Цикл статей: Континент 4.2 в инфраструктуре бизнеса: цикл статей с видеообзорами
Континент 4 + Check Point: защищённый канал, два варианта настройки
Введение
В корпоративной инфраструктуре довольно часто встречаются гибридные сценарии, когда в разных сегментах сети используются решения разных производителей.
Один из распространённых случаев — объединение площадки, работающей на Континент 4, с площадкой, защищаемой Check Point.
Оба вендора поддерживают IPsec и совместимы между собой при корректной настройке параметров шифрования и маршрутизации.
В этой статье мы разберём два основных варианта построения взаимодействия:
Один из распространённых случаев — объединение площадки, работающей на Континент 4, с площадкой, защищаемой Check Point.
Оба вендора поддерживают IPsec и совместимы между собой при корректной настройке параметров шифрования и маршрутизации.
В этой статье мы разберём два основных варианта построения взаимодействия:
- Policy-based VPN — классическая схема, основанная на VPN-политиках;
- Route-based VPN — туннель на базе XFRM-интерфейсов, удобный для гибкой маршрутизации.
Общая схема
Будет использоваться Policy-based на основе VPN-политики. Для аутентификации сторон будет использоваться секретный ключ (Pre-shared key).
Общая схема сети приведена на рисунке.
Общая схема сети приведена на рисунке.
Policy-based
В первую очередь на узле должен быть активирован компонент «L3VPN».
Далее перейдите в раздел «Интерфейсы».
Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.
Далее перейдите в раздел «Интерфейсы».
Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.
В разделе «Статические маршруты» укажите маршрут по умолчанию или маршрут до другого VPN-узла.
В данном случае между нашим и партнерским МЭ находится маршрутизатор с адресом 192.168.4.254, который и указан в качестве следующего узла.
В данном случае между нашим и партнерским МЭ находится маршрутизатор с адресом 192.168.4.254, который и указан в качестве следующего узла.
Затем перейдите на вкладку «IPsec VPN».
В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.
В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.
Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.
Настройки IPsec VPN
В первую очередь в разделе «Список объектов ЦУС» нужно создать совместимое устройство.
Необходимо ввести:
Необходимо ввести:
- внешний адрес устройства
- его идентификатор (в данном случае используется идентификация по IP)
- общий ключ (Pre-shared key) и защищаемые подсети.
Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.
Выберите следующие параметры:
Выберите следующие параметры:
- тип VPN (Policy-based)
- тип туннеля.
На вкладке «Состав сети» укажите список узлов VPN-сети.
В графе «Адрес» укажите адреса внешних интерфейсов узлов, в графе «Защищаемые ресурсы» - локальные сети.
В графе «Адрес» укажите адреса внешних интерфейсов узлов, в графе «Защищаемые ресурсы» - локальные сети.
Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.
На вкладке «Шифрование» укажите:
На вкладке «Шифрование» укажите:
- тип алгоритма (RSA)
- версию (IKEv2)
- а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.
На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.
А также при необходимости:
А также при необходимости:
- замену ключа после шифрования определенного объема данных
- использование протокола сжатия
- использование NAT-Traversal.
Для работоспособности сети разрешите в правилах межсетевого экрана пользовательский трафик между локальной и удаленной сетями. В примере был разрешен любой трафик между подсетями.
В правилах трансляции для указанных подсетей выберите «Не транслировать», так как данный трафик будет направляться в VPN-туннель.
Проверим работоспособность из командной строки в локальном меню Континент 4:
- Активный VPN-туннель
2. ICMP-ответы от удаленного пира
Route-based
Примечание: здесь перечислены только те настройки, которые отличаются от настроек Policy-based VPN.
Остальные шаги, приведенные выше, совпадают и при настройке Route-based VPN.
Будет использоваться Route-based VPN на основе XFRM-интерфейсов. Для аутентификации сторон будет использоваться секретный ключ (Pre-shared key).
Соответствующая схема приведена на рисунке.
Остальные шаги, приведенные выше, совпадают и при настройке Route-based VPN.
Будет использоваться Route-based VPN на основе XFRM-интерфейсов. Для аутентификации сторон будет использоваться секретный ключ (Pre-shared key).
Соответствующая схема приведена на рисунке.
Раздел «Интерфейсы»: дополнительно необходимо создать XFRM-интерфейс.
Обратите внимание: идентификатор интерфейса должен совпадать на обоих устройствах. Также назначим туннельном интерфейсу адрес из подсети для VPN.
Обратите внимание: идентификатор интерфейса должен совпадать на обоих устройствах. Также назначим туннельном интерфейсу адрес из подсети для VPN.
Раздел «Статические маршруты»: в качестве маршрута до удаленной сети укажите IP-адрес VPN-интерфейса другого узла.
Раздел «Виртуальные частные сети», подраздел «IPsec VPN»: создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.
Выберите следующие параметры:
Выберите следующие параметры:
- тип VPN (Route-based)
- идентификатор XFRM-интерфейса
- тип туннеля.
Раздел «Дополнительно»: укажите время жизни ключей для 1 и 2 фазы.
А также при необходимости:
А также при необходимости:
- замену ключа после шифрования определенного объема данных
- использование протокола сжатия
- использование NAT-Traversal.
Аналогично предыдущему разделу, проверим работоспособность из командной строки в локальном меню Континент 4:
- Активный VPN-туннель
2. ICMP-ответы от удаленного пира
Заключение
Интеграция Континент 4 с Check Point позволяет объединять сегменты корпоративной сети в единый защищённый контур.
Policy-based схема подойдёт для строгих сценариев с фиксированными подсетями.
Route-based вариант более универсален, удобен для расширения и лучше интегрируется в сложные сети.
Такие решения позволяют организациям объединять инфраструктуру на оборудовании разных вендоров, обеспечивая должный уровень безопасности.
Policy-based схема подойдёт для строгих сценариев с фиксированными подсетями.
Route-based вариант более универсален, удобен для расширения и лучше интегрируется в сложные сети.
Такие решения позволяют организациям объединять инфраструктуру на оборудовании разных вендоров, обеспечивая должный уровень безопасности.