Pozdravljeni vsi skupaj! Ta članek bo pregledal funkcionalnost VPN v izdelku požarnega zidu Sophos XG. V prejšnjem
Najprej si oglejmo tabelo licenc:
Več o licenciranju Sophos XG Firewall lahko preberete tukaj:
Toda v tem članku nas bodo zanimale samo tiste postavke, ki so označene z rdečo.
Glavna funkcionalnost VPN je vključena v osnovno licenco in se kupi samo enkrat. To je doživljenjska licenca in je ni treba obnoviti. Modul Base VPN Options vključuje:
Site-to-Site:
- SSL VPN
- IPSec VPN
Oddaljeni dostop (odjemalski VPN):
- SSL VPN
- IPsec VPN brez odjemalca (z brezplačno aplikacijo po meri)
- L2TP
- PPTP
Kot lahko vidite, so podprti vsi priljubljeni protokoli in vrste povezav VPN.
Poleg tega ima Sophos XG Firewall še dve vrsti VPN povezav, ki nista vključeni v osnovno naročnino. To sta RED VPN in HTML5 VPN. Te VPN povezave so vključene v naročnino Network Protection, kar pomeni, da morate za uporabo teh vrst imeti aktivno naročnino, ki vključuje tudi funkcionalnost zaščite omrežja – IPS in ATP modula.
RED VPN je lastniški L2 VPN podjetja Sophos. Ta vrsta povezave VPN ima številne prednosti pred SSL ali IPSec od mesta do mesta pri nastavitvi VPN med dvema XG. Za razliko od IPSec tunel RED ustvari na obeh koncih tunela virtualni vmesnik, ki pomaga pri odpravljanju težav, za razliko od SSL pa je ta virtualni vmesnik popolnoma prilagodljiv. Administrator ima popoln nadzor nad podomrežjem znotraj tunela RED, kar olajša reševanje težav z usmerjanjem in konfliktov podomrežij.
HTML5 VPN ali Clientless VPN – Posebna vrsta VPN, ki vam omogoča posredovanje storitev prek HTML5 neposredno v brskalniku. Vrste storitev, ki jih je mogoče konfigurirati:
- PRP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Vendar je vredno upoštevati, da se ta vrsta VPN uporablja le v posebnih primerih in je priporočljivo, če je mogoče, uporabiti vrste VPN z zgornjih seznamov.
Practice
Oglejmo si praktično, kako konfigurirati več teh vrst tunelov, in sicer: Site-to-Site IPSec in oddaljeni dostop SSL VPN.
Site-to-Site IPSec VPN
Začnimo s tem, kako nastaviti tunel IPSec VPN od mesta do mesta med dvema požarnima zidovoma Sophos XG. Pod pokrovom uporablja strongSwan, ki vam omogoča povezavo s katerim koli usmerjevalnikom, ki podpira IPSec.
Uporabite lahko priročnega in hitrega čarovnika za nastavitev, vendar bomo sledili splošni poti, tako da lahko na podlagi teh navodil kombinirate Sophos XG s katero koli opremo, ki uporablja IPSec.
Odprimo okno z nastavitvami pravilnika:
Kot lahko vidimo, že obstajajo prednastavljene nastavitve, vendar bomo ustvarili svoje.
Konfigurirajmo parametre šifriranja za prvo in drugo fazo ter shranimo pravilnik. Po analogiji naredimo iste korake na drugem Sophosu XG in nadaljujemo z nastavitvijo samega tunela IPSec
Vnesite ime, način delovanja in konfigurirajte parametre šifriranja. Na primer, uporabili bomo ključ v vnaprejšnji skupni rabi
in označuje lokalna in oddaljena podomrežja.
Najina povezava je bila ustvarjena
Po analogiji naredimo enake nastavitve na drugem Sophosu XG, z izjemo načina delovanja, tam bomo nastavili Začeti povezavo
Zdaj imamo konfigurirana dva tunela. Nato jih moramo aktivirati in zagnati. To naredite zelo preprosto, za aktivacijo morate klikniti na rdeči krog pod besedo Active in na rdeči krog pod Connection za začetek povezave.
Če vidimo to sliko:
To pomeni, da naš tunel deluje pravilno. Če je drugi indikator rdeč ali rumen, potem je nekaj napačno konfigurirano v pravilnikih šifriranja ali lokalnih in oddaljenih podomrežjih. Naj vas spomnim, da morajo biti nastavitve zrcaljene.
Ločeno bi rad poudaril, da lahko ustvarite skupine za preklop iz predorov IPSec za toleranco napak:
Oddaljeni dostop SSL VPN
Preidimo na oddaljeni dostop SSL VPN za uporabnike. Pod pokrovom je standardni OpenVPN. To omogoča uporabnikom, da se povežejo prek katerega koli odjemalca, ki podpira konfiguracijske datoteke .ovpn (na primer standardni odjemalec za povezavo).
Najprej morate konfigurirati pravilnike strežnika OpenVPN:
Določite transport za povezavo, konfigurirajte vrata, obseg naslovov IP za povezovanje oddaljenih uporabnikov
Določite lahko tudi nastavitve šifriranja.
Po nastavitvi strežnika nadaljujemo z nastavitvijo odjemalskih povezav.
Vsako pravilo povezave SSL VPN je ustvarjeno za skupino ali za posameznega uporabnika. Vsak uporabnik ima lahko samo eno politiko povezave. Glede na nastavitve je zanimivo to, da lahko za vsako takšno pravilo določite posamezne uporabnike, ki bodo uporabljali to nastavitev ali skupino iz AD, lahko omogočite potrditveno polje, da je ves promet ovit v tunel VPN ali določite IP naslove, podomrežja ali imena FQDN, ki so na voljo uporabnikom. Na podlagi teh pravilnikov bo samodejno ustvarjen profil .ovpn z nastavitvami za odjemalca.
Prek uporabniškega portala lahko uporabnik prenese tako datoteko .ovpn z nastavitvami za odjemalca VPN kot namestitveno datoteko odjemalca VPN z vgrajeno datoteko z nastavitvami povezave.
Zaključek
V tem članku smo na kratko pregledali funkcionalnost VPN v izdelku požarnega zidu Sophos XG. Pogledali smo, kako lahko konfigurirate IPSec VPN in SSL VPN. To ni popoln seznam zmožnosti te rešitve. V naslednjih člankih bom poskušal pregledati RED VPN in prikazati, kako izgleda v sami rešitvi.
Hvala za vaš čas.
Če imate kakršna koli vprašanja o komercialni različici XG Firewall, se lahko obrnete na nas, podjetje
Vir: www.habr.com