Hoi allegearre! Dit artikel sil de VPN-funksjonaliteit besjen yn it Sophos XG Firewall-produkt. Yn it foarige Wy seagen hoe't jo dizze oplossing foar beskerming fan thúsnetwurk fergees kinne krije mei in folsleine lisinsje. Hjoed sille wy prate oer de VPN-funksjonaliteit dy't is ynboud yn Sophos XG. Ik sil besykje jo te fertellen wat dit produkt kin dwaan, en ek foarbylden jaan fan it ynstellen fan in IPSec Site-to-Site VPN en in oanpaste SSL VPN. Dus litte wy begjinne mei de resinsje.
Lit ús earst nei de lisinsjetabel sjen:
Jo kinne hjir mear lêze oer hoe't Sophos XG Firewall lisinsje is:
Mar yn dit artikel sille wy allinich ynteressearre wêze yn dy items dy't yn read markearre binne.
De wichtichste VPN-funksjonaliteit is opnommen yn 'e basislisinsje en wurdt mar ien kear kocht. Dit is in libbenslange lisinsje en fereasket gjin fernijing. De module Basis VPN-opsjes omfettet:
Site-to-Site:
- SSL VPN
- IPSec VPN
Tagong op ôfstân (klant VPN):
- SSL VPN
- IPsec Clientless VPN (mei fergese oanpaste app)
- L2TP
- PPTP
Sa't jo sjen kinne, wurde alle populêre protokollen en soarten VPN-ferbiningen stipe.
Ek Sophos XG Firewall hat noch twa soarten VPN-ferbiningen dy't net opnommen binne yn it basisabonnemint. Dit binne RED VPN en HTML5 VPN. Dizze VPN-ferbiningen binne opnaam yn it abonnemint foar netwurkbeskerming, wat betsjut dat jo om dizze typen te brûken in aktyf abonnemint hawwe moatte, dat ek netwurkbeskermingsfunksjonaliteit omfettet - IPS- en ATP-modules.
RED VPN is in eigen L2 VPN fan Sophos. Dit soarte fan VPN-ferbining hat in oantal foardielen boppe Site-to-site SSL of IPSec by it ynstellen fan in VPN tusken twa XG's. Oars as IPSec makket de RED-tunnel in firtuele ynterface oan beide einen fan 'e tunnel, dy't helpt by it oplossen fan problemen, en yn tsjinstelling ta SSL is dizze firtuele ynterface folslein oanpasber. De behearder hat folsleine kontrôle oer it subnet binnen de RED-tunnel, wat it makliker makket om routingproblemen en subnetkonflikten op te lossen.
HTML5 VPN of Clientless VPN - In spesifyk type VPN wêrmei jo tsjinsten fia HTML5 direkt yn 'e browser kinne trochstjoere. Soarten tsjinsten dy't kinne wurde konfigureare:
- RDP
- telnet
- SSH
- vnc
- FTP
- FTPS
- SFTP
- SMB
Mar it is it wurdich te beskôgjen dat dit soarte VPN allinich yn spesjale gefallen brûkt wurdt en it wurdt oanrikkemandearre, as it mooglik is, VPN-typen te brûken fan 'e boppesteande listen.
Praktyk
Litte wy praktysk sjen hoe't jo ferskate fan dizze soarten tunnels kinne konfigurearje, nammentlik: Site-to-Site IPSec en SSL VPN Remote Access.
Site-to-Site IPSec VPN
Litte wy begjinne mei hoe't jo in Site-to-Site IPSec VPN-tunnel ynstelle tusken twa Sophos XG Firewalls. Under de kap brûkt it strongSwan, wêrtroch jo kinne ferbine mei elke IPSec-ynskeakele router.
Jo kinne in handige en rappe opsetwizard brûke, mar wy sille it algemiene paad folgje, sadat jo, basearre op dizze ynstruksjes, Sophos XG kinne kombinearje mei elke apparatuer mei IPSec.
Litte wy it beliedsynstellingsfinster iepenje:
Sa't wy sjen kinne, binne d'r al ynstelde ynstellingen, mar wy sille ús eigen meitsje.
Litte wy de fersiferingsparameters foar de earste en twadde faze konfigurearje en it belied bewarje. Troch analogy dogge wy deselde stappen op 'e twadde Sophos XG en geane troch nei it ynstellen fan de IPSec-tunnel sels
Fier de namme, bestjoeringsmodus yn en konfigurearje de fersiferingsparameters. Wy sille bygelyks Preshared Key brûke
en jouwe lokale en eksterne subnets oan.
Us ferbining is makke
Troch analogy meitsje wy deselde ynstellings op 'e twadde Sophos XG, mei útsûndering fan' e bestjoeringsmodus, dêr sille wy ynstelle Initiate the connection
No hawwe wy twa tunnels konfigureare. Dêrnei moatte wy se aktivearje en útfiere. Dit wurdt dien hiel ienfâldich, jo moatte klikke op de reade sirkel ûnder it wurd Aktyf om te aktivearjen en op de reade sirkel ûnder Ferbining om de ferbining te begjinnen.
As wy dizze foto sjogge:
Dit betsjut dat ús tunnel goed wurket. As de twadde yndikator read of giel is, dan is wat ferkeard ynsteld yn fersiferingsbelied of lokale en eksterne subnets. Lit my jo herinnerje dat de ynstellings moatte wurde spegele.
Apart wol ik markearje dat jo Failover-groepen kinne oanmeitsje fan IPSec-tunnels foar fouttolerânsje:
SSL VPN op ôfstân tagong
Litte wy trochgean nei Remote Access SSL VPN foar brûkers. Under de kap is d'r in standert OpenVPN. Hjirmei kinne brûkers ferbine fia elke kliïnt dy't .ovpn-konfiguraasjetriemmen stipet (bygelyks in standert ferbiningkliïnt).
Earst moatte jo it OpenVPN-tsjinnerbelied ynstelle:
Spesifisearje it ferfier foar ferbining, konfigurearje de poarte, berik fan IP-adressen foar it ferbinen fan brûkers op ôfstân
Jo kinne ek fersifering ynstellings opjaan.
Nei it ynstellen fan de tsjinner geane wy troch mei it ynstellen fan kliïntferbiningen.
Elke SSL VPN-ferbiningsregel wurdt makke foar in groep of foar in yndividuele brûker. Elke brûker kin mar ien ferbiningsbelied hawwe. Neffens de ynstellings, wat nijsgjirrich is dat jo foar elke sa'n regel yndividuele brûkers kinne opjaan dy't dizze ynstelling of in groep fan AD sille brûke, jo kinne it karfakje ynskeakelje sadat alle ferkear yn in VPN-tunnel ferpakt is of de IP-adressen opjaan, subnets of FQDN-nammen beskikber foar brûkers. Op grûn fan dit belied wurdt automatysk in .ovpn-profyl mei ynstellings foar de kliïnt oanmakke.
Mei it brûken fan it brûkersportaal kin de brûker sawol in .ovpn-bestân downloade mei ynstellings foar de VPN-kliïnt, en in VPN-kliïnt-ynstallaasjebestân mei in ynboude ferbining-ynstellingsbestân.
konklúzje
Yn dit artikel gongen wy koart oer de VPN-funksjonaliteit yn it Sophos XG Firewall-produkt. Wy seagen hoe't jo IPSec VPN en SSL VPN kinne konfigurearje. Dit is net in folsleine list fan wat dizze oplossing kin dwaan. Yn 'e folgjende artikels sil ik besykje RED VPN te besjen en sjen te litten hoe't it der útsjocht yn' e oplossing sels.
Tankewol foar jo tiid.
As jo fragen hawwe oer de kommersjele ferzje fan XG Firewall, kinne jo kontakt mei ús opnimme - it bedriuw , Sophos distributeur. It is genôch om yn frije foarm op te skriuwen .
Boarne: www.habr.com