سلام به همه! این مقاله به بررسی عملکرد VPN در محصول Sophos XG Firewall می پردازد. در قبلی
اول از همه، بیایید به جدول مجوز نگاه کنیم:
در اینجا می توانید اطلاعات بیشتری در مورد نحوه مجوز فایروال Sophos XG بخوانید:
اما در این مقاله فقط به مواردی علاقه مند خواهیم بود که با رنگ قرمز برجسته شده اند.
عملکرد اصلی VPN در مجوز اصلی گنجانده شده است و فقط یک بار خریداری می شود. این مجوز مادام العمر است و نیازی به تمدید ندارد. ماژول Base VPN Options شامل:
سایت به سایت:
- SSL VPN
- IPSec VPN
دسترسی از راه دور (ویپیان مشتری):
- SSL VPN
- IPsec Clientless VPN (با برنامه سفارشی رایگان)
- L2TP
- PPTP
همانطور که می بینید، همه پروتکل های محبوب و انواع اتصالات VPN پشتیبانی می شوند.
همچنین فایروال Sophos XG دو نوع اتصال VPN دیگر دارد که در اشتراک اصلی گنجانده نشده است. اینها RED VPN و HTML5 VPN هستند. این اتصالات VPN در اشتراک Network Protection گنجانده شده است، به این معنی که برای استفاده از این نوع باید یک اشتراک فعال داشته باشید که شامل عملکرد محافظت از شبکه - ماژول های IPS و ATP نیز می شود.
RED VPN یک VPN اختصاصی L2 از Sophos است. این نوع اتصال VPN دارای چندین مزیت نسبت به Site-to-site SSL یا IPSec هنگام راه اندازی VPN بین دو XG است. برخلاف IPSec، تونل RED یک رابط مجازی در دو انتهای تونل ایجاد می کند که به رفع مشکلات کمک می کند و برخلاف SSL، این رابط مجازی کاملاً قابل تنظیم است. ادمین کنترل کاملی بر زیرشبکه درون تونل RED دارد که حل مشکلات مسیریابی و تضادهای زیرشبکه را آسانتر میکند.
HTML5 VPN یا Clientless VPN – نوع خاصی از VPN که به شما امکان می دهد خدمات را از طریق HTML5 مستقیماً در مرورگر فوروارد کنید. انواع خدمات قابل پیکربندی:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
اما قابل توجه است که این نوع VPN فقط در موارد خاص استفاده می شود و توصیه می شود در صورت امکان از انواع VPN از لیست های بالا استفاده کنید.
عمل
بیایید نگاهی عملی به نحوه پیکربندی چندین نوع تونل بیندازیم، یعنی: Site-to-Site IPSec و SSL VPN Remote Access.
IPSec VPN سایت به سایت
بیایید با نحوه راه اندازی یک تونل Site-to-Site IPSec VPN بین دو فایروال Sophos XG شروع کنیم. در زیر کاپوت آن از strongSwan استفاده شده است که به شما امکان می دهد به هر روتر دارای IPSec متصل شوید.
می توانید از یک جادوگر راه اندازی راحت و سریع استفاده کنید، اما ما مسیر کلی را دنبال می کنیم تا بر اساس این دستورالعمل ها، بتوانید Sophos XG را با هر تجهیزاتی با استفاده از IPSec ترکیب کنید.
بیایید پنجره تنظیمات خط مشی را باز کنیم:
همانطور که می بینیم، تنظیمات از پیش تعیین شده وجود دارد، اما ما تنظیمات خود را ایجاد خواهیم کرد.
بیایید پارامترهای رمزگذاری را برای فازهای اول و دوم پیکربندی کنیم و خط مشی را ذخیره کنیم. به طور مشابه، ما همان مراحل را در Sophos XG دوم انجام می دهیم و به راه اندازی خود تونل IPSec می رویم.
نام، حالت عملیاتی را وارد کنید و پارامترهای رمزگذاری را پیکربندی کنید. به عنوان مثال، ما از Preshared Key استفاده خواهیم کرد
و زیر شبکه های محلی و راه دور را نشان می دهد.
ارتباط ما ایجاد شده است
بر اساس قیاس، ما همان تنظیمات را در Sophos XG دوم انجام می دهیم، به استثنای حالت کار، در آنجا شروع اتصال را تنظیم می کنیم.
اکنون ما دو تونل را پیکربندی کرده ایم. در مرحله بعد باید آنها را فعال کرده و اجرا کنیم. این کار خیلی ساده انجام می شود، برای فعال شدن باید روی دایره قرمز رنگ زیر کلمه Active و برای شروع اتصال روی دایره قرمز رنگ زیر Connection کلیک کنید.
اگر این تصویر را ببینیم:
این بدان معناست که تونل ما به درستی کار می کند. اگر نشانگر دوم قرمز یا زرد باشد، در این صورت چیزی در خطمشیهای رمزگذاری یا زیرشبکههای محلی و راه دور بهدرستی پیکربندی نشده است. اجازه دهید یادآوری کنم که تنظیمات باید آینه ای باشد.
به طور جداگانه، میخواهم به این نکته اشاره کنم که میتوانید گروههای Failover را از تونلهای IPSec برای تحمل خطا ایجاد کنید:
دسترسی از راه دور SSL VPN
بیایید به دسترسی از راه دور SSL VPN برای کاربران برویم. در زیر هود یک OpenVPN استاندارد وجود دارد. این به کاربران اجازه می دهد تا از طریق هر کلاینتی که از فایل های پیکربندی .ovpn پشتیبانی می کند (به عنوان مثال، یک کلاینت اتصال استاندارد) متصل شوند.
ابتدا باید سیاست های سرور OpenVPN را پیکربندی کنید:
حمل و نقل را برای اتصال مشخص کنید، پورت را پیکربندی کنید، محدوده آدرس های IP برای اتصال کاربران راه دور
همچنین می توانید تنظیمات رمزگذاری را مشخص کنید.
پس از راه اندازی سرور، اقدام به راه اندازی اتصالات مشتری می کنیم.
هر قانون اتصال SSL VPN برای یک گروه یا برای یک کاربر جداگانه ایجاد می شود. هر کاربر می تواند تنها یک خط مشی اتصال داشته باشد. با توجه به تنظیمات، نکته جالب این است که برای هر یک از این قوانین می توانید کاربران فردی را که از این تنظیمات استفاده می کنند یا گروهی از AD را مشخص کنید، می توانید چک باکس را فعال کنید تا تمام ترافیک در یک تونل VPN پیچیده شود یا آدرس های IP را مشخص کنید. زیر شبکه ها یا نام های FQDN در دسترس کاربران است. بر اساس این خطمشیها، یک نمایه ovpn. با تنظیمات برای مشتری بهطور خودکار ایجاد میشود.
با استفاده از پورتال کاربر، کاربر می تواند هم یک فایل .ovpn را با تنظیمات برای سرویس گیرنده VPN و هم یک فایل نصب سرویس گیرنده VPN را با فایل تنظیمات اتصال داخلی دانلود کند.
نتیجه
در این مقاله به طور خلاصه به بررسی عملکرد VPN در محصول Sophos XG Firewall پرداختیم. ما به نحوه پیکربندی IPSec VPN و SSL VPN نگاه کردیم. این لیست کاملی از آنچه این راه حل می تواند انجام دهد نیست. در مقالات بعدی سعی خواهم کرد RED VPN را بررسی کنم و نشان دهم که در خود راه حل چگونه به نظر می رسد.
ممنون بخاطر وقتی که گذاشتید.
اگر در مورد نسخه تجاری XG Firewall سؤالی دارید، می توانید با ما شرکت تماس بگیرید
منبع: www.habr.com