WatchGuard IPSec VPN Client
Bezpieczne połączenie z centralą przedsiębiorstwa stanowi jeden z najważniejszych elementów strategii IT Security - wszędzie tam, gdzie użytkownicy łączą się zdalnie, pracując w terenie lub w ramach home office.
-46_orig.png)
Nie wiesz, którą metodę VPN wybrać? Zobacz datasheet klienta IPSec lub oficjalne porównanie metod Mobile VPN WatchGuard, albo skontaktuj się z nami po dobór metody, licencji i wdrożenie.
Metody
4 typy Mobile VPN
IKEv2, IPSec, SSL i L2TP na jednym Firebox, działające jednocześnie.
Szyfrowanie
AES do 256-bit
Wielowarstwowe szyfrowanie (IPSec); AES-GCM dla IKEv2 i SSL (Fireware v12.2+).
Uwierzytelnianie
2FA · AuthPoint
MFA z AuthPoint dla każdej metody; obsługa wielu serwerów uwierzytelniania.
Klient IPSec
Klient IPSec (NCP)
Dodatkowe funkcje dla Windows i macOS; trial 30 dni, potem licencja bezterminowa.
Platformy
Windows · macOS · iOS · Android
Natywne klienty systemowe oraz klient WatchGuard zależnie od metody.
Co wyróżnia WatchGuard Mobile VPN
01
Cztery metody na jednym Firebox. Firebox obsługuje IKEv2, IPSec, SSL i L2TP jednocześnie, a jeden komputer może używać kilku metod naraz. Metodę dobierasz do sieci zdalnej, polityki bezpieczeństwa i dostępnego klienta.
02
IKEv2 - rekomendacja WatchGuard. Według producenta IKEv2 oferuje najwyższy poziom bezpieczeństwa, najlepszą wydajność i najprostsze wdrożenie. Uwierzytelnianie certyfikatem zamiast klucza współdzielonego oraz automatyczna konfiguracja profili (.bat dla Windows, .mobileconfig dla iOS/macOS, .sswan dla Androida).
03
Klient IPSec oparty na NCP. Dla Windows i macOS, z funkcjami niedostępnymi w klientach natywnych: osobisty firewall, logowanie do domeny Windows przed zalogowaniem użytkownika oraz różne profile konfiguracji dla różnych grup użytkowników (IPSec to jedyny typ z tą możliwością). Trial 30 dni, potem licencja bezterminowa.
04
Szerokie uwierzytelnianie i MFA. AuthPoint (MFA WatchGuard) działa z każdą metodą. IPSec i SSL obsługują dodatkowo LDAP i SecurID, a wszystkie metody pozwalają zastąpić klucz współdzielony uwierzytelnianiem certyfikatem.
Zastosowania WatchGuard Mobile VPN
ScenariuszPracownicy łączą się z zasobami firmy z domu, w podróży i z sieci publicznych. Bez szyfrowanego dostępu ruch do systemów wewnętrznych jest narażony na przechwycenie.
Co produkt robiSzyfrowany tunel do sieci za Firebox; dobór metody (IKEv2, IPSec, SSL, L2TP) do warunków sieci zdalnej. MFA z AuthPoint i osobisty firewall w kliencie IPSec.
ScenariuszZdalny dostęp do systemów transakcyjnych i danych klientów wymaga silnego szyfrowania oraz dodatkowego składnika uwierzytelniania.
Co produkt robiSzyfrowanie do 256-bit AES i wielowarstwowe (IPSec), uwierzytelnianie certyfikatem oraz MFA. Profile konfiguracji per grupa użytkowników w kliencie IPSec.
ScenariuszUrzędnicy pracujący zdalnie potrzebują kontrolowanego dostępu do systemów wewnętrznych w środowisku domenowym.
Co produkt robiSzyfrowany dostęp do zasobów za Firebox; logowanie do domeny Windows przed zalogowaniem użytkownika (klient IPSec) oraz centralna dystrybucja profili klienta.
ScenariuszPersonel sięga zdalnie po systemy medyczne i dane pacjentów - transmisja musi być szyfrowana i uwierzytelniona.
Co produkt robiTunel VPN szyfruje dostęp do systemów wewnętrznych; MFA z AuthPoint dodaje drugi składnik, a osobisty firewall chroni komputer w sieciach niezaufanych.
WatchGuard Mobile VPN - opis techniczny
WatchGuard Mobile VPN to zestaw metod zdalnego dostępu VPN do sieci chronionych przez Firebox. Fireware obsługuje cztery typy: Mobile VPN with IKEv2 (wykorzystuje IPSec do silnego szyfrowania i uwierzytelniania), Mobile VPN with IPSec (z pełnofunkcyjnym klientem WatchGuard opartym na technologii NCP), Mobile VPN with SSL (wykorzystuje TLS) oraz Mobile VPN with L2TP (z IPSec). Firebox może obsługiwać wszystkie cztery typy jednocześnie, a jeden komputer kliencki może być skonfigurowany do korzystania z jednej lub kilku metod.
Według dokumentacji WatchGuard IKEv2 oferuje najwyższy poziom bezpieczeństwa, najlepszą wydajność i najprostsze wdrożenie; obsługuje natywne klienty na iOS, macOS i Windows oraz aplikację strongSwan na Androidzie, a profile konfiguruje się automatycznie skryptami pobieranymi z Firebox. Klient IPSec oparty na NCP jest dostępny dla Windows (instalatory 32- i 64-bit) i macOS (od v12.5 obsługa pęku kluczy macOS Keychain) - dodaje osobisty firewall, logowanie do domeny Windows przed zalogowaniem użytkownika oraz różne profile konfiguracji dla różnych grup użytkowników. Mobile VPN with IPSec obsługuje szyfrowanie do 256-bit AES i wielowarstwowe; SSL jest najbardziej przenośny (działa przez TCP 443 / HTTPS), ale wolniejszy i mniej bezpieczny od metod opartych na IPSec. Klient IPSec zawiera bezpłatny 30-dniowy trial; po nim wymagana jest licencja, która nie wygasa i działa z każdą wersją klienta.
Specyfikacja WatchGuard Mobile VPN
Typ produktu
Zdalny dostęp VPN
Metody Mobile VPN konfigurowane na Firebox.
Metody
IKEv2 · IPSec · SSL · L2TP
Cztery typy obsługiwane jednocześnie na jednym Firebox.
Szyfrowanie
AES do 256-bit
Wielowarstwowe (IPSec); AES-GCM dla IKEv2 i SSL (Fireware v12.2+).
Uwierzytelnianie
AuthPoint · AD · RADIUS · LDAP · SecurID
Zakres zależny od metody; uwierzytelnianie certyfikatem zamiast PSK.
Klient IPSec
Oparty na NCP
Windows (32/64-bit) i macOS; dodatkowe funkcje względem klientów natywnych.
Licencja klienta IPSec
Trial 30 dni, potem bezterminowa
Po zakupie licencja nie wygasa i działa z każdą wersją klienta.
Zgodność z Fireware
Wszystkie wersje (klient IPSec)
Klient IPSec zgodny ze wszystkimi wersjami Fireware OS.
Tunelowanie
Full i split
IKEv2 full/split od Fireware v12.9; IPSec wg konfiguracji zasobów.
Kluczowe funkcje WatchGuard Mobile VPN
Cztery metody VPN
Na jednym Firebox
IKEv2, IPSec, SSL i L2TP działające jednocześnie.
Wielowarstwowe szyfrowanie
IPSec
Mobile VPN with IPSec: szyfrowanie do 256-bit AES i wielowarstwowe.
MFA z AuthPoint
Dla każdej metody
Uwierzytelnianie wieloskładnikowe z AuthPoint (MFA WatchGuard).
Uwierzytelnianie certyfikatem
Zamiast PSK
Certyfikat klienta zamiast klucza współdzielonego.
Profile per grupa
Tylko IPSec
Różne profile konfiguracji dla różnych grup użytkowników.
Windows pre-logon
Klient IPSec
Logowanie do domeny Windows przed zalogowaniem użytkownika.
Osobisty firewall
Klient IPSec
Wbudowany firewall chroniący komputer zdalny.
Auto-konfiguracja
IKEv2
Profile .bat / .mobileconfig / .sswan pobierane z Firebox.
Bezpieczny dostęp zdalny z WatchGuard Mobile VPN
Wyzwania pracy zdalnej
Różne sieci zdalne. Hotspoty, sieci domowe i restrykcyjne firewalle różnie traktują porty i protokoły VPN.
Słabe uwierzytelnianie. Samo hasło nie chroni dostępu do systemów wewnętrznych.
Obciążenie administracyjne. Ręczna konfiguracja wielu klientów VPN jest czasochłonna.
Różne grupy i role. Różne zespoły potrzebują różnych reguł dostępu.
Jak odpowiada Mobile VPN
Cztery metody do wyboru. SSL działa przez HTTPS tam, gdzie IPSec jest blokowany; IKEv2 daje najlepszą wydajność.
MFA i certyfikaty. AuthPoint dla każdej metody oraz uwierzytelnianie certyfikatem zamiast PSK.
Profile i auto-konfiguracja. Skrypty i profile pobierane z Firebox upraszczają wdrożenie.
Profile per grupa (IPSec). Różne konfiguracje dla różnych grup użytkowników.
Porównanie metod WatchGuard Mobile VPN
Wszystkie cztery metody zestawia ten sam Firebox - różnią się bezpieczeństwem, przenośnością, wydajnością i obsługiwanymi klientami. Poniższa tabela zestawia je na podstawie dokumentacji WatchGuard; kolumna IPSec dotyczy płatnego klienta WatchGuard opartego na NCP.
| Parametr | IKEv2 | IPSec (klient WatchGuard) | SSL | L2TP |
|---|---|---|---|---|
| Charakterystyka | ||||
| Technologia | IKEv2 / IPSec | IPSec | TLS | L2TP / IPSec |
| Klient | natywny + strongSwan | klient WatchGuard (NCP) | klient WatchGuard + OpenVPN | natywny / L2TPv2 |
| Licencja klienta | w cenie | płatna po trialu 30 dni | w cenie | w cenie |
| Bezpieczeństwo | ||||
| Poziom (wg WatchGuard) | najwyższy | wielowarstwowy | niższy* | wysoki |
| Szyfrowanie AES | do 256-bit | do 256-bit | do 256-bit | do 256-bit |
| AES-GCM (v12.2+) | ✓ | — | ✓ | — |
| Cert. zamiast PSK | ✓ | ✓ | login / SAML | ✓ |
| MFA (AuthPoint) | ✓ | ✓ | ✓ | ✓ |
| Sieć i wdrożenie | ||||
| Porty | UDP 500/4500, ESP | UDP 500/4500, ESP | TCP 443 (dowolny) | UDP 1701 (+IPSec) |
| Przenośność | zależna od IPSec | zależna od IPSec | najwyższa (HTTPS) | zależna od IPSec |
| Wydajność (wg WatchGuard) | najwyższa | — | najniższa | średnia |
| Split tunneling | ✓ (v12.9+) | konfigurowalne | ✓ | ✓ (ręcznie) |
| Funkcje | ||||
| Profile per grupa | — | ✓ (jedyny typ) | — | — |
| Platformy klienta | iOS/macOS/Win/Android | Windows / macOS | Win/macOS/inne | Win/macOS/inne |
✓ = obsługiwane | — = brak / niesklasyfikowane | * SSL jest mniej bezpieczny niż VPN oparte na IPSec (brak wielowarstwowego szyfrowania). WatchGuard rekomenduje IKEv2 jako metodę o najwyższym bezpieczeństwie, najlepszej wydajności i najprostszym wdrożeniu.
Obsługiwane serwery uwierzytelniania w WatchGuard Mobile VPN
Wybierając metodę, upewnij się, że obsługuje serwer uwierzytelniania używany w organizacji. IPSec i SSL mają najszerszą obsługę.
| Serwer uwierzytelniania | IKEv2 | IPSec (klient WatchGuard) | SSL | L2TP |
|---|---|---|---|---|
| AuthPoint (MFA WatchGuard) | ✓ | ✓ | ✓ | ✓ |
| Active Directory | ✓* | ✓ | ✓ | ✓* |
| LDAP | — | ✓ | ✓ | — |
| RADIUS | ✓ | ✓ | ✓ | ✓ |
| SecurID | — | ✓ | ✓ | — |
| Firebox-DB (lokalne) | ✓ | ✓ | ✓ | ✓ |
* Active Directory dla IKEv2 i L2TP jest obsługiwane wyłącznie przez serwer RADIUS. Wartości w kolumnie IPSec dotyczą klienta WatchGuard (iOS / Windows / macOS); natywny klient IPSec na Androidzie nie obsługuje SecurID.
Co zyskujesz wdrażając WatchGuard Mobile VPN
Jeden Firebox daje cztery metody zdalnego dostępu, więc dobierasz VPN do sieci i polityki bez zmiany infrastruktury - z silnym szyfrowaniem, MFA i klientem IPSec do testów.
4 metody Mobile VPN
IKEv2, IPSec, SSL i L2TP obsługiwane jednocześnie na jednym Firebox.
AES do 256-bit
Wielowarstwowe szyfrowanie (IPSec); AES-GCM dla IKEv2 i SSL (Fireware v12.2+).
Trial 30 dni
Klient IPSec do testów; po zakupie licencja bezterminowa.
Standardy i integracje WatchGuard Mobile VPN
Wymagania wdrożeniowe WatchGuard Mobile VPN
Firebox
Wymagany
Tunel terminowany na Firebox; obsługa czterech metod Mobile VPN.
Porty IKEv2 / IPSec / L2TP
UDP 500 i 4500, ESP
Protokół ESP oraz porty UDP muszą być dozwolone w sieci zdalnej.
Port SSL
TCP 443 (domyślnie)
Możliwy dowolny port TCP/UDP; najlepsza przenożność przez HTTPS.
Klient IPSec
Windows lub macOS
Brak innego klienta IPSec na komputerze; usuń firewall innych firm (poza Microsoft).
Licencja klienta IPSec
Numer + seryjny lub plik .ini
Aktywacja numerem licencji i seryjnym albo plikiem inicjalizacyjnym od administratora.
IKEv2 na macOS
Klient natywny
Klient WatchGuard IPSec dla macOS nie obsługuje IKEv2 - użyj klienta natywnego.
Uwierzytelnianie
Wg metody
AD dla IKEv2 i L2TP tylko przez RADIUS; IPSec i SSL z najszerszą obsługą serwerów.
Wdrożenie WatchGuard Mobile VPN przez Net Complex
Pomagamy dobrać metodę VPN do sieci i polityki bezpieczeństwa, skonfigurować Mobile VPN with IKEv2 / IPSec / SSL / L2TP na Firebox, przygotować i rozdystrybuować profile klientów, zintegrować uwierzytelnianie wieloskładnikowe (AuthPoint) oraz dobrać i aktywować licencję klienta IPSec. Klienta IPSec można przetestować w okresie próbnym przed zakupem.
8h
Wsparcia w cenie zakupu. 8 godzin pracy inżyniera przy zakupie produktów WatchGuard o wartości min. 20 000 zł netto. Dodatkową liczbę godzin można dokupić w dowolnym momencie wdrożenia.
Usługi IT
Baza wiedzy
.jpg)
.png)
.png)
Dalej nie jesteś przekonany? Porozmawiaj z naszym konsultantem
.jpg)
Karol Girjat
533 895 495
WatchGuard FireboxV
WatchGuard FireboxV to wirtualny firewall NGFW zapewniający ochronę sieci, kontrolę ruchu, VPN oraz zaawansowane zabezpieczenia IT.
Wycena indywidualna
Zobacz więcej
Nowość
WatchGuard Firebox T115-W
WatchGuard Firebox T115-W to wydajny firewall z Wi-Fi, VPN i zaawansowaną ochroną sieci. Zapewnia bezpieczeństwo danych, kontrolę dostępu oraz niezawodną ochronę dla małych firm i biur.
Wycena indywidualna
Zobacz więcej
Bundle WatchGuard Endpoint Security 360 + MDR Core
Połączenie WatchGuard Endpoint Security 360 z MDR Core zapewnia pełny cykl ochrony: prewencję zero trust, AI/ML, threat hunting oraz reakcję SOC 24/7. Endpointy i Microsoft 365 chronione są przez spójny model detekcji i containment bez budowy własnego SOC.
456.33 PLN
Zobacz więcej