我們繼續撰寫有關小型企業 NGFW 的系列文章,讓我提醒您,我們正在審查新的 1500 系列型號範圍。 在
- 適用於中小企業的 VPN 功能。
- 小型辦公室的遠端存取組織。
- 可供連線的客戶端。
1. 中小企業 VPN 選項
為了準備今天的材料,官方
- 站點到站點。 在您的辦公室之間建立 VPN 隧道,使用者可以像在同一「本地」網路上一樣工作。
- 遠端存取。 使用用戶終端設備(PC、手機等)遠端連接您的辦公資源。 此外,還有一個 SSL 網路擴展器,它允許您發佈單獨的應用程式並使用 Java Applet 運行它們,透過 SSL 連接。 注: 不要與行動存取入口網站混淆(不支援 Gaia Embedded)。
另外 我強烈推薦作者的課程TS Solution -
2.小型辦公室的遠端訪問
我們將開始組織與您辦公室的遠端連線:
- 為了讓使用者與網關建立VPN隧道,您需要有一個公共IP位址。 如果您已經完成初始設定(
2 篇文章 從循環),然後,通常,外部連結已經處於活動狀態。 可以透過Gaia Portal找到資訊: 設備 → 網路 → 網路
如果您的公司使用動態公用IP位址,那麼您可以設定動態DNS。 去 設備 → DDNS 和裝置訪問
目前有兩個提供者提供支援:DynDns 和 no-ip.com。 要啟動該選項,您需要輸入您的憑證(登入名稱、密碼)。
- 接下來,讓我們建立一個使用者帳戶,它將有助於測試設定: VPN → 遠端存取 → 遠端存取用戶
在群組中(例如:remoteaccess),我們將按照螢幕截圖中的說明建立一個使用者。 設定帳戶是標準操作,設定登入名稱和密碼,並另外啟用遠端存取權限選項。
如果您已成功套用設定,則會出現兩個物件:本機使用者、本機使用者群組。
- 下一步是去 VPN → 遠端存取 → 刀片控制。 確保您的刀片已開啟並且允許來自遠端使用者的流量。
- *以上是設定遠端存取的最少步驟。 但在測試連接之前,讓我們透過前往選項卡來探索高級設置 VPN → 遠端存取 → 進階
根據當前設置,我們看到,當遠端用戶連接時,由於辦公室模式選項,他們將從網路 172.16.11.0/24 收到 IP 位址。 這足以預留使用 200 個競爭性許可證(針對 1590 個 NGFW 檢查點)。
選項 “透過此網關路由來自連線的客戶端的網際網路流量” 是可選的,負責透過網關路由來自遠端使用者的所有流量(包括 Internet 連線)。 這使您可以檢查用戶的流量並保護他的工作站免受各種威脅和惡意軟體的侵害。
- *使用遠端存取的存取策略
配置遠端存取後,會在防火牆層級建立自動存取規則,要查看它,您需要轉到選項卡: 存取策略→防火牆→策略
在這種情況下,作為先前建立的群組成員的遠端使用者將能夠存取公司的所有內部資源;請注意,該規則位於常規部分 “傳入、內部和 VPN 流量”。 為了允許 VPN 用戶流量存取 Internet,您需要在常規部分“建立單獨的規則”對 Internet 的傳出訪問“。
-
最後,我們只需要確保使用者能夠成功建立到我們的NGFW網關的VPN隧道並獲得對公司內部資源的存取權。 為此,您需要在被測試的主機上安裝VPN用戶端,並提供了幫助
鏈接 用於裝載。 安裝後,您需要執行新增網站的標準程序(指示網關的公用 IP 位址)。 為了方便起見,流程以GIF形式呈現
當連線已經建立後,讓我們使用 CMD 中的命令檢查主機上接收到的 IP 位址: IPCONFIG
我們確保虛擬網路介面卡從 NGFW 的辦公室模式接收到 IP 位址,封包已成功傳送。 為了完成,我們可以去Gaia Portal: VPN → 遠端存取 → 連線的遠端用戶
使用者“ntuser”顯示為已連接,讓我們透過以下方式檢查事件日誌記錄 日誌與監控 → 安全性日誌
使用 IP 位址作為來源記錄連線:172.16.10.1 - 這是我們的使用者透過辦公室模式收到的位址。
3. 支援遠端存取的客戶端
在我們回顧了使用 SMB 系列的 NGFW Check Point 建立與您辦公室的遠端連線的過程之後,我想寫一下對各種裝置的用戶端支援:
適用於 Windows/Mac 作業系統的端點 VPN - 行動客戶端(
Android /IOS ) - L2TP Native Client(Check Point 聲稱支援 Microsoft 的本機 VPN 應用程式)。
各種受支援的作業系統和設備將使您能夠充分利用 NGFW 附帶的許可證。 為了配置單獨的設備,有一個方便的選項 “如何連接”
它會根據您的設定自動產生步驟,這將允許管理員毫無問題地安裝新客戶端。
結論: 為了總結本文,我們研究了 NGFW Check Point SMB 系列的 VPN 功能。 接下來,我們描述了在使用者遠端連接到辦公室的情況下設定遠端存取的步驟,然後研究了監控工具。 在文章末尾,我們討論了遠端存取的可用用戶端和連線選項。 因此,儘管存在各種外部威脅和因素,您的分公司將能夠使用 VPN 技術確保員工工作的連續性和安全性。
Check Point 上有來自 TS Solution 的大量精選材料 。 敬請關注 (Telegram ,Facebook ,VK ,TS 解決方案博客 ,Yandex Zen ).
來源: www.habr.com