Hi uile! Nì an artaigil seo ath-sgrùdadh air gnìomhachd VPN ann an toradh Balla-teine Sophos XG. Anns an fhear roimhe Choimhead sinn air mar a gheibhear am fuasgladh dìon lìonra dachaigh seo an-asgaidh le làn chead. An-diugh bruidhnidh sinn mu ghnìomhachd VPN a tha air a thogail a-steach do Sophos XG. Feuchaidh mi ri innse dhut dè as urrainn don toradh seo a dhèanamh, agus bheir mi seachad cuideachd eisimpleirean de bhith a’ stèidheachadh IPSec Site-to-Site VPN agus SSL VPN àbhaisteach. Mar sin leig dhuinn tòiseachadh leis an ath-sgrùdadh.
An toiseach, leig dhuinn sùil a thoirt air a 'chlàr ceadachd:
Faodaidh tu barrachd a leughadh mu mar a tha cead aig Balla-teine Sophos XG an seo:
Ach san artaigil seo bidh ùidh againn a-mhàin anns na stuthan sin a tha air an comharrachadh ann an dearg.
Tha prìomh ghnìomhachd VPN air a ghabhail a-steach sa chead bunaiteach agus chan eil e air a cheannach ach aon turas. Is e cead fad-beatha a tha seo agus chan eil feum air ùrachadh. Tha modal Base VPN Options a’ toirt a-steach:
Làrach-gu-làraich:
- SSL VPN
- IPSec VPN
Ruigsinneachd Iomallach (Cliant VPN):
- SSL VPN
- IPsec Clientless VPN (le app gnàthaichte an-asgaidh)
- L2TP
- PPTP
Mar a chì thu, tha a h-uile protocol mòr-chòrdte agus seòrsa de cheanglaichean VPN a ’faighinn taic.
Cuideachd, tha dà sheòrsa eile de cheanglaichean VPN aig Sophos XG Firewall nach eil air an toirt a-steach don fho-sgrìobhadh bunaiteach. Is iad sin RED VPN agus HTML5 VPN. Tha na ceanglaichean VPN sin air an toirt a-steach don fho-sgrìobhadh Dìon Lìonra, a tha a’ ciallachadh gum feum ballrachd gnìomhach a bhith agad airson na seòrsaichean sin a chleachdadh, a tha cuideachd a’ toirt a-steach comas dìon lìonra - modalan IPS agus ATP.
Tha RED VPN na L2 VPN seilbh bho Sophos. Tha grunn bhuannachdan aig an t-seòrsa seo de cheangal VPN thairis air SSL Làrach-gu-làrach no IPSec nuair a bhios tu a’ stèidheachadh VPN eadar dà XG. Eu-coltach ri IPSec, bidh an tunail RED a’ cruthachadh eadar-aghaidh brìgheil aig gach ceann den tunail, a chuidicheas le duilgheadasan fuasglaidh, agus eu-coltach ri SSL, tha an eadar-aghaidh brìgheil seo gu tur gnàthaichte. Tha làn smachd aig an rianaire air an subnet taobh a-staigh an tunail RED, a tha ga dhèanamh nas fhasa fuasgladh fhaighinn air duilgheadasan slighe agus còmhstri subnet.
HTML5 VPN no Clientless VPN - Seòrsa sònraichte de VPN a leigeas leat seirbheisean a chuir air adhart tro HTML5 gu dìreach sa bhrobhsair. Seòrsaichean de sheirbheisean a dh'fhaodar a rèiteachadh:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ach is fhiach beachdachadh gu bheil an seòrsa seo de VPN air a chleachdadh a-mhàin ann an cùisean sònraichte agus thathar a 'moladh, ma ghabhas e dèanamh, seòrsaichean VPN a chleachdadh bho na liostaichean gu h-àrd.
Cleachdaich
Bheir sinn sùil phractaigeach air mar a chuireas sinn grunn de na tunailean sin air dòigh, is iad sin: Làrach-gu-Làrach IPSec agus SSL VPN Remote Access.
Làrach-gu-Làrach IPSec VPN
Feuch an tòisich sinn le mar a stèidhicheas tu tunail IPSec VPN Làrach-gu-Làrach eadar dà Firewalls Sophos XG. Fon chochall bidh e a’ cleachdadh strongSwan, a leigeas leat ceangal ri router sam bith le comas IPSec.
Faodaidh tu draoidh rèiteachaidh goireasach is luath a chleachdadh, ach leanaidh sinn an t-slighe choitcheann gus an urrainn dhut, stèidhichte air an stiùireadh seo, Sophos XG a chur còmhla ri uidheamachd sam bith a’ cleachdadh IPSec.
Fosglaidh sinn uinneag nan roghainnean poileasaidh:
Mar a chì sinn, tha roghainnean ro-shuidhichte ann mu thràth, ach cruthaichidh sinn ar cuid fhèin.
Feuch an rèiteachadh sinn na paramadairean crioptachaidh airson a’ chiad agus an dàrna ìre agus sàbhail am poileasaidh. Le samhlachadh, bidh sinn a’ dèanamh na h-aon cheumannan air an dàrna Sophos XG agus a’ gluasad air adhart gu bhith a’ stèidheachadh tunail IPSec fhèin
Cuir a-steach ainm, modh obrachaidh agus rèitich na paramadairean crioptachaidh. Mar eisimpleir, cleachdaidh sinn Preshared Key
agus comharraich subnets ionadail agus iomallach.
Tha an ceangal againn air a chruthachadh
Le samhlachas, bidh sinn a’ dèanamh na h-aon shuidheachaidhean air an dàrna Sophos XG, ach a-mhàin am modh obrachaidh, an sin suidhichidh sinn Tòisich an ceangal
A-nis tha dà thunail againn air an rèiteachadh. An ath rud, feumaidh sinn an cur an gnìomh agus an ruith. Tha seo air a dhèanamh gu math sìmplidh, feumaidh tu briogadh air a’ chearcall dhearg fon fhacal Gnìomhach gus a ghnìomhachadh agus air a’ chearcall dhearg fo Ceangal gus an ceangal a thòiseachadh.
Ma chì sinn an dealbh seo:
Tha seo a’ ciallachadh gu bheil an tunail againn ag obair ceart. Ma tha an dàrna comharra dearg no buidhe, tha rudeigin air a rèiteachadh gu ceàrr ann am poileasaidhean crioptachaidh no fo-lìn ionadail agus iomallach. Leig leam do chuimhneachadh gum feum na roghainnean a bhith mar sgàthan.
Air leth, bu mhath leam a chomharrachadh gun urrainn dhut buidhnean Failover a chruthachadh bho thunailean IPSec airson fulangas sgàinidhean:
Ruigsinneachd Iomallach SSL VPN
Gluaisidh sinn air adhart gu Remote Access SSL VPN airson luchd-cleachdaidh. Fon chochall tha OpenVPN àbhaisteach. Leigidh seo le luchd-cleachdaidh ceangal a dhèanamh tro neach-dèiligidh sam bith a bheir taic do fhaidhlichean rèiteachaidh .ovpn (mar eisimpleir, neach-dèiligidh ceangail àbhaisteach).
An toiseach, feumaidh tu na poileasaidhean frithealaiche OpenVPN a rèiteachadh:
Sònraich an còmhdhail airson ceangal, rèitich am port, raon de sheòlaidhean IP airson luchd-cleachdaidh iomallach a cheangal
Faodaidh tu cuideachd roghainnean crioptachaidh a shònrachadh.
Às deidh dhuinn am frithealaiche a stèidheachadh, thèid sinn air adhart gu bhith a’ stèidheachadh cheanglaichean teachdaiche.
Tha gach riaghailt ceangail SSL VPN air a chruthachadh airson buidheann no airson neach-cleachdaidh fa-leth. Chan fhaod ach aon phoileasaidh ceangail a bhith aig gach neach-cleachdaidh. A rèir nan roghainnean, is e an rud a tha inntinneach, airson gach riaghailt mar sin, gun urrainn dhut luchd-cleachdaidh fa leth a chleachdadh a chleachdas an suidheachadh seo no buidheann bho AD, is urrainn dhut am bogsa sgrùdaidh a chomasachadh gus am bi a h-uile trafaic air a phasgadh ann an tunail VPN no na seòlaidhean IP a shònrachadh, subnets no ainmean FQDN a tha rim faighinn le luchd-cleachdaidh . Stèidhichte air na poileasaidhean sin, thèid pròifil .ovpn le roghainnean airson an neach-dèiligidh a chruthachadh gu fèin-obrachail.
A’ cleachdadh portal an neach-cleachdaidh, faodaidh an neach-cleachdaidh an dà chuid faidhle .ovpn a luchdachadh sìos le roghainnean airson an neach-dèiligidh VPN, agus faidhle stàlaidh teachdaiche VPN le faidhle roghainnean ceangail togte.
co-dhùnadh
San artaigil seo, chaidh sinn gu h-aithghearr thairis air gnìomhachd VPN ann an toradh Balla-teine Sophos XG. Choimhead sinn air mar as urrainn dhut IPSec VPN agus SSL VPN a rèiteachadh. Chan e liosta iomlan a tha seo de na as urrainn don fhuasgladh seo a dhèanamh. Anns na h-artaigilean a leanas feuchaidh mi ri ath-sgrùdadh a dhèanamh air RED VPN agus sealltainn cò ris a tha e coltach anns an fhuasgladh fhèin.
Tapadh leibh airson an ùine agad.
Ma tha ceist sam bith agad mun dreach malairteach de XG Firewall, faodaidh tu fios a chuir thugainn, a’ chompanaidh , Sophos neach-sgaoilidh. Chan eil agad ach sgrìobhadh ann an cruth an-asgaidh aig .
Source: www.habr.com