Բարեւ բոլորին! Այս հոդվածը կվերանայի VPN ֆունկցիոնալությունը Sophos XG Firewall արտադրանքում: Նախկինում
Նախ նայենք լիցենզավորման աղյուսակին.
Դուք կարող եք ավելին կարդալ այն մասին, թե ինչպես է Sophos XG Firewall-ը լիցենզավորված այստեղ.
Բայց այս հոդվածում մեզ կհետաքրքրեն միայն այն իրերը, որոնք ընդգծված են կարմիրով։
VPN-ի հիմնական գործառույթը ներառված է հիմնական լիցենզիայում և գնվում է միայն մեկ անգամ: Սա ցմահ լիցենզիա է և չի պահանջում նորացում: Base VPN Options մոդուլը ներառում է.
Կայքից կայք.
- SSL VPN- ն
- IPSec VPN
Հեռակա մուտք (հաճախորդի VPN):
- SSL VPN- ն
- IPsec Clientless VPN (անվճար մաքսային հավելվածով)
- L2TP
- PPTP
Ինչպես տեսնում եք, բոլոր հայտնի արձանագրությունները և VPN կապերի տեսակներն ապահովված են:
Նաև Sophos XG Firewall-ն ունի ևս երկու տեսակի VPN կապ, որոնք ներառված չեն հիմնական բաժանորդագրության մեջ: Սրանք RED VPN և HTML5 VPN են: Այս VPN կապերը ներառված են Network Protection բաժանորդագրության մեջ, ինչը նշանակում է, որ այս տեսակներից օգտվելու համար դուք պետք է ունենաք ակտիվ բաժանորդագրություն, որը ներառում է նաև ցանցի պաշտպանության գործառույթ՝ IPS և ATP մոդուլներ:
RED VPN-ը սեփականատիրական L2 VPN է Sophos-ից: VPN կապի այս տեսակն ունի մի շարք առավելություններ Site-to-site SSL-ի կամ IPSec-ի նկատմամբ՝ երկու XG-ների միջև VPN ստեղծելու ժամանակ: Ի տարբերություն IPSec-ի, RED թունելը ստեղծում է վիրտուալ ինտերֆեյս թունելի երկու ծայրերում, որն օգնում է խնդիրների վերացմանը, և ի տարբերություն SSL-ի, այս վիրտուալ ինտերֆեյսը լիովին հարմարեցված է: Ադմինիստրատորը լիովին վերահսկում է ենթացանցը RED թունելի ներսում, ինչը հեշտացնում է երթուղավորման խնդիրները և ենթացանցերի կոնֆլիկտները:
HTML5 VPN կամ Clientless VPN – VPN-ի հատուկ տեսակ, որը թույլ է տալիս ծառայություններ փոխանցել HTML5-ի միջոցով անմիջապես բրաուզերում: Ծառայությունների տեսակները, որոնք կարող են կազմաձևվել.
- RDP- ն
- Telnet- ը
- SSH
- VNC
- FTP
- FTPS- ը
- SFTP
- SMB
Բայց արժե հաշվի առնել, որ VPN-ի այս տեսակն օգտագործվում է միայն հատուկ դեպքերում, և հնարավորության դեպքում խորհուրդ է տրվում օգտագործել վերը նշված ցուցակներից VPN տեսակները:
Պրակտիկա
Եկեք գործնական նայենք, թե ինչպես կարելի է կարգավորել այս տեսակի թունելներից մի քանիսը, մասնավորապես՝ Site-to-Site IPSec և SSL VPN Remote Access:
Կայքից կայք IPSec VPN
Եկեք սկսենք նրանից, թե ինչպես ստեղծել Site-to-Site IPSec VPN թունել երկու Sophos XG Firewall-ների միջև: Կափարիչի տակ այն օգտագործում է strongSwan, որը թույլ է տալիս միանալ IPSec-ով միացված ցանկացած երթուղիչին:
Դուք կարող եք օգտագործել հարմար և արագ տեղադրման հրաշագործ, բայց մենք կհետևենք ընդհանուր ուղուն, որպեսզի այս հրահանգների հիման վրա կարողանաք համատեղել Sophos XG-ն ցանկացած սարքավորման հետ՝ օգտագործելով IPSec:
Եկեք բացենք քաղաքականության կարգավորումների պատուհանը.
Ինչպես տեսնում ենք, արդեն կան նախադրված կարգավորումներ, բայց մենք կստեղծենք մերը:
Եկեք կարգավորենք կոդավորման պարամետրերը առաջին և երկրորդ փուլերի համար և պահպանենք քաղաքականությունը: Ըստ անալոգիայի, մենք անում ենք նույն քայլերը երկրորդ Sophos XG-ի վրա և անցնում ենք IPSec թունելի տեղադրմանը:
Մուտքագրեք անունը, գործառնական ռեժիմը և կազմաձևեք գաղտնագրման պարամետրերը: Օրինակ, մենք կօգտագործենք Preshared Key
և նշեք տեղական և հեռավոր ենթացանցերը:
Մեր կապը ստեղծվել է
Ըստ անալոգիայի, մենք նույն կարգավորումները կատարում ենք երկրորդ Sophos XG-ի վրա, բացառությամբ գործառնական ռեժիմի, այնտեղ մենք կսահմանենք Initiate կապը:
Այժմ մենք ունենք երկու թունել կազմաձևված: Հաջորդը, մենք պետք է ակտիվացնենք դրանք և գործարկենք դրանք: Սա արվում է շատ պարզ, ակտիվացնելու համար պետք է սեղմել Active բառի տակ գտնվող կարմիր շրջանակի վրա, իսկ կապը սկսելու համար Connection տակ գտնվող կարմիր շրջանակի վրա:
Եթե տեսնենք այս նկարը.
Սա նշանակում է, որ մեր թունելը ճիշտ է աշխատում: Եթե երկրորդ ցուցանիշը կարմիր կամ դեղին է, ապա ինչ-որ բան սխալ է կազմաձևված գաղտնագրման քաղաքականության մեջ կամ տեղական և հեռավոր ենթացանցերում: Հիշեցնեմ, որ կարգավորումները պետք է արտացոլված լինեն:
Առանձին-առանձին, ես կցանկանայի ընդգծել, որ դուք կարող եք ստեղծել Failover խմբեր IPSec թունելներից սխալների հանդուրժողականության համար.
Հեռակա մուտքի SSL VPN
Եկեք անցնենք «Remote Access SSL VPN» օգտվողների համար: Կափարիչի տակ կա ստանդարտ OpenVPN: Սա թույլ է տալիս օգտվողներին միանալ ցանկացած հաճախորդի միջոցով, որն աջակցում է .ovpn կազմաձևման ֆայլեր (օրինակ, ստանդարտ կապի հաճախորդ):
Նախ, դուք պետք է կարգավորեք OpenVPN սերվերի քաղաքականությունը.
Նշեք միացման տրանսպորտը, կարգավորեք նավահանգիստը, IP հասցեների շրջանակը հեռավոր օգտվողներին միացնելու համար
Կարող եք նաև նշել կոդավորման կարգավորումները:
Սերվերը կարգավորելուց հետո մենք անցնում ենք հաճախորդի կապերի ստեղծմանը:
SSL VPN կապի յուրաքանչյուր կանոն ստեղծվում է խմբի կամ առանձին օգտագործողի համար: Յուրաքանչյուր օգտվող կարող է ունենալ միայն մեկ կապի քաղաքականություն: Ըստ կարգավորումների՝ հետաքրքիրն այն է, որ յուրաքանչյուր նման կանոնի համար կարող եք նշել առանձին օգտվողներ, ովքեր կօգտագործեն այս պարամետրը կամ AD-ի խումբը, կարող եք միացնել վանդակը, որպեսզի ամբողջ տրաֆիկը փաթաթվի VPN թունելում կամ նշեք IP հասցեները, ենթացանցեր կամ FQDN անուններ, որոնք հասանելի են օգտատերերին: Այս կանոնների հիման վրա ավտոմատ կերպով կստեղծվի .ovpn պրոֆիլ՝ հաճախորդի համար նախատեսված կարգավորումներով:
Օգտվողի պորտալից օգտվելով՝ օգտատերը կարող է ներբեռնել և՛ .ovpn ֆայլ՝ VPN հաճախորդի կարգավորումներով, և՛ VPN հաճախորդի տեղադրման ֆայլ՝ ներկառուցված կապի կարգավորումների ֆայլով:
Ամփոփում
Այս հոդվածում մենք հակիրճ անդրադարձանք VPN ֆունկցիոնալությանը Sophos XG Firewall արտադրանքում: Մենք նայեցինք, թե ինչպես կարող եք կարգավորել IPSec VPN-ը և SSL VPN-ը: Սա ամբողջական ցանկ չէ, թե ինչ կարող է անել այս լուծումը: Հետևյալ հոդվածներում ես կփորձեմ վերանայել RED VPN-ը և ցույց տալ, թե ինչ տեսք ունի այն հենց լուծման մեջ:
Շնորհակալություն ժամանակ տրամադրելու համար.
Եթե հարցեր ունեք XG Firewall-ի կոմերցիոն տարբերակի վերաբերյալ, կարող եք կապվել մեզ՝ ընկերության հետ
Source: www.habr.com