Hai semua! Artikel ini akan menyemak kefungsian VPN dalam produk Sophos XG Firewall. Dalam sebelumnya Kami melihat cara mendapatkan penyelesaian perlindungan rangkaian rumah ini secara percuma dengan lesen penuh. Hari ini kita akan bercakap tentang fungsi VPN yang terbina dalam Sophos XG. Saya akan cuba memberitahu anda perkara yang produk ini boleh lakukan, dan juga memberikan contoh penyediaan VPN Tapak-ke-Tapak IPSec dan VPN SSL tersuai. Jadi mari kita mulakan dengan semakan.
Pertama sekali, mari kita lihat jadual pelesenan:
Anda boleh membaca lebih lanjut tentang cara Sophos XG Firewall dilesenkan di sini:
Tetapi dalam artikel ini kita hanya akan berminat dengan item yang diserlahkan dengan warna merah.
Fungsi VPN utama disertakan dalam lesen asas dan dibeli sekali sahaja. Ini adalah lesen seumur hidup dan tidak memerlukan pembaharuan. Modul Pilihan VPN Asas termasuk:
Tapak ke Tapak:
- VPN SSL
- VPN IPSec
Akses Jauh (VPN pelanggan):
- VPN SSL
- VPN Tanpa Pelanggan IPsec (dengan apl tersuai percuma)
- L2TP
- PPTP
Seperti yang anda lihat, semua protokol popular dan jenis sambungan VPN disokong.
Selain itu, Sophos XG Firewall mempunyai dua lagi jenis sambungan VPN yang tidak disertakan dalam langganan asas. Ini ialah RED VPN dan HTML5 VPN. Sambungan VPN ini disertakan dalam langganan Perlindungan Rangkaian, yang bermaksud bahawa untuk menggunakan jenis ini anda mesti mempunyai langganan aktif, yang juga termasuk fungsi perlindungan rangkaian - modul IPS dan ATP.
RED VPN ialah VPN L2 proprietari daripada Sophos. Sambungan VPN jenis ini mempunyai beberapa kelebihan berbanding SSL tapak ke tapak atau IPSec apabila menyediakan VPN antara dua XG. Tidak seperti IPSec, terowong RED mencipta antara muka maya di kedua-dua hujung terowong, yang membantu menyelesaikan masalah, dan tidak seperti SSL, antara muka maya ini boleh disesuaikan sepenuhnya. Pentadbir mempunyai kawalan penuh ke atas subnet dalam terowong RED, yang menjadikannya lebih mudah untuk menyelesaikan masalah penghalaan dan konflik subnet.
HTML5 VPN atau VPN Tanpa Pelanggan β Jenis VPN tertentu yang membolehkan anda memajukan perkhidmatan melalui HTML5 terus dalam penyemak imbas. Jenis perkhidmatan yang boleh dikonfigurasikan:
- RDP
- Telnet
- SSH
- VNC
- ftp
- FTPS
- SFTP
- SMB
Tetapi perlu dipertimbangkan bahawa jenis VPN ini hanya digunakan dalam kes khas dan disyorkan, jika boleh, untuk menggunakan jenis VPN daripada senarai di atas.
Amalan
Mari kita lihat secara praktikal cara mengkonfigurasi beberapa jenis terowong ini, iaitu: Site-to-Site IPSec dan SSL VPN Akses Jauh.
VPN IPSec Tapak ke Tapak
Mari mulakan dengan cara menyediakan terowong VPN IPSec Site-to-Site antara dua Firewall Sophos XG. Di bawah hud ia menggunakan strongSwan, yang membolehkan anda menyambung ke mana-mana penghala yang didayakan IPSec.
Anda boleh menggunakan wizard persediaan yang mudah dan pantas, tetapi kami akan mengikut laluan umum supaya, berdasarkan arahan ini, anda boleh menggabungkan Sophos XG dengan mana-mana peralatan menggunakan IPSec.
Mari buka tetingkap tetapan dasar:
Seperti yang kita lihat, sudah ada tetapan pratetap, tetapi kita akan buat sendiri.
Mari konfigurasikan parameter penyulitan untuk fasa pertama dan kedua dan simpan dasar. Secara analogi, kami melakukan langkah yang sama pada Sophos XG kedua dan teruskan untuk menyediakan terowong IPSec itu sendiri
Masukkan nama, mod pengendalian dan konfigurasikan parameter penyulitan. Sebagai contoh, kami akan menggunakan Kunci Prakongsi
dan menunjukkan subnet tempatan dan jauh.
Sambungan kami telah dibuat
Dengan analogi, kami membuat tetapan yang sama pada Sophos XG kedua, dengan pengecualian mod operasi, di sana kami akan menetapkan Mulakan sambungan
Sekarang kita mempunyai dua terowong yang dikonfigurasikan. Seterusnya, kita perlu mengaktifkannya dan menjalankannya. Ini dilakukan dengan sangat mudah, anda perlu mengklik pada bulatan merah di bawah perkataan Aktif untuk mengaktifkan dan pada bulatan merah di bawah Sambungan untuk memulakan sambungan.
Jika kita melihat gambar ini:
Ini bermakna terowong kami berfungsi dengan betul. Jika penunjuk kedua berwarna merah atau kuning, maka ada sesuatu yang salah dikonfigurasikan dalam dasar penyulitan atau subnet tempatan dan jauh. Biar saya ingatkan anda bahawa tetapan mesti dicerminkan.
Secara berasingan, saya ingin menyerlahkan bahawa anda boleh membuat kumpulan Failover daripada terowong IPSec untuk toleransi kesalahan:
Akses Jauh SSL VPN
Mari beralih ke VPN SSL Akses Jauh untuk pengguna. Di bawah tudung terdapat OpenVPN standard. Ini membolehkan pengguna menyambung melalui mana-mana klien yang menyokong fail konfigurasi .ovpn (contohnya, klien sambungan standard).
Pertama, anda perlu mengkonfigurasi dasar pelayan OpenVPN:
Tentukan pengangkutan untuk sambungan, konfigurasikan port, julat alamat IP untuk menyambungkan pengguna jauh
Anda juga boleh menentukan tetapan penyulitan.
Selepas menyediakan pelayan, kami meneruskan untuk menyediakan sambungan pelanggan.
Setiap peraturan sambungan VPN SSL dibuat untuk kumpulan atau untuk pengguna individu. Setiap pengguna hanya boleh mempunyai satu dasar sambungan. Mengikut tetapan, apa yang menarik ialah untuk setiap peraturan sedemikian anda boleh menentukan pengguna individu yang akan menggunakan tetapan ini atau kumpulan daripada AD, anda boleh mendayakan kotak semak supaya semua trafik dibalut dalam terowong VPN atau nyatakan alamat IP, subnet atau nama FQDN tersedia untuk pengguna . Berdasarkan dasar ini, profil .ovpn dengan tetapan untuk pelanggan akan dibuat secara automatik.
Menggunakan portal pengguna, pengguna boleh memuat turun kedua-dua fail .ovpn dengan tetapan untuk klien VPN dan fail pemasangan klien VPN dengan fail tetapan sambungan terbina dalam.
Kesimpulan
Dalam artikel ini, kami membincangkan secara ringkas fungsi VPN dalam produk Sophos XG Firewall. Kami melihat bagaimana anda boleh mengkonfigurasi IPSec VPN dan SSL VPN. Ini bukan senarai lengkap tentang perkara yang boleh dilakukan oleh penyelesaian ini. Dalam artikel berikut saya akan cuba menyemak RED VPN dan menunjukkan rupanya dalam penyelesaian itu sendiri.
Terima kasih kerana meluangkan masa.
Jika anda mempunyai sebarang soalan tentang versi komersial XG Firewall, anda boleh menghubungi kami, syarikat itu , pengedar Sophos. Anda hanya perlu menulis dalam bentuk percuma di .
Sumber: www.habr.com