Salama daholo! Ity lahatsoratra ity dia handinika ny fiasa VPN amin'ny vokatra Sophos XG Firewall. Tamin'ny teo aloha
Voalohany indrindra, andeha hojerentsika ny latabatra fahazoan-dàlana:
Azonao atao ny mamaky bebe kokoa momba ny fahazoan-dàlana Sophos XG Firewall eto:
Saingy ato amin'ity lahatsoratra ity isika dia ho liana amin'ireo zavatra izay asongadina amin'ny mena.
Ny fiasa VPN lehibe dia tafiditra ao amin'ny fahazoan-dàlana fototra ary novidina indray mandeha monja. Fahazoan-dàlana mandritra ny androm-piainany izany ary tsy mitaky fanavaozana. Ny maody Base VPN Options dia misy:
Site-to-site:
- SSL VPN
- IPSec VPN
Fidirana lavitra (VPN mpanjifa):
- SSL VPN
- IPsec Clientless VPN (miaraka amin'ny fampiharana mahazatra maimaim-poana)
- L2TP
- PPTP
Araka ny hitanao, ny protocols malaza rehetra sy ny karazana fifandraisana VPN dia tohanana.
Ary koa, Sophos XG Firewall dia manana karazana fifandraisana VPN roa hafa izay tsy tafiditra ao amin'ny famandrihana fototra. Ireo dia RED VPN sy HTML5 VPN. Ireo fifandraisana VPN ireo dia tafiditra ao amin'ny famandrihana Network Protection, izay midika fa raha te hampiasa ireo karazany ireo ianao dia tsy maintsy manana famandrihana mavitrika, izay misy ihany koa ny fiarovana ny tambajotra - IPS sy ATP modules.
RED VPN dia L2 VPN an'ny Sophos. Ity karazana fifandraisana VPN ity dia manana tombony maromaro raha oharina amin'ny SSL na IPSec Site-to-site rehefa manangana VPN eo anelanelan'ny XG roa. Tsy toy ny IPSec, ny tonelina RED dia mamorona interface virtoaly amin'ny tendrony roa amin'ny tonelina, izay manampy amin'ny famahana olana, ary tsy toy ny SSL, ity interface tsara virtoaly ity dia azo zahana tanteraka. Ny mpitantana dia manana fifehezana feno amin'ny subnet ao anatin'ny tonelina RED, izay manamora ny famahana ny olan'ny zotra sy ny fifandirana amin'ny subnet.
HTML5 VPN na VPN tsy misy mpanjifa - Karazana VPN manokana ahafahanao mandefa serivisy amin'ny alàlan'ny HTML5 mivantana ao amin'ny navigateur. Karazana serivisy azo amboarina:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Saingy ilaina ny mandinika fa ity karazana VPN ity dia tsy ampiasaina afa-tsy amin'ny tranga manokana ary atolotra, raha azo atao, ny mampiasa karazana VPN avy amin'ireo lisitra etsy ambony.
fampiharana
Andeha hojerentsika ny fomba fanamboarana maromaro amin'ireo karazana tonelina ireo, dia ny: Site-to-Site IPSec sy SSL VPN Remote Access.
Site-to-site IPSec VPN
Andeha isika hanomboka amin'ny fomba hananganana tonelina IPSec VPN Site-to-Site eo anelanelan'ny Firewall Sophos XG roa. Eo ambanin'ny kapa dia mampiasa strongSwan, izay ahafahanao mifandray amin'ny router IPSec rehetra.
Azonao atao ny mampiasa wizard setup mety sy haingana, fa hanaraka ny lalana ankapobe izahay ka, mifototra amin'ireo torolalana ireo, dia afaka manambatra ny Sophos XG amin'ny fitaovana rehetra mampiasa IPSec.
Andao hanokatra ny varavarankelin'ny firafitry ny politika:
Araka ny hitantsika dia efa misy ny fikandrana efa nomanina, fa hamorona ny antsika manokana.
Andao amboary ny mari-pamantarana fanafenana ho an'ny dingana voalohany sy faharoa ary tehirizo ny politika. Amin'ny analogy, manao dingana mitovy amin'ny Sophos XG faharoa izahay ary mandroso amin'ny fametrahana ny tonelina IPSec mihitsy.
Ampidiro ny anarana, fomba fiasa ary amboary ny mari-pamantarana fanafenana. Ohatra, hampiasa Key Preshared isika
ary manondro subnet eo an-toerana sy lavitra.
Efa noforonina ny fifandraisantsika
Amin'ny alàlan'ny fanoharana dia manao ny toe-javatra mitovy amin'ny Sophos XG faharoa izahay, afa-tsy ny fomba fiasa, any no hametraka ny fifandraisana.
Ankehitriny dia manana tonelina roa izahay. Manaraka, mila manetsika azy ireo isika ary mihazakazaka azy ireo. Izany dia atao tena tsotra, mila tsindrio eo amin'ny faribolana mena eo ambanin'ny teny hoe Active mba hampavitrika ary amin'ny faribolana mena eo ambanin'ny Connection hanombohana ny fifandraisana.
Raha mahita ity sary ity isika:
Midika izany fa miasa tsara ny tonelinay. Raha mena na mavo ny mari-pamantarana faharoa, dia misy zavatra tsy voarindra ao amin'ny politika fanafenana na zana-tsipìka eo an-toerana sy lavitra. Mamelà ahy hampahatsiahy anao fa tsy maintsy averina amin'ny fitaratra ny fika.
Misaraka, tiako ny hanasongadina fa afaka mamorona vondrona Failover avy amin'ny tonelina IPSec ianao ho an'ny fandeferana diso:
Fidirana lavitra SSL VPN
Andao hiroso amin'ny Remote Access SSL VPN ho an'ny mpampiasa. Eo ambanin'ny kapa dia misy OpenVPN mahazatra. Izany dia ahafahan'ny mpampiasa mifandray amin'ny mpanjifa rehetra izay manohana ny fisie .ovpn (ohatra, mpanjifa fifandraisana mahazatra).
Voalohany, mila manamboatra ny politikan'ny mpizara OpenVPN ianao:
Farito ny fitaterana ho an'ny fifandraisana, amboary ny seranan-tsambo, ny isan'ny adiresy IP ho an'ny fampifandraisana ireo mpampiasa lavitra
Azonao atao ihany koa ny mamaritra ny firafitry ny encryption.
Aorian'ny fametrahana ny mpizara dia miroso amin'ny fametrahana fifandraisana amin'ny mpanjifa izahay.
Ny fitsipika fifandraisana SSL VPN tsirairay dia noforonina ho an'ny vondrona na ho an'ny mpampiasa tsirairay. Ny mpampiasa tsirairay dia tsy afaka manana politikam-pifandraisana tokana. Araka ny fikandrana, ny mahaliana dia ny hoe isaky ny fitsipika toy izany dia azonao atao ny mamaritra ny mpampiasa tsirairay izay hampiasa an'io toe-javatra io na vondrona avy amin'ny AD, azonao atao ny mamela ny boaty ho an'ny fifamoivoizana rehetra ao anaty tonelina VPN na mamaritra ny adiresy IP, subnets na anarana FQDN azon'ny mpampiasa . Mifototra amin'ireo politika ireo, ny mombamomba .ovpn miaraka amin'ny firafitry ny mpanjifa dia hatsangana ho azy.
Amin'ny fampiasana ny vavahadin-tseraseran'ny mpampiasa, ny mpampiasa dia afaka misintona rakitra .ovpn miaraka amin'ny fanovana ho an'ny mpanjifa VPN, sy ny rakitra fametrahana mpanjifa VPN miaraka amin'ny fichier fampifandraisana naorina.
famaranana
Ato amin'ity lahatsoratra ity, nijery vetivety ny fampiasa VPN amin'ny vokatra Sophos XG Firewall izahay. Nijery ny fomba ahafahanao manamboatra IPSec VPN sy SSL VPN izahay. Tsy lisitra feno amin'izay azon'ity vahaolana ity atao ity. Amin'ity lahatsoratra manaraka ity dia hiezaka ny hamerina hijery ny RED VPN aho ary hampiseho ny endriny amin'ny vahaolana.
Misaotra anao amin'ny fotoananao.
Raha manana fanontaniana momba ny dikan-teny ara-barotra XG Firewall ianao dia afaka mifandray aminay, ilay orinasa
Source: www.habr.com