Salaamu caleykum Maqaalkani wuxuu dib u eegi doonaa shaqada VPN ee sheyga Sophos XG Firewall. Kii hore
Marka hore, aan eegno miiska shatiga:
Waxaad ka akhrisan kartaa wax badan oo ku saabsan sida Sophos XG Firewall loo haysto halkan:
Laakiin maqaalkan waxaan xiisayn doonaa oo keliya walxaha lagu muujiyey casaanka.
Hawlaha ugu muhiimsan ee VPN waxaa lagu daraa shatiga aasaasiga ah waxaana la iibsadaa hal mar oo keliya. Kani waa shatiga nolosha oo dhan uma baahna cusbooneysiin. Qaybta Saldhigga VPN Options waxaa ka mid ah:
Goobta-goobta:
- SSL VPN
- IPSec VPN
Helitaanka fog (VPN macmiilka):
- SSL VPN
- IPsec VPN macmiil la'aan ah (oo wata abka gaarka ah ee bilaashka ah)
- L2TP
- PPTP
Sida aad arki karto, dhammaan borotokoollada caanka ah iyo noocyada isku xirka VPN waa la taageeray.
Sidoo kale, Sophos XG Firewall wuxuu leeyahay laba nooc oo kale oo VPN isku xira oo aan ku jirin is-diiwaangelinta aasaasiga ah. Kuwani waa RED VPN iyo HTML5 VPN. Xidhiidhadan VPN waxa ay ku jiraan rukunka Ilaalinta Shabakadda, taas oo macnaheedu yahay si aad u isticmaasho noocyadan waa in aad leedahay rukunid firfircoon, kaas oo sidoo kale ay ku jiraan shaqada ilaalinta shabakada - IPS iyo modules ATP.
RED VPN waa L2 VPN gaar ah oo laga leeyahay Sophos. Xidhiidhka VPN ee noocan ahi wuxuu leeyahay faa'iidooyin badan marka loo eego Site-to-site SSL ama IPSec marka la dejinayo VPN inta u dhaxaysa laba XGs. Si ka duwan IPSec, tunnel-ka RED-ga wuxuu abuuraa is-dhexgal dalwad ah labada daraf ee tunnel-ka, kaas oo ka caawiya dhibaatooyinka xallinta, oo ka duwan SSL, interface-ka casriga ah waa mid gebi ahaanba la beddeli karo. Maamuluhu waxa uu si buuxda gacanta ugu hayaa shabakada hoose ee tunnel-ka RED, taas oo sahlaysa in la xaliyo mashaakilaadka habaynta iyo isku dhacyada subnetka.
HTML5 VPN ama VPN macmiil la'aan - Nooc gaar ah oo VPN ah oo kuu ogolaanaya inaad u gudbiso adeegyada HTML5 si toos ah browserka. Noocyada adeegyada la habayn karo:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Laakiin waxaa habboon in la tixgeliyo in nooca VPN loo isticmaalo kaliya kiisaska gaarka ah waxaana lagu talinayaa, haddii ay suurtagal tahay, in la isticmaalo noocyada VPN ee liiska kor ku xusan.
Tababarka
Aan si dhab ah u eegno sida loo habeeyo dhowr nooc oo tunnel-yadan ah, kuwaas oo kala ah: Site-to-Site IPSec iyo SSL VPN Access Remote.
Goob-ilaa-Site IPSec VPN
Aan ku bilowno sida loo sameeyo Goob-to-Site IPSec VPN tunnel inta u dhaxaysa labada Sophos XG Firewalls. Daboolka hoostiisa waxay isticmaashaa strongSwan, kaas oo kuu ogolaanaya inaad ku xidho router kasta oo IPSec karti u leh.
Waxaad isticmaali kartaa saaxir ku habboon oo degdeg ah, laakiin waxaan raaci doonaa jidka guud si, ku saleysan tilmaamahan, waxaad ku dari kartaa Sophos XG qalab kasta oo isticmaalaya IPSec.
Aan furno daaqada dejinta siyaasada:
Sida aan arki karno, waxaa horeyba u jiray habayn hore loo dejiyay, laakiin waxaan abuuri doonaa annaga.
Aynu habaynno xuduudaha sirta ee wejiga koowaad iyo labaad oo aynu kaydino siyaasadda. Marka la barbardhigo, waxaanu samaynaa isla tillaabooyinka labaad ee Sophos XG oo aan u gudubno dejinta tunnelka IPSec laftiisa.
Geli magaca, qaabka hawlgalka oo habee xuduudaha sirta ah. Tusaale ahaan, waxaan isticmaali doonaa Furaha Preshared
oo tilmaam shabakadaha hoose iyo kuwa fogba.
Xiriirkeena waa la abuuray
Marka la barbardhigo, waxaan ku sameyneynaa isla jaantusyada labaad ee Sophos XG, marka laga reebo habka hawlgalka, halkaas waxaan ku dejin doonaa Initiate xiriirka
Hadda waxaan haynaa laba tunnel oo la habeeyey. Marka xigta, waxaan u baahanahay inaan kicino oo aan wadno. Tan waxaa loo sameeyaa si fudud, waxaad u baahan tahay inaad gujiso goobada cas ee hoos timaada ereyga Active si aad u dhaqaajiso iyo goobada cas ee hoos timaada Connection si aad u bilowdo xidhiidhka.
Haddii aan aragno sawirkan:
Tani waxay ka dhigan tahay in tunnelkeena uu si sax ah u shaqeeyo. Haddii tilmaame labaad uu yahay casaan ama jaalle, markaa wax si khaldan ayaa loogu habeeyey siyaasadaha sirta ah ama shabakadaha hoose iyo kuwa fog. Aan ku xasuusiyo in habayntu ay tahay in la milicsado.
Si gooni ah, waxaan jeclaan lahaa inaan iftiimiyo inaad ka abuuri karto kooxaha Failover tunnel IPSec si loogu dulqaado khaladaadka:
Helitaanka fog ee SSL VPN
Aan u gudubno Helitaanka Fog ee SSL VPN isticmaalayaasha. Koodhka hoostiisa waxaa jira OpenVPN caadi ah. Tani waxay u ogolaanaysaa isticmaalayaasha inay ku xidhmaan macmiil kasta oo taageera faylasha qaabaynta .ovpn (tusaale ahaan, macmiil xidhiidhka caadiga ah).
Marka hore, waxaad u baahan tahay inaad dejiso siyaasadaha serverka OpenVPN:
Sheeg gaadiidka isku xirka, habbee dekedda, kala duwan ee ciwaannada IP ee isku xirka isticmaalayaasha fog
Waxa kale oo aad cayimi kartaa dejinta sirta
Ka dib markii la dejiyo server-ka, waxaan sii wadeynaa sameynta xiriirinta macaamiisha.
Sharci kasta oo SSL VPN ah ayaa loo sameeyay koox ama isticmaale shaqsi. Isticmaale kastaa wuxuu yeelan karaa hal siyaasad oo xidhiidh ah. Marka loo eego goobaha, waxa xiisaha leh ayaa ah in xeer kasta oo noocaas ah aad u cayimi karto isticmaaleyaasha gaarka ah kuwaas oo isticmaali doona goobtan ama koox ka socota AD, waxaad awood u siin kartaa sanduuqa hubinta si dhammaan taraafikada loogu duubo tunnel VPN ama sheeg cinwaannada IP, subnets ama magacyada FQDN ay heli karaan isticmaalayaasha . Iyada oo ku saleysan xeerarkan, astaanta .ovpn oo leh jaangooyooyin loogu talagalay macmiilka ayaa si toos ah loo abuuri doonaa.
Isticmaalka marinka isticmaalaha, isticmaaluhu wuxuu soo dejisan karaa labadaba faylka .ovpn oo leh jaangooyooyin loogu talagalay macmiilka VPN, iyo faylka rakibaadda macmiilka VPN oo leh faylka dejinta isku xidhka ku dhex jira.
gunaanad
Maqaalkan, waxaan si kooban uga gudubnay shaqeynta VPN ee sheyga Sophos XG Firewall. Waxaan eegnay sida aad u habeyn karto IPSec VPN iyo SSL VPN. Tani maaha liis dhamaystiran oo ah waxa xalkani uu samayn karo. Maqaallada soo socda waxaan isku dayi doonaa inaan dib u eego RED VPN oo aan tuso waxa ay u egtahay xalka laftiisa.
Waad ku mahadsan tahay waqtigaaga.
Haddii aad wax su'aalo ah ka qabto nooca ganacsiga ee XG Firewall, waxaad nala soo xiriiri kartaa, shirkadda
Source: www.habr.com