Сайн уу! Энэ нийтлэл нь Sophos XG Firewall бүтээгдэхүүн дэх VPN функцийг авч үзэх болно. Өмнөх хэсэгт Гэрийн сүлжээг хамгаалах энэхүү шийдлийг бүрэн лицензээр хэрхэн үнэ төлбөргүй авах талаар бид үзсэн. Өнөөдөр бид Sophos XG-д суурилуулсан VPN функцын талаар ярих болно. Би энэ бүтээгдэхүүн юу хийж чадахыг танд хэлэхийг хичээх болно, мөн IPSec Site-to-Site VPN болон өөрчлөн SSL VPN тохируулах жишээг өгөх болно. Ингээд тоймыг эхлүүлье.
Юуны өмнө лицензийн хүснэгтийг харцгаая.
Та Sophos XG Firewall-ийг хэрхэн лицензжүүлдэг талаар эндээс уншиж болно.
Гэхдээ энэ нийтлэлд бид зөвхөн улаан өнгөөр тодруулсан зүйлсийг л сонирхох болно.
Үндсэн VPN функц нь үндсэн лицензэд багтсан бөгөөд зөвхөн нэг удаа худалдаж авдаг. Энэ нь насан туршийн лиценз бөгөөд сунгах шаардлагагүй. Үндсэн VPN сонголтуудын модуль нь:
Сайтаас Сайт руу:
- SSL VPN хувилбар
- IPSec VPN
Алсын хандалт (үйлчлүүлэгч VPN):
- SSL VPN хувилбар
- IPsec Clientless VPN (үнэгүй захиалгат програмтай)
- L2TP
- PPTP
Таны харж байгаагаар бүх алдартай протоколууд болон VPN холболтын төрлүүд дэмжигддэг.
Мөн Sophos XG Firewall нь үндсэн захиалгад ороогүй өөр хоёр төрлийн VPN холболттой. Эдгээр нь RED VPN ба HTML5 VPN юм. Эдгээр VPN холболтууд нь Сүлжээний хамгаалалтын захиалгад багтсан бөгөөд эдгээрийг ашиглахын тулд та идэвхтэй захиалгатай байх ёстой бөгөөд үүнд сүлжээний хамгаалалтын функцууд - IPS болон ATP модулиуд орно.
RED VPN нь Sophos-ын L2 VPN юм. Энэ төрлийн VPN холболт нь хоёр XG-ийн хооронд VPN тохируулахдаа Сайтаас сайтад SSL эсвэл IPSec-ээс хэд хэдэн давуу талтай. IPSec-ээс ялгаатай нь RED туннель нь хонгилын хоёр төгсгөлд виртуал интерфэйсийг бий болгодог бөгөөд энэ нь асуудлыг шийдвэрлэхэд тусалдаг бөгөөд SSL-ээс ялгаатай нь энэхүү виртуал интерфейсийг бүрэн өөрчлөх боломжтой. Администратор нь RED хонгил доторх дэд сүлжээг бүрэн хянах боломжтой бөгөөд энэ нь чиглүүлэлтийн асуудал болон дэд сүлжээний зөрчлийг шийдвэрлэхэд хялбар болгодог.
HTML5 VPN эсвэл Clientless VPN – HTML5-ээр дамжуулан үйлчилгээг шууд хөтчөөр дамжуулах боломжийг олгодог тусгай төрлийн VPN. Тохируулж болох үйлчилгээний төрлүүд:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Гэхдээ энэ төрлийн VPN нь зөвхөн онцгой тохиолдолд ашиглагддаг гэдгийг анхаарч үзэх нь зүйтэй бөгөөд боломжтой бол дээрх жагсаалтаас VPN төрлийг ашиглахыг зөвлөж байна.
Практик
Сайтаас сайт руу IPSec болон SSL VPN алсын зайнаас хандах хандалтын хэд хэдэн төрлийн туннелийг хэрхэн тохируулах талаар бодитоор харцгаая.
Сайтаас сайтад IPSec VPN
Хоёр Sophos XG галт ханын хооронд Сайтаас Сайт руу IPSec VPN туннелийг хэрхэн тохируулах талаар эхэлцгээе. Бүрээсний доор нь strongSwan ашигладаг бөгөөд энэ нь танд ямар ч IPSec-тэй чиглүүлэгчтэй холбогдох боломжийг олгодог.
Та тохиромжтой бөгөөд хурдан тохируулах шидтэнг ашиглаж болно, гэхдээ бид эдгээр зааврын дагуу та Sophos XG-г IPSec ашиглан дурын төхөөрөмжтэй хослуулах ерөнхий замыг дагах болно.
Бодлогын тохиргооны цонхыг нээцгээе:
Бидний харж байгаагаар урьдчилан тохируулсан тохиргоонууд байгаа боловч бид өөрсдөө үүсгэх болно.
Эхний болон хоёр дахь үе шатны шифрлэлтийн параметрүүдийг тохируулж, бодлогыг хадгалъя. Үүнтэй адилаар бид хоёр дахь Sophos XG дээр ижил алхмуудыг хийж, IPSec туннелийг өөрөө тохируулах руу шилждэг.
Нэр, үйлдлийн горимыг оруулаад шифрлэлтийн параметрүүдийг тохируулна уу. Жишээлбэл, бид Preshared Key ашиглах болно
мөн дотоод болон алсын дэд сүлжээг зааж өгнө.
Бидний холболт бий болсон
Үүнтэй адилаар бид хоёр дахь Sophos XG дээр ижил тохиргоог хийдэг бөгөөд үйлдлийн горимоос бусад тохиолдолд холболтыг эхлүүлэх тохиргоог хийх болно.
Одоо бид хоёр туннелийг тохируулсан байна. Дараа нь бид тэдгээрийг идэвхжүүлж, ажиллуулах хэрэгтэй. Энэ нь маш энгийн бөгөөд та идэвхжүүлэхийн тулд Идэвхтэй гэсэн үгний доорх улаан тойрог дээр дарж холболтыг эхлүүлэхийн тулд "Холболт" хэсэгт байрлах улаан тойрог дээр дарах хэрэгтэй.
Хэрэв бид энэ зургийг харвал:
Энэ нь манай хонгил зөв ажиллаж байна гэсэн үг. Хэрэв хоёр дахь үзүүлэлт нь улаан эсвэл шар өнгөтэй бол шифрлэлтийн бодлого эсвэл дотоод болон алсын дэд сүлжээнд ямар нэг зүйл буруу тохируулагдсан байна. Тохиргоонууд нь толин тусгалтай байх ёстой гэдгийг танд сануулъя.
Та алдааг тэсвэрлэхийн тулд IPSec хонгилоос Failover бүлгүүдийг үүсгэж болно гэдгийг тусад нь онцлон тэмдэглэхийг хүсч байна.
Алсын хандалтын SSL VPN
Хэрэглэгчдэд зориулсан Remote Access SSL VPN руу шилжье. Бүрээсний доор стандарт OpenVPN байдаг. Энэ нь хэрэглэгчдэд .ovpn тохиргооны файлуудыг (жишээлбэл, стандарт холболтын клиент) дэмждэг аливаа клиентээр дамжуулан холбогдох боломжийг олгодог.
Эхлээд та OpenVPN серверийн бодлогыг тохируулах хэрэгтэй:
Холболтын тээвэрлэлт, порт, алсын хэрэглэгчдийг холбох IP хаягийн хүрээг тохируулна уу
Та мөн шифрлэлтийн тохиргоог зааж өгч болно.
Серверийг тохируулсны дараа бид үйлчлүүлэгчийн холболтыг тохируулна.
SSL VPN холболтын дүрэм бүрийг бүлэг эсвэл хувь хэрэглэгчдэд зориулан үүсгэсэн. Хэрэглэгч бүр зөвхөн нэг холболтын бодлоготой байж болно. Тохиргооны дагуу хамгийн сонирхолтой зүйл бол ийм дүрэм бүрийн хувьд та энэ тохиргоог ашиглах хувь хүн эсвэл AD-ийн бүлгийг зааж өгөх боломжтой бөгөөд та бүх урсгалыг VPN туннелд оруулах эсвэл IP хаягийг зааж өгөх нүдийг идэвхжүүлж болно. дэд сүлжээнүүд эсвэл FQDN нэрсийг хэрэглэгчид ашиглах боломжтой. Эдгээр бодлогод үндэслэн үйлчлүүлэгчийн тохиргоо бүхий .ovpn профайлыг автоматаар үүсгэх болно.
Хэрэглэгчийн порталыг ашигласнаар хэрэглэгч VPN клиентийн тохиргоо бүхий .ovpn файл болон суурилуулсан холболтын тохиргооны файл бүхий VPN клиент суулгах файлыг хоёуланг нь татаж авах боломжтой.
дүгнэлт
Энэ нийтлэлд бид Sophos XG Firewall бүтээгдэхүүн дэх VPN функцийг товчхон авч үзсэн. Бид IPSec VPN болон SSL VPN-ийг хэрхэн тохируулах талаар авч үзсэн. Энэ шийдэл нь юу хийж чадах талаар бүрэн жагсаалт биш юм. Дараах нийтлэлүүдэд би RED VPN-ийг хянаж үзээд шийдэлд ямар харагдахыг харуулахыг хичээх болно.
Цаг гаргасанд баярлалаа.
Хэрэв танд XG Firewall-ийн арилжааны хувилбарын талаар асуух зүйл байвал бидэнтэй холбоо барьж болно , Sophos борлуулагч. Та хийх ёстой зүйл бол үнэгүй хэлбэрээр бичих явдал юм .
Эх сурвалж: www.habr.com