Hi almal! Hierdie artikel sal die VPN-funksionaliteit in die Sophos XG Firewall-produk hersien. In die vorige Ons het gekyk hoe om hierdie tuisnetwerkbeskermingsoplossing gratis te kry met 'n volledige lisensie. Vandag sal ons praat oor die VPN-funksie wat in Sophos XG ingebou is. Ek sal probeer om jou te vertel wat hierdie produk kan doen, en ook voorbeelde gee van die opstel van 'n IPSec Site-to-Site Skynprivaatnetwerk en 'n pasgemaakte SSL Skynprivaatnetwerk. So kom ons begin met die resensie.
Kom ons kyk eers na die lisensietabel:
U kan hier meer lees oor hoe Sophos XG Firewall gelisensieer is:
Maar in hierdie artikel sal ons net belangstel in die items wat in rooi uitgelig is.
Die hoof-VPN-funksie is by die basiese lisensie ingesluit en word slegs een keer gekoop. Dit is 'n lewenslange lisensie en vereis nie hernuwing nie. Die Basis VPN-opsies-module sluit in:
Werf-tot-werf:
- SSL Skynprivaatnetwerk
- IPSec Skynprivaatnetwerk
Afstandtoegang (kliënt-VPN):
- SSL Skynprivaatnetwerk
- IPsec Kliëntlose VPN (met gratis pasgemaakte toepassing)
- L2TP
- PPTP
Soos u kan sien, word alle gewilde protokolle en tipes VPN-verbindings ondersteun.
Sophos XG Firewall het ook nog twee soorte VPN-verbindings wat nie by die basiese intekening ingesluit is nie. Dit is RED VPN en HTML5 VPN. Hierdie VPN-verbindings is ingesluit in die Netwerkbeskerming-intekening, wat beteken dat om hierdie tipes te gebruik, jy 'n aktiewe intekening moet hê, wat ook netwerkbeskermingsfunksies insluit - IPS- en ATP-modules.
RED VPN is 'n eie L2 VPN van Sophos. Hierdie tipe VPN-verbinding het 'n aantal voordele bo werf-tot-werf SSL of IPSec wanneer 'n VPN tussen twee XG's opgestel word. Anders as IPSec, skep die ROOI tonnel 'n virtuele koppelvlak aan beide kante van die tonnel, wat help met die oplos van probleme, en anders as SSL, is hierdie virtuele koppelvlak heeltemal aanpasbaar. Die administrateur het volle beheer oor die subnet binne die ROOI tonnel, wat dit makliker maak om roeteprobleme en subnetkonflikte op te los.
HTML5 Skynprivaatnetwerk of Kliëntlose Skynprivaatnetwerk – 'n Spesifieke tipe Skynprivaatnetwerk waarmee jy dienste via HTML5 direk in die blaaier kan aanstuur. Tipes dienste wat gekonfigureer kan word:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Maar dit is die moeite werd om te oorweeg dat hierdie tipe VPN slegs in spesiale gevalle gebruik word en dit word aanbeveel, indien moontlik, om VPN-tipes uit die lyste hierbo te gebruik.
Praktyk
Kom ons kyk prakties na hoe om verskeie van hierdie tipe tonnels op te stel, naamlik: Werf-tot-werf IPSec en SSL VPN-afstandtoegang.
Werf-tot-werf IPSec VPN
Kom ons begin met hoe om 'n Werf-tot-werf IPSec VPN-tonnel tussen twee Sophos XG Firewalls op te stel. Onder die enjinkap gebruik dit strongSwan, wat jou toelaat om aan enige IPSec-geaktiveerde router te koppel.
Jy kan 'n gerieflike en vinnige opstel-towenaar gebruik, maar ons sal die algemene pad volg sodat jy, gebaseer op hierdie instruksies, Sophos XG kan kombineer met enige toerusting wat IPSec gebruik.
Kom ons maak die beleidinstellingsvenster oop:
Soos ons kan sien, is daar reeds vooraf ingestelde instellings, maar ons sal ons eie skep.
Kom ons konfigureer die enkripsieparameters vir die eerste en tweede fase en stoor die beleid. In analogie doen ons dieselfde stappe op die tweede Sophos XG en gaan voort met die opstel van die IPSec-tonnel self
Voer die naam, bedryfsmodus in en stel die enkripsieparameters in. Ons sal byvoorbeeld Preshared Key gebruik
en dui plaaslike en afgeleë subnette aan.
Ons konneksie is geskep
In analogie maak ons dieselfde instellings op die tweede Sophos XG, met die uitsondering van die bedryfsmodus, daar sal ons instel Begin die verbinding
Nou het ons twee tonnels gekonfigureer. Vervolgens moet ons hulle aktiveer en laat loop. Dit word baie eenvoudig gedoen, jy moet op die rooi sirkel onder die woord Active klik om te aktiveer en op die rooi sirkel onder Connection om die verbinding te begin.
As ons hierdie prentjie sien:
Dit beteken ons tonnel werk reg. As die tweede aanwyser rooi of geel is, dan is iets verkeerd opgestel in enkripsiebeleide of plaaslike en afgeleë subnette. Laat ek jou daaraan herinner dat die instellings weerspieël moet word.
Afsonderlik wil ek beklemtoon dat u Failover-groepe vanaf IPSec-tonnels kan skep vir fouttoleransie:
Afstandtoegang SSL VPN
Kom ons gaan aan na SSL VPN vir afstandtoegang vir gebruikers. Onder die enjinkap is daar 'n standaard OpenVPN. Dit laat gebruikers toe om te koppel deur enige kliënt wat .ovpn-konfigurasielêers ondersteun (byvoorbeeld 'n standaardverbindingskliënt).
Eerstens moet u die OpenVPN-bedienerbeleide instel:
Spesifiseer die vervoer vir verbinding, stel die poort op, reeks IP-adresse om afgeleë gebruikers te koppel
U kan ook enkripsie-instellings spesifiseer.
Nadat ons die bediener opgestel het, gaan ons voort met die opstel van kliëntverbindings.
Elke SSL VPN-verbindingsreël word vir 'n groep of vir 'n individuele gebruiker geskep. Elke gebruiker kan slegs een verbindingsbeleid hê. Volgens die instellings, wat interessant is, is dat u vir elke so 'n reël individuele gebruikers kan spesifiseer wat hierdie instelling of 'n groep van AD sal gebruik, u kan die merkblokkie aktiveer sodat alle verkeer in 'n VPN-tonnel toegedraai word of die IP-adresse spesifiseer, subnette of FQDN name beskikbaar vir gebruikers. Op grond van hierdie beleide sal 'n .ovpn-profiel met instellings vir die kliënt outomaties geskep word.
Deur die gebruikerportaal te gebruik, kan die gebruiker beide 'n .ovpn-lêer met instellings vir die VPN-kliënt en 'n VPN-kliënt-installasielêer met 'n ingeboude verbindingsinstellingslêer aflaai.
Gevolgtrekking
In hierdie artikel het ons kortliks die VPN-funksionaliteit in die Sophos XG Firewall-produk bespreek. Ons het gekyk hoe u IPSec VPN en SSL VPN kan instel. Dit is nie 'n volledige lys van wat hierdie oplossing kan doen nie. In die volgende artikels sal ek probeer om ROOI VPN te hersien en te wys hoe dit in die oplossing self lyk.
Dankie vir jou tyd.
As jy enige vrae het oor die kommersiële weergawe van XG Firewall, kan jy ons, die maatskappy, kontak , Sophos-verspreider. Al wat jy hoef te doen is om in gratis vorm te skryf by .
Bron: will.com