Hej alla! Den här artikeln kommer att granska VPN-funktionaliteten i Sophos XG Firewall-produkten. I det föregående Vi tittade på hur man får den här hemnätverksskyddslösningen gratis med en fullständig licens. Idag ska vi prata om VPN-funktionaliteten som är inbyggd i Sophos XG. Jag ska försöka berätta vad den här produkten kan göra, och även ge exempel på hur man ställer in en IPSec Site-to-Site VPN och en anpassad SSL VPN. Så låt oss börja med recensionen.
Först av allt, låt oss titta på licenstabellen:
Du kan läsa mer om hur Sophos XG Firewall är licensierad här:
Men i den här artikeln kommer vi bara att vara intresserade av de föremål som är markerade i rött.
Den huvudsakliga VPN-funktionen ingår i grundlicensen och köps endast en gång. Detta är en livstidslicens och kräver ingen förnyelse. Modulen Base VPN Options inkluderar:
Webbplats till webbplats:
- SSL VPN
- IPSec VPN
Fjärråtkomst (klient-VPN):
- SSL VPN
- IPsec klientlös VPN (med gratis anpassad app)
- L2TP
- PPTP
Som du kan se stöds alla populära protokoll och typer av VPN-anslutningar.
Dessutom har Sophos XG Firewall ytterligare två typer av VPN-anslutningar som inte ingår i grundprenumerationen. Dessa är RED VPN och HTML5 VPN. Dessa VPN-anslutningar ingår i Nätverksskydd-prenumerationen, vilket innebär att du för att kunna använda dessa typer måste ha ett aktivt abonnemang, vilket även inkluderar nätverksskyddsfunktionalitet - IPS- och ATP-moduler.
RED VPN är en egenutvecklad L2 VPN från Sophos. Denna typ av VPN-anslutning har ett antal fördelar jämfört med Site-to-site SSL eller IPSec när du ställer in ett VPN mellan två XG:er. Till skillnad från IPSec skapar RED-tunneln ett virtuellt gränssnitt i båda ändar av tunneln, vilket hjälper till med felsökning av problem, och till skillnad från SSL är detta virtuella gränssnitt helt anpassningsbart. Administratören har full kontroll över subnätet i RED-tunneln, vilket gör det lättare att lösa routingproblem och subnätkonflikter.
HTML5 VPN eller Clientless VPN – En specifik typ av VPN som låter dig vidarebefordra tjänster via HTML5 direkt i webbläsaren. Typer av tjänster som kan konfigureras:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTP
- SFTP
- SMB
Men det är värt att tänka på att denna typ av VPN endast används i speciella fall och det rekommenderas, om möjligt, att använda VPN-typer från listorna ovan.
Praxis
Låt oss ta en praktisk titt på hur man konfigurerar flera av dessa typer av tunnlar, nämligen: Site-to-Site IPSec och SSL VPN Remote Access.
Plats-till-plats IPSec VPN
Låt oss börja med hur man ställer in en Site-to-Site IPSec VPN-tunnel mellan två Sophos XG-brandväggar. Under huven använder den strongSwan, vilket gör att du kan ansluta till vilken IPSec-aktiverad router som helst.
Du kan använda en bekväm och snabb installationsguide, men vi kommer att följa den allmänna vägen så att du, baserat på dessa instruktioner, kan kombinera Sophos XG med vilken utrustning som helst som använder IPSec.
Låt oss öppna fönstret för policyinställningar:
Som vi kan se finns det redan förinställda inställningar, men vi kommer att skapa våra egna.
Låt oss konfigurera krypteringsparametrarna för den första och andra fasen och spara policyn. I analogi gör vi samma steg på den andra Sophos XG och går vidare till att ställa in själva IPSec-tunneln
Ange namn, driftläge och konfigurera krypteringsparametrarna. Till exempel kommer vi att använda fördelad nyckel
och indikera lokala och fjärranslutna undernät.
Vår anslutning har skapats
I analogi gör vi samma inställningar på den andra Sophos XG, med undantag för driftläget, där ställer vi in Initiera anslutningen
Nu har vi två tunnlar konfigurerade. Därefter måste vi aktivera dem och köra dem. Detta görs väldigt enkelt, du måste klicka på den röda cirkeln under ordet Aktiv för att aktivera och på den röda cirkeln under Anslutning för att starta anslutningen.
Om vi ser den här bilden:
Det betyder att vår tunnel fungerar korrekt. Om den andra indikatorn är röd eller gul är något felaktigt konfigurerat i krypteringspolicyer eller lokala och fjärranslutna undernät. Låt mig påminna dig om att inställningarna måste speglas.
Separat skulle jag vilja betona att du kan skapa failover-grupper från IPSec-tunnlar för feltolerans:
Fjärråtkomst SSL VPN
Låt oss gå vidare till Remote Access SSL VPN för användare. Under huven finns en standard OpenVPN. Detta tillåter användare att ansluta via vilken klient som helst som stöder .ovpn-konfigurationsfiler (till exempel en standardanslutningsklient).
Först måste du konfigurera OpenVPN-serverpolicyerna:
Ange transport för anslutning, konfigurera port, intervall av IP-adresser för att ansluta fjärranvändare
Du kan också ange krypteringsinställningar.
Efter att ha ställt in servern fortsätter vi med att konfigurera klientanslutningar.
Varje SSL VPN-anslutningsregel skapas för en grupp eller för en enskild användare. Varje användare kan bara ha en anslutningspolicy. Enligt inställningarna, det som är intressant är att för varje sådan regel kan du ange individuella användare som kommer att använda den här inställningen eller en grupp från AD, du kan aktivera kryssrutan så att all trafik lindas in i en VPN-tunnel eller ange IP-adresserna, subnät eller FQDN-namn tillgängliga för användare. Baserat på dessa policyer kommer en .ovpn-profil med inställningar för klienten att skapas automatiskt.
Med hjälp av användarportalen kan användaren ladda ner både en .ovpn-fil med inställningar för VPN-klienten och en VPN-klientinstallationsfil med en inbyggd fil för anslutningsinställningar.
Slutsats
I den här artikeln gick vi kort över VPN-funktionaliteten i Sophos XG Firewall-produkten. Vi tittade på hur du kan konfigurera IPSec VPN och SSL VPN. Det här är inte en komplett lista över vad den här lösningen kan göra. I följande artiklar ska jag försöka granska RED VPN och visa hur det ser ut i själva lösningen.
Tack för din tid.
Om du har några frågor om den kommersiella versionen av XG Firewall kan du kontakta oss, företaget , Sophos distributör. Allt du behöver göra är att skriva i fri form på .
Källa: will.com