เรายังคงบทความเกี่ยวกับ NGFW สำหรับธุรกิจขนาดเล็กต่อไป ฉันขอเตือนคุณว่าเรากำลังตรวจสอบกลุ่มผลิตภัณฑ์รุ่น 1500 ซีรี่ส์ใหม่ ใน วงจรฉันได้กล่าวถึงหนึ่งในตัวเลือกที่มีประโยชน์ที่สุดเมื่อซื้ออุปกรณ์ SMB - การจัดหาเกตเวย์ที่มีใบอนุญาตการเข้าถึงมือถือในตัว (ผู้ใช้ 100 ถึง 200 คนขึ้นอยู่กับรุ่น) ในบทความนี้ เราจะดูการตั้งค่า VPN สำหรับเกตเวย์ 1500 series ที่มาพร้อมกับ Gaia 80.20 Embedded ที่ติดตั้งไว้ล่วงหน้า นี่เป็นบทสรุป:
- ความสามารถ VPN สำหรับ SMB
- องค์กรการเข้าถึงระยะไกลสำหรับสำนักงานขนาดเล็ก
- ลูกค้าที่พร้อมใช้งานสำหรับการเชื่อมต่อ
1. ตัวเลือก VPN สำหรับ SMB
เพื่อเป็นการจัดเตรียมเอกสารของทางการในวันนี้ เวอร์ชัน R80.20.05 (ปัจจุบัน ณ เวลาที่เผยแพร่บทความ) ดังนั้น ในแง่ของ VPN พร้อม Gaia 80.20 Embedded มีการรองรับสำหรับ:
- ไซต์ต่อไซต์ การสร้างอุโมงค์ VPN ระหว่างสำนักงานของคุณ ซึ่งผู้ใช้สามารถทำงานราวกับว่าพวกเขาอยู่ในเครือข่าย “ท้องถิ่น” เดียวกัน
- การเข้าถึงระยะไกล การเชื่อมต่อระยะไกลไปยังทรัพยากรในสำนักงานของคุณโดยใช้อุปกรณ์ปลายทางของผู้ใช้ (พีซี โทรศัพท์มือถือ ฯลฯ) นอกจากนี้ยังมี SSL Network Extender ซึ่งช่วยให้คุณสามารถเผยแพร่แอปพลิเคชันแต่ละรายการและเรียกใช้โดยใช้ Java Applet ซึ่งเชื่อมต่อผ่าน SSL หมายเหตุ: อย่าสับสนกับ Mobile Access Portal (ไม่รองรับ Gaia Embedded)
นอกจากนี้ ฉันขอแนะนำหลักสูตร TS Solution ของผู้เขียน - โดยจะเปิดเผยเทคโนโลยี Check Point เกี่ยวกับ VPN กล่าวถึงปัญหาใบอนุญาตและมีคำแนะนำในการตั้งค่าโดยละเอียด
2. การเข้าถึงระยะไกลสำหรับสำนักงานขนาดเล็ก
เราจะเริ่มจัดการการเชื่อมต่อระยะไกลไปยังสำนักงานของคุณ:
- เพื่อให้ผู้ใช้สร้างอุโมงค์ VPN ด้วยเกตเวย์ คุณต้องมีที่อยู่ IP สาธารณะ หากคุณได้ตั้งค่าเริ่มต้นเรียบร้อยแล้ว ( จากวงจร) ตามกฎแล้ว ลิงก์ภายนอกจะเปิดใช้งานอยู่แล้ว สามารถดูข้อมูลได้โดยไปที่ Gaia Portal: อุปกรณ์ → เครือข่าย → อินเทอร์เน็ต
หากบริษัทของคุณใช้ที่อยู่ IP สาธารณะแบบไดนามิก คุณสามารถตั้งค่า DNS แบบไดนามิกได้ ไปที่ อุปกรณ์ → DDNS และการเข้าถึงอุปกรณ์
ขณะนี้มีการสนับสนุนจากผู้ให้บริการสองราย: DynDns และ no-ip.com เพื่อเปิดใช้งานตัวเลือกคุณจะต้องป้อนข้อมูลประจำตัวของคุณ (เข้าสู่ระบบ, รหัสผ่าน)
- ต่อไปเรามาสร้างบัญชีผู้ใช้ซึ่งจะมีประโยชน์สำหรับการทดสอบการตั้งค่า: VPN → การเข้าถึงระยะไกล → ผู้ใช้ที่เข้าถึงระยะไกล
ในกลุ่ม (เช่น: การเข้าถึงระยะไกล) เราจะสร้างผู้ใช้ตามคำแนะนำในภาพหน้าจอ การตั้งค่าบัญชีเป็นมาตรฐาน ตั้งค่าล็อกอินและรหัสผ่าน และเปิดใช้งานตัวเลือกสิทธิ์การเข้าถึงระยะไกลเพิ่มเติม
หากคุณใช้การตั้งค่าสำเร็จแล้ว วัตถุสองรายการควรปรากฏขึ้น: ผู้ใช้ภายในเครื่อง กลุ่มผู้ใช้ภายในเครื่อง
- ขั้นตอนต่อไปคือการไปที่ VPN → การเข้าถึงระยะไกล → การควบคุมเบลด ตรวจสอบให้แน่ใจว่าเบลดของคุณเปิดอยู่ และอนุญาตให้รับส่งข้อมูลจากผู้ใช้ระยะไกลได้
- *ข้างต้นคือชุดขั้นตอนขั้นต่ำในการตั้งค่าการเข้าถึงระยะไกล แต่ก่อนที่เราจะทดสอบการเชื่อมต่อ เรามาสำรวจการตั้งค่าขั้นสูงโดยไปที่แท็บก่อน VPN → การเข้าถึงระยะไกล → ขั้นสูง
จากการตั้งค่าปัจจุบัน เราพบว่าเมื่อผู้ใช้ระยะไกลเชื่อมต่อ พวกเขาจะได้รับที่อยู่ IP จากเครือข่าย 172.16.11.0/24 ด้วยตัวเลือกโหมดสำนักงาน เพียงพอสำหรับการสำรองเพื่อใช้ใบอนุญาตการแข่งขัน 200 ใบ (ระบุไว้สำหรับ 1590 NGFW Check Point)
ตัวเลือก "กำหนดเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตจากไคลเอนต์ที่เชื่อมต่อผ่านเกตเวย์นี้" เป็นทางเลือกและรับผิดชอบในการกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดจากผู้ใช้ระยะไกลผ่านเกตเวย์ (รวมถึงการเชื่อมต่ออินเทอร์เน็ต) ซึ่งช่วยให้คุณสามารถตรวจสอบการรับส่งข้อมูลของผู้ใช้และปกป้องเวิร์กสเตชันของเขาจากภัยคุกคามและมัลแวร์ต่างๆ
- *การทำงานกับนโยบายการเข้าถึงสำหรับการเข้าถึงระยะไกล
หลังจากที่เรากำหนดค่าการเข้าถึงระยะไกลแล้ว กฎการเข้าถึงอัตโนมัติจะถูกสร้างขึ้นที่ระดับไฟร์วอลล์ หากต้องการดูคุณต้องไปที่แท็บ: นโยบายการเข้าถึง → ไฟร์วอลล์ → นโยบาย
ในกรณีนี้ ผู้ใช้ระยะไกลที่เป็นสมาชิกของกลุ่มที่สร้างไว้ก่อนหน้านี้จะสามารถเข้าถึงทรัพยากรภายในทั้งหมดของบริษัทได้ โปรดทราบว่ากฎจะอยู่ในส่วนทั่วไป “การรับส่งข้อมูลขาเข้า ภายใน และ VPN”. ในการอนุญาตให้ผู้ใช้ VPN เข้าชมอินเทอร์เน็ต คุณจะต้องสร้างกฎแยกต่างหากในส่วนทั่วไป “การเข้าถึงอินเทอร์เน็ตขาออก"
-
สุดท้ายนี้ เราเพียงแค่ต้องแน่ใจว่าผู้ใช้สามารถสร้างอุโมงค์ VPN ไปยังเกตเวย์ NGFW ของเราและเข้าถึงทรัพยากรภายในของบริษัทได้สำเร็จ ในการดำเนินการนี้ คุณจะต้องติดตั้งไคลเอนต์ VPN บนโฮสต์ที่กำลังทดสอบ โดยมีการให้ความช่วยเหลือ สำหรับการโหลด หลังการติดตั้ง คุณจะต้องดำเนินการตามขั้นตอนมาตรฐานในการเพิ่มไซต์ใหม่ (ระบุที่อยู่ IP สาธารณะของเกตเวย์ของคุณ) เพื่อความสะดวก กระบวนการนี้จะแสดงในรูปแบบ GIF
เมื่อสร้างการเชื่อมต่อแล้ว ให้ตรวจสอบที่อยู่ IP ที่ได้รับบนเครื่องโฮสต์โดยใช้คำสั่งใน CMD: ipconfig
เราทำให้แน่ใจว่าอะแดปเตอร์เครือข่ายเสมือนได้รับที่อยู่ IP จากโหมด Office ของ NGFW ของเรา แพ็กเก็ตก็ถูกส่งสำเร็จ เพื่อให้เสร็จสมบูรณ์ เราสามารถไปที่ Gaia Portal: VPN → การเข้าถึงระยะไกล → ผู้ใช้ระยะไกลที่เชื่อมต่อ
ผู้ใช้ “ntuser” ปรากฏว่าเชื่อมต่อแล้ว มาตรวจสอบการบันทึกเหตุการณ์โดยไปที่ บันทึกและการตรวจสอบ → บันทึกความปลอดภัย
การเชื่อมต่อถูกบันทึกโดยใช้ที่อยู่ IP เป็นแหล่งที่มา: 172.16.10.1 - นี่คือที่อยู่ที่ผู้ใช้ของเราได้รับผ่านโหมด Office
3. ลูกค้าที่รองรับสำหรับการเข้าถึงระยะไกล
หลังจากที่เราได้ตรวจสอบขั้นตอนการตั้งค่าการเชื่อมต่อระยะไกลไปยังสำนักงานของคุณโดยใช้ NGFW Check Point ของกลุ่ม SMB แล้ว ฉันอยากจะเขียนเกี่ยวกับการสนับสนุนลูกค้าสำหรับอุปกรณ์ต่างๆ:
- ลูกค้ามือถือ ( / )
- L2TP Native Client (Check Point อ้างว่ารองรับแอป VPN ดั้งเดิมของ Microsoft)
ระบบปฏิบัติการและอุปกรณ์ที่รองรับที่หลากหลายจะช่วยให้คุณใช้ประโยชน์จากใบอนุญาตที่มาพร้อมกับ NGFW ได้อย่างเต็มที่ ในการกำหนดค่าอุปกรณ์แยกต่างหากจะมีตัวเลือกที่สะดวก “วิธีการเชื่อมต่อ”
มันสร้างขั้นตอนโดยอัตโนมัติตามการตั้งค่าของคุณ ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถติดตั้งไคลเอนต์ใหม่ได้โดยไม่มีปัญหาใด ๆ
สรุป: เพื่อสรุปบทความนี้ เราได้พิจารณาความสามารถของ VPN ของกลุ่มผลิตภัณฑ์ NGFW Check Point SMB ต่อไป เราได้อธิบายขั้นตอนในการตั้งค่าการเข้าถึงระยะไกล ในกรณีของการเชื่อมต่อระยะไกลของผู้ใช้กับสำนักงาน จากนั้นจึงศึกษาเครื่องมือการตรวจสอบ ในตอนท้ายของบทความ เราได้พูดคุยเกี่ยวกับไคลเอนต์ที่มีอยู่และตัวเลือกการเชื่อมต่อสำหรับการเข้าถึงระยะไกล ดังนั้น สำนักงานสาขาของคุณจะสามารถรับประกันความต่อเนื่องและความปลอดภัยของการทำงานของพนักงานโดยใช้เทคโนโลยี VPN แม้ว่าจะมีภัยคุกคามและปัจจัยภายนอกต่างๆ ก็ตาม
. คอยติดตาม (, , , , ).
ที่มา: will.com