Баарына салам! Бул макалада Sophos XG Firewall продуктунун VPN функционалдуулугу каралат. Мурункуда
Биринчиден, лицензиялык таблицаны карап көрөлү:
Sophos XG Firewall кандайча лицензияланганы тууралуу кененирээк бул жерден окуй аласыз:
Бирок, бул макалада биз кызыл менен баса белгиленген буюмдар гана кызыкдар болот.
Негизги VPN функциясы негизги лицензияга киргизилген жана бир гана жолу сатылып алынат. Бул өмүр бою берилген лицензия жана узартууну талап кылбайт. Негизги VPN параметрлери модулу төмөнкүлөрдү камтыйт:
Сайттан Сайтка:
- SSL VPN
- IPSec VPN
Алыстан кирүү (кардар VPN):
- SSL VPN
- IPsec Clientless VPN (акысыз жеке колдонмо менен)
- L2TP
- PPTP
Көрүнүп тургандай, бардык популярдуу протоколдор жана VPN туташуу түрлөрү колдоого алынат.
Ошондой эле, Sophos XG Firewall негизги жазылууга кирбеген VPN туташууларынын дагы эки түрү бар. Бул RED VPN жана HTML5 VPN. Бул VPN туташуулары Network Protection жазылуусуна киргизилген, демек, бул түрлөрүн колдонуу үчүн сизде тармакты коргоо функционалдуулугу - IPS жана ATP модулдары камтылган активдүү жазылуу болушу керек.
RED VPN - бул Sophos компаниясынын менчик L2 VPN. VPN байланышынын бул түрү эки XG ортосунда VPN орнотууда Сайттан сайтка SSL же IPSec караганда бир катар артыкчылыктарга ээ. IPSecтен айырмаланып, RED туннели туннелдин эки учунда виртуалдык интерфейсти түзөт, ал көйгөйлөрдү чечүүгө жардам берет жана SSLден айырмаланып, бул виртуалдык интерфейс толугу менен ыңгайлаштырылган. Администратор RED туннелинин ичиндеги ички тармакты толугу менен көзөмөлдөйт, бул маршруттук көйгөйлөрдү жана субсеттердин конфликттерин чечүүнү жеңилдетет.
HTML5 VPN же Clientless VPN – HTML5 аркылуу кызматтарды түздөн-түз браузерде жөнөтүүгө мүмкүндүк берген белгилүү бир VPN түрү. Конфигурациялануучу кызматтардын түрлөрү:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- КОИ
Бирок VPNдин бул түрү өзгөчө учурларда гана колдонуларын эске алуу керек жана мүмкүн болсо, жогорудагы тизмелерден VPN түрлөрүн колдонуу сунушталат.
практика
Келгиле, бул туннелдердин бир нече түрлөрүн кантип конфигурациялоону практикалык түрдө карап көрөлү, атап айтканда: Сайттан Сайтка IPSec жана SSL VPN Remote Access.
Сайттан Сайтка IPSec VPN
Эки Sophos XG Firewall ортосунда Сайттан Сайтка IPSec VPN туннелин кантип орнотуудан баштайлы. Капоттун астында ал күчтүү Swan колдонот, ал каалаган IPSec иштетилген роутерге туташууга мүмкүндүк берет.
Ыңгайлуу жана тез орнотуу устасын колдонсоңуз болот, бирок биз бул нускамалардын негизинде Sophos XGди IPSec аркылуу каалаган жабдуулар менен айкалыштыра алгыдай кылып жалпы жолду карманабыз.
Саясат орнотуулар терезесин ачалы:
Көрүнүп тургандай, мурунтан эле орнотулган орнотуулар бар, бирок биз өзүбүздүн нерсени түзөбүз.
Биринчи жана экинчи фазалар үчүн шифрлөө параметрлерин конфигурациялап, саясатты сактайлы. Аналогия боюнча, биз экинчи Sophos XGде ушул эле кадамдарды жасайбыз жана IPSec туннелин орнотууга өтөбүз
Атын, иштөө режимин киргизиңиз жана шифрлөө параметрлерин конфигурациялаңыз. Мисалы, биз Preshared Key колдонобуз
жана жергиликтүү жана алыскы ички тармактарды көрсөтөт.
Биздин байланыш түзүлдү
Аналогия боюнча, биз экинчи Sophos XGде ошол эле орнотууларды жасайбыз, иштөө режимин кошпогондо, ал жерде биз туташуу баштоону орнотобуз
Азыр бизде конфигурацияланган эки туннел бар. Андан кийин, биз аларды активдештирип, иштетишибиз керек. Бул абдан жөнөкөй, сиз активдештирүү үчүн Active деген сөздүн астындагы кызыл тегерекчеге жана туташууну баштоо үчүн Байланыш астындагы кызыл тегеректи басышыңыз керек.
Бул сүрөттү көрсөк:
Бул биздин туннелдин туура иштеп жатканын билдирет. Экинчи көрсөткүч кызыл же сары болсо, шифрлөө саясаттарында же жергиликтүү жана алыскы субсеттерде бир нерсе туура эмес конфигурацияланган. Орнотуулар чагылдырылышы керек экенин эскерте кетейин.
Өзүнчө, каталарга чыдамдуулук үчүн IPSec туннелдеринен Failover топторун түзө аларыңызды белгилегим келет:
Remote Access SSL VPN
Келгиле, колдонуучулар үчүн Remote Access SSL VPNге өтөлү. Капоттун астында стандарттуу OpenVPN бар. Бул колдонуучуларга .ovpn конфигурация файлдарын колдогон каалаган кардар аркылуу туташуу мүмкүнчүлүгүн берет (мисалы, стандарттуу туташуу кардары).
Биринчиден, сиз OpenVPN серверинин саясаттарын конфигурациялашыңыз керек:
Туташуу үчүн транспортту көрсөтүңүз, портту конфигурациялаңыз, алыскы колдонуучуларды туташтыруу үчүн IP даректер диапазону
Сиз ошондой эле шифрлөө орнотууларын белгилей аласыз.
Серверди орноткондон кийин, биз кардар байланыштарын орнотууга киришебиз.
Ар бир SSL VPN туташуусу эрежеси бир топ же жеке колдонуучу үчүн түзүлгөн. Ар бир колдонуучу бир гана байланыш саясатына ээ боло алат. Орнотууларга ылайык, эң кызыгы, ар бир мындай эреже үчүн сиз бул жөндөөнү же AD тобун колдоно турган жеке колдонуучуларды белгилей аласыз, бардык трафик VPN туннелине оролуп же IP даректерин көрсөтүү үчүн кутучаны иштете аласыз, колдонуучулар үчүн жеткиликтүү субтор же FQDN аттары. Бул саясаттардын негизинде, кардар үчүн жөндөөлөрү бар .ovpn профили автоматтык түрдө түзүлөт.
Колдонуучунун порталын колдонуу менен колдонуучу VPN кардары үчүн орнотуулары бар .ovpn файлын жана орнотулган байланыш орнотуулары файлы менен VPN кардарын орнотуу файлын жүктөй алат.
жыйынтыктоо
Бул макалада биз Sophos XG Firewall продуктунун VPN функциясын кыскача карап чыктык. IPSec VPN жана SSL VPNди кантип конфигурациялоого болорун карап чыктык. Бул чечим эмне кыла аларын толук тизмеси эмес. Кийинки макалаларда мен RED VPNди карап чыгууга жана анын чечимдин өзүндө кандай экенин көрсөтүүгө аракет кылам.
Убактыңыз үчүн рахмат.
XG Firewall коммерциялык версиясы боюнча суроолоруңуз болсо, биз менен байланышсаңыз болот, компания
Source: www.habr.com