أهلاً بكم! ستراجع هذه المقالة وظيفة VPN في منتج جدار الحماية Sophos XG. فى السابق
أولاً، دعونا نلقي نظرة على جدول الترخيص:
يمكنك قراءة المزيد حول كيفية ترخيص Sophos XG Firewall هنا:
لكن في هذه المقالة سنهتم فقط بالعناصر المميزة باللون الأحمر.
يتم تضمين وظيفة VPN الرئيسية في الترخيص الأساسي ويتم شراؤها مرة واحدة فقط. هذا ترخيص مدى الحياة ولا يتطلب التجديد. تتضمن وحدة خيارات VPN الأساسية ما يلي:
من موقع لاخر:
- SSL VPN
- IPSec VPN
الوصول عن بعد (عميل VPN):
- SSL VPN
- IPsec Clientless VPN (مع تطبيق مخصص مجاني)
- L2TP
- PPTP
كما ترون، يتم دعم جميع البروتوكولات وأنواع اتصالات VPN الشائعة.
يحتوي Sophos XG Firewall أيضًا على نوعين آخرين من اتصالات VPN غير المضمنة في الاشتراك الأساسي. هذه هي RED VPN وHTML5 VPN. يتم تضمين اتصالات VPN هذه في اشتراك حماية الشبكة، مما يعني أنه من أجل استخدام هذه الأنواع، يجب أن يكون لديك اشتراك نشط، والذي يتضمن أيضًا وظيفة حماية الشبكة - وحدات IPS وATP.
RED VPN هي شبكة L2 VPN مملوكة لشركة Sophos. يتمتع هذا النوع من اتصال VPN بعدد من المزايا مقارنة بـ SSL من موقع إلى موقع أو IPSec عند إعداد VPN بين جهازي XG. على عكس IPSec، يقوم النفق الأحمر بإنشاء واجهة افتراضية على طرفي النفق، مما يساعد في استكشاف المشكلات وإصلاحها، وعلى عكس SSL، فإن هذه الواجهة الافتراضية قابلة للتخصيص بالكامل. يتمتع المسؤول بالتحكم الكامل في الشبكة الفرعية داخل نفق RED، مما يسهل حل مشكلات التوجيه وتعارضات الشبكة الفرعية.
HTML5 VPN أو Clientless VPN - نوع محدد من VPN يسمح لك بإعادة توجيه الخدمات عبر HTML5 مباشرة في المتصفح. أنواع الخدمات التي يمكن تهيئتها:
- RDP
- التلنت
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
ولكن تجدر الإشارة إلى أن هذا النوع من VPN يستخدم فقط في حالات خاصة ويوصى، إن أمكن، باستخدام أنواع VPN من القوائم أعلاه.
ممارسة
دعونا نلقي نظرة عملية على كيفية تكوين العديد من هذه الأنواع من الأنفاق، وهي: Site-to-Site IPSec وSSL VPN Remote Access.
موقع إلى موقع IPSec VPN
لنبدأ بكيفية إعداد نفق Site-to-Site IPSec VPN بين اثنين من جدران الحماية Sophos XG. تحت الغطاء يستخدم strongSwan، والذي يسمح لك بالاتصال بأي جهاز توجيه يدعم IPSec.
يمكنك استخدام معالج إعداد مناسب وسريع، لكننا سنتبع المسار العام بحيث يمكنك، بناءً على هذه التعليمات، دمج Sophos XG مع أي جهاز يستخدم IPSec.
لنفتح نافذة إعدادات السياسة:
كما نرى، هناك بالفعل إعدادات معدة مسبقًا، ولكننا سنقوم بإنشاء الإعدادات الخاصة بنا.
لنقم بتكوين معلمات التشفير للمرحلتين الأولى والثانية وحفظ السياسة. وقياسا على ذلك، نقوم بنفس الخطوات على جهاز Sophos XG الثاني وننتقل إلى إعداد نفق IPSec نفسه
أدخل الاسم ووضع التشغيل وقم بتكوين معلمات التشفير. على سبيل المثال، سوف نستخدم المفتاح المشترك مسبقًا
وتشير إلى الشبكات الفرعية المحلية والبعيدة.
تم إنشاء اتصالنا
وقياسا على ذلك، نقوم بإجراء نفس الإعدادات على Sophos XG الثاني، باستثناء وضع التشغيل، حيث سنقوم بضبط بدء الاتصال
الآن لدينا نفقان تم تكوينهما. بعد ذلك، نحتاج إلى تفعيلها وتشغيلها. يتم ذلك بكل بساطة، تحتاج إلى النقر فوق الدائرة الحمراء أسفل كلمة نشط للتنشيط وعلى الدائرة الحمراء أسفل الاتصال لبدء الاتصال.
إذا رأينا هذه الصورة:
هذا يعني أن نفقنا يعمل بشكل صحيح. إذا كان المؤشر الثاني أحمر أو أصفر، فهذا يعني أنه تم تكوين شيء ما بشكل غير صحيح في سياسات التشفير أو الشبكات الفرعية المحلية والبعيدة. اسمحوا لي أن أذكرك أنه يجب أن تنعكس الإعدادات.
بشكل منفصل، أود التأكيد على أنه يمكنك إنشاء مجموعات تجاوز الفشل من أنفاق IPSec للتسامح مع الأخطاء:
الوصول عن بعد SSL VPN
دعنا ننتقل إلى Remote Access SSL VPN للمستخدمين. يوجد تحت الغطاء برنامج OpenVPN قياسي. يتيح ذلك للمستخدمين الاتصال من خلال أي عميل يدعم ملفات التكوين .ovpn (على سبيل المثال، عميل اتصال قياسي).
أولاً، تحتاج إلى تكوين سياسات خادم OpenVPN:
حدد وسيلة النقل للاتصال، وقم بتكوين المنفذ، ونطاق عناوين IP لتوصيل المستخدمين البعيدين
يمكنك أيضًا تحديد إعدادات التشفير.
بعد إعداد الخادم، ننتقل إلى إعداد اتصالات العميل.
يتم إنشاء كل قاعدة اتصال SSL VPN لمجموعة أو لمستخدم فردي. يمكن أن يكون لكل مستخدم سياسة اتصال واحدة فقط. وفقًا للإعدادات، الأمر المثير للاهتمام هو أنه لكل قاعدة من هذه القواعد، يمكنك تحديد المستخدمين الفرديين الذين سيستخدمون هذا الإعداد أو مجموعة من AD، ويمكنك تمكين مربع الاختيار بحيث يتم تغليف كل حركة المرور في نفق VPN أو تحديد عناوين IP، الشبكات الفرعية أو أسماء FQDN المتاحة للمستخدمين. واستنادًا إلى هذه السياسات، سيتم تلقائيًا إنشاء ملف تعريف .ovpn مع إعدادات العميل.
باستخدام بوابة المستخدم، يمكن للمستخدم تنزيل ملف .ovpn مع إعدادات عميل VPN، وملف تثبيت عميل VPN مع ملف إعدادات الاتصال المضمن.
اختتام
في هذه المقالة، تناولنا باختصار وظيفة VPN في منتج جدار الحماية Sophos XG. لقد نظرنا في كيفية تكوين IPSec VPN وSSL VPN. هذه ليست قائمة كاملة بما يمكن أن يفعله هذا الحل. سأحاول في المقالات التالية مراجعة RED VPN وإظهار كيف يبدو في الحل نفسه.
شكرا لك على وقتك.
إذا كان لديك أي أسئلة حول الإصدار التجاري من XG Firewall، يمكنك الاتصال بنا، الشركة
المصدر: www.habr.com