Бәріңе сәлем! Бұл мақалада Sophos XG Firewall өніміндегі VPN мүмкіндіктері қарастырылады. Алдыңғыда Біз бұл үй желісін қорғау шешімін толық лицензиямен қалай тегін алуға болатынын қарастырдық. Бүгін біз Sophos XG жүйесіне енгізілген VPN функциясы туралы сөйлесетін боламыз. Мен сізге бұл өнімнің не істей алатынын айтуға тырысамын, сонымен қатар IPSec Сайттан Сайтқа VPN және реттелетін SSL VPN орнату мысалдарын келтіремін. Ендеше шолуды бастайық.
Ең алдымен, лицензиялық кестеге назар аударайық:
Sophos XG Firewall лицензиясы туралы толығырақ мына жерден оқи аласыз:
Бірақ бұл мақалада бізді тек қызыл түспен белгіленген элементтер қызықтырады.
Негізгі VPN функциясы негізгі лицензияға кіреді және тек бір рет сатып алынады. Бұл өмірлік лицензия және жаңартуды қажет етпейді. Негізгі VPN опциялары модулі мыналарды қамтиды:
Сайттан сайтқа:
- SSL VPN
- IPSec VPN
Қашықтан қол жеткізу (клиент VPN):
- SSL VPN
- IPsec Clientless VPN (тегін пайдаланушы қолданбасы бар)
- L2TP
- PPTP
Көріп отырғаныңыздай, барлық танымал протоколдар мен VPN қосылымдарының түрлеріне қолдау көрсетіледі.
Сондай-ақ, Sophos XG брандмауэрінде негізгі жазылымға қосылмаған VPN қосылымдарының тағы екі түрі бар. Бұл RED VPN және HTML5 VPN. Бұл VPN қосылымдары Network Protection жазылымына кіреді, яғни бұл түрлерді пайдалану үшін сізде желіні қорғау функциясы - IPS және ATP модульдерін қамтитын белсенді жазылым болуы керек.
RED VPN — Sophos фирмасының меншікті L2 VPN. VPN қосылымының бұл түрінің екі XG арасында VPN орнату кезінде Сайттан сайтқа SSL немесе IPSec қарағанда бірқатар артықшылықтары бар. IPSec-тен айырмашылығы, RED туннелі туннельдің екі шетінде ақауларды жоюға көмектесетін виртуалды интерфейс жасайды және SSL-ден айырмашылығы, бұл виртуалды интерфейс толығымен теңшеуге болады. Әкімші RED туннелі ішіндегі ішкі желіні толық басқарады, бұл маршруттау мәселелерін және ішкі желі қақтығыстарын шешуді жеңілдетеді.
HTML5 VPN немесе Clientless VPN – HTML5 арқылы қызметтерді браузерде тікелей жіберуге мүмкіндік беретін VPN-дің белгілі бір түрі. Конфигурациялауға болатын қызмет түрлері:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Бірақ бұл VPN түрі ерекше жағдайларда ғана қолданылатынын ескерген жөн және мүмкіндігінше жоғарыдағы тізімдерден VPN түрлерін пайдалану ұсынылады.
Тәжірибе
Осы туннельдердің бірнеше түрін қалай конфигурациялауға болатынын практикалық түрде қарастырайық, атап айтқанда: Сайттан сайтқа IPSec және SSL VPN қашықтан қол жеткізу.
Сайттан сайтқа IPSec VPN
Екі Sophos XG брандмауэрі арасында Сайттан Сайтқа IPSec VPN туннелін орнату жолынан бастайық. Сорғыштың астында ол кез келген IPSec қосылған маршрутизаторға қосылуға мүмкіндік беретін strongSwan пайдаланады.
Ыңғайлы және жылдам орнату шеберін пайдалануға болады, бірақ біз осы нұсқауларға сүйене отырып, Sophos XG жүйесін IPSec көмегімен кез келген жабдықпен біріктіру үшін жалпы жолды ұстанамыз.
Саясат параметрлері терезесін ашайық:
Көріп отырғанымыздай, алдын ала орнатылған параметрлер бар, бірақ біз өзімізді жасаймыз.
Бірінші және екінші фазалар үшін шифрлау параметрлерін конфигурациялап, саясатты сақтайық. Аналогия бойынша біз екінші Sophos XG-де бірдей қадамдарды жасаймыз және IPSec туннелін орнатуға көшеміз
Атын, жұмыс режимін енгізіңіз және шифрлау параметрлерін конфигурациялаңыз. Мысалы, біз Preshared Key қолданамыз
және жергілікті және қашықтағы ішкі желілерді көрсетіңіз.
Біздің байланысымыз құрылды
Аналогия бойынша біз екінші Sophos XG-де бірдей параметрлерді жасаймыз, жұмыс режимін қоспағанда, біз қосылымды бастаймыз.
Қазір бізде конфигурацияланған екі туннель бар. Содан кейін біз оларды іске қосып, іске қосуымыз керек. Бұл өте қарапайым орындалады, қосу үшін Белсенді сөзінің астындағы қызыл шеңберді және қосылымды бастау үшін Қосылым астындағы қызыл шеңберді басу керек.
Мына суретті көрсек:
Бұл біздің туннель дұрыс жұмыс істеп тұрғанын білдіреді. Екінші көрсеткіш қызыл немесе сары болса, шифрлау саясаттарында немесе жергілікті және қашықтағы ішкі желілерде бірдеңе дұрыс конфигурацияланбаған. Параметрлер шағылыстырылуы керек екенін еске саламын.
Сонымен қатар, ақауларға төзімділік үшін IPSec туннельдерінен Failover топтарын жасауға болатынын атап өткім келеді:
Қашықтан қол жеткізу SSL VPN
Пайдаланушылар үшін Remote Access SSL VPN қызметіне көшейік. Сорғыштың астында стандартты OpenVPN бар. Бұл пайдаланушыларға .ovpn конфигурация файлдарын қолдайтын кез келген клиент арқылы қосылуға мүмкіндік береді (мысалы, стандартты қосылым клиенті).
Алдымен сіз OpenVPN серверінің саясаттарын конфигурациялауыңыз керек:
Қосылу үшін тасымалдауды көрсетіңіз, портты конфигурациялаңыз, қашықтағы пайдаланушыларды қосу үшін IP мекенжайларының ауқымы
Сондай-ақ шифрлау параметрлерін көрсетуге болады.
Серверді орнатқаннан кейін біз клиенттік қосылымдарды орнатуға кірісеміз.
Әрбір SSL VPN қосылым ережесі топ немесе жеке пайдаланушы үшін жасалады. Әрбір пайдаланушының тек бір қосылу саясаты болуы мүмкін. Параметрлерге сәйкес, бір қызығы, әрбір осындай ереже үшін осы параметрді немесе AD тобын пайдаланатын жеке пайдаланушыларды көрсетуге болады, барлық трафик VPN туннеліне оралатындай немесе IP мекенжайларын көрсету үшін құсбелгіні қоюға болады, пайдаланушыларға қолжетімді ішкі желілер немесе FQDN атаулары. Осы саясаттардың негізінде клиентке арналған параметрлері бар .ovpn профилі автоматты түрде жасалады.
Пайдаланушы порталын пайдалану арқылы пайдаланушы VPN клиентінің параметрлері бар .ovpn файлын және кірістірілген қосылым параметрлері файлы бар VPN клиентінің орнату файлын жүктей алады.
қорытынды
Бұл мақалада біз Sophos XG Firewall өніміндегі VPN функциясын қысқаша қарастырдық. IPSec VPN және SSL VPN параметрлерін қалай конфигурациялауға болатынын қарастырдық. Бұл шешімнің не істей алатынының толық тізімі емес. Келесі мақалаларда мен RED VPN-ді қарап шығуға тырысамын және оның шешімнің өзінде қалай көрінетінін көрсетемін.
Уақыт бөлгеніңізге рахмет.
XG Firewall коммерциялық нұсқасы туралы сұрақтарыңыз болса, бізге, компанияға хабарласа аласыз , Sophos дистрибьюторы. Ол үшін тегін түрде мына мекен-жайға жазсаңыз болғаны .
Ақпарат көзі: www.habr.com