สวัสดีทุกคน! บทความนี้จะทบทวนฟังก์ชัน VPN ในผลิตภัณฑ์ Sophos XG Firewall ในสมัยก่อน
ก่อนอื่น มาดูตารางใบอนุญาตกันก่อน:
คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีการอนุญาตสิทธิ์ใช้งาน Sophos XG Firewall ได้ที่นี่:
แต่ในบทความนี้เราจะสนใจเฉพาะรายการที่เน้นด้วยสีแดงเท่านั้น
ฟังก์ชั่น VPN หลักรวมอยู่ในใบอนุญาตพื้นฐานและซื้อเพียงครั้งเดียว นี่เป็นใบอนุญาตตลอดชีพและไม่จำเป็นต้องต่ออายุ โมดูลตัวเลือก Base VPN ประกอบด้วย:
ไซต์ต่อไซต์:
- SSL VPN
- IPSec VPN
การเข้าถึงระยะไกล (ไคลเอนต์ VPN):
- SSL VPN
- IPsec Clientless VPN (พร้อมแอปที่กำหนดเองฟรี)
- L2TP
- PPTP
อย่างที่คุณเห็น รองรับโปรโตคอลยอดนิยมและประเภทการเชื่อมต่อ VPN ทั้งหมด
นอกจากนี้ Sophos XG Firewall ยังมีการเชื่อมต่อ VPN อีกสองประเภทที่ไม่รวมอยู่ในการสมัครสมาชิกพื้นฐาน เหล่านี้คือ RED VPN และ HTML5 VPN การเชื่อมต่อ VPN เหล่านี้รวมอยู่ในการสมัครสมาชิกการป้องกันเครือข่าย ซึ่งหมายความว่าในการใช้ประเภทเหล่านี้ คุณต้องมีการสมัครใช้งาน ซึ่งรวมถึงฟังก์ชันการป้องกันเครือข่าย - โมดูล IPS และ ATP
RED VPN เป็น L2 VPN ที่เป็นเอกสิทธิ์จาก Sophos การเชื่อมต่อ VPN ประเภทนี้มีข้อดีหลายประการเหนือ Site-to-site SSL หรือ IPSec เมื่อตั้งค่า VPN ระหว่าง XG สองตัว อุโมงค์สีแดงต่างจาก IPSec ตรงที่สร้างอินเทอร์เฟซเสมือนที่ปลายทั้งสองด้านของอุโมงค์ ซึ่งช่วยในการแก้ไขปัญหา และแตกต่างจาก SSL ตรงที่อินเทอร์เฟซเสมือนนี้สามารถปรับแต่งได้อย่างสมบูรณ์ ผู้ดูแลระบบสามารถควบคุมเครือข่ายย่อยภายในอุโมงค์ RED ได้อย่างสมบูรณ์ ซึ่งช่วยให้แก้ไขปัญหาการกำหนดเส้นทางและข้อขัดแย้งของเครือข่ายย่อยได้ง่ายขึ้น
HTML5 VPN หรือ Clientless VPN – VPN ประเภทเฉพาะที่ช่วยให้คุณสามารถส่งต่อบริการผ่าน HTML5 ได้โดยตรงในเบราว์เซอร์ ประเภทของบริการที่สามารถกำหนดค่าได้:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
แต่ก็ควรพิจารณาว่า VPN ประเภทนี้จะใช้ในกรณีพิเศษเท่านั้น และหากเป็นไปได้ แนะนำให้ใช้ประเภท VPN จากรายการด้านบน
การปฏิบัติ
ลองมาดูวิธีกำหนดค่าอุโมงค์ประเภทต่างๆ เหล่านี้เชิงปฏิบัติ ได้แก่: Site-to-Site IPSec และ SSL VPN Remote Access
IPSec VPN แบบไซต์ต่อไซต์
เริ่มต้นด้วยวิธีตั้งค่า Site-to-Site IPSec VPN tunnel ระหว่างไฟร์วอลล์ Sophos XG สองตัว ภายใต้ประทุนนั้นใช้ StrongSwan ซึ่งช่วยให้คุณเชื่อมต่อกับเราเตอร์ที่เปิดใช้งาน IPSec
คุณสามารถใช้วิซาร์ดการตั้งค่าที่สะดวกและรวดเร็ว แต่เราจะปฏิบัติตามเส้นทางทั่วไป เพื่อให้คุณสามารถรวม Sophos XG เข้ากับอุปกรณ์ใดๆ ที่ใช้ IPSec ตามคำแนะนำเหล่านี้
เปิดหน้าต่างการตั้งค่านโยบาย:
ดังที่เราเห็น มีการตั้งค่าที่ตั้งไว้ล่วงหน้าแล้ว แต่เราจะสร้างขึ้นมาเอง
มากำหนดค่าพารามิเตอร์การเข้ารหัสสำหรับระยะที่หนึ่งและระยะที่สองแล้วบันทึกนโยบาย โดยการเปรียบเทียบ เราทำขั้นตอนเดียวกันกับ Sophos XG ตัวที่สอง และไปยังการตั้งค่าอุโมงค์ IPSec เอง
ป้อนชื่อ โหมดการทำงาน และกำหนดค่าพารามิเตอร์การเข้ารหัส ตัวอย่างเช่น เราจะใช้คีย์ที่แบ่งปันล่วงหน้า
และระบุเครือข่ายย่อยภายในและระยะไกล
การเชื่อมต่อของเราได้ถูกสร้างขึ้นแล้ว
โดยการเปรียบเทียบ เราทำการตั้งค่าเดียวกันกับ Sophos XG ตัวที่สอง ยกเว้นโหมดการทำงาน เราจะตั้งค่าเริ่มต้นการเชื่อมต่อที่นั่น
ตอนนี้เรามีอุโมงค์สองแห่งที่กำหนดค่าไว้ ต่อไปเราต้องเปิดใช้งานและเรียกใช้งาน ทำได้ง่ายมาก คุณต้องคลิกที่วงกลมสีแดงใต้คำว่า Active เพื่อเปิดใช้งานและบนวงกลมสีแดงภายใต้การเชื่อมต่อเพื่อเริ่มการเชื่อมต่อ
ถ้าเราเห็นภาพนี้:
ซึ่งหมายความว่าอุโมงค์ของเราทำงานได้อย่างถูกต้อง หากตัวบ่งชี้ที่สองเป็นสีแดงหรือสีเหลือง แสดงว่ามีการกำหนดค่าบางอย่างไม่ถูกต้องในนโยบายการเข้ารหัสหรือเครือข่ายย่อยภายในและระยะไกล ฉันขอเตือนคุณว่าการตั้งค่าจะต้องถูกมิเรอร์
ฉันต้องการเน้นแยกต่างหากว่าคุณสามารถสร้างกลุ่มเฟลโอเวอร์จากอุโมงค์ IPSec เพื่อความทนทานต่อข้อผิดพลาด:
การเข้าถึงระยะไกล SSL VPN
มาดู Remote Access SSL VPN สำหรับผู้ใช้กัน ภายใต้ประทุนมี OpenVPN มาตรฐาน ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อผ่านไคลเอนต์ที่รองรับไฟล์การกำหนดค่า .ovpn (เช่น ไคลเอนต์การเชื่อมต่อมาตรฐาน)
ขั้นแรก คุณต้องกำหนดค่านโยบายเซิร์ฟเวอร์ OpenVPN:
ระบุการขนส่งสำหรับการเชื่อมต่อ กำหนดค่าพอร์ต ช่วงของที่อยู่ IP สำหรับการเชื่อมต่อผู้ใช้ระยะไกล
คุณยังสามารถระบุการตั้งค่าการเข้ารหัสได้อีกด้วย
หลังจากตั้งค่าเซิร์ฟเวอร์แล้ว เราจะดำเนินการตั้งค่าการเชื่อมต่อไคลเอนต์ต่อไป
กฎการเชื่อมต่อ SSL VPN แต่ละกฎถูกสร้างขึ้นสำหรับกลุ่มหรือผู้ใช้แต่ละราย ผู้ใช้แต่ละคนสามารถมีนโยบายการเชื่อมต่อได้เพียงนโยบายเดียวเท่านั้น ตามการตั้งค่า สิ่งที่น่าสนใจคือสำหรับแต่ละกฎดังกล่าว คุณสามารถระบุผู้ใช้แต่ละรายที่จะใช้การตั้งค่านี้หรือกลุ่มจาก AD คุณสามารถเปิดใช้งานช่องทำเครื่องหมายเพื่อให้การรับส่งข้อมูลทั้งหมดถูกรวมไว้ในอุโมงค์ VPN หรือระบุที่อยู่ IP ซับเน็ตหรือชื่อ FQDN ที่ผู้ใช้สามารถใช้ได้ ตามนโยบายเหล่านี้ โปรไฟล์ .ovpn พร้อมการตั้งค่าสำหรับไคลเอ็นต์จะถูกสร้างขึ้นโดยอัตโนมัติ
เมื่อใช้พอร์ทัลผู้ใช้ ผู้ใช้สามารถดาวน์โหลดไฟล์ทั้งไฟล์ .ovpn พร้อมการตั้งค่าสำหรับไคลเอนต์ VPN และไฟล์การติดตั้งไคลเอนต์ VPN พร้อมไฟล์การตั้งค่าการเชื่อมต่อในตัว
ข้อสรุป
ในบทความนี้ เราได้กล่าวถึงฟังก์ชัน VPN ในผลิตภัณฑ์ไฟร์วอลล์ Sophos XG โดยย่อ เราดูว่าคุณสามารถกำหนดค่า IPSec VPN และ SSL VPN ได้อย่างไร นี่ไม่ใช่รายการที่สมบูรณ์ของสิ่งที่โซลูชันนี้สามารถทำได้ ในบทความต่อไปนี้ ฉันจะพยายามตรวจสอบ RED VPN และแสดงให้เห็นว่าในตัวโซลูชันมีลักษณะอย่างไร
ขอขอบคุณสำหรับเวลาของคุณ.
หากคุณมีคำถามใดๆ เกี่ยวกับ XG Firewall เวอร์ชันเชิงพาณิชย์ คุณสามารถติดต่อเราบริษัทได้
ที่มา: will.com