Helo pawb! Bydd yr erthygl hon yn adolygu ymarferoldeb VPN yng nghynnyrch Firewall Sophos XG. Yn y blaenorol
Yn gyntaf oll, gadewch i ni edrych ar y tabl trwyddedu:
Gallwch ddarllen mwy am sut mae Firewall Sophos XG wedi'i drwyddedu yma:
Ond yn yr erthygl hon bydd gennym ddiddordeb yn unig yn yr eitemau hynny sydd wedi'u hamlygu mewn coch.
Mae prif ymarferoldeb VPN wedi'i gynnwys yn y drwydded sylfaenol ac yn cael ei brynu unwaith yn unig. Mae hon yn drwydded oes ac nid oes angen ei hadnewyddu. Mae'r modiwl Opsiynau VPN Sylfaenol yn cynnwys:
Safle i Safle:
- SSL VPN
- IPSec VPN
Mynediad o Bell (VPN cleient):
- SSL VPN
- IPsec Clientless VPN (gydag ap personol am ddim)
- L2TP
- PPTP
Fel y gallwch weld, cefnogir pob protocol poblogaidd a math o gysylltiadau VPN.
Hefyd, mae gan Sophos XG Firewall ddau fath arall o gysylltiadau VPN nad ydyn nhw wedi'u cynnwys yn y tanysgrifiad sylfaenol. Y rhain yw RED VPN a HTML5 VPN. Mae'r cysylltiadau VPN hyn wedi'u cynnwys yn y tanysgrifiad Diogelu Rhwydwaith, sy'n golygu bod yn rhaid i chi gael tanysgrifiad gweithredol er mwyn defnyddio'r mathau hyn, sydd hefyd yn cynnwys ymarferoldeb diogelu rhwydwaith - modiwlau IPS ac ATP.
Mae RED VPN yn L2 VPN perchnogol gan Sophos. Mae gan y math hwn o gysylltiad VPN nifer o fanteision dros SSL Safle-i-safle neu IPSec wrth sefydlu VPN rhwng dau XG. Yn wahanol i IPSec, mae'r twnnel COCH yn creu rhyngwyneb rhithwir ar ddau ben y twnnel, sy'n helpu gyda phroblemau datrys problemau, ac yn wahanol i SSL, mae'r rhyngwyneb rhithwir hwn yn gwbl addasadwy. Mae gan y gweinyddwr reolaeth lawn dros yr is-rwydwaith o fewn y twnnel RED, sy'n ei gwneud hi'n haws datrys problemau llwybro a gwrthdaro is-rwydwaith.
HTML5 VPN neu VPN Clientless - Math penodol o VPN sy'n eich galluogi i anfon gwasanaethau ymlaen trwy HTML5 yn uniongyrchol yn y porwr. Mathau o wasanaethau y gellir eu ffurfweddu:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ond mae'n werth ystyried mai dim ond mewn achosion arbennig y defnyddir y math hwn o VPN ac argymhellir, os yn bosibl, defnyddio mathau VPN o'r rhestrau uchod.
Ymarfer
Gadewch i ni edrych yn ymarferol ar sut i ffurfweddu nifer o'r mathau hyn o dwneli, sef: IPSec Safle-i-Safle a Mynediad o Bell SSL VPN.
IPSec VPN o Safle i Safle
Gadewch i ni ddechrau gyda sut i sefydlu twnnel IPSec VPN Safle-i-Safle rhwng dwy Mur Tân Sophos XG. O dan y cwfl mae'n defnyddio strongSwan, sy'n eich galluogi i gysylltu ag unrhyw lwybrydd sydd wedi'i alluogi gan IPSec.
Gallwch ddefnyddio dewin gosod cyfleus a chyflym, ond byddwn yn dilyn y llwybr cyffredinol fel y gallwch, yn seiliedig ar y cyfarwyddiadau hyn, gyfuno Sophos XG ag unrhyw offer gan ddefnyddio IPSec.
Gadewch i ni agor y ffenestr gosodiadau polisi:
Fel y gallwn weld, mae gosodiadau rhagosodedig eisoes, ond byddwn yn creu ein rhai ein hunain.
Gadewch i ni ffurfweddu'r paramedrau amgryptio ar gyfer y cam cyntaf a'r ail gam ac achub y polisi. Trwy gyfatebiaeth, rydym yn gwneud yr un camau ar yr ail Sophos XG ac yn symud ymlaen i sefydlu twnnel IPSec ei hun
Rhowch yr enw, y modd gweithredu a ffurfweddwch y paramedrau amgryptio. Er enghraifft, byddwn yn defnyddio Allwedd wedi'i Rhannu
a nodi is-rwydweithiau lleol ac anghysbell.
Mae ein cysylltiad wedi ei greu
Trwy gyfatebiaeth, rydym yn gwneud yr un gosodiadau ar yr ail Sophos XG, ac eithrio'r modd gweithredu, yno byddwn yn gosod Cychwyn y cysylltiad
Nawr mae gennym ddau dwnnel wedi'u ffurfweddu. Nesaf, mae angen i ni eu actifadu a'u rhedeg. Gwneir hyn yn syml iawn, mae angen i chi glicio ar y cylch coch o dan y gair Active i actifadu ac ar y cylch coch o dan Cysylltiad i gychwyn y cysylltiad.
Os gwelwn y llun hwn:
Mae hyn yn golygu bod ein twnnel yn gweithio'n iawn. Os yw'r ail ddangosydd yn goch neu'n felyn, yna mae rhywbeth wedi'i ffurfweddu'n anghywir mewn polisïau amgryptio neu is-rwydweithiau lleol ac anghysbell. Gadewch imi eich atgoffa bod yn rhaid adlewyrchu'r gosodiadau.
Ar wahân, hoffwn dynnu sylw at y ffaith y gallwch greu grwpiau Methiant o dwneli IPSec ar gyfer goddef diffygion:
Mynediad o Bell SSL VPN
Gadewch i ni symud ymlaen i SSL VPN Mynediad o Bell ar gyfer defnyddwyr. O dan y cwfl mae OpenVPN safonol. Mae hyn yn caniatáu i ddefnyddwyr gysylltu trwy unrhyw gleient sy'n cefnogi ffeiliau cyfluniad .ovpn (er enghraifft, cleient cysylltiad safonol).
Yn gyntaf, mae angen i chi ffurfweddu polisïau gweinydd OpenVPN:
Nodwch y cludiant ar gyfer cysylltiad, ffurfweddu'r porthladd, ystod o gyfeiriadau IP ar gyfer cysylltu defnyddwyr o bell
Gallwch hefyd nodi gosodiadau amgryptio.
Ar ôl sefydlu'r gweinydd, rydym yn symud ymlaen i sefydlu cysylltiadau cleient.
Mae pob rheol cysylltiad SSL VPN yn cael ei chreu ar gyfer grŵp neu ddefnyddiwr unigol. Dim ond un polisi cysylltu y gall pob defnyddiwr ei gael. Yn ôl y gosodiadau, yr hyn sy'n ddiddorol yw y gallwch chi, ar gyfer pob rheol o'r fath, nodi defnyddwyr unigol a fydd yn defnyddio'r gosodiad hwn neu grŵp o AD, gallwch chi alluogi'r blwch ticio fel bod yr holl draffig wedi'i lapio mewn twnnel VPN neu nodi'r cyfeiriadau IP, is-rwydweithiau neu enwau FQDN ar gael i ddefnyddwyr. Yn seiliedig ar y polisïau hyn, bydd proffil .ovpn gyda gosodiadau ar gyfer y cleient yn cael ei greu yn awtomatig.
Gan ddefnyddio'r porth defnyddiwr, gall y defnyddiwr lawrlwytho ffeil .ovpn gyda gosodiadau ar gyfer y cleient VPN, a ffeil gosod cleient VPN gyda ffeil gosodiadau cysylltiad adeiledig.
Casgliad
Yn yr erthygl hon, aethom yn fyr dros ymarferoldeb VPN yn y cynnyrch Firewall Sophos XG. Fe wnaethom edrych ar sut y gallwch chi ffurfweddu IPSec VPN a SSL VPN. Nid yw hon yn rhestr gyflawn o'r hyn y gall yr ateb hwn ei wneud. Yn yr erthyglau canlynol byddaf yn ceisio adolygu RED VPN a dangos sut olwg sydd arno yn yr ateb ei hun.
Diolch am eich amser.
Os oes gennych unrhyw gwestiynau am y fersiwn fasnachol o XG Firewall, gallwch gysylltu â ni, y cwmni
Ffynhonnell: hab.com