Silav hemû! Ev gotar dê fonksiyona VPN-ê di hilbera Sophos XG Firewall de binirxîne. Di berê de Me nihêrî ka meriv çawa vê çareseriya parastina tora malê belaş bi destûrnameyek bêkêmasî digire. Îro em ê li ser fonksiyona VPN ya ku di Sophos XG de hatî çêkirin biaxivin. Ez ê hewl bidim ku ji we re vebêjim ka ev hilber dikare çi bike, û di heman demê de nimûneyên sazkirina IPSec Malper-to-Site VPN û SSL VPN-ya xwerû bidim. Ji ber vê yekê em bi vekolînê re dest pê bikin.
Berî her tiştî, em li tabloya lîsansê binêrin:
Hûn dikarin li vir bêtir bixwînin ka Sophos XG Firewall çawa destûrdayî ye li vir:
Lê di vê gotarê de em ê tenê bi wan tiştên ku bi rengê sor têne xuyang kirin eleqedar bibin.
Fonksiyona sereke ya VPN-ê di lîsansa bingehîn de tête navandin û tenê carekê tête kirîn. Ev destûrnameyek heyatî ye û ne hewceyî nûvekirinê ye. Modula Vebijarkên Bingehîn VPN dihewîne:
Malper bi Malper:
- SSL VPN
- IPSec VPN
Gihîştina Dûr (VPN-ya xerîdar):
- SSL VPN
- IPsec Clientless VPN (bi sepana xwerû ya belaş)
- L2TP
- PPTP
Wekî ku hûn dikarin bibînin, hemî protokolên populer û celebên girêdanên VPN têne piştgirî kirin.
Di heman demê de, Sophos XG Firewall du celebên din girêdanên VPN hene ku di abonetiya bingehîn de ne. Vana RED VPN û HTML5 VPN ne. Van girêdanên VPN-ê di abonetiya Parastina Torê de ne, ku tê vê wateyê ku ji bo karanîna van celeban divê hûn xwediyê abonetiyek çalak bin, ku di heman demê de fonksiyona parastina torê jî digire - modulên IPS û ATP.
RED VPN ji Sophos-ê L2 VPN-ya xwedan e. Dema ku VPN di navbera du XG-an de saz dike, ev celeb girêdana VPN li ser Malper-to-malper SSL an IPSec gelek avantajên xwe hene. Berevajî IPSec, tunela RED di her du dawiya tunelê de navgînek virtual diafirîne, ku di çareserkirina pirsgirêkan de dibe alîkar, û berevajî SSL-ê, ev pêwendiya virtual bi tevahî xwerû ye. Rêvebir di hundurê tunela RED-ê de bi tevahî li ser subnetê kontrol dike, ku çareserkirina pirsgirêkên rê û nakokiyên jêrtorê hêsantir dike.
HTML5 VPN an VPN bê Xerîdar - Cûreyek taybetî ya VPN-ê ku dihêle hûn karûbaran bi HTML5-ê rasterast di gerokê de bişopînin. Cûreyên karûbarên ku dikarin bêne mîheng kirin:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Lê hêjayî gotinê ye ku ev celeb VPN tenê di rewşên taybetî de tê bikar anîn û tê pêşniyar kirin, heke gengaz be, celebên VPN ji navnîşên jorîn bikar bînin.
Praktice
Ka em bi pratîkî binihêrin ka meriv çawa çend ji van celeb tunelan mîheng dike, bi navî: Malper-to-Malper IPSec û SSL VPN Remote Access.
Malper-bi-Malper IPSec VPN
Ka em bi awayê sazkirina tunelek IPSec VPN ya Malper-to-Malper di navbera du Firewallên Sophos XG de dest pê bikin. Di binê kapê de ew strongSwan bikar tîne, ku destûrê dide te ku hûn bi her routerê çalak-IPSec ve girêbidin.
Hûn dikarin sêrbazek sazkirinê ya hêsan û bilez bikar bînin, lê em ê riya gelemperî bişopînin da ku, li ser bingeha van rêwerzan, hûn dikarin Sophos XG bi her amûrek ku IPSec bikar tînin re hevber bikin.
Ka em pencereya mîhengên polîtîkayê vekin:
Wekî ku em dibînin, jixwe mîhengên pêşwext hene, lê em ê ya xwe biafirînin.
Ka em ji bo qonaxên yekem û duyemîn pîvanên şîfrekirinê mîheng bikin û siyasetê xilas bikin. Bi analogî, em heman gavan li ser Sophos XG-ya duyemîn dikin û ber bi sazkirina tunela IPSec-ê ve diçin.
Nav, moda xebitandinê binivîse û pîvanên şîfrekirinê mîheng bike. Mînakî, em ê Key Preshared bikar bînin
û subnetên herêmî û dûr destnîşan bikin.
Têkiliya me çêbû
Bi analogê, em heman mîhengan li ser Sophos XG-ya duyemîn çêdikin, ji bilî moda xebitandinê, li wir em ê destnîşan bikin Destpêkirina girêdanê
Naha me du tunel hatine mîheng kirin. Piştre, em hewce ne ku wan çalak bikin û wan bimeşînin. Ev pir bi hêsanî tête kirin, hûn hewce ne ku li dora sor a li binê peyva Active bikirtînin da ku çalak bikin û li dora sor a li binê Girêdanê bikirtînin da ku pêwendiyê dest pê bikin.
Ger em vê wêneyê bibînin:
Ev tê vê wateyê ku tunela me rast dixebite. Ger nîşana duyemîn sor an zer be, wê hingê tiştek di polîtîkayên şîfrekirinê de an jêrtorên herêmî û dûr de bi xeletî hatî mîheng kirin. Bihêle ku ez ji we re bi bîr bînim ku pêdivî ye ku mîhengan neynikê bibin.
Ji hev veqetandî, ez dixwazim ronî bikim ku hûn dikarin komên Failover ji tunelên IPSec ji bo tolerasyona xeletiyê biafirînin:
Remote Access SSL VPN
Ka em ji bo bikarhêneran derbasî SSL VPN-a Remote Access bibin. Di binê kapikê de OpenVPN-ya standard heye. Ev rê dide bikarhêneran ku bi her xerîdarek ku pelên veavakirina .ovpn piştgirî dike ve girêbidin (mînak, xerîdarek pêwendiya standard).
Pêşîn, hûn hewce ne ku polîtîkayên servera OpenVPN mîheng bikin:
Veguheztina ji bo girêdanê diyar bikin, portê mîheng bikin, rêza navnîşanên IP-yê ji bo girêdana bikarhênerên dûr
Her weha hûn dikarin mîhengên şîfrekirinê diyar bikin.
Piştî sazkirina serverê, em dest bi sazkirina girêdanên xerîdar dikin.
Her qaîdeya girêdana SSL VPN ji bo komek an ji bo bikarhênerek kesane tête çêkirin. Her bikarhêner dikare tenê yek polîtîkaya girêdanê hebe. Li gorî mîhengan, ya balkêş ev e ku ji bo her qaîdeyek weha hûn dikarin bikarhênerên kesane diyar bikin ku dê vê mîhengê an komek ji AD-ê bikar bînin, hûn dikarin qutiya kontrolê çalak bikin da ku hemî seyrûsefer di tunelek VPN de were pêçandin an navnîşanên IP-ê diyar bikin. subnet an navên FQDN ji bikarhêneran re hene. Li ser bingeha van polîtîkayan, profîlek .ovpn bi mîhengên ji bo xerîdar dê bixweber were afirandin.
Bi karanîna portalê bikarhêner, bikarhêner dikare hem pelek .ovpn bi mîhengên ji bo muwekîlê VPN, hem jî pelek sazkirina xerîdar VPN bi pelê mîhengên pêwendiya çêkirî dakêşîne.
encamê
Di vê gotarê de, me bi kurtasî li ser fonksiyona VPN-ê di hilbera Sophos XG Firewall de çû. Me nihêrî ka hûn çawa dikarin IPSec VPN û SSL VPN mîheng bikin. Ev ne navnîşek bêkêmasî ye ku ev çareserî dikare çi bike. Di gotarên jêrîn de ez ê hewl bidim ku RED VPN-ê binirxînim û nîşan bidim ka ew di çareseriyê de xwe çawa xuya dike.
Spas dikim ji bo dema xwe.
Ger pirsên we di derbarê guhertoya bazirganî ya XG Firewall de hebin, hûn dikarin bi me re, pargîdaniyê re têkilî daynin , belavkerê Sophos. Tiştê ku hûn bikin ev e ku hûn bi forma belaş li ser binivîsin .
Source: www.habr.com