Hei kaikki! Tässä artikkelissa tarkastellaan Sophos XG Firewall -tuotteen VPN-toimintoja. Edellisessä Tarkastelimme kuinka saada tämä kotiverkon suojausratkaisu ilmaiseksi täydellä lisenssillä. Tänään puhumme Sophos XG:hen sisäänrakennetusta VPN-toiminnallisuudesta. Yritän kertoa sinulle, mitä tämä tuote voi tehdä, ja annan myös esimerkkejä IPSec Site-to-Site VPN:n ja mukautetun SSL VPN:n määrittämisestä. Joten aloitetaan arvostelu.
Ensinnäkin katsotaan lisenssitaulukkoa:
Voit lukea lisää Sophos XG Firewallin lisensoinnista täältä:
Mutta tässä artikkelissa olemme kiinnostuneita vain niistä kohteista, jotka on korostettu punaisella.
VPN:n päätoiminto sisältyy peruslisenssiin ja se ostetaan vain kerran. Tämä on elinikäinen lisenssi eikä vaadi uusimista. VPN-perusasetukset-moduuli sisältää:
Sivustosta toiseen:
- SSL VPN
- IPSec VPN
Etäkäyttö (VPN asiakas):
- SSL VPN
- IPsec Clientless VPN (ilmaisella mukautetulla sovelluksella)
- L2TP
- PPTP
Kuten näet, kaikkia suosittuja protokollia ja VPN-yhteyksien tyyppejä tuetaan.
Lisäksi Sophos XG Firewallissa on kaksi muuta VPN-yhteystyyppiä, jotka eivät sisälly perustilaukseen. Nämä ovat RED VPN ja HTML5 VPN. Nämä VPN-yhteydet sisältyvät Network Protection -tilaukseen, mikä tarkoittaa, että näiden tyyppien käyttämiseksi sinulla on oltava aktiivinen liittymä, joka sisältää myös verkon suojaustoiminnot - IPS- ja ATP-moduulit.
RED VPN on Sophosin kehittämä L2 VPN. Tämän tyyppisellä VPN-yhteydellä on useita etuja Site-to-site SSL- tai IPSec-verkkoon verrattuna, kun VPN määritetään kahden XG:n välille. Toisin kuin IPSec, RED-tunneli luo virtuaalisen rajapinnan tunnelin molempiin päihin, mikä auttaa vianmäärityksessä, ja toisin kuin SSL, tämä virtuaalinen käyttöliittymä on täysin muokattavissa. Järjestelmänvalvojalla on täysi hallinta RED-tunnelin aliverkossa, mikä helpottaa reititysongelmien ja aliverkkoristiriitojen ratkaisemista.
HTML5 VPN tai Clientless VPN – Erityinen VPN-tyyppi, jonka avulla voit välittää palveluita HTML5:n kautta suoraan selaimessa. Palvelutyypit, jotka voidaan määrittää:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTP
- SFTP
- SMB
Mutta on syytä harkita, että tämän tyyppistä VPN:ää käytetään vain erikoistapauksissa, ja on suositeltavaa, jos mahdollista, käyttää VPN-tyyppejä yllä olevista luetteloista.
Käytäntö
Tarkastellaan käytännössä useiden tämäntyyppisten tunnelien määrittämistä, nimittäin: Site-to-Site IPSec ja SSL VPN Remote Access.
Site-to-Site IPSec VPN
Aloitetaan Site-to-Site IPSec VPN -tunnelin määrittämisestä kahden Sophos XG -palomuurin välille. Konepellin alla se käyttää strongSwania, jonka avulla voit muodostaa yhteyden mihin tahansa IPSec-yhteensopivaan reitittimeen.
Voit käyttää kätevää ja nopeaa ohjattua asennustoimintoa, mutta seuraamme yleistä polkua, jotta voit näiden ohjeiden perusteella yhdistää Sophos XG:n minkä tahansa IPSec-laitteen kanssa.
Avataan käytäntöasetusikkuna:
Kuten näemme, esiasetettuja asetuksia on jo olemassa, mutta luomme omat.
Määritetään ensimmäisen ja toisen vaiheen salausparametrit ja tallennetaan käytäntö. Analogisesti teemme samat vaiheet toisessa Sophos XG:ssä ja siirrymme itse IPSec-tunnelin luomiseen
Syötä nimi, toimintatila ja määritä salausparametrit. Käytämme esimerkiksi esijaettua avainta
ja osoittavat paikalliset ja etäaliverkot.
Yhteytemme on luotu
Analogisesti teemme samat asetukset toisessa Sophos XG:ssä, toimintatilaa lukuun ottamatta, siellä asetetaan Aloita yhteys
Nyt meillä on kaksi tunnelia määritettynä. Seuraavaksi meidän on aktivoitava ne ja suoritettava ne. Tämä tehdään hyvin yksinkertaisesti, sinun on napsautettava punaista ympyrää sanan Aktiivinen alla aktivoidaksesi ja punaista ympyrää kohdassa Yhteys aloittaaksesi yhteyden.
Jos näemme tämän kuvan:
Tämä tarkoittaa, että tunnelimme toimii oikein. Jos toinen ilmaisin on punainen tai keltainen, jotain on määritetty väärin salauskäytännöissä tai paikallisissa ja etäaliverkoissa. Haluan muistuttaa, että asetusten on peilattava.
Haluaisin erikseen korostaa, että voit luoda vikasietoryhmiä IPSec-tunneleista vikasietoisuutta varten:
Etäkäyttö SSL VPN
Siirrytään käyttäjien etäkäytön SSL VPN:ään. Konepellin alla on tavallinen OpenVPN. Näin käyttäjät voivat muodostaa yhteyden minkä tahansa asiakkaan kautta, joka tukee .ovpn-määritystiedostoja (esimerkiksi tavallinen yhteysasiakas).
Ensin sinun on määritettävä OpenVPN-palvelinkäytännöt:
Määritä yhteyden kuljetus, määritä portti, IP-osoitteiden alue etäkäyttäjien yhdistämistä varten
Voit myös määrittää salausasetukset.
Palvelimen asennuksen jälkeen siirrymme asiakasyhteyksien määrittämiseen.
Jokainen SSL VPN -yhteyssääntö luodaan ryhmälle tai yksittäiselle käyttäjälle. Jokaisella käyttäjällä voi olla vain yksi yhteyskäytäntö. Asetusten mukaan mielenkiintoista on, että jokaiselle tällaiselle säännölle voit määrittää yksittäisiä käyttäjiä, jotka käyttävät tätä asetusta tai AD:n ryhmän, voit ottaa käyttöön valintaruudun niin, että kaikki liikenne kääritään VPN-tunneliin tai määrittää IP-osoitteet, käyttäjien käytettävissä olevat aliverkot tai FQDN-nimet. Näiden käytäntöjen perusteella luodaan automaattisesti .ovpn-profiili asiakkaan asetuksilla.
Käyttäjäportaalin avulla käyttäjä voi ladata sekä .ovpn-tiedoston VPN-asiakkaan asetuksista että VPN-asiakasasennustiedoston, jossa on sisäänrakennettu yhteysasetustiedosto.
Johtopäätös
Tässä artikkelissa kävimme lyhyesti läpi Sophos XG Firewall -tuotteen VPN-toiminnot. Tarkastelimme, kuinka voit määrittää IPSec VPN:n ja SSL VPN:n. Tämä ei ole täydellinen luettelo siitä, mitä tämä ratkaisu voi tehdä. Seuraavissa artikkeleissa yritän tarkastella RED VPN:ää ja näyttää miltä se näyttää itse ratkaisussa.
Kiitos ajastasi.
Jos sinulla on kysyttävää XG Firewallin kaupallisesta versiosta, voit ottaa yhteyttä meihin, yritykseen , Sophos-jakelija. Sinun tarvitsee vain kirjoittaa vapaassa muodossa osoitteessa .
Lähde: will.com