4.面向小型企业的下一代防火墙。 VPN

我们继续撰写有关小型企业 NGFW 的系列文章，让我提醒您，我们正在审查新的 1500 系列型号范围。 在 1部分 在循环中，我提到了购买 SMB 设备时最有用的选项之一 - 提供带有内置移动访问许可证的网关（100 到 200 个用户，具体取决于型号）。 在本文中，我们将着眼于为预装 Gaia 1500 Embedded 的 80.20 系列网关设置 VPN。 总结如下：

1. 适用于中小企业的 VPN 功能。
2. 小型办公室的远程访问组织。
3. 可供连接的客户端。

1. 中小企业 VPN 选项

为了准备今天的材料，官方 管理指南 版本 R80.20.05（本文发布时当前版本）。 因此，就采用 Gaia 80.20 嵌入式的 VPN 而言，支持：

1. 站点到站点。 在您的办公室之间创建 VPN 隧道，用户可以像在同一“本地”网络上一样工作。

   

2. 远程访问。 使用用户终端设备（PC、手机等）远程连接您的办公资源。 此外，还有一个 SSL 网络扩展器，它允许您发布单独的应用程序并使用 Java Applet 运行它们，通过 SSL 连接。 注： 不要与移动访问门户混淆（不支持 Gaia Embedded）。
   
   

另外 我强烈推荐作者的课程TS Solution - Check Point 远程访问 VPN 它揭示了有关 VPN 的 Check Point 技术、涉及许可问题并包含详细的设置说明。

2.小​​型办公室的远程访问

我们将开始组织与您办公室的远程连接：

1. 为了让用户与网关建立VPN隧道，您需要有一个公共IP地址。 如果您已经完成初始设置（2文章 从循环），然后，通常，外部链接已经处于活动状态。 可以通过Gaia Portal找到信息： 设备 → 网络 → 互联网

   
   

   如果您的公司使用动态公共IP地址，那么您可以设置动态DNS。 去 设备 → DDNS 和设备访问

   
   

   目前有两个提供商提供支持：DynDns 和 no-ip.com。 要激活该选项，您需要输入您的凭据（登录名、密码）。

2. 接下来，让我们创建一个用户帐户，它将有助于测试设置： VPN → 远程访问 → 远程访问用户

   
   

   在组中（例如：remoteaccess），我们将按照屏幕截图中的说明创建一个用户。 设置帐户是标准操作，设置登录名和密码，并另外启用远程访问权限选项。

   
   

   如果您已成功应用设置，则会出现两个对象：本地用户、本地用户组。

   

3. 下一步是去 VPN → 远程访问 → 刀片控制。 确保您的刀片已打开并且允许来自远程用户的流量。

   

4. *以上是设置远程访问的最少步骤。 但在测试连接之前，让我们通过转到选项卡来探索高级设置 VPN → 远程访问 → 高级

   
   

   根据当前设置，我们看到，当远程用户连接时，由于办公模式选项，他们将从网络 172.16.11.0/24 收到 IP 地址。 这足够预留使用 200 个竞争性许可证（针对 1590 个 NGFW 检查点）。

   选项 “通过此网关路由来自连接的客户端的互联网流量” 是可选的，负责通过网关路由来自远程用户的所有流量（包括 Internet 连接）。 这使您可以检查用户的流量并保护他的工作站免受各种威胁和恶意软件的侵害。

5. *使用远程访问的访问策略

   配置远程访问后，会在防火墙级别创建自动访问规则，要查看它，您需要转到选项卡： 访问策略→防火墙→策略

   
   

   在这种情况下，作为先前创建的组成员的远程用户将能够访问公司的所有内部资源；请注意，该规则位于常规部分 “传入、内部和 VPN 流量”。 为了允许 VPN 用户流量访问 Internet，您需要在常规部分“创建单独的规则”对 Internet 的传出访问“。

6. 最后，我们只需要确保用户能够成功创建到我们的NGFW网关的VPN隧道并获得对公司内部资源的访问权限。 为此，您需要在被测试的主机上安装VPN客户端，提供了帮助 链接 用于装载。 安装后，您需要执行添加新站点的标准程序（指示网关的公共 IP 地址）。 为了方便起见，流程以GIF形式呈现

   
   
   当连接已经建立后，让我们使用 CMD 中的命令检查主机上接收到的 IP 地址： IPCONFIG

   
   

   我们确保虚拟网络适配器从 NGFW 的办公模式接收到 IP 地址，数据包已成功发送。 为了完成，我们可以去Gaia Portal： VPN → 远程访问 → 连接的远程用户

   
   

   用户“ntuser”显示为已连接，让我们通过以下方式检查事件日志记录 日志和监控 → 安全日志

   
   

   使用 IP 地址作为源记录连接：172.16.10.1 - 这是我们的用户通过办公模式收到的地址。

   3. 支持远程访问的客户端

   在我们回顾了使用 SMB 系列的 NGFW Check Point 建立与您办公室的远程连接的过程之后，我想写一下对各种设备的客户端支持：

   • 适用于 Windows/Mac 操作系统的端点 VPN
   • 移动客户端（Android / IOS)
   • L2TP Native Client（Check Point 声称支持 Microsoft 的本机 VPN 应用程序）。

   各种受支持的操作系统和设备将使您能够充分利用 NGFW 附带的许可证。 为了配置单独的设备，有一个方便的选项 “如何连接”

   

   它会根据您的设置自动生成步骤，这将允许管理员毫无问题地安装新客户端。

   结论： 为了总结本文，我们研究了 NGFW Check Point SMB 系列的 VPN 功能。 接下来，我们描述了在用户远程连接到办公室的情况下设置远程访问的步骤，然后研究了监控工具。 在文章末尾，我们讨论了远程访问的可用客户端和连接选项。 因此，尽管存在各种外部威胁和因素，您的分支机构将能够使用 VPN 技术确保员工工作的连续性和安全性。

   Check Point 上有来自 TS Solution 的大量精选材料。 敬请关注 （Telegram, Facebook, VK, TS 解决方案博客, Yandeks.Dzen).

来源： habr.com