Kaixo guztioi! Artikulu honek Sophos XG Firewall produktuaren VPN funtzionaltasuna berrikusiko du. Aurrekoan Lizentzia oso batekin etxeko sare babesteko irtenbide hau doan nola lortu aztertu dugu. Gaur Sophos XG-n eraikitako VPN funtzionalitateari buruz hitz egingo dugu. Produktu honek zer egin dezakeen esaten saiatuko naiz, eta IPSec Site-to-Site VPN eta SSL VPN pertsonalizatu bat konfiguratzeko adibideak ere emango ditut. Beraz, has gaitezen berrikuspenarekin.
Lehenik eta behin, ikus dezagun lizentzia-taula:
Sophos XG Firewall-en lizentziari buruz gehiago irakur dezakezu hemen:
Baina artikulu honetan gorriz nabarmentzen diren elementuak bakarrik interesatuko zaizkigu.
VPN funtzionalitate nagusia oinarrizko lizentzian sartzen da eta behin bakarrik erosten da. Hau bizitza osorako lizentzia da eta ez da berritu behar. Oinarrizko VPN aukerak moduluak honako hauek ditu:
Gunez gune:
- SSL VPN
- IPSec VPN
Urruneko sarbidea (bezero VPN):
- SSL VPN
- IPsec bezerorik gabeko VPN (doako aplikazio pertsonalizatuarekin)
- L2TP
- PPTP
Ikus dezakezunez, VPN konexio mota eta protokolo ezagun guztiak onartzen dira.
Gainera, Sophos XG Firewall-ek oinarrizko harpidetzan sartzen ez diren beste bi VPN konexio mota ditu. Hauek RED VPN eta HTML5 VPN dira. VPN konexio hauek Network Protection harpidetzan sartzen dira, hau da, mota hauek erabiltzeko harpidetza aktibo bat izan behar duzu, sarearen babeserako funtzionaltasuna ere barne hartzen duena - IPS eta ATP moduluak.
RED VPN Sophos-en L2 VPN jabeduna da. VPN konexio mota honek abantaila ugari ditu Site-to-site SSL edo IPSec-en aurrean bi XGren artean VPN bat konfiguratzean. IPSec ez bezala, RED tunelak interfaze birtual bat sortzen du tunelaren bi muturretan, eta horrek arazoak konpontzen laguntzen du, eta SSL ez bezala, interfaze birtual hau guztiz pertsonalizagarria da. Administratzaileak RED tunelaren barneko azpisarearen kontrol osoa du, bideratze-arazoak eta azpisareen gatazkak konpontzea errazten duena.
HTML5 VPN edo Clientless VPN - VPN mota zehatz bat, HTML5 bidez zerbitzuak zuzenean arakatzailean birbidaltzeko aukera ematen duena. Konfiguratu daitezkeen zerbitzu motak:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Baina kontuan hartu behar da VPN mota hau kasu berezietan soilik erabiltzen dela eta gomendagarria da, ahal bada, goiko zerrendetako VPN motak erabiltzea.
Praktika
Ikus dezagun modu praktikoan nola konfiguratu tunel mota horietako batzuk, hots: Site-to-Site IPSec eta SSL VPN Urruneko Sarbidea.
Gunez gune IPSec VPN
Has gaitezen gunez gune IPSec VPN tunel bat nola konfiguratu Sophos XG suebaki biren artean. Kanpaiaren azpian strongSwan erabiltzen du, IPSec gaitutako edozein bideratzailetara konektatzeko aukera ematen duena.
Konfigurazio morroi eroso eta azkarra erabil dezakezu, baina bide orokorra jarraituko dugu, argibide hauetan oinarrituta, Sophos XG IPSec erabiliz edozein ekiporekin konbinatu ahal izateko.
Ireki dezagun politika ezarpenen leihoa:
Ikus dezakegunez, aurrez ezarritako ezarpenak daude dagoeneko, baina gureak sortuko ditugu.
Konfigura ditzagun lehen eta bigarren faseetarako enkriptazio-parametroak eta gorde ditzagun politika. Analogiaz, bigarren Sophos XG-n urrats berdinak egiten ditugu eta IPSec tunela bera konfiguratzera igarotzen gara.
Sartu izena, funtzionamendu modua eta konfiguratu enkriptazio-parametroak. Adibidez, aurrez partekatutako gakoa erabiliko dugu
eta adierazi tokiko eta urruneko azpisareak.
Gure konexioa sortu da
Analogiaz, bigarren Sophos XG-n ezarpen berdinak egiten ditugu, funtzionamendu modua izan ezik, bertan ezarriko dugu Konexioa abiarazi
Orain bi tunel konfiguratuta ditugu. Ondoren, aktibatu eta exekutatu behar ditugu. Hau oso erraz egiten da, aktibo hitzaren azpian dagoen zirkulu gorrian klik egin behar duzu aktibatzeko eta konexioa hasteko zirkulu gorrian konexioa hasteko.
Irudi hau ikusten badugu:
Horrek esan nahi du gure tunela behar bezala funtzionatzen ari dela. Bigarren adierazlea gorria edo horia bada, zerbait gaizki konfiguratuta dago enkriptazio-politiketan edo tokiko eta urruneko azpisareetan. Gogorarazten dizut ezarpenak ispilu egin behar direla.
Bereizita, IPSec tuneletatik hutsegite-taldeak sor ditzakezula nabarmendu nahi dut akatsen tolerantziarako:
Urruneko sarbidea SSL VPN
Goazen Urruneko Sarbide SSL VPNra erabiltzaileentzat. Kanpaiaren azpian OpenVPN estandar bat dago. Horri esker, erabiltzaileak .ovpn konfigurazio-fitxategiak onartzen dituen edozein bezeroren bidez konekta daitezke (adibidez, konexio bezero estandar baten bidez).
Lehenik eta behin, OpenVPN zerbitzariaren politikak konfiguratu behar dituzu:
Zehaztu konexiorako garraioa, konfiguratu ataka, urruneko erabiltzaileak konektatzeko IP helbideen sorta
Zifratze-ezarpenak ere zehaztu ditzakezu.
Zerbitzaria konfiguratu ondoren, bezeroen konexioak konfiguratzen jarraituko dugu.
SSL VPN konexio-arau bakoitza talde baterako edo banakako erabiltzaile baterako sortzen da. Erabiltzaile bakoitzak konexio-politika bakarra izan dezake. Ezarpenen arabera, interesgarria dena da arau bakoitzerako ezarpen hau edo ADren talde bat erabiliko duten erabiltzaile indibidualak zehaztu ditzakezula, kontrol-laukia gaitu dezakezu trafiko guztia VPN tunel batean bilduta egon dadin edo IP helbideak zehaztu. azpisareak edo FQDN izenak erabiltzaileentzat eskuragarri. Politika horietan oinarrituta, automatikoki sortuko da bezeroarentzako ezarpenak dituen .ovpn profila.
Erabiltzailearen ataria erabiliz, erabiltzaileak .ovpn fitxategi bat deskargatu dezake VPN bezeroaren ezarpenekin, eta VPN bezeroaren instalazio fitxategi bat, konexio-ezarpen-fitxategi integratua duena.
Ondorioa
Artikulu honetan, Sophos XG Firewall produktuaren VPN funtzionalitatearen berri eman dugu. IPSec VPN eta SSL VPN nola konfigura ditzakezun aztertu dugu. Hau ez da irtenbide honek egin dezakeenaren zerrenda osoa. Hurrengo artikuluetan RED VPN berrikusten saiatuko naiz eta irtenbidean bertan nolakoa den erakusten saiatuko naiz.
Eskerrik asko zure denboragatik.
XG Firewall-en bertsio komertzialari buruzko galderarik baduzu, gurekin harremanetan jar zaitezke, konpainiarekin , Sophos banatzailea. Egin behar duzun guztia inprimaki librean idaztea besterik ez da helbidean .
Iturria: www.habr.com