Check Point güvenlik ağ geçidi ve Cloud VPN arasında VPN nasıl kurulur?

Check Point

Ortama Genel Bakış

Check Point kılavuzun oluşturulmasında kullanılan ekipman aşağıdaki gibidir:

  • Satıcı: Kontrol Noktası
  • Model: Kontrol Noktası vSec
  • Yazılım Sürümü: R80.10

Check Point Topoloji

Bu kılavuz tarafından özetlenen topoloji, başvurulan cihazı kullanan temel bir siteden siteye IPsec VPN tüneli yapılandırmasıdır:

Check Point

Başlamadan Önce Ön koşullar

Cloud VPN ile bir Check Point güvenlik ağ geçidi kullanmak için aşağıdaki ön koşulların karşılandığından emin olun:

  • Check Point Security Gateway çevrimiçi ve herhangi bir arıza tespit edilmeden çalışıyor.
  • Check Point güvenlik ağ geçidine kök erişimi var.
  • En az bir yapılandırılmış ve doğrulanmış işlevsel dahili arayüz vardır.
  • Bir yapılandırılmış ve doğrulanmış işlevsel harici arayüz vardır.

IPsec parametreleri

Bu kılavuzun amacı doğrultusunda Ağ Geçidinin IPSec yapılandırmasında aşağıdaki parametreler ve değerler kullanılmıştır. Cloud VPN , güvenlik ilkelerinize göre kullanılabilecek kapsamlı bir şifre listesini destekler.

Check Point

Bunlar, bu kılavuzda kullanılan IKE aşama 1 ve aşama 2 için Şifre yapılandırma ayarlarıdır.

Check Point

İlke tabanlı IPsec VPN’i yapılandırma

Aşağıda, politika tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.

Bulut VPN’i

Check Point

Kontrol Noktası

Check Point

Yapılandırma – Google Bulut

Cloud VPN’i Yapılandırma

Cloud VPN’i yapılandırmak için: 1. Bulut Konsolunda, Ağ Oluşturma > VPN bağlantısı oluştur öğesini seçin .

  1. VPN BAĞLANTISI OLUŞTUR’u tıklayın .
  2. Ağ geçidi ve tünel için alanları aşağıdaki tabloda gösterildiği gibi doldurun ve Oluştur’a tıklayın :
Check Point
Check Point

Statik bir rota yapılandırma

  1. Cloud Console’da Rotalar > Rota Oluştur’a gidin .
  2. Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur’a tıklayın .
Check Point

Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.

Yapılandırma – Kontrol Noktası güvenlik ağ geçidi

Check Point SmartConsole’da Cloud VPN için Birlikte Çalışabilir bir Cihaz oluşturmak için:

Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz’ı açın .

Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.

Adım 3 . Git Genel Özellikleri > Topoloji ve elle Google bulut IP adreslerini ekleyin.

Adım 4 . Bir yıldız topluluğu oluşturun.

  1. SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Toplulukları’nı açın .
  2. Yıldız Topluluğu’nu tıklayın . Yeni Yıldız Topluluğu penceresi açılır.
  3. VPN Topluluğu için bir Nesne Adı girin .
  4. In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
  5. In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.

Adım 5 . Bu şifreleri IKEv1 için yapılandırın.

Şifreleme’ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3’teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin.

Perfect Forward Secrecy (Aşama 2)’yi seçtiğinizden emin olun. Bu örnek, IKEv1’e atıfta bulunur. Bu senaryoda IKEv2’yi de kullanabilirsiniz.

Adım 6 . Git Gelişmiş sekmesi ve Yeniden ciro saati değiştirin.

  • 1. Aşama için IKE : 610 dakika
  • 2. Aşama için IKE : 10.800 saniye

Adım 7 . Erişim Denetimi Kural Tabanını ve Yükleme ilkesini yapılandırın.

Check Point Rota tabanlı bir IPsec VPN Tünelinin yapılandırılması

Daha fazla bilgi için, R80.10 Siteden Siteye VPN Yönetim Kılavuzu’na bakın .

Aşağıda, rota tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.

Google Bulut

Kontrol Noktası

Check Point Yapılandırma – Google Bulut

Rota tabanlı VPN ile hem statik hem de dinamik yönlendirme kullanılabilir. Bu örnek dinamik yönlendirmeyi kullanacaktır. Cloud Router , 2 eş arasında BGP oturumları oluşturmak için kullanılır.

Bulut yönlendiricisini yapılandırma

Adım 1 : Bulut Konsolunda, Ağ Oluşturma > Bulut Yönlendiricileri > Yönlendirici Oluştur öğesini seçin .

Adım 2 : Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur’a tıklayın .

Cloud VPN’i Yapılandırma

Adım 1 : Cloud Console’da Ağ İletişimi > Ara Bağlantı > VPN > VPN BAĞLANTISI OLUŞTUR’u seçin .

Adım 2 : Google Compute Engine VPN ağ geçidi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Adım 3 : Tünel için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Adım 4 : BGP eşlemesi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Check Point

Tamamlamak için Kaydet ve Devam Et’e tıklayın .

Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.

Yapılandırma – Check Point Security Gateway

Check Point SmartConsole’da Cloud VPN için birlikte çalışabilir bir cihaz oluşturun.

Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz’ı açın .

Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.

Check Point

Adım 3 . Rota tabanlı VPN’yi öncelik almaya zorlamak için boş (boş) bir grup oluşturun ve bunu VPN etki alanına atayın.

  1. VPN Etki Alanı bölümünde Topoloji’ye gidin . Elle tanımlı’yı seçin.
  2. İstenen nesneyi seçmek için sağa tıklayın.
  3. Yeni > Grup > Basit Grup öğesine tıklayın .
  4. Bir Enter nesne adı , tıklayın Tamam . Bu gruba herhangi bir nesne ATANMAYIN.
Check Point

Adım 4 . içinde clish, bir VPN Tünel Arayüzü (VTI) oluşturun.

Uzak eş adını tam olarak SmartConsole’daki ağ geçidi nesnesinde yazıldığı gibi yazın.

Adım 5 . Topolojiyi düzenleyin.

  1. Açık SmartConsole > Ağ Geçitleri ve Sunucular .
  2. Check Point Security Gateway’i seçin ve çift tıklayın.
  3. Gönderen Genel Özellikleri > Ağ Yönetimi > Al Arayüzler .
  4. VTI’lar topolojide gösterilir. Not : Topolojiyi Düzenle penceresi, bu kriterler eşleşirse aynı satırda bir VTI üyelerini listeler:
    • Uzak eş adı
    • Uzak IP adresi
    • Arayüz adı
  5. VTI VIP’yi Topology sekmesinde yapılandırın. Tıklayın Tamam .
  6. Gönderen VPN Domain seçin Manuel Tanımlı > Empty_Group .

Adım 6 . Bir yıldız topluluğu oluşturun.

  1. Açık SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Topluluklar .
  2. Yıldız Topluluğu’nu tıklayın .
  3. VPN Topluluğu için bir Nesne Adı girin .
  4. In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
  5. In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.

Adım 7 . Bu şifreleri IKEv2 için yapılandırın.

Şifreleme’ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3’teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin. Perfect Forward Secrecy (Aşama 2) seçmelisiniz.

Bu örnek, özellikle IKEv2’ye atıfta bulunur. Bu senaryoda IKEv1’i de kullanabilirsiniz.

Adım 8 . Git Gelişmiş sekmesine . Orada Aşama 1 Aşama 2 için daha gelişmiş ayarları değiştirebilirsiniz.

Adım 9 . BGP Dağıtımı için Kurulum.

Sanal tünel arayüzü ve ilk BGP Kurulumu

Güvenlik Ağ Geçidinize SSH ile bağlanın. Hiçbiri varsayılan kabuğu kullanıyorsanız, clish olarak değiştirin. Çalıştır: clish { } ile çevrelenen değişkenleri kendi değerlerinizle değiştirerek aşağıdaki komutları çalıştırın:

Adım 10 . Rota Tabanlı Senaryo için Yön Kurallarını Yapılandırın.

  1. SmartConsole > Global Properties > VPN > Advanced öğesini açın .
  2. VPN Sütununda VPN Yönlü Eşleşmeyi Etkinleştir’i seçin .

Bu, Politikaya Dayalı bir senaryo için geçerli değildir.

  1. VPN trafiğiyle ilgili her güvenlik duvarı kuralı için bu yönlü eşleşme kurallarını VPN sütununa ekleyin:

Adım 11 . İlke yükleyin.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »