Salaam wote! Nakala hii itakagua utendaji wa VPN katika bidhaa ya Sophos XG Firewall. Katika uliopita Tuliangalia jinsi ya kupata suluhisho hili la ulinzi wa mtandao wa nyumbani bila malipo na leseni kamili. Leo tutazungumza juu ya utendaji wa VPN ambao umejengwa ndani ya Sophos XG. Nitajaribu kukuambia kile bidhaa hii inaweza kufanya, na pia kutoa mifano ya kusanidi VPN ya Tovuti hadi Tovuti ya IPSec na SSL VPN maalum. Kwa hivyo wacha tuanze na ukaguzi.
Kwanza kabisa, hebu tuangalie jedwali la leseni:
Unaweza kusoma zaidi kuhusu jinsi Sophos XG Firewall inavyopewa leseni hapa:
Lakini katika makala hii tutavutiwa tu na vitu hivyo ambavyo vinaonyeshwa kwa rangi nyekundu.
Utendaji kuu wa VPN umejumuishwa kwenye leseni ya msingi na inanunuliwa mara moja tu. Hii ni leseni ya maisha yote na haihitaji kusasishwa. Moduli ya Chaguzi za Msingi za VPN ni pamoja na:
Tovuti-kwa-Site:
- SSL VPN
- IPSec VPN
Ufikiaji wa Mbali (VPN ya mteja):
- SSL VPN
- IPsec Clientless VPN (iliyo na programu maalum ya bure)
- L2TP
- PPTP
Kama unaweza kuona, itifaki zote maarufu na aina za miunganisho ya VPN zinatumika.
Pia, Sophos XG Firewall ina aina mbili zaidi za miunganisho ya VPN ambayo haijajumuishwa katika usajili wa msingi. Hizi ni RED VPN na HTML5 VPN. Miunganisho hii ya VPN imejumuishwa katika usajili wa Ulinzi wa Mtandao, ambayo inamaanisha kuwa ili kutumia aina hizi lazima uwe na usajili unaoendelea, ambao pia unajumuisha utendakazi wa ulinzi wa mtandao - moduli za IPS na ATP.
RED VPN ni wamiliki wa L2 VPN kutoka Sophos. Aina hii ya muunganisho wa VPN ina manufaa kadhaa juu ya SSL ya Tovuti hadi tovuti au IPSec wakati wa kusanidi VPN kati ya XG mbili. Tofauti na IPSec, handaki RED huunda kiolesura cha mtandaoni katika ncha zote mbili za handaki, ambayo husaidia kwa matatizo ya utatuzi, na tofauti na SSL, kiolesura hiki pepe kinaweza kubinafsishwa kabisa. Msimamizi ana udhibiti kamili juu ya subnet ndani ya handaki RED, ambayo hurahisisha kutatua matatizo ya uelekezaji na migogoro ya subnet.
HTML5 VPN au Clientless VPN - Aina mahususi ya VPN inayokuruhusu kusambaza huduma kupitia HTML5 moja kwa moja kwenye kivinjari. Aina za huduma ambazo zinaweza kusanidiwa:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Lakini inafaa kuzingatia kuwa aina hii ya VPN hutumiwa tu katika hali maalum na inashauriwa, ikiwezekana, kutumia aina za VPN kutoka kwa orodha zilizo hapo juu.
Mazoezi
Hebu tuangalie kwa vitendo jinsi ya kusanidi kadhaa ya aina hizi za vichuguu, yaani: Site-to-Site IPSec na SSL VPN Remote Access.
IPSec VPN ya tovuti hadi Tovuti
Hebu tuanze na jinsi ya kusanidi handaki ya IPSec VPN ya Site-to-Site kati ya Firewalls mbili za Sophos XG. Chini ya kofia hutumia Swan kali, ambayo inakuwezesha kuunganisha kwenye router yoyote iliyowezeshwa na IPSec.
Unaweza kutumia mchawi wa usanidi unaofaa na wa haraka, lakini tutafuata njia ya jumla ili, kwa kuzingatia maagizo haya, unaweza kuchanganya Sophos XG na vifaa vyovyote kwa kutumia IPSec.
Fungua dirisha la mipangilio ya sera:
Kama tunavyoona, tayari kuna mipangilio iliyowekwa tayari, lakini tutaunda yetu.
Hebu tusanidi vigezo vya usimbaji fiche kwa awamu ya kwanza na ya pili na kuhifadhi sera. Kwa mlinganisho, tunafanya hatua sawa kwenye Sophos XG ya pili na kuendelea na kusanidi handaki ya IPSec yenyewe.
Ingiza jina, hali ya uendeshaji na usanidi vigezo vya usimbuaji. Kwa mfano, tutatumia Ufunguo Ulioshirikiwa Awali
na uonyeshe subnets za ndani na za mbali.
Muunganisho wetu umeundwa
Kwa mfano, tunafanya mipangilio sawa kwenye Sophos XG ya pili, isipokuwa hali ya uendeshaji, hapo tutaweka Anzisha unganisho.
Sasa tuna vichuguu viwili vilivyosanidiwa. Ifuatayo, tunahitaji kuziamilisha na kuziendesha. Hii imefanywa kwa urahisi sana, unahitaji kubofya duara nyekundu chini ya neno Active ili kuamilisha na kwenye duara nyekundu chini ya Muunganisho ili kuanza muunganisho.
Ikiwa tunaona picha hii:
Hii inamaanisha kuwa handaki yetu inafanya kazi ipasavyo. Ikiwa kiashirio cha pili ni nyekundu au njano, basi kitu kimesanidiwa kimakosa katika sera za usimbaji fiche au nyavu za ndani na za mbali. Napenda kukukumbusha kwamba mipangilio lazima iwe kioo.
Kando, ningependa kuangazia kuwa unaweza kuunda vikundi vya Failover kutoka kwa vichuguu vya IPSec kwa uvumilivu wa makosa:
Ufikiaji wa Mbali wa SSL VPN
Wacha tuendelee kwenye Ufikiaji wa Mbali wa SSL VPN kwa watumiaji. Chini ya kofia kuna OpenVPN ya kawaida. Hii huruhusu watumiaji kuunganishwa kupitia kiteja chochote kinachotumia faili za usanidi za .ovpn (kwa mfano, mteja wa muunganisho wa kawaida).
Kwanza, unahitaji kusanidi sera za seva ya OpenVPN:
Taja usafiri wa uunganisho, usanidi bandari, anuwai ya anwani za IP za kuunganisha watumiaji wa mbali
Unaweza pia kubainisha mipangilio ya usimbaji fiche.
Baada ya kusanidi seva, tunaendelea kuanzisha miunganisho ya mteja.
Kila sheria ya uunganisho wa SSL VPN imeundwa kwa kikundi au kwa mtumiaji binafsi. Kila mtumiaji anaweza kuwa na sera moja tu ya muunganisho. Kulingana na mipangilio, kinachovutia ni kwamba kwa kila sheria kama hiyo unaweza kutaja watumiaji binafsi ambao watatumia mpangilio huu au kikundi kutoka kwa AD, unaweza kuwezesha kisanduku cha kuteua ili trafiki yote imefungwa kwenye handaki ya VPN au kutaja anwani za IP, subnets au majina ya FQDN yanapatikana kwa watumiaji. Kulingana na sera hizi, wasifu wa .ovpn wenye mipangilio ya mteja utaundwa kiotomatiki.
Kwa kutumia lango la mtumiaji, mtumiaji anaweza kupakua faili zote mbili za .ovpn na mipangilio ya mteja wa VPN, na faili ya usakinishaji ya mteja wa VPN yenye faili ya mipangilio ya muunganisho iliyojengewa ndani.
Hitimisho
Katika nakala hii, tulipitia kwa ufupi utendaji wa VPN katika bidhaa ya Sophos XG Firewall. Tuliangalia jinsi unavyoweza kusanidi IPSec VPN na SSL VPN. Hii sio orodha kamili ya kile suluhisho hili linaweza kufanya. Katika makala zifuatazo nitajaribu kukagua RED VPN na kuonyesha jinsi inavyoonekana katika suluhisho yenyewe.
Asante kwa muda wako.
Ikiwa una maswali yoyote kuhusu toleo la kibiashara la XG Firewall, unaweza kuwasiliana nasi, kampuni , Msambazaji wa Sophos. Unachohitajika kufanya ni kuandika kwa fomu ya bure kwa .
Chanzo: mapenzi.com