ProHoster > Օրագիր > Վարչակազմը > Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Բարեւ բոլորին! Այս հոդվածը կվերանայի VPN ֆունկցիոնալությունը Sophos XG Firewall արտադրանքում: Նախկինում Հոդված Մենք նայեցինք, թե ինչպես կարելի է անվճար ստանալ տնային ցանցի պաշտպանության այս լուծումը՝ ամբողջական լիցենզիայով: Այսօր մենք կխոսենք VPN ֆունկցիոնալության մասին, որը ներկառուցված է Sophos XG-ում: Ես կփորձեմ ձեզ ասել, թե ինչ կարող է անել այս ապրանքը, ինչպես նաև օրինակներ կբերեմ IPSec Site-to-Site VPN-ի և հատուկ SSL VPN-ի ստեղծման օրինակներ: Այսպիսով, եկեք սկսենք վերանայումից:

Նախ նայենք լիցենզավորման աղյուսակին.

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Դուք կարող եք ավելին կարդալ այն մասին, թե ինչպես է Sophos XG Firewall-ը լիցենզավորված այստեղ.
ՈՒղեցույց
Բայց այս հոդվածում մեզ կհետաքրքրեն միայն այն իրերը, որոնք ընդգծված են կարմիրով։

VPN-ի հիմնական գործառույթը ներառված է հիմնական լիցենզիայում և գնվում է միայն մեկ անգամ: Սա ցմահ լիցենզիա է և չի պահանջում նորացում: Base VPN Options մոդուլը ներառում է.

Կայքից կայք.

  • SSL VPN- ն
  • IPSec VPN

Հեռակա մուտք (հաճախորդի VPN):

  • SSL VPN- ն
  • IPsec Clientless VPN (անվճար մաքսային հավելվածով)
  • L2TP
  • PPTP

Ինչպես տեսնում եք, բոլոր հայտնի արձանագրությունները և VPN կապերի տեսակներն ապահովված են:

Նաև Sophos XG Firewall-ն ունի ևս երկու տեսակի VPN կապ, որոնք ներառված չեն հիմնական բաժանորդագրության մեջ: Սրանք RED VPN և HTML5 VPN են: Այս VPN կապերը ներառված են Network Protection բաժանորդագրության մեջ, ինչը նշանակում է, որ այս տեսակներից օգտվելու համար դուք պետք է ունենաք ակտիվ բաժանորդագրություն, որը ներառում է նաև ցանցի պաշտպանության գործառույթ՝ IPS և ATP մոդուլներ:

RED VPN-ը սեփականատիրական L2 VPN է Sophos-ից: VPN կապի այս տեսակն ունի մի շարք առավելություններ Site-to-site SSL-ի կամ IPSec-ի նկատմամբ՝ երկու XG-ների միջև VPN ստեղծելու ժամանակ: Ի տարբերություն IPSec-ի, RED թունելը ստեղծում է վիրտուալ ինտերֆեյս թունելի երկու ծայրերում, որն օգնում է խնդիրների վերացմանը, և ի տարբերություն SSL-ի, այս վիրտուալ ինտերֆեյսը լիովին հարմարեցված է: Ադմինիստրատորը լիովին վերահսկում է ենթացանցը RED թունելի ներսում, ինչը հեշտացնում է երթուղավորման խնդիրները և ենթացանցերի կոնֆլիկտները:

HTML5 VPN կամ Clientless VPN – VPN-ի հատուկ տեսակ, որը թույլ է տալիս ծառայություններ փոխանցել HTML5-ի միջոցով անմիջապես բրաուզերում: Ծառայությունների տեսակները, որոնք կարող են կազմաձևվել.

  • RDP- ն
  • Telnet- ը
  • SSH
  • VNC
  • FTP
  • FTPS- ը
  • SFTP
  • SMB

Բայց արժե հաշվի առնել, որ VPN-ի այս տեսակն օգտագործվում է միայն հատուկ դեպքերում, և հնարավորության դեպքում խորհուրդ է տրվում օգտագործել վերը նշված ցուցակներից VPN տեսակները:

Պրակտիկա

Եկեք գործնական նայենք, թե ինչպես կարելի է կարգավորել այս տեսակի թունելներից մի քանիսը, մասնավորապես՝ Site-to-Site IPSec և SSL VPN Remote Access:

Կայքից կայք IPSec VPN

Եկեք սկսենք նրանից, թե ինչպես ստեղծել Site-to-Site IPSec VPN թունել երկու Sophos XG Firewall-ների միջև: Կափարիչի տակ այն օգտագործում է strongSwan, որը թույլ է տալիս միանալ IPSec-ով միացված ցանկացած երթուղիչին:

Դուք կարող եք օգտագործել հարմար և արագ տեղադրման հրաշագործ, բայց մենք կհետևենք ընդհանուր ուղուն, որպեսզի այս հրահանգների հիման վրա կարողանաք համատեղել Sophos XG-ն ցանկացած սարքավորման հետ՝ օգտագործելով IPSec:

Եկեք բացենք քաղաքականության կարգավորումների պատուհանը.

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Ինչպես տեսնում ենք, արդեն կան նախադրված կարգավորումներ, բայց մենք կստեղծենք մերը:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Եկեք կարգավորենք կոդավորման պարամետրերը առաջին և երկրորդ փուլերի համար և պահպանենք քաղաքականությունը: Ըստ անալոգիայի, մենք անում ենք նույն քայլերը երկրորդ Sophos XG-ի վրա և անցնում ենք IPSec թունելի տեղադրմանը:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Մուտքագրեք անունը, գործառնական ռեժիմը և կազմաձևեք գաղտնագրման պարամետրերը: Օրինակ, մենք կօգտագործենք Preshared Key

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

և նշեք տեղական և հեռավոր ենթացանցերը:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Մեր կապը ստեղծվել է

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Ըստ անալոգիայի, մենք նույն կարգավորումները կատարում ենք երկրորդ Sophos XG-ի վրա, բացառությամբ գործառնական ռեժիմի, այնտեղ մենք կսահմանենք Initiate կապը:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Այժմ մենք ունենք երկու թունել կազմաձևված: Հաջորդը, մենք պետք է ակտիվացնենք դրանք և գործարկենք դրանք: Սա արվում է շատ պարզ, ակտիվացնելու համար պետք է սեղմել Active բառի տակ գտնվող կարմիր շրջանակի վրա, իսկ կապը սկսելու համար Connection տակ գտնվող կարմիր շրջանակի վրա:
Եթե ​​տեսնենք այս նկարը.

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում
Սա նշանակում է, որ մեր թունելը ճիշտ է աշխատում: Եթե ​​երկրորդ ցուցանիշը կարմիր կամ դեղին է, ապա ինչ-որ բան սխալ է կազմաձևված գաղտնագրման քաղաքականության մեջ կամ տեղական և հեռավոր ենթացանցերում: Հիշեցնեմ, որ կարգավորումները պետք է արտացոլված լինեն:

Առանձին-առանձին, ես կցանկանայի ընդգծել, որ դուք կարող եք ստեղծել Failover խմբեր IPSec թունելներից սխալների հանդուրժողականության համար.

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Հեռակա մուտքի SSL VPN

Եկեք անցնենք «Remote Access SSL VPN» օգտվողների համար: Կափարիչի տակ կա ստանդարտ OpenVPN: Սա թույլ է տալիս օգտվողներին միանալ ցանկացած հաճախորդի միջոցով, որն աջակցում է .ovpn կազմաձևման ֆայլեր (օրինակ, ստանդարտ կապի հաճախորդ):

Նախ, դուք պետք է կարգավորեք OpenVPN սերվերի քաղաքականությունը.

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Նշեք միացման տրանսպորտը, կարգավորեք նավահանգիստը, IP հասցեների շրջանակը հեռավոր օգտվողներին միացնելու համար

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Կարող եք նաև նշել կոդավորման կարգավորումները:

Սերվերը կարգավորելուց հետո մենք անցնում ենք հաճախորդի կապերի ստեղծմանը:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

SSL VPN կապի յուրաքանչյուր կանոն ստեղծվում է խմբի կամ առանձին օգտագործողի համար: Յուրաքանչյուր օգտվող կարող է ունենալ միայն մեկ կապի քաղաքականություն: Ըստ կարգավորումների՝ հետաքրքիրն այն է, որ յուրաքանչյուր նման կանոնի համար կարող եք նշել առանձին օգտվողներ, ովքեր կօգտագործեն այս պարամետրը կամ AD-ի խումբը, կարող եք միացնել վանդակը, որպեսզի ամբողջ տրաֆիկը փաթաթվի VPN թունելում կամ նշեք IP հասցեները, ենթացանցեր կամ FQDN անուններ, որոնք հասանելի են օգտատերերին: Այս կանոնների հիման վրա ավտոմատ կերպով կստեղծվի .ovpn պրոֆիլ՝ հաճախորդի համար նախատեսված կարգավորումներով:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Օգտվողի պորտալից օգտվելով՝ օգտատերը կարող է ներբեռնել և՛ .ovpn ֆայլ՝ VPN հաճախորդի կարգավորումներով, և՛ VPN հաճախորդի տեղադրման ֆայլ՝ ներկառուցված կապի կարգավորումների ֆայլով:

Հեռավոր աշխատանք կամ VPN վերանայում Sophos XG Firewall-ում

Ամփոփում

Այս հոդվածում մենք հակիրճ անդրադարձանք VPN ֆունկցիոնալությանը Sophos XG Firewall արտադրանքում: Մենք նայեցինք, թե ինչպես կարող եք կարգավորել IPSec VPN-ը և SSL VPN-ը: Սա ամբողջական ցանկ չէ, թե ինչ կարող է անել այս լուծումը: Հետևյալ հոդվածներում ես կփորձեմ վերանայել RED VPN-ը և ցույց տալ, թե ինչ տեսք ունի այն հենց լուծման մեջ:

Շնորհակալություն ժամանակ տրամադրելու համար.

Եթե ​​հարցեր ունեք XG Firewall-ի կոմերցիոն տարբերակի վերաբերյալ, կարող եք կապվել մեզ՝ ընկերության հետ Գործոնների խումբ, Sophos դիստրիբյուտոր. Ընդամենը պետք է անվճար ձևով գրել հետևյալ հասցեով [էլեկտրոնային փոստով պաշտպանված].

Source: www.habr.com

Добавить комментарий