Hi kollha! Dan l-artikolu se jirrevedi l-funzjonalità VPN fil-prodott Sophos XG Firewall. Fil-preċedenti Ħarsa lejn kif tikseb din is-soluzzjoni ta 'protezzjoni tan-netwerk tad-dar b'xejn b'liċenzja sħiħa. Illum se nitkellmu dwar il-funzjonalità VPN li hija mibnija fis-Sophos XG. Se nipprova ngħidlek x'jista 'jagħmel dan il-prodott, u nagħti wkoll eżempji tat-twaqqif ta' VPN IPSec Site-to-Site u VPN SSL personalizzat. Mela ejja nibdew bir-reviżjoni.
L-ewwelnett, ejja nħarsu lejn it-tabella tal-liċenzjar:
Tista' taqra aktar dwar kif Sophos XG Firewall huwa liċenzjat hawn:
Iżda f'dan l-artikolu se nkunu interessati biss f'dawk l-oġġetti li huma enfasizzati bl-aħmar.
Il-funzjonalità prinċipali VPN hija inkluża fil-liċenzja bażika u tinxtara darba biss. Din hija liċenzja tul il-ħajja u ma teħtieġx tiġdid. Il-modulu tal-Għażliet VPN Bażi jinkludi:
Minn sit għal sit:
- VPN SSL
- IPSec VPN
Aċċess Remot (VPN tal-klijent):
- VPN SSL
- IPsec Clientless VPN (b'app personalizzata b'xejn)
- L2TP
- PPTP
Kif tistgħu taraw, il-protokolli popolari kollha u t-tipi ta 'konnessjonijiet VPN huma appoġġjati.
Ukoll, Sophos XG Firewall għandu żewġ tipi oħra ta 'konnessjonijiet VPN li mhumiex inklużi fl-abbonament bażiku. Dawn huma RED VPN u HTML5 VPN. Dawn il-konnessjonijiet VPN huma inklużi fl-abbonament tal-Protezzjoni tan-Netwerk, li jfisser li biex tuża dawn it-tipi irid ikollok abbonament attiv, li jinkludi wkoll funzjonalità ta 'protezzjoni tan-netwerk - moduli IPS u ATP.
RED VPN hija VPN L2 proprjetarja minn Sophos. Dan it-tip ta 'konnessjoni VPN għandu numru ta' vantaġġi fuq SSL jew IPSec minn sit għal sit meta twaqqaf VPN bejn żewġ XGs. B'differenza mill-IPSec, il-mina RED toħloq interface virtwali fiż-żewġt itruf tal-mina, li tgħin biex issolvi problemi, u b'differenza mill-SSL, din l-interface virtwali hija kompletament customizable. L-amministratur għandu kontroll sħiħ fuq is-subnet fi ħdan il-mina RED, li jagħmilha aktar faċli biex issolvi l-problemi tar-routing u l-kunflitti tas-subnet.
HTML5 VPN jew Clientless VPN – Tip speċifiku ta’ VPN li jippermettilek tibgħat is-servizzi permezz ta’ HTML5 direttament fil-browser. Tipi ta' servizzi li jistgħu jiġu kkonfigurati:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Iżda ta 'min jikkunsidra li dan it-tip ta' VPN jintuża biss f'każijiet speċjali u huwa rakkomandat, jekk possibbli, li jintużaw tipi VPN mil-listi ta 'hawn fuq.
Prattika
Ejja nagħtu ħarsa prattika lejn kif tikkonfigura diversi minn dawn it-tipi ta 'mini, jiġifieri: Aċċess mill-bogħod IPSec minn sit għal sit u SSL VPN.
VPN IPSec minn sit għal sit
Nibdew b'kif twaqqaf mina IPSec VPN minn sit għal sit bejn żewġ Firewalls Sophos XG. Taħt il-barnuża juża strongSwan, li jippermettilek tikkonnettja ma 'kwalunkwe router IPSec-enabled.
Tista' tuża wizard tas-setup konvenjenti u veloċi, iżda aħna se nsegwu t-triq ġenerali sabiex, abbażi ta' dawn l-istruzzjonijiet, tkun tista' tgħaqqad Sophos XG ma' kwalunkwe tagħmir li juża IPSec.
Ejja niftħu t-tieqa tas-settings tal-politika:
Kif nistgħu naraw, diġà hemm settings issettjati minn qabel, iżda aħna se noħolqu tagħna stess.
Ejja kkonfiguraw il-parametri tal-kriptaġġ għall-ewwel u t-tieni fażi u ssalva l-politika. B'analoġija, nagħmlu l-istess passi fuq it-tieni Sophos XG u nkomplu biex inwaqqfu l-mina IPSec innifsu
Daħħal l-isem, il-mod ta 'tħaddim u kkonfigura l-parametri ta' encryption. Per eżempju, aħna se nużaw Preshared Key
u indika subnets lokali u remoti.
Il-konnessjoni tagħna nħolqot
B'analoġija, nagħmlu l-istess settings fuq it-tieni Sophos XG, bl-eċċezzjoni tal-mod ta 'tħaddim, hemm se nissettjaw Nibdew il-konnessjoni
Issa għandna żewġ mini konfigurati. Sussegwentement, irridu nattivawhom u nħaddmuhom. Dan isir b'mod sempliċi ħafna, trid tikklikkja fuq iċ-ċirku aħmar taħt il-kelma Attiva biex tattiva u fuq iċ-ċirku aħmar taħt Konnessjoni biex tibda l-konnessjoni.
Jekk naraw din l-istampa:
Dan ifisser li l-mina tagħna qed taħdem sew. Jekk it-tieni indikatur huwa aħmar jew isfar, allura xi ħaġa hija kkonfigurata ħażin fil-politiki ta 'encryption jew subnets lokali u remoti. Ħa nfakkarkom li s-settings għandhom ikunu riflessi.
Separatament, nixtieq nenfasizza li tista 'toħloq gruppi ta' Failover minn mini IPSec għat-tolleranza tal-ħsarat:
Aċċess mill-bogħod SSL VPN
Ejja ngħaddu għal Remote Access SSL VPN għall-utenti. Taħt il-barnuża hemm OpenVPN standard. Dan jippermetti lill-utenti jikkonnettjaw permezz ta 'kull klijent li jappoġġja fajls ta' konfigurazzjoni .ovpn (per eżempju, klijent ta 'konnessjoni standard).
L-ewwel, trid tikkonfigura l-politiki tas-server OpenVPN:
Speċifika t-trasport għall-konnessjoni, kkonfigurat il-port, firxa ta 'indirizzi IP għall-konnessjoni ta' utenti remoti
Tista 'wkoll tispeċifika l-issettjar tal-kriptaġġ.
Wara li waqqaf is-server, nipproċedu biex inwaqqfu konnessjonijiet tal-klijenti.
Kull regola ta 'konnessjoni SSL VPN hija maħluqa għal grupp jew għal utent individwali. Kull utent jista' jkollu politika ta' konnessjoni waħda biss. Skont is-settings, dak li hu interessanti huwa li għal kull regola bħal din tista 'tispeċifika utenti individwali li se jużaw dan is-setting jew grupp minn AD, tista' tattiva l-kaxxa ta 'kontroll sabiex it-traffiku kollu jkun imgeżwer f'mina VPN jew tispeċifika l-indirizzi IP, subnets jew ismijiet FQDN disponibbli għall-utenti. Ibbażat fuq dawn il-politiki, se jinħoloq awtomatikament profil .ovpn b'settings għall-klijent.
Bl-użu tal-portal tal-utent, l-utent jista 'jniżżel kemm fajl .ovpn b'settings għall-klijent VPN, kif ukoll fajl tal-installazzjoni tal-klijent VPN b'fajl tas-settings tal-konnessjoni inkorporat.
Konklużjoni
F'dan l-artikolu, għaddejna fil-qosor fuq il-funzjonalità VPN fil-prodott Sophos XG Firewall. Ħarsa lejn kif tista 'tikkonfigura IPSec VPN u SSL VPN. Din mhix lista kompleta ta’ x’tista’ tagħmel din is-soluzzjoni. Fl-artikoli li ġejjin ser nipprova nirrevedi RED VPN u nuri kif jidher fis-soluzzjoni nnifisha.
Grazzi tal-ħin tiegħek.
Jekk għandek xi mistoqsijiet dwar il-verżjoni kummerċjali ta 'XG Firewall, tista' tikkuntattjana, il-kumpanija , distributur Sophos. Kull ma trid tagħmel hu li tikteb b'xejn fuq .
Sors: www.habr.com