Hammaga salom! Ushbu maqola Sophos XG Firewall mahsulotidagi VPN funksiyalarini ko'rib chiqadi. Avvalgisida maqola Biz ushbu uy tarmog'ini himoya qilish yechimini to'liq litsenziya bilan qanday qilib bepul olishni ko'rib chiqdik. Bugun biz Sophos XG-ga o'rnatilgan VPN funksiyasi haqida gaplashamiz. Men sizga ushbu mahsulot nima qilishi mumkinligini aytib berishga harakat qilaman, shuningdek, IPSec Saytdan Saytga VPN va maxsus SSL VPN-ni o'rnatishga misollar keltiraman. Keling, ko'rib chiqishni boshlaylik.

Avvalo, litsenziyalash jadvalini ko'rib chiqaylik:

Sophos XG Firewall qanday litsenziyalanganligi haqida ko'proq ma'lumotni bu yerda o'qishingiz mumkin:
aloqa
Ammo ushbu maqolada biz faqat qizil rang bilan ta'kidlangan narsalarga qiziqamiz.

Asosiy VPN funksiyasi asosiy litsenziyaga kiritilgan va faqat bir marta sotib olinadi. Bu umrbod litsenziya bo'lib, yangilashni talab qilmaydi. Base VPN Options moduli quyidagilarni o'z ichiga oladi:

Saytdan saytga:

• SSL VPN
• IPSec VPN

Masofaviy kirish (mijoz VPN):

• SSL VPN
• IPsec Clientless VPN (bepul maxsus ilova bilan)
• L2TP
• PPTP

Ko'rib turganingizdek, barcha mashhur protokollar va VPN ulanish turlari qo'llab-quvvatlanadi.

Shuningdek, Sophos XG Firewall-da asosiy obunaga kiritilmagan yana ikkita VPN ulanish turi mavjud. Bular RED VPN va HTML5 VPN. Ushbu VPN ulanishlari Tarmoqni himoya qilish obunasiga kiritilgan, ya'ni ushbu turlardan foydalanish uchun siz faol obuna bo'lishingiz kerak, bu tarmoqni himoya qilish funksiyasini ham o'z ichiga oladi - IPS va ATP modullari.

RED VPN - bu Sophos kompaniyasining xususiy L2 VPN. Ushbu turdagi VPN ulanishi ikkita XG o'rtasida VPN o'rnatishda Saytdan saytga SSL yoki IPSec ga nisbatan bir qator afzalliklarga ega. IPSec-dan farqli o'laroq, RED tunnel tunnelning har ikki uchida virtual interfeys yaratadi, bu muammolarni bartaraf etishda yordam beradi va SSL-dan farqli o'laroq, bu virtual interfeys butunlay sozlanishi. Administrator RED tunnel ichidagi pastki tarmoq ustidan to'liq nazoratga ega, bu marshrutlash muammolari va pastki tarmoq ziddiyatlarini hal qilishni osonlashtiradi.

HTML5 VPN yoki Clientless VPN - HTML5 orqali xizmatlarni to'g'ridan-to'g'ri brauzerda yo'naltirish imkonini beruvchi maxsus VPN turi. Sozlanishi mumkin bo'lgan xizmatlar turlari:

• RDP
• Telnet
• sSH
• VNC
• FTP
• FTPS
• SFTP
• SMB

Ammo shuni hisobga olish kerakki, ushbu turdagi VPN faqat alohida holatlarda qo'llaniladi va iloji bo'lsa, yuqoridagi ro'yxatdagi VPN turlaridan foydalanish tavsiya etiladi.

Amaliyot

Keling, ushbu turdagi tunnellarning bir nechtasini qanday sozlashni amaliy ko'rib chiqaylik, xususan: Saytdan saytga IPSec va SSL VPN masofaviy kirish.

Saytdan saytga IPSec VPN

Keling, ikkita Sophos XG xavfsizlik devori o'rtasida Saytdan saytga IPSec VPN tunnelini qanday o'rnatishdan boshlaylik. Kaput ostida u IPSec-ni yoqadigan har qanday routerga ulanish imkonini beruvchi strongSwan-dan foydalanadi.

Siz qulay va tez sozlash ustasidan foydalanishingiz mumkin, ammo biz umumiy yo'lni bajaramiz, shunda ushbu ko'rsatmalarga asoslanib, Sophos XG ni IPSec yordamida har qanday uskuna bilan birlashtira olasiz.

Siyosat sozlamalari oynasini ochamiz:

Ko'rib turganimizdek, allaqachon oldindan o'rnatilgan sozlamalar mavjud, ammo biz o'zimizni yaratamiz.

Birinchi va ikkinchi bosqichlar uchun shifrlash parametrlarini sozlaymiz va siyosatni saqlaymiz. Shunga o'xshab, biz ikkinchi Sophos XG-da xuddi shu amallarni bajaramiz va IPSec tunnelini o'rnatishga o'tamiz.

Ismni, ish rejimini kiriting va shifrlash parametrlarini sozlang. Masalan, biz Preshared Keydan foydalanamiz

va mahalliy va uzoq pastki tarmoqlarni ko'rsating.

Bizning aloqamiz yaratildi

Analogiya bo'yicha, biz ikkinchi Sophos XG-da bir xil sozlamalarni qilamiz, ish rejimi bundan mustasno, u erda biz ulanishni boshlashni o'rnatamiz.

Endi bizda ikkita tunnel sozlangan. Keyinchalik, biz ularni faollashtirishimiz va ularni ishga tushirishimiz kerak. Bu juda sodda tarzda amalga oshiriladi, faollashtirish uchun "Active" so'zi ostidagi qizil doira ustiga bosing va ulanishni boshlash uchun "Ulanish" ostidagi qizil doira ustiga bosing.
Agar biz ushbu rasmni ko'rsak:

Bu bizning tunnelimiz to'g'ri ishlayotganini anglatadi. Agar ikkinchi ko'rsatkich qizil yoki sariq bo'lsa, u holda shifrlash siyosatida yoki mahalliy va masofaviy pastki tarmoqlarda biror narsa noto'g'ri sozlangan. Eslatib o'taman, sozlamalar aks ettirilishi kerak.

Alohida ta'kidlashni istardimki, nosozliklarga chidamlilik uchun IPSec tunnellaridan Failover guruhlarini yaratishingiz mumkin:

Masofaviy kirish SSL VPN

Keling, foydalanuvchilar uchun Remote Access SSL VPN-ga o'tamiz. Kaput ostida standart OpenVPN mavjud. Bu foydalanuvchilarga .ovpn konfiguratsiya fayllarini (masalan, standart ulanish mijozi) qo'llab-quvvatlaydigan har qanday mijoz orqali ulanish imkonini beradi.

Birinchidan, siz OpenVPN server siyosatlarini sozlashingiz kerak:

Ulanish uchun transportni belgilang, portni sozlang, masofaviy foydalanuvchilarni ulash uchun IP-manzillar diapazoni

Siz shifrlash sozlamalarini ham belgilashingiz mumkin.

Serverni o'rnatgandan so'ng, biz mijoz ulanishlarini o'rnatishga o'tamiz.

Har bir SSL VPN ulanish qoidasi guruh yoki individual foydalanuvchi uchun yaratilgan. Har bir foydalanuvchi faqat bitta ulanish siyosatiga ega bo'lishi mumkin. Sozlamalarga ko'ra, qiziq tomoni shundaki, har bir bunday qoida uchun siz ushbu parametrdan foydalanadigan individual foydalanuvchilarni yoki AD guruhini belgilashingiz mumkin, siz barcha trafik VPN tunneliga o'ralgan bo'lishi uchun katakchani yoqishingiz yoki IP manzillarini belgilashingiz mumkin, subnets yoki FQDN nomlari foydalanuvchilar uchun mavjud. Ushbu siyosatlarga asoslanib, mijoz uchun sozlamalar bilan .ovpn profili avtomatik ravishda yaratiladi.

Foydalanuvchi portalidan foydalanib, foydalanuvchi VPN mijozi sozlamalari bilan .ovpn faylini va o'rnatilgan ulanish sozlamalari fayli bilan VPN mijozini o'rnatish faylini yuklab olishi mumkin.

xulosa

Ushbu maqolada biz Sophos XG Firewall mahsulotidagi VPN funksiyalarini qisqacha ko'rib chiqdik. IPSec VPN va SSL VPN-ni qanday sozlashni ko'rib chiqdik. Bu yechim nima qilishi mumkinligining to'liq ro'yxati emas. Keyingi maqolalarda men RED VPN-ni ko'rib chiqishga harakat qilaman va uning yechimning o'zida qanday ko'rinishini ko'rsataman.

Vaqtingiz uchun rahmat.

XG Firewall ning tijorat versiyasi haqida savollaringiz bo'lsa, biz bilan, kompaniya bilan bog'lanishingiz mumkin Faktorlar guruhi, Sophos distribyutori. Siz qilishingiz kerak bo'lgan yagona narsa - bu bepul shaklda yozish [elektron pochta bilan himoyalangan].

Manba: www.habr.com