Pershendetje te gjitheve! Ky artikull do të shqyrtojë funksionalitetin VPN në produktin Sophos XG Firewall. Në të mëparshmen Ne shikuam se si ta merrni këtë zgjidhje të mbrojtjes së rrjetit shtëpiak falas me një licencë të plotë. Sot do të flasim për funksionalitetin VPN që është ndërtuar në Sophos XG. Do të përpiqem t'ju tregoj se çfarë mund të bëjë ky produkt, dhe gjithashtu do të jap shembuj të konfigurimit të një VPN-je IPSec Site-to-Site dhe një SSL VPN të personalizuar. Pra, le të fillojmë me rishikimin.
Para së gjithash, le të shohim tabelën e licencimit:
Mund të lexoni më shumë rreth asaj se si Sophos XG Firewall është licencuar këtu:
Por në këtë artikull do të na interesojnë vetëm ato artikuj që janë theksuar me të kuqe.
Funksionaliteti kryesor VPN përfshihet në licencën bazë dhe blihet vetëm një herë. Kjo është një licencë e përjetshme dhe nuk kërkon rinovim. Moduli i opsioneve bazë VPN përfshin:
Faqja në sajt:
- SSL VPN
- IPSec VPN
Qasja në distancë (VPN e klientit):
- SSL VPN
- IPsec Clientless VPN (me aplikacion falas me porosi)
- L2TP
- PPTP
Siç mund ta shihni, të gjitha protokollet e njohura dhe llojet e lidhjeve VPN mbështeten.
Gjithashtu, Sophos XG Firewall ka edhe dy lloje të tjera lidhjesh VPN që nuk përfshihen në pajtimin bazë. Këto janë RED VPN dhe HTML5 VPN. Këto lidhje VPN janë të përfshira në abonimin Network Protection, që do të thotë se për të përdorur këto lloje duhet të keni një abonim aktiv, i cili përfshin edhe funksionalitetin e mbrojtjes së rrjetit - modulet IPS dhe ATP.
RED VPN është një VPN e pronarit L2 nga Sophos. Ky lloj lidhjeje VPN ka një sërë avantazhesh ndaj SSL-së ose IPSec-së Site-to-Sit kur vendosni një VPN midis dy XG-ve. Ndryshe nga IPSec, tuneli RED krijon një ndërfaqe virtuale në të dy skajet e tunelit, e cila ndihmon në zgjidhjen e problemeve dhe ndryshe nga SSL, kjo ndërfaqe virtuale është plotësisht e personalizueshme. Administratori ka kontroll të plotë mbi nënrrjetin brenda tunelit RED, gjë që e bën më të lehtë zgjidhjen e problemeve të rrugëzimit dhe konflikteve të nënrrjetit.
HTML5 VPN ose VPN pa klient – Një lloj specifik VPN që ju lejon të përcjellni shërbimet përmes HTML5 direkt në shfletues. Llojet e shërbimeve që mund të konfigurohen:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Por vlen të kihet parasysh se ky lloj VPN përdoret vetëm në raste të veçanta dhe rekomandohet, nëse është e mundur, të përdoren lloje VPN nga listat e mësipërme.
Praktikë
Le të hedhim një vështrim praktik se si të konfigurojmë disa prej këtyre llojeve të tuneleve, përkatësisht: Site-to-Site IPSec dhe SSL VPN Remote Access.
IPSec VPN nga faqja në faqe
Le të fillojmë me mënyrën se si të konfigurojmë një tunel IPSec VPN Site-to-Site midis dy Firewall-eve Sophos XG. Nën kapuç ai përdor strongSwan, i cili ju lejon të lidheni me çdo ruter të aktivizuar me IPSec.
Ju mund të përdorni një magjistar të përshtatshëm dhe të shpejtë të konfigurimit, por ne do të ndjekim rrugën e përgjithshme në mënyrë që, bazuar në këto udhëzime, të mund të kombinoni Sophos XG me çdo pajisje duke përdorur IPSec.
Le të hapim dritaren e cilësimeve të politikës:
Siç mund ta shohim, tashmë ka cilësime të paracaktuara, por ne do të krijojmë tona.
Le të konfigurojmë parametrat e enkriptimit për fazën e parë dhe të dytë dhe të ruajmë politikën. Për analogji, ne bëjmë të njëjtat hapa në Sophos XG të dytë dhe kalojmë në vendosjen e vetë tunelit IPSec
Futni emrin, mënyrën e funksionimit dhe konfiguroni parametrat e enkriptimit. Për shembull, ne do të përdorim çelësin e përbashkët
dhe tregoni nënrrjetet lokale dhe të largëta.
Lidhja jonë është krijuar
Për analogji, ne bëjmë të njëjtat cilësime në Sophos XG të dytë, me përjashtim të mënyrës së funksionimit, atje do të vendosim Fillimi i lidhjes
Tani kemi dy tunele të konfiguruar. Më pas, duhet t'i aktivizojmë dhe t'i ekzekutojmë. Kjo bëhet shumë thjesht, duhet të klikoni në rrethin e kuq nën fjalën Active për ta aktivizuar dhe në rrethin e kuq nën Connection për të nisur lidhjen.
Nëse shohim këtë foto:
Kjo do të thotë që tuneli ynë po punon si duhet. Nëse treguesi i dytë është i kuq ose i verdhë, atëherë diçka është konfiguruar gabimisht në politikat e kriptimit ose në nënrrjetet lokale dhe të largëta. Më lejoni t'ju kujtoj se cilësimet duhet të pasqyrohen.
Më vete, do të doja të theksoja se mund të krijoni grupe Failover nga tunelet IPSec për tolerancën e gabimeve:
Qasje në distancë SSL VPN
Le të kalojmë te Remote Access SSL VPN për përdoruesit. Nën kapuç ka një OpenVPN standard. Kjo i lejon përdoruesit të lidhen përmes çdo klienti që mbështet skedarët e konfigurimit .ovpn (për shembull, një klient standard lidhjeje).
Së pari, duhet të konfiguroni politikat e serverit OpenVPN:
Specifikoni transportin për lidhje, konfiguroni portin, gamën e adresave IP për lidhjen e përdoruesve të largët
Ju gjithashtu mund të specifikoni cilësimet e enkriptimit.
Pas konfigurimit të serverit, ne vazhdojmë me vendosjen e lidhjeve të klientit.
Çdo rregull i lidhjes SSL VPN krijohet për një grup ose për një përdorues individual. Çdo përdorues mund të ketë vetëm një politikë lidhjeje. Sipas cilësimeve, ajo që është interesante është se për çdo rregull të tillë mund të specifikoni përdorues individualë që do të përdorin këtë cilësim ose një grup nga AD, mund të aktivizoni kutinë e kontrollit në mënyrë që i gjithë trafiku të mbështillet në një tunel VPN ose të specifikoni adresat IP. nënrrjetet ose emrat FQDN të disponueshme për përdoruesit. Bazuar në këto politika, do të krijohet automatikisht një profil .ovpn me cilësime për klientin.
Duke përdorur portalin e përdoruesit, përdoruesi mund të shkarkojë një skedar .ovpn me cilësime për klientin VPN dhe një skedar instalimi të klientit VPN me një skedar të integruar të cilësimeve të lidhjes.
Përfundim
Në këtë artikull, ne kaluam shkurtimisht funksionalitetin VPN në produktin Sophos XG Firewall. Ne shikuam se si mund të konfiguroni IPSec VPN dhe SSL VPN. Kjo nuk është një listë e plotë e asaj që mund të bëjë kjo zgjidhje. Në artikujt e mëposhtëm do të përpiqem të rishikoj RED VPN dhe të tregoj se si duket në vetë zgjidhjen.
Faleminderit per kohen tende.
Nëse keni ndonjë pyetje në lidhje me versionin komercial të XG Firewall, mund të na kontaktoni ne, kompaninë , distributor Sophos. Gjithçka që duhet të bëni është të shkruani në formë të lirë në .
Burimi: www.habr.com