Ipinagpapatuloy namin ang aming serye ng mga artikulo tungkol sa NGFW para sa maliliit na negosyo, hayaan mong ipaalala ko sa iyo na sinusuri namin ang bagong hanay ng modelo ng serye ng 1500. SA cycle, binanggit ko ang isa sa mga pinaka-kapaki-pakinabang na opsyon kapag bumibili ng SMB device - ang supply ng mga gateway na may built-in na mga lisensya sa Mobile Access (mula 100 hanggang 200 user, depende sa modelo). Sa artikulong ito, titingnan natin ang pag-set up ng VPN para sa 1500 series na gateway na kasama ng Gaia 80.20 Embedded pre-installed. Narito ang isang buod:
- Mga kakayahan ng VPN para sa SMB.
- Organisasyon ng Remote Access para sa isang maliit na opisina.
- Magagamit na mga kliyente para sa koneksyon.
1. Mga opsyon sa VPN para sa SMB
Upang maihanda ang materyal ngayon, ang opisyal bersyon R80.20.05 (kasalukuyan sa oras ng paglalathala ng artikulo). Alinsunod dito, sa mga tuntunin ng VPN na may Gaia 80.20 Naka-embed mayroong suporta para sa:
- Site-To-Site. Paglikha ng mga tunnel ng VPN sa pagitan ng iyong mga opisina, kung saan maaaring magtrabaho ang mga user na parang nasa parehong "lokal" na network.
- Malayong Pag-access. Malayong koneksyon sa iyong mga mapagkukunan ng opisina gamit ang mga end device ng user (mga PC, mobile phone, atbp.). Bilang karagdagan, mayroong isang SSL Network Extender, pinapayagan ka nitong mag-publish ng mga indibidwal na aplikasyon at patakbuhin ang mga ito gamit ang Java Applet, na kumukonekta sa pamamagitan ng SSL. Tandaan: hindi malito sa Mobile Access Portal (walang suporta para sa Gaia Embedded).
Bukod pa rito Lubos kong inirerekomenda ang kurso ng may-akda TS Solution - inilalantad nito ang mga teknolohiya ng Check Point patungkol sa VPN, humipo sa mga isyu sa paglilisensya at naglalaman ng mga detalyadong tagubilin sa pag-setup.
2. Remote Access para sa maliit na opisina
Magsisimula kaming mag-organisa ng malayong koneksyon sa iyong opisina:
- Upang makabuo ang mga user ng VPN tunnel na may gateway, kailangan mong magkaroon ng pampublikong IP address. Kung nakumpleto mo na ang paunang pag-setup ( mula sa cycle), kung gayon, bilang panuntunan, ang External Link ay aktibo na. Mahahanap ang impormasyon sa pamamagitan ng pagpunta sa Gaia Portal: Device β Network β Internet
Kung gumagamit ang iyong kumpanya ng isang dynamic na pampublikong IP address, maaari mong itakda ang Dynamic na DNS. Pumunta sa Device β DDNS at Access sa Device
Sa kasalukuyan ay mayroong suporta mula sa dalawang provider: DynDns at no-ip.com. Upang maisaaktibo ang opsyon na kailangan mong ipasok ang iyong mga kredensyal (pag-login, password).
- Susunod, gumawa tayo ng isang user account, ito ay magiging kapaki-pakinabang para sa pagsubok ng mga setting: VPN β Remote Access β Mga User ng Remote Access
Sa grupo (halimbawa: remoteaccess) gagawa kami ng user na sumusunod sa mga tagubilin sa screenshot. Ang pag-set up ng isang account ay karaniwan, magtakda ng login at password, at bukod pa rito, paganahin ang opsyon sa Remote Access na mga pahintulot.
Kung matagumpay mong nailapat ang mga setting, dapat lumitaw ang dalawang bagay: isang lokal na user, isang lokal na grupo ng mga user.
- Ang susunod na hakbang ay pumunta sa VPN β Remote Access β Blade Control. Tiyaking naka-on ang iyong blade at pinapayagan ang trapiko mula sa mga malalayong user.
- *Ang nasa itaas ay ang pinakamababang hanay ng mga hakbang upang i-set up ang Remote Access. Ngunit bago natin subukan ang koneksyon, tuklasin natin ang mga advanced na setting sa pamamagitan ng pagpunta sa tab VPN β Remote Access β Advanced
Batay sa kasalukuyang mga setting, nakikita namin na kapag kumonekta ang mga malalayong user, makakatanggap sila ng IP address mula sa network na 172.16.11.0/24, salamat sa opsyon na Office Mode. Ito ay sapat na sa isang reserba upang gumamit ng 200 mapagkumpitensyang lisensya (ipinahiwatig para sa 1590 NGFW Check Point).
Pagpipilian "Iruta ang trapiko sa Internet mula sa mga konektadong kliyente sa pamamagitan ng gateway na ito" ay opsyonal at responsable para sa pagruruta ng lahat ng trapiko mula sa malayong user sa pamamagitan ng gateway (kabilang ang mga koneksyon sa Internet). Nagbibigay-daan ito sa iyong suriin ang trapiko ng user at protektahan ang kanyang workstation mula sa iba't ibang banta at malware.
- *Paggawa gamit ang mga patakaran sa pag-access para sa Remote Access
Pagkatapos naming i-configure ang Remote Access, isang awtomatikong panuntunan sa pag-access ang ginawa sa antas ng Firewall, upang tingnan ito kailangan mong pumunta sa tab: Patakaran sa Pag-access β Firewall β Patakaran
Sa kasong ito, maa-access ng mga malalayong user na miyembro ng isang dating ginawang grupo ang lahat ng panloob na mapagkukunan ng kumpanya; tandaan na ang panuntunan ay matatagpuan sa pangkalahatang seksyon βPapasok, Panloob at trapiko ng VPNβ. Upang payagan ang trapiko ng gumagamit ng VPN sa Internet, kakailanganin mong lumikha ng isang hiwalay na panuntunan sa pangkalahatang seksyon "Papalabas na access sa Internet".
-
Sa wakas, kailangan lang naming tiyakin na ang user ay matagumpay na makakagawa ng VPN tunnel sa aming NGFW gateway at makakuha ng access sa mga panloob na mapagkukunan ng kumpanya. Upang gawin ito, kailangan mong mag-install ng isang VPN client sa host na sinusuri, nagbibigay ng tulong Para sa paglo-load. Pagkatapos ng pag-install, kakailanganin mong isagawa ang karaniwang pamamaraan para sa pagdaragdag ng bagong site (ipahiwatig ang pampublikong IP address ng iyong gateway). Para sa kaginhawahan, ang proseso ay ipinakita sa GIF form
Kapag naitatag na ang koneksyon, suriin natin ang natanggap na IP address sa host machine gamit ang command sa CMD: ipconfig
Tiniyak namin na ang virtual network adapter ay nakatanggap ng IP address mula sa Office Mode ng aming NGFW, matagumpay na naipadala ang mga packet. Upang makumpleto, maaari tayong pumunta sa Gaia Portal: VPN β Remote Access β Mga Nakakonektang Remote na User
Ang user na "ntuser" ay ipinapakita bilang konektado, tingnan natin ang pag-log ng kaganapan sa pamamagitan ng pagpunta sa Mga Log at Pagsubaybay β Mga Log ng Seguridad
Ang koneksyon ay naka-log gamit ang IP address bilang pinagmulan: 172.16.10.1 - ito ang address na natanggap ng aming user sa pamamagitan ng Office Mode.
3. Mga suportadong kliyente para sa Remote Access
Pagkatapos naming suriin ang pamamaraan para sa pag-set up ng malayuang koneksyon sa iyong opisina gamit ang NGFW Check Point ng pamilya ng SMB, gusto kong magsulat tungkol sa suporta ng kliyente para sa iba't ibang device:
- Mobile Client ( / )
- L2TP Native Client (Nag-claim ang Check Point ng suporta para sa native VPN app ng Microsoft).
Ang iba't ibang mga sinusuportahang operating system at device ay magbibigay-daan sa iyong lubos na mapakinabangan ang iyong lisensya na kasama ng NGFW. Upang i-configure ang isang hiwalay na aparato mayroong isang maginhawang pagpipilian "Paano kumonekta"
Awtomatiko itong bumubuo ng mga hakbang ayon sa iyong mga setting, na magbibigay-daan sa mga administrator na mag-install ng mga bagong kliyente nang walang anumang problema.
Konklusyon: Upang ibuod ang artikulong ito, tiningnan namin ang mga kakayahan ng VPN ng pamilya ng NGFW Check Point SMB. Susunod, inilarawan namin ang mga hakbang para sa pag-set up ng Remote Access, sa kaso ng malayuang koneksyon ng mga user sa opisina, at pagkatapos ay pinag-aralan ang mga tool sa pagsubaybay. Sa dulo ng artikulo, pinag-usapan namin ang tungkol sa mga available na kliyente at mga opsyon sa koneksyon para sa Remote Access. Sa gayon, masisiguro ng iyong sangay na tanggapan ang pagpapatuloy at seguridad ng trabaho ng empleyado gamit ang mga teknolohiya ng VPN, sa kabila ng iba't ibang panlabas na banta at salik.
. Manatiling nakatutok (, , , , ).
Pinagmulan: www.habr.com