muunganisho wa mbali kwa ofisi yako:

1. Ili watumiaji wajenge handaki ya VPN yenye lango, unahitaji kuwa na anwani ya IP ya umma. Ikiwa tayari umekamilisha usanidi wa awali (2 makala kutoka kwa mzunguko), basi, kama sheria, Kiungo cha Nje tayari kinatumika. Habari inaweza kupatikana kwa kwenda kwa Gaia Portal: Kifaa → Mtandao → Mtandao

   
   

   Ikiwa kampuni yako inatumia anwani ya IP ya umma inayobadilika, basi unaweza kuweka Dynamic DNS. Enda kwa Kifaa → DDNS & Ufikiaji wa Kifaa

   
   

   Kwa sasa kuna usaidizi kutoka kwa watoa huduma wawili: DynDns na no-ip.com. Ili kuamsha chaguo unahitaji kuingiza hati zako (kuingia, nenosiri).

2. Ifuatayo, wacha tuunde akaunti ya mtumiaji, itakuwa muhimu kwa kujaribu mipangilio: VPN → Ufikiaji wa Mbali → Watumiaji wa Ufikiaji wa Mbali

   
   

   Katika kikundi (kwa mfano: ufikiaji wa mbali) tutaunda mtumiaji kufuata maagizo kwenye skrini. Kuanzisha akaunti ni kawaida, weka kuingia na nenosiri, na kwa kuongeza uwashe chaguo la ruhusa za Ufikiaji wa Mbali.

   
   

   Ikiwa umetumia mipangilio kwa ufanisi, vitu viwili vinapaswa kuonekana: mtumiaji wa ndani, kikundi cha ndani cha watumiaji.

   

3. Hatua inayofuata ni kwenda VPN → Ufikiaji wa Mbali → Udhibiti wa Blade. Hakikisha blade yako imewashwa na trafiki kutoka kwa watumiaji wa mbali inaruhusiwa.

   

4. *Iliyo hapo juu ilikuwa seti ya chini ya hatua za kusanidi Ufikiaji wa Mbali. Lakini kabla ya kupima uunganisho, hebu tuchunguze mipangilio ya juu kwa kwenda kwenye kichupo VPN → Ufikiaji wa Mbali → Kina

   
   

   Kulingana na mipangilio ya sasa, tunaona kwamba wakati watumiaji wa mbali wanaunganisha, watapokea anwani ya IP kutoka kwa mtandao 172.16.11.0/24, shukrani kwa chaguo la Hali ya Ofisi. Hii inatosha na hifadhi ya kutumia leseni 200 za ushindani (zilizoonyeshwa kwa 1590 NGFW Check Point).

   Chaguo "Njia ya trafiki ya mtandao kutoka kwa wateja waliounganishwa kupitia lango hili" ni ya hiari na inawajibika kuelekeza trafiki yote kutoka kwa mtumiaji wa mbali kupitia lango (pamoja na miunganisho ya Mtandao). Hii hukuruhusu kukagua trafiki ya mtumiaji na kulinda kituo chake cha kazi kutokana na vitisho na programu hasidi.

5. *Kufanya kazi na sera za ufikiaji za Ufikiaji wa Mbali

   Baada ya kusanidi Ufikiaji wa Mbali, sheria ya ufikiaji otomatiki iliundwa katika kiwango cha Firewall, ili kuiona unahitaji kwenda kwenye kichupo: Sera ya Ufikiaji → Ngome → Sera

   
   

   Katika kesi hii, watumiaji wa mbali ambao ni washiriki wa kikundi kilichoundwa hapo awali wataweza kupata rasilimali zote za ndani za kampuni; kumbuka kuwa sheria iko katika sehemu ya jumla. "Trafiki zinazoingia, za ndani na za VPN". Ili kuruhusu trafiki ya watumiaji wa VPN kwenye Mtandao, utahitaji kuunda sheria tofauti katika sehemu ya jumla "Ufikiaji unaotoka kwa Mtandao".

6. Hatimaye, tunahitaji tu kuhakikisha kwamba mtumiaji anaweza kuunda handaki ya VPN kwa ufanisi kwenye lango letu la NGFW na kupata ufikiaji wa rasilimali za ndani za kampuni. Ili kufanya hivyo, unahitaji kufunga mteja wa VPN kwenye mwenyeji anayejaribiwa, msaada hutolewa kiungo Kwa upakiaji. Baada ya usakinishaji, utahitaji kutekeleza utaratibu wa kawaida wa kuongeza tovuti mpya (onyesha anwani ya IP ya umma ya lango lako). Kwa urahisi, mchakato unawasilishwa kwa fomu ya GIF

   
   
   Wakati unganisho tayari umeanzishwa, hebu tuangalie anwani ya IP iliyopokelewa kwenye mashine ya mwenyeji kwa kutumia amri katika CMD: ipconfig

   
   

   Tulihakikisha kuwa adapta ya mtandao pepe ilipokea anwani ya IP kutoka kwa Hali ya Ofisi ya NGFW yetu, pakiti zilitumwa kwa ufanisi. Kukamilisha, tunaweza kwenda kwa Gaia Portal: VPN → Ufikiaji wa Mbali → Watumiaji Waliounganishwa wa Mbali

   
   

   Mtumiaji "ntuser" anaonyeshwa kama ameunganishwa, hebu tuangalie uwekaji kumbukumbu wa tukio kwa kwenda Kumbukumbu na Ufuatiliaji → Kumbukumbu za Usalama

   
   

   Muunganisho umewekwa kwa kutumia anwani ya IP kama chanzo: 172.16.10.1 - hii ndiyo anwani iliyopokelewa na mtumiaji wetu kupitia Hali ya Ofisi.

   3. Wateja wanaoungwa mkono kwa Ufikiaji wa Mbali

   Baada ya kukagua utaratibu wa kusanidi muunganisho wa mbali kwa ofisi yako kwa kutumia NGFW Check Point ya familia ya SMB, ningependa kuandika kuhusu usaidizi wa mteja kwa vifaa mbalimbali:

   • Endpoint VPN kwa Windows/Mac OS
   • Mteja wa Simu (Android / IOs)
   • Mteja Asilia wa L2TP (Angalia Madai ya Usaidizi kwa programu asili ya VPN ya Microsoft).

   Aina mbalimbali za mifumo ya uendeshaji na vifaa vinavyotumika vitakuruhusu kutumia kikamilifu leseni yako inayokuja na NGFW. Ili kusanidi kifaa tofauti kuna chaguo rahisi "Jinsi ya kuunganisha"

   

   Inazalisha hatua moja kwa moja kulingana na mipangilio yako, ambayo itawawezesha wasimamizi kusakinisha wateja wapya bila matatizo yoyote.

   Hitimisho: Kwa muhtasari wa nakala hii, tuliangalia uwezo wa VPN wa familia ya NGFW Check Point SMB. Ifuatayo, tulielezea hatua za kuanzisha Ufikiaji wa Mbali, katika kesi ya uunganisho wa kijijini wa watumiaji kwenye ofisi, na kisha kujifunza zana za ufuatiliaji. Mwishoni mwa kifungu tulizungumza juu ya wateja wanaopatikana na chaguzi za uunganisho kwa Ufikiaji wa Mbali. Kwa hivyo, ofisi yako ya tawi itaweza kuhakikisha mwendelezo na usalama wa kazi ya mfanyakazi kwa kutumia teknolojia za VPN, licha ya vitisho na sababu mbalimbali za nje.

   Uchaguzi mkubwa wa vifaa kwenye Check Point kutoka TS Solution. Kaa chonjo (telegram, Facebook, VK, TS Solution Blog, Yandex.Zen).

Chanzo: mapenzi.com