Hamıya salam! Bu məqalə Sophos XG Firewall məhsulunda VPN funksiyasını nəzərdən keçirəcək. Əvvəlkidə
Əvvəlcə lisenziya cədvəlinə baxaq:
Sophos XG Firewall-un necə lisenziyalaşdırıldığı haqqında burada oxuya bilərsiniz:
Ancaq bu yazıda yalnız qırmızı ilə vurğulanan maddələrlə maraqlanacağıq.
Əsas VPN funksionallığı əsas lisenziyaya daxildir və yalnız bir dəfə alınır. Bu ömürlük lisenziyadır və yenilənmə tələb etmir. Baza VPN Seçimləri moduluna aşağıdakılar daxildir:
Saytdan Sayta:
- SSL VPN
- IPSec VPN
Uzaqdan Giriş (müştəri VPN):
- SSL VPN
- IPsec Clientless VPN (pulsuz xüsusi proqram ilə)
- L2TP
- PPTP
Gördüyünüz kimi, bütün populyar protokollar və VPN əlaqələri növləri dəstəklənir.
Həmçinin, Sophos XG Firewall-da əsas abunəliyə daxil olmayan daha iki növ VPN bağlantısı var. Bunlar RED VPN və HTML5 VPN-dir. Bu VPN bağlantıları Şəbəkə Mühafizəsi abunəliyinə daxildir, yəni bu növlərdən istifadə etmək üçün şəbəkə mühafizəsi funksiyasını - IPS və ATP modullarını da əhatə edən aktiv abunəliyə malik olmalısınız.
RED VPN, Sophos-dan xüsusi L2 VPN-dir. Bu növ VPN bağlantısı iki XG arasında VPN qurarkən Saytdan sayta SSL və ya IPSec ilə müqayisədə bir sıra üstünlüklərə malikdir. IPSec-dən fərqli olaraq, RED tunel tunelin hər iki ucunda problemlərin həllinə kömək edən virtual interfeys yaradır və SSL-dən fərqli olaraq bu virtual interfeys tamamilə fərdiləşdirilə bilər. Administrator RED tunel daxilində alt şəbəkə üzərində tam nəzarətə malikdir və bu, marşrutlaşdırma problemlərini və alt şəbəkə münaqişələrini həll etməyi asanlaşdırır.
HTML5 VPN və ya Müştərisiz VPN – HTML5 vasitəsilə xidmətləri birbaşa brauzerdə ötürməyə imkan verən xüsusi VPN növü. Konfiqurasiya edilə bilən xidmət növləri:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ancaq nəzərə almağa dəyər ki, bu növ VPN yalnız xüsusi hallarda istifadə olunur və mümkünsə yuxarıdakı siyahılardan VPN növlərindən istifadə etmək tövsiyə olunur.
Praktika
Gəlin bu tip tunellərdən bir neçəsinin necə konfiqurasiya olunacağına praktiki nəzər salaq, yəni: Saytdan Sayta IPSec və SSL VPN Uzaqdan Giriş.
Saytdan Sayta IPSec VPN
İki Sophos XG Firewall arasında Saytdan Sayta IPSec VPN tunelinin necə qurulması ilə başlayaq. Başlıq altında o, istənilən IPSec-i dəstəkləyən marşrutlaşdırıcıya qoşulmağa imkan verən strongSwan-dan istifadə edir.
Siz rahat və sürətli quraşdırma sehrbazından istifadə edə bilərsiniz, lakin biz ümumi yolu izləyəcəyik ki, bu təlimatlara əsasən siz Sophos XG-ni IPSec istifadə edərək istənilən avadanlıqla birləşdirə biləsiniz.
Siyasət parametrləri pəncərəsini açaq:
Gördüyümüz kimi, artıq əvvəlcədən təyin edilmiş parametrlər var, lakin biz özümüzü yaradacağıq.
Birinci və ikinci mərhələlər üçün şifrələmə parametrlərini konfiqurasiya edək və siyasəti yadda saxlayaq. Analoji olaraq, biz ikinci Sophos XG-də eyni addımları edirik və IPSec tunelinin özünü qurmağa davam edirik.
Adı, iş rejimini daxil edin və şifrələmə parametrlərini konfiqurasiya edin. Məsələn, biz Preshared Key istifadə edəcəyik
və yerli və uzaq alt şəbəkələri göstərin.
Əlaqəmiz yaradıldı
Bənzətmə ilə, biz ikinci Sophos XG-də eyni parametrləri edirik, iş rejimi istisna olmaqla, orada əlaqəni işə salacağıq.
İndi konfiqurasiya edilmiş iki tunelimiz var. Sonra onları aktivləşdirib işə salmalıyıq. Bu, çox sadə şəkildə edilir, aktivləşdirmək üçün Aktiv sözünün altındakı qırmızı dairəni, əlaqəni başlamaq üçün isə Bağlantı altındakı qırmızı dairəni sıxmaq lazımdır.
Bu şəkli görsək:
Bu o deməkdir ki, tunelimiz düzgün işləyir. İkinci göstərici qırmızı və ya sarıdırsa, şifrələmə siyasətlərində və ya yerli və uzaq alt şəbəkələrdə bir şey səhv konfiqurasiya edilmişdir. Nəzərinizə çatdırım ki, parametrlər əks olunmalıdır.
Ayrı-ayrılıqda qeyd etmək istərdim ki, xətaya dözümlülük üçün IPSec tunellərindən Failover qrupları yarada bilərsiniz:
Uzaqdan giriş SSL VPN
İstifadəçilər üçün Uzaqdan Giriş SSL VPN-ə keçək. Başlıq altında standart OpenVPN var. Bu, istifadəçilərə .ovpn konfiqurasiya fayllarını (məsələn, standart əlaqə müştərisi) dəstəkləyən istənilən müştəri vasitəsilə əlaqə yaratmağa imkan verir.
Əvvəlcə OpenVPN server siyasətlərini konfiqurasiya etməlisiniz:
Qoşulmaq üçün nəqliyyatı təyin edin, portu konfiqurasiya edin, uzaq istifadəçiləri birləşdirmək üçün IP ünvanları diapazonunu təyin edin
Siz həmçinin şifrələmə parametrlərini təyin edə bilərsiniz.
Serveri qurduqdan sonra müştəri əlaqələrinin qurulmasına davam edirik.
Hər bir SSL VPN əlaqə qaydası qrup və ya fərdi istifadəçi üçün yaradılmışdır. Hər bir istifadəçinin yalnız bir əlaqə siyasəti ola bilər. Parametrlərə görə, maraqlısı budur ki, hər bir belə qayda üçün bu parametrdən istifadə edəcək fərdi istifadəçiləri və ya AD qrupunu təyin edə bilərsiniz, bütün trafikin VPN tunelinə bükülməsi və ya IP ünvanlarını göstərməsi üçün onay qutusunu aktivləşdirə bilərsiniz, istifadəçilər üçün mövcud olan alt şəbəkələr və ya FQDN adları. Bu siyasətlərə əsasən, müştəri üçün parametrləri olan .ovpn profili avtomatik olaraq yaradılacaq.
İstifadəçi portalından istifadə edərək, istifadəçi həm VPN müştərisi üçün parametrləri olan .ovpn faylını, həm də daxili əlaqə parametrləri faylı olan VPN müştəri quraşdırma faylını endirə bilər.
Nəticə
Bu yazıda biz Sophos XG Firewall məhsulunda VPN funksiyasını qısaca nəzərdən keçirdik. IPSec VPN və SSL VPN-i necə konfiqurasiya edə biləcəyinizi nəzərdən keçirdik. Bu, bu həllin nə edə biləcəyinin tam siyahısı deyil. Növbəti məqalələrdə RED VPN-i nəzərdən keçirməyə və həllin özündə necə göründüyünü göstərməyə çalışacağam.
Vaxt ayırdığınız üçün təşəkkürlər.
XG Firewall-un kommersiya versiyası ilə bağlı hər hansı sualınız varsa, bizimlə, şirkətlə əlaqə saxlaya bilərsiniz
Mənbə: www.habr.com