Hæ allir! Þessi grein mun fara yfir VPN virkni í Sophos XG Firewall vörunni. Í fyrri
Fyrst af öllu skulum við líta á leyfistöfluna:
Þú getur lesið meira um hvernig Sophos XG Firewall er með leyfi hér:
En í þessari grein munum við aðeins hafa áhuga á þeim hlutum sem eru auðkenndir með rauðu.
Helstu VPN-virkni er innifalin í grunnleyfinu og er aðeins keypt einu sinni. Þetta er ævilangt leyfi og þarfnast ekki endurnýjunar. Grunn VPN Options einingin inniheldur:
Frá síðu til síðu:
- ssl vpn
- IPSec VPN
Fjaraðgangur (VPN viðskiptavinur):
- ssl vpn
- IPsec viðskiptavinalaust VPN (með ókeypis sérsniðnu forriti)
- L2TP
- PPTP
Eins og þú sérð eru allar vinsælar samskiptareglur og tegundir VPN-tenginga studdar.
Einnig, Sophos XG Firewall er með tvær fleiri tegundir af VPN tengingum sem eru ekki innifalin í grunnáskriftinni. Þetta eru RED VPN og HTML5 VPN. Þessar VPN-tengingar eru innifaldar í netverndaráskriftinni, sem þýðir að til að nota þessar tegundir verður þú að vera með virka áskrift, sem felur einnig í sér netverndarvirkni - IPS og ATP einingar.
RED VPN er sér L2 VPN frá Sophos. Þessi tegund af VPN-tengingu hefur ýmsa kosti fram yfir SSL eða IPSec frá stað til staðar þegar VPN er sett upp á milli tveggja XG. Ólíkt IPSec búa RED göngin til sýndarviðmót í báðum endum ganganna, sem hjálpar til við að leysa vandamál, og ólíkt SSL er þetta sýndarviðmót algjörlega sérhannaðar. Kerfisstjórinn hefur fulla stjórn á undirnetinu í RED göngunum, sem gerir það auðveldara að leysa leiðarvandamál og undirnetsárekstra.
HTML5 VPN eða Clientless VPN – Sérstök tegund VPN sem gerir þér kleift að framsenda þjónustu í gegnum HTML5 beint í vafranum. Tegundir þjónustu sem hægt er að stilla:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
En það er þess virði að hafa í huga að þessi tegund af VPN er aðeins notuð í sérstökum tilfellum og mælt er með því, ef mögulegt er, að nota VPN gerðir af listunum hér að ofan.
Practice
Við skulum skoða hagnýtt hvernig á að stilla nokkrar af þessum tegundum jarðganga, nefnilega: Site-to-Site IPSec og SSL VPN fjaraðgangur.
Site-to-Site IPSec VPN
Við skulum byrja á því hvernig á að setja upp Site-to-Site IPSec VPN göng milli tveggja Sophos XG eldvegga. Undir hettunni notar það strongSwan, sem gerir þér kleift að tengjast hvaða IPSec-virka bein sem er.
Þú getur notað þægilegan og hraðvirkan uppsetningarhjálp, en við munum fylgja almennu leiðinni þannig að, byggt á þessum leiðbeiningum, getur þú sameinað Sophos XG við hvaða búnað sem er sem notar IPSec.
Við skulum opna gluggann fyrir stefnustillingar:
Eins og við sjáum eru þegar til forstilltar stillingar, en við munum búa til okkar eigin.
Við skulum stilla dulkóðunarfæribreyturnar fyrir fyrsta og annan áfanga og vista stefnuna. Á hliðstæðan hátt gerum við sömu skref á seinni Sophos XG og höldum áfram að setja upp IPSec göngin sjálf
Sláðu inn nafnið, rekstrarhaminn og stilltu dulkóðunarfæribreyturnar. Til dæmis munum við nota Preshared Key
og tilgreina staðbundin og fjarlæg undirnet.
Tenging okkar hefur skapast
Á hliðstæðan hátt gerum við sömu stillingar á öðrum Sophos XG, að undanskildum rekstrarhamnum, þar munum við stilla Initiate the connection
Nú erum við með tvö göng stillt. Næst þurfum við að virkja þá og keyra þá. Þetta er gert mjög einfaldlega, þú þarft að smella á rauða hringinn undir orðinu Virkur til að virkja og á rauða hringinn undir Tenging til að hefja tenginguna.
Ef við sjáum þessa mynd:
Þetta þýðir að göngin okkar virka rétt. Ef seinni vísirinn er rauður eða gulur, þá er eitthvað rangt stillt í dulkóðunarreglum eða staðbundnum og fjarlægum undirnetum. Leyfðu mér að minna þig á að stillingarnar verða að vera speglaðar.
Sérstaklega vil ég undirstrika að þú getur búið til bilunarhópa úr IPSec göngum fyrir bilanaþol:
Fjaraðgangur SSL VPN
Við skulum halda áfram í fjaraðgang SSL VPN fyrir notendur. Undir hettunni er venjulegur OpenVPN. Þetta gerir notendum kleift að tengjast í gegnum hvaða biðlara sem styður .ovpn stillingarskrár (til dæmis venjulegan tengingarbiðlara).
Fyrst þarftu að stilla OpenVPN netþjónastefnur:
Tilgreindu flutning fyrir tengingu, stilltu höfnina, svið IP vistfanga til að tengja ytri notendur
Þú getur líka tilgreint dulkóðunarstillingar.
Eftir að þjónninn hefur verið settur upp höldum við áfram að setja upp biðlaratengingar.
Hver SSL VPN tengiregla er búin til fyrir hóp eða fyrir einstakan notanda. Hver notandi getur aðeins haft eina tengingarstefnu. Samkvæmt stillingunum, það sem er áhugavert er að fyrir hverja slíka reglu geturðu tilgreint einstaka notendur sem munu nota þessa stillingu eða hóp frá AD, þú getur virkjað gátreitinn þannig að allri umferð sé vafin inn í VPN göng eða tilgreint IP tölur, undirnet eða FQDN nöfn í boði fyrir notendur. Byggt á þessum reglum verður sjálfkrafa búið til .ovpn prófíl með stillingum fyrir biðlarann.
Með því að nota notendagáttina getur notandinn sótt bæði .ovpn skrá með stillingum fyrir VPN biðlarann og VPN biðlara uppsetningarskrá með innbyggðri tengistillingaskrá.
Ályktun
Í þessari grein fórum við stuttlega yfir VPN virkni í Sophos XG Firewall vörunni. Við skoðuðum hvernig þú getur stillt IPSec VPN og SSL VPN. Þetta er ekki tæmandi listi yfir hvað þessi lausn getur gert. Í eftirfarandi greinum mun ég reyna að endurskoða RED VPN og sýna hvernig það lítur út í lausninni sjálfri.
Þakka þér fyrir tímann.
Ef þú hefur einhverjar spurningar um viðskiptaútgáfu af XG Firewall geturðu haft samband við okkur, fyrirtækið
Heimild: www.habr.com