4.面向小型企業的下一代防火牆。 VPN

我們繼續撰寫有關小型企業 NGFW 的系列文章，讓我提醒您，我們正在審查新的 1500 系列型號範圍。 在 1零件 在循環中，我提到了購買 SMB 設備時最有用的選項之一 - 提供帶有內建行動存取許可證的網關（100 到 200 個用戶，具體取決於型號）。 在本文中，我們將著眼於為預先安裝 Gaia 1500 Embedded 的 80.20 系列閘道設定 VPN。 總結如下：

1. 適用於中小企業的 VPN 功能。
2. 小型辦公室的遠端存取組織。
3. 可供連線的客戶端。

1. 中小企業 VPN 選項

為了準備今天的材料，官方 管理指南 版本 R80.20.05（本文發佈時目前版本）。 因此，就採用 Gaia 80.20 嵌入式的 VPN 而言，支援：

1. 站點到站點。 在您的辦公室之間建立 VPN 隧道，使用者可以像在同一「本地」網路上一樣工作。

   

2. 遠端存取。 使用用戶終端設備（PC、手機等）遠端連接您的辦公資源。 此外，還有一個 SSL 網路擴展器，它允許您發佈單獨的應用程式並使用 Java Applet 運行它們，透過 SSL 連接。 注： 不要與行動存取入口網站混淆（不支援 Gaia Embedded）。
   
   

另外 我強烈推薦作者的課程TS Solution - Check Point 遠程訪問 VPN 它揭示了有關 VPN 的 Check Point 技術、涉及許可問題並包含詳細的設定說明。

2.小​​型辦公室的遠端訪問

我們將開始組織與您辦公室的遠端連線：

1. 為了讓使用者與網關建立VPN隧道，您需要有一個公共IP位址。 如果您已經完成初始設定（2 篇文章 從循環），然後，通常，外部連結已經處於活動狀態。 可以透過Gaia Portal找到資訊： 設備 → 網路 → 網路

   
   

   如果您的公司使用動態公用IP位址，那麼您可以設定動態DNS。 去 設備 → DDNS 和裝置訪問

   
   

   目前有兩個提供者提供支援：DynDns 和 no-ip.com。 要啟動該選項，您需要輸入您的憑證（登入名稱、密碼）。

2. 接下來，讓我們建立一個使用者帳戶，它將有助於測試設定： VPN → 遠端存取 → 遠端存取用戶

   
   

   在群組中（例如：remoteaccess），我們將按照螢幕截圖中的說明建立一個使用者。 設定帳戶是標準操作，設定登入名稱和密碼，並另外啟用遠端存取權限選項。

   
   

   如果您已成功套用設定，則會出現兩個物件：本機使用者、本機使用者群組。

   

3. 下一步是去 VPN → 遠端存取 → 刀片控制。 確保您的刀片已開啟並且允許來自遠端使用者的流量。

   

4. *以上是設定遠端存取的最少步驟。 但在測試連接之前，讓我們透過前往選項卡來探索高級設置 VPN → 遠端存取 → 進階

   
   

   根據當前設置，我們看到，當遠端用戶連接時，由於辦公室模式選項，他們將從網路 172.16.11.0/24 收到 IP 位址。 這足以預留使用 200 個競爭性許可證（針對 1590 個 NGFW 檢查點）。

   選項 “透過此網關路由來自連線的客戶端的網際網路流量” 是可選的，負責透過網關路由來自遠端使用者的所有流量（包括 Internet 連線）。 這使您可以檢查用戶的流量並保護他的工作站免受各種威脅和惡意軟體的侵害。

5. *使用遠端存取的存取策略

   配置遠端存取後，會在防火牆層級建立自動存取規則，要查看它，您需要轉到選項卡： 存取策略→防火牆→策略

   
   

   在這種情況下，作為先前建立的群組成員的遠端使用者將能夠存取公司的所有內部資源；請注意，該規則位於常規部分 “傳入、內部和 VPN 流量”。 為了允許 VPN 用戶流量存取 Internet，您需要在常規部分“建立單獨的規則”對 Internet 的傳出訪問“。

6. 最後，我們只需要確保使用者能夠成功建立到我們的NGFW網關的VPN隧道並獲得對公司內部資源的存取權。 為此，您需要在被測試的主機上安裝VPN用戶端，並提供了幫助 鏈接 用於裝載。 安裝後，您需要執行新增網站的標準程序（指示網關的公用 IP 位址）。 為了方便起見，流程以GIF形式呈現

   
   
   當連線已經建立後，讓我們使用 CMD 中的命令檢查主機上接收到的 IP 位址： IPCONFIG

   
   

   我們確保虛擬網路介面卡從 NGFW 的辦公室模式接收到 IP 位址，封包已成功傳送。 為了完成，我們可以去Gaia Portal： VPN → 遠端存取 → 連線的遠端用戶

   
   

   使用者“ntuser”顯示為已連接，讓我們透過以下方式檢查事件日誌記錄 日誌與監控 → 安全性日誌

   
   

   使用 IP 位址作為來源記錄連線：172.16.10.1 - 這是我們的使用者透過辦公室模式收到的位址。

   3. 支援遠端存取的客戶端

   在我們回顧了使用 SMB 系列的 NGFW Check Point 建立與您辦公室的遠端連線的過程之後，我想寫一下對各種裝置的用戶端支援：

   • 適用於 Windows/Mac 作業系統的端點 VPN
   • 行動客戶端（Android / IOS)
   • L2TP Native Client（Check Point 聲稱支援 Microsoft 的本機 VPN 應用程式）。

   各種受支援的作業系統和設備將使您能夠充分利用 NGFW 附帶的許可證。 為了配置單獨的設備，有一個方便的選項 “如何連接”

   

   它會根據您的設定自動產生步驟，這將允許管理員毫無問題地安裝新客戶端。

   結論： 為了總結本文，我們研究了 NGFW Check Point SMB 系列的 VPN 功能。 接下來，我們描述了在使用者遠端連接到辦公室的情況下設定遠端存取的步驟，然後研究了監控工具。 在文章末尾，我們討論了遠端存取的可用用戶端和連線選項。 因此，儘管存在各種外部威脅和因素，您的分公司將能夠使用 VPN 技術確保員工工作的連續性和安全性。

   Check Point 上有來自 TS Solution 的大量精選材料。 敬請關注 （Telegram, Facebook, VK, TS 解決方案博客, Yandex Zen).

來源： www.habr.com