Hej alla! Den hÀr artikeln kommer att Àgnas Ät en översikt över VPN-funktionaliteten i Sophos XG Firewall-produkten. I det föregÄende Vi diskuterade hur man fÄr den hÀr hemnÀtverksskyddslösningen gratis med en fullstÀndig licens. Idag ska vi prata om VPN-funktionaliteten som Àr inbyggd i Sophos XG. Jag ska försöka berÀtta för dig vad den hÀr produkten kan göra, och Àven ge exempel pÄ att konfigurera IPSec Site-to-Site VPN och anpassad SSL VPN. SÄ lÄt oss börja med recensionen.
Först av allt, lÄt oss titta pÄ licenstabellen:
Du kan lÀsa mer om hur Sophos XG Firewall Àr licensierad hÀr:
Men i den hÀr artikeln kommer vi bara att vara intresserade av de punkter som Àr markerade i rött.
Den grundlÀggande VPN-funktionaliteten ingÄr i grundlicensen och köps endast en gÄng. Detta Àr en livstidslicens och krÀver ingen förnyelse. Modulen Base VPN Options inkluderar:
Webbplats till webbplats:
- SSL VPN
- IPSec VPN
FjÀrrÄtkomst (klient-VPN):
- SSL VPN
- IPsec klientlös VPN (med gratis anvÀndarapp)
- L2TP
- PPTP
Som vi kan se stöds alla populÀra protokoll och typer av VPN-anslutningar.
Dessutom har Sophos XG Firewall ytterligare tvÄ typer av VPN-anslutningar som inte ingÄr i grundprenumerationen. Dessa Àr RED VPN och HTML5 VPN. Dessa VPN-anslutningar ingÄr i NÀtverksskydd-prenumerationen, vilket innebÀr att för att kunna anvÀnda dessa typer mÄste du ha ett aktivt abonnemang, vilket Àven inkluderar nÀtverksskyddsfunktionalitet - IPS- och ATP-moduler.
RED VPN Ă€r en egenutvecklad L2 VPN frĂ„n Sophos. Denna typ av VPN-anslutning har ett antal fördelar jĂ€mfört med Site-to-site SSL eller IPSec nĂ€r du stĂ€ller in ett VPN mellan tvĂ„ XG:er. Till skillnad frĂ„n IPSec skapar RED tunnel ett virtuellt grĂ€nssnitt i bĂ„da Ă€ndar av tunneln, vilket hjĂ€lper till med felsökning, och till skillnad frĂ„n SSL Ă€r detta virtuella grĂ€nssnitt fullt konfigurerbart. Administratören har full kontroll över subnĂ€tet inuti den RĂDA tunneln, vilket gör det lĂ€ttare att lösa routingproblem och subnĂ€tkonflikter.
HTML5 VPN eller Clientless VPN â En specifik typ av VPN som lĂ„ter dig vidarebefordra tjĂ€nster via HTML5 direkt i webblĂ€saren. Typer av tjĂ€nster som kan konfigureras:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTP
- SFTP
- SMB
Men det Àr vÀrt att tÀnka pÄ att denna typ av VPN endast anvÀnds i speciella fall och det rekommenderas, om möjligt, att anvÀnda VPN-typerna frÄn listorna ovan.
Praxis
LÄt oss ta en praktisk titt pÄ hur man stÀller in flera av dessa tunneltyper, nÀmligen: Site-to-Site IPSec och SSL VPN Remote Access.
Plats-till-plats IPSec VPN
LÄt oss börja med hur man stÀller in en Site-to-Site IPSec VPN-tunnel mellan tvÄ Sophos XG-brandvÀggar. Under huven anvÀnder den strongSwan, vilket gör att du kan ansluta till vilken router som helst som stöder IPSec.
Du kan anvÀnda den bekvÀma och snabba installationsguiden, men vi tar den allmÀnna vÀgen sÄ att du baserat pÄ denna instruktion kan kombinera Sophos XG med valfri utrustning via IPSec.
LÄt oss öppna fönstret för policyinstÀllningar:
Som vi kan se finns det redan förinstallerade instÀllningar, men vi kommer att skapa vÄra egna.
LÄt oss konfigurera krypteringsparametrarna för den första och andra fasen och spara policyn. I analogi gör vi samma ÄtgÀrder pÄ den andra Sophos XG och fortsÀtter med att konfigurera sjÀlva IPSec-tunneln
Vi anger namn, driftlÀge och konfigurerar krypteringsparametrar. Till exempel kommer vi att anvÀnda fördelad nyckel
och ange lokala och fjÀrrundernÀt.
VĂ„r anslutning har skapats
I analogi gör vi samma instĂ€llningar pĂ„ den andra Sophos XG, förutom driftlĂ€get, dĂ€r stĂ€ller vi in ââInitiera anslutningen
Nu har vi tvÄ tunnlar konfigurerade. DÀrefter mÄste vi aktivera och starta dem. Detta görs vÀldigt enkelt, du mÄste klicka pÄ den röda cirkeln under ordet Aktiv för att aktivera och pÄ den röda cirkeln under Anslutning för att starta anslutningen.
Om vi ââser en bild som denna:
Det betyder att vÄr tunnel fungerar korrekt. Om den andra indikatorn Àr röd eller gul Àr nÄgot felaktigt konfigurerat i krypteringspolicyerna eller lokala och fjÀrranslutna undernÀt. LÄt mig pÄminna dig om att instÀllningarna bör speglas.
Jag skulle vilja betona separat att det Àr möjligt att skapa failover-grupper frÄn IPSec-tunnlar för feltolerans:
FjÀrrÄtkomst SSL VPN
LÄt oss gÄ vidare till SSL VPN med fjÀrrÄtkomst för anvÀndare. Under huven finns en standard OpenVPNDetta gör det möjligt för anvÀndare att ansluta via vilken klient som helst som stöder .ovpn-konfigurationsfiler (t.ex. standardanslutningsklienten).
Först mÄste du stÀlla in policyer. OpenVPN servrar:
Ange transport för anslutning, konfigurera port, intervall av IP-adresser för att ansluta fjÀrranvÀndare
Du kan ocksÄ ange krypteringsinstÀllningar.
Efter att ha stÀllt in servern fortsÀtter vi med att konfigurera klientanslutningar.
Varje SSL VPN-anslutningsregel skapas för en grupp eller för en enskild anvÀndare. Varje anvÀndare kan bara ha en anslutningspolicy. Enligt instÀllningarna, frÄn det intressanta, för varje sÄdan regel kan du specificera hur enskilda anvÀndare som kommer att anvÀnda den hÀr instÀllningen eller en grupp frÄn AD, kan du aktivera en kryssruta sÄ att all trafik lindas in i en VPN-tunnel eller ange IP-adresser, subnÀt eller FQDN-namn tillgÀngliga för anvÀndare. Baserat pÄ dessa policyer kommer en .ovpn-profil med instÀllningar för klienten att skapas automatiskt.
Med hjÀlp av anvÀndarportalen kan anvÀndaren ladda ner bÄde .ovpn-filen med instÀllningarna för VPN-klienten och VPN-klientens installationsfil med den inbyggda anslutningsinstÀllningarsfilen.
Slutsats
I den hÀr artikeln gick vi kort över VPN-funktionaliteten i Sophos XG Firewall-produkten. Vi tittade pÄ hur man stÀller in IPSec VPN och SSL VPN. Detta Àr lÄngt ifrÄn en komplett lista över vad den hÀr lösningen kan göra. I följande artiklar ska jag försöka granska RED VPN och visa hur det ser ut i sjÀlva lösningen.
Tack för din tid.
Om du har nÄgra frÄgor om den kommersiella versionen av XG Firewall kan du kontakta oss - företaget , Sophos distributör. Allt du behöver göra Àr att skriva i fri form pÄ .
KĂ€lla: will.com
