Sveiki visi! Šiame straipsnyje bus apžvelgtos „Sophos XG Firewall“ produkto VPN funkcijos. Ankstesniame
Pirmiausia pažvelkime į licencijavimo lentelę:
Daugiau apie tai, kaip Sophos XG Firewall licencijuojama, galite perskaityti čia:
Tačiau šiame straipsnyje mus domina tik tie elementai, kurie paryškinti raudonai.
Pagrindinė VPN funkcija įtraukta į pagrindinę licenciją ir perkama tik vieną kartą. Tai licencija visam gyvenimui ir jos atnaujinti nereikia. Pagrindinis VPN parinkčių modulis apima:
Iš vienos svetainės į kitą:
- SSL VPN
- „IPSec“ VPN
Nuotolinė prieiga (kliento VPN):
- SSL VPN
- „IPsec“ be kliento VPN (su nemokama tinkinta programa)
- L2TP
- PPTP
Kaip matote, palaikomi visi populiarūs protokolai ir VPN ryšių tipai.
Be to, „Sophos XG Firewall“ turi dar du VPN jungčių tipus, kurie neįtraukti į pagrindinę prenumeratą. Tai yra RED VPN ir HTML5 VPN. Šios VPN jungtys yra įtrauktos į Tinklo apsaugos prenumeratą, o tai reiškia, kad norint naudotis šiais tipais būtina turėti aktyvią prenumeratą, kuri apima ir tinklo apsaugos funkcionalumą – IPS ir ATP modulius.
RED VPN yra patentuotas L2 VPN iš Sophos. Šio tipo VPN ryšys turi daug pranašumų, palyginti su SSL tarp svetainių arba IPSec nustatant VPN tarp dviejų XG. Skirtingai nei IPSec, RED tunelis sukuria virtualią sąsają abiejuose tunelio galuose, o tai padeda išspręsti trikčių šalinimo problemas ir, skirtingai nei SSL, ši virtuali sąsaja yra visiškai pritaikoma. Administratorius visiškai kontroliuoja potinklį RED tunelyje, todėl lengviau išspręsti maršruto problemas ir potinklio konfliktus.
HTML5 VPN arba be kliento VPN – tam tikras VPN tipas, leidžiantis persiųsti paslaugas per HTML5 tiesiai naršyklėje. Paslaugų, kurias galima konfigūruoti, tipai:
- KPP
- "Telnet"
- SSH
- vnc
- FTP
- FTPS
- SFTP
- SMB
Tačiau verta manyti, kad tokio tipo VPN naudojamas tik ypatingais atvejais ir, jei įmanoma, rekomenduojama naudoti VPN tipus iš aukščiau pateiktų sąrašų.
Praktika
Praktiškai pažvelkime, kaip sukonfigūruoti kelis šių tipų tunelius, būtent: Site-to-Site IPSec ir SSL VPN nuotolinę prieigą.
Svetainė į svetainę IPSec VPN
Pradėkime nuo to, kaip nustatyti „Site-to-Site“ IPSec VPN tunelį tarp dviejų „Sophos XG“ užkardų. Po gaubtu jis naudoja strongSwan, kuris leidžia prisijungti prie bet kurio IPSec palaikančio maršrutizatoriaus.
Galite naudoti patogų ir greitą sąrankos vedlį, tačiau mes eisime bendruoju keliu, kad, remdamiesi šiomis instrukcijomis, galėtumėte sujungti Sophos XG su bet kokia įranga naudodami IPSec.
Atidarykime politikos nustatymų langą:
Kaip matome, jau yra iš anksto nustatytų nustatymų, bet mes sukursime savo.
Sukonfigūruokime pirmos ir antrosios fazės šifravimo parametrus ir išsaugokime politiką. Analogiškai atliekame tuos pačius veiksmus su antruoju Sophos XG ir pereiname prie paties IPSec tunelio nustatymo
Įveskite pavadinimą, darbo režimą ir sukonfigūruokite šifravimo parametrus. Pavyzdžiui, naudosime iš anksto bendrinamą raktą
ir nurodyti vietinius ir nuotolinius potinklius.
Mūsų ryšys buvo sukurtas
Analogiškai atliekame tuos pačius nustatymus antrajame Sophos XG, išskyrus darbo režimą, ten nustatysime Pradėti ryšį
Dabar turime du tunelius sukonfigūruoti. Tada turime juos suaktyvinti ir paleisti. Tai daroma labai paprastai, reikia spustelėti raudoną apskritimą po žodžiu Aktyvus, kad suaktyvintumėte, ir raudoną apskritimą po Connection, kad pradėtumėte ryšį.
Jei pamatysime šį paveikslėlį:
Tai reiškia, kad mūsų tunelis veikia tinkamai. Jei antrasis indikatorius yra raudonas arba geltonas, vadinasi, kažkas neteisingai sukonfigūruota šifravimo strategijose arba vietiniuose ir nuotoliniuose potinkliuose. Leiskite jums priminti, kad nustatymai turi būti atspindėti.
Atskirai norėčiau pabrėžti, kad galite sukurti atsargines grupes iš IPSec tunelių, kad būtų išvengta gedimų:
Nuotolinės prieigos SSL VPN
Pereikime prie nuotolinės prieigos SSL VPN vartotojams. Po gaubtu yra standartinis OpenVPN. Tai leidžia vartotojams prisijungti per bet kurį klientą, kuris palaiko .ovpn konfigūracijos failus (pavyzdžiui, standartinį ryšio klientą).
Pirmiausia turite sukonfigūruoti OpenVPN serverio politiką:
Nurodykite ryšio transportą, sukonfigūruokite prievadą, IP adresų diapazoną nuotoliniams vartotojams prijungti
Taip pat galite nurodyti šifravimo nustatymus.
Nustatę serverį pereiname prie klientų ryšių nustatymo.
Kiekviena SSL VPN ryšio taisyklė sukuriama grupei arba atskiram vartotojui. Kiekvienas vartotojas gali turėti tik vieną ryšio politiką. Pagal nustatymus įdomu tai, kad kiekvienai tokiai taisyklei galite nurodyti atskirus vartotojus, kurie naudos šį nustatymą arba grupę iš AD, galite įjungti varnelę, kad visas srautas būtų suvyniotas į VPN tunelį arba nurodyti IP adresus, vartotojams prieinami potinkliai arba FQDN pavadinimai. Remiantis šia politika, bus automatiškai sukurtas .ovpn profilis su kliento nustatymais.
Naudodamasis vartotojo portalu vartotojas gali atsisiųsti ir .ovpn failą su VPN kliento nustatymais, ir VPN kliento diegimo failą su įtaisytu ryšio nustatymų failu.
išvada
Šiame straipsnyje trumpai apžvelgėme „Sophos XG Firewall“ produkto VPN funkcijas. Pažiūrėjome, kaip galite konfigūruoti IPSec VPN ir SSL VPN. Tai nėra visas sąrašas, ką šis sprendimas gali padaryti. Tolesniuose straipsniuose pabandysiu apžvelgti RED VPN ir parodyti, kaip jis atrodo pačiame sprendime.
Ačiū už sugaištą laiką.
Jei turite klausimų dėl komercinės XG ugniasienės versijos, galite susisiekti su mumis, įmone
Šaltinis: www.habr.com