Tere kõigile! Selles artiklis vaadatakse üle Sophos XG tulemüüri toote VPN-funktsioonid. Eelmises
Kõigepealt vaatame litsentsitabelit:
Lisateavet Sophos XG tulemüüri litsentsimise kohta saate lugeda siit:
Kuid selles artiklis huvitavad meid ainult need elemendid, mis on punasega esile tõstetud.
VPN-i põhifunktsioonid sisalduvad põhilitsentsis ja ostetakse ainult üks kord. See on eluaegne litsents ja seda ei ole vaja uuendada. VPN-i põhisuvandite moodul sisaldab:
Sait-sait:
- SSL VPN
- IPSec VPN
Kaugjuurdepääs (kliendi VPN):
- SSL VPN
- IPsec Clientless VPN (tasuta kohandatud rakendusega)
- L2TP
- PPTP
Nagu näete, toetatakse kõiki populaarseid protokolle ja VPN-ühenduste tüüpe.
Lisaks on Sophos XG tulemüüril veel kahte tüüpi VPN-ühendusi, mida põhitellimus ei sisalda. Need on RED VPN ja HTML5 VPN. Need VPN-ühendused sisalduvad võrgukaitse tellimuses, mis tähendab, et nende tüüpide kasutamiseks peab teil olema aktiivne tellimus, mis sisaldab ka võrgukaitse funktsionaalsust - IPS ja ATP mooduleid.
RED VPN on Sophose patenteeritud L2 VPN. Seda tüüpi VPN-ühendusel on VPN-i seadistamisel kahe XG vahel mitmeid eeliseid võrreldes saidivahelise SSL-i või IPSeciga. Erinevalt IPSecist loob RED tunnel tunneli mõlemasse otsa virtuaalse liidese, mis aitab probleemide tõrkeotsingul ning erinevalt SSL-ist on see virtuaalne liides täielikult kohandatav. Administraatoril on täielik kontroll RED tunnelis asuva alamvõrgu üle, mis muudab marsruutimisprobleemide ja alamvõrgu konfliktide lahendamise lihtsamaks.
HTML5 VPN või Clientless VPN – spetsiifiline VPN, mis võimaldab HTML5 kaudu teenuseid otse brauseris edasi saata. Konfigureeritavate teenuste tüübid:
- MAK
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Kuid tasub arvestada, et seda tüüpi VPN-i kasutatakse ainult erijuhtudel ja võimalusel on soovitatav kasutada ülaltoodud loendite VPN-tüüpe.
Tava
Vaatame praktilise pilguga, kuidas konfigureerida mitut seda tüüpi tunneleid, nimelt: Site-to-Site IPSec ja SSL VPN Remote Access.
Site-Site IPSec VPN
Alustame sellest, kuidas seadistada saitidevaheline IPSec VPN-tunnel kahe Sophos XG tulemüüri vahel. Kapoti all kasutab see strongSwani, mis võimaldab teil luua ühenduse mis tahes IPSec-toega ruuteriga.
Võite kasutada mugavat ja kiiret häälestusviisardit, kuid järgime üldist teed, et nende juhiste põhjal saaksite Sophos XG-d kombineerida mis tahes seadmega, kasutades IPSec-i.
Avame poliitika sätete akna:
Nagu näeme, on eelseadistatud seaded juba olemas, kuid loome ise.
Seadistame esimese ja teise faasi krüpteerimisparameetrid ja salvestame poliitika. Analoogia põhjal teeme samad sammud teise Sophos XG-ga ja jätkame IPSec-tunneli enda seadistamisega
Sisestage nimi, töörežiim ja konfigureerige krüpteerimisparameetrid. Näiteks kasutame eeljagatud võtit
ja märkige kohalikud ja kaug-alamvõrgud.
Meie ühendus on loodud
Analoogia põhjal teeme samad sätted ka teisel Sophos XG-l, välja arvatud töörežiim, seal valime Ühenduse algatamise
Nüüd on meil konfigureeritud kaks tunnelit. Järgmiseks peame need aktiveerima ja käivitama. Seda tehakse väga lihtsalt, aktiveerimiseks tuleb vajutada punasele ringile sõna Aktiivne ja ühenduse loomiseks punasele ringile Ühenduse all.
Kui näeme seda pilti:
See tähendab, et meie tunnel töötab korralikult. Kui teine indikaator on punane või kollane, on midagi krüpteerimispoliitikas või kohalikes ja kaug-alamvõrkudes valesti konfigureeritud. Tuletan meelde, et sätteid tuleb peegeldada.
Eraldi tahaksin rõhutada, et saate tõrketaluvuse tagamiseks luua IPSec-tunnelitest tõrkesiirderühmi:
Kaugjuurdepääsu SSL VPN
Liigume edasi kasutajate kaugjuurdepääsu SSL VPN-i juurde. Kapoti all on tavaline OpenVPN. See võimaldab kasutajatel luua ühenduse mis tahes kliendi kaudu, mis toetab .ovpn-i konfiguratsioonifaile (nt standardse ühenduse klient).
Esiteks peate konfigureerima OpenVPN-i serveri poliitikad:
Määrake ühenduse transport, konfigureerige port, IP-aadresside vahemik kaugkasutajate ühendamiseks
Samuti saate määrata krüpteerimisseadeid.
Pärast serveri seadistamist jätkame kliendiühenduste seadistamisega.
Iga SSL VPN-i ühenduse reegel luuakse rühma või üksiku kasutaja jaoks. Igal kasutajal võib olla ainult üks ühenduse poliitika. Seadete järgi on huvitav see, et iga sellise reegli jaoks saate määrata üksikud kasutajad, kes seda seadet kasutavad või AD rühma, saate lubada märkeruudu, et kogu liiklus oleks mähitud VPN-tunnelisse või määrata IP-aadressid, kasutajatele saadaolevad alamvõrgud või FQDN-nimed. Nende reeglite alusel luuakse automaatselt kliendi seadetega .ovpn-profiil.
Kasutajaportaali kasutades saab kasutaja alla laadida nii .ovpn-faili VPN-kliendi seadistustega kui ka VPN-kliendi installifaili koos sisseehitatud ühenduse seadete failiga.
Järeldus
Selles artiklis käsitlesime lühidalt Sophos XG tulemüüri toote VPN-funktsioone. Vaatasime, kuidas saate konfigureerida IPSec VPN-i ja SSL VPN-i. See ei ole täielik loetelu sellest, mida see lahendus võib teha. Järgmistes artiklites proovin üle vaadata RED VPN-i ja näidata, kuidas see lahenduses endas välja näeb.
Täname teid teie aja eest.
Kui teil on küsimusi XG Firewalli kommertsversiooni kohta, võite meie, ettevõttega ühendust võtta
Allikas: www.habr.com