Hej alle! Denne artikel vil gennemgå VPN-funktionaliteten i Sophos XG Firewall-produktet. I det foregående
Lad os først og fremmest se på licenstabellen:
Du kan læse mere om, hvordan Sophos XG Firewall er licenseret her:
Men i denne artikel vil vi kun være interesseret i de elementer, der er fremhævet med rødt.
Den primære VPN-funktionalitet er inkluderet i basislicensen og købes kun én gang. Dette er en livslang licens og kræver ikke fornyelse. Base VPN Options-modulet inkluderer:
Site-to-Site:
- SSL VPN
- IPSec VPN
Fjernadgang (klient VPN):
- SSL VPN
- IPsec klientløs VPN (med gratis tilpasset app)
- L2TP
- PPTP
Som du kan se, understøttes alle populære protokoller og typer VPN-forbindelser.
Sophos XG Firewall har desuden yderligere to typer VPN-forbindelser, som ikke er inkluderet i grundabonnementet. Disse er RED VPN og HTML5 VPN. Disse VPN-forbindelser er inkluderet i Netværksbeskyttelse-abonnementet, hvilket betyder, at du for at bruge disse typer skal have et aktivt abonnement, som også indeholder netværksbeskyttelsesfunktionalitet - IPS- og ATP-moduler.
RED VPN er en proprietær L2 VPN fra Sophos. Denne type VPN-forbindelse har en række fordele i forhold til Site-to-site SSL eller IPSec ved opsætning af en VPN mellem to XG'er. I modsætning til IPSec opretter den RØDE tunnel en virtuel grænseflade i begge ender af tunnelen, som hjælper med fejlfinding af problemer, og i modsætning til SSL kan denne virtuelle grænseflade fuldstændig tilpasses. Administratoren har fuld kontrol over undernettet i den RØDE tunnel, hvilket gør det nemmere at løse routingproblemer og undernetkonflikter.
HTML5 VPN eller Clientless VPN – En bestemt type VPN, der giver dig mulighed for at videresende tjenester via HTML5 direkte i browseren. Typer af tjenester, der kan konfigureres:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Men det er værd at overveje, at denne type VPN kun bruges i særlige tilfælde, og det anbefales, hvis det er muligt, at bruge VPN-typer fra listerne ovenfor.
Praksis
Lad os tage et praktisk kig på, hvordan man konfigurerer flere af disse typer tunneler, nemlig: Site-to-Site IPSec og SSL VPN Remote Access.
Site-to-Site IPSec VPN
Lad os starte med, hvordan man opsætter en Site-to-Site IPSec VPN-tunnel mellem to Sophos XG Firewalls. Under hætten bruger den strongSwan, som giver dig mulighed for at oprette forbindelse til enhver IPSec-aktiveret router.
Du kan bruge en praktisk og hurtig opsætningsguide, men vi følger den generelle vej, så du, baseret på disse instruktioner, kan kombinere Sophos XG med ethvert udstyr, der bruger IPSec.
Lad os åbne vinduet med politikindstillinger:
Som vi kan se, er der allerede forudindstillede indstillinger, men vi vil oprette vores egne.
Lad os konfigurere krypteringsparametrene for den første og anden fase og gemme politikken. I analogi udfører vi de samme trin på den anden Sophos XG og går videre til at opsætte selve IPSec-tunnelen
Indtast navn, driftstilstand og konfigurer krypteringsparametrene. For eksempel vil vi bruge Preshared Key
og angive lokale og eksterne undernet.
Vores forbindelse er blevet skabt
I analogi foretager vi de samme indstillinger på den anden Sophos XG, med undtagelse af driftstilstanden, der vil vi indstille Initier forbindelsen
Nu har vi to tunneler konfigureret. Dernæst skal vi aktivere dem og køre dem. Dette gøres meget enkelt, du skal klikke på den røde cirkel under ordet Aktiv for at aktivere og på den røde cirkel under Forbindelse for at starte forbindelsen.
Hvis vi ser dette billede:
Det betyder, at vores tunnel fungerer korrekt. Hvis den anden indikator er rød eller gul, så er noget forkert konfigureret i krypteringspolitikker eller lokale og eksterne undernet. Lad mig minde dig om, at indstillingerne skal spejles.
Separat vil jeg gerne fremhæve, at du kan oprette Failover-grupper fra IPSec-tunneler til fejltolerance:
Fjernadgang SSL VPN
Lad os gå videre til Remote Access SSL VPN for brugere. Under hætten er der en standard OpenVPN. Dette giver brugerne mulighed for at oprette forbindelse gennem enhver klient, der understøtter .ovpn-konfigurationsfiler (f.eks. en standardforbindelsesklient).
Først skal du konfigurere OpenVPN-serverpolitikkerne:
Angiv transporten til forbindelse, konfigurer porten, række IP-adresser til tilslutning af fjernbrugere
Du kan også angive krypteringsindstillinger.
Efter opsætning af serveren fortsætter vi med at opsætte klientforbindelser.
Hver SSL VPN-forbindelsesregel oprettes for en gruppe eller for en individuel bruger. Hver bruger kan kun have én forbindelsespolitik. Ifølge indstillingerne er det interessante, at du for hver sådan regel kan angive individuelle brugere, der vil bruge denne indstilling eller en gruppe fra AD, du kan aktivere afkrydsningsfeltet, så al trafik er pakket ind i en VPN-tunnel eller angive IP-adresserne, undernet eller FQDN-navne, der er tilgængelige for brugere. Baseret på disse politikker vil der automatisk blive oprettet en .ovpn-profil med indstillinger for klienten.
Ved hjælp af brugerportalen kan brugeren downloade både en .ovpn-fil med indstillinger til VPN-klienten og en VPN-klientinstallationsfil med en indbygget forbindelsesindstillingsfil.
Konklusion
I denne artikel gennemgik vi kort VPN-funktionaliteten i Sophos XG Firewall-produktet. Vi så på, hvordan du kan konfigurere IPSec VPN og SSL VPN. Dette er ikke en komplet liste over, hvad denne løsning kan. I de følgende artikler vil jeg forsøge at gennemgå RED VPN og vise hvordan det ser ud i selve løsningen.
Tak for din tid.
Hvis du har spørgsmål til den kommercielle version af XG Firewall, kan du kontakte os, virksomheden
Kilde: www.habr.com