Chào mọi người! Bài viết này sẽ xem xét chức năng VPN trong sản phẩm Tường lửa Sophos XG. Ở phần trước Chúng tôi đã xem xét cách nhận miễn phí giải pháp bảo vệ mạng gia đình này với giấy phép đầy đủ. Hôm nay chúng ta sẽ nói về chức năng VPN được tích hợp trong Sophos XG. Tôi sẽ cố gắng cho bạn biết sản phẩm này có thể làm gì, đồng thời đưa ra các ví dụ về cách thiết lập IPSec Site-to-Site VPN và SSL VPN tùy chỉnh. Vì vậy, hãy bắt đầu với việc xem xét.
Trước hết, chúng ta hãy nhìn vào bảng cấp phép:
Bạn có thể đọc thêm về cách Sophos XG Tường lửa được cấp phép tại đây:
Nhưng trong bài viết này chúng ta sẽ chỉ quan tâm đến những mục được tô màu đỏ.
Chức năng VPN chính được bao gồm trong giấy phép cơ bản và chỉ được mua một lần. Đây là giấy phép trọn đời và không cần gia hạn. Mô-đun Tùy chọn VPN cơ sở bao gồm:
Bên cạnh:
- SSL VPN
- VPN IPSec
Truy cập từ xa (VPN máy khách):
- SSL VPN
- IPsec Clientless VPN (với ứng dụng tùy chỉnh miễn phí)
- L2TP
- PPTP
Như bạn có thể thấy, tất cả các giao thức và loại kết nối VPN phổ biến đều được hỗ trợ.
Ngoài ra, Tường lửa Sophos XG còn có thêm hai loại kết nối VPN không được bao gồm trong đăng ký cơ bản. Đó là VPN RED và VPN HTML5. Các kết nối VPN này được bao gồm trong đăng ký Bảo vệ mạng, có nghĩa là để sử dụng những loại này, bạn phải có đăng ký đang hoạt động, đăng ký này cũng bao gồm chức năng bảo vệ mạng - mô-đun IPS và ATP.
RED VPN là VPN L2 độc quyền của Sophos. Loại kết nối VPN này có một số lợi thế so với SSL Site-to-site hoặc IPSec khi thiết lập VPN giữa hai XG. Không giống như IPSec, đường hầm RED tạo giao diện ảo ở cả hai đầu đường hầm, giúp khắc phục sự cố và không giống như SSL, giao diện ảo này hoàn toàn có thể tùy chỉnh. Quản trị viên có toàn quyền kiểm soát mạng con trong đường hầm RED, điều này giúp giải quyết các vấn đề định tuyến và xung đột mạng con dễ dàng hơn.
HTML5 VPN hoặc Clientless VPN – Một loại VPN cụ thể cho phép bạn chuyển tiếp các dịch vụ qua HTML5 trực tiếp trong trình duyệt. Các loại dịch vụ có thể được cấu hình:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Nhưng điều đáng lưu ý là loại VPN này chỉ được sử dụng trong những trường hợp đặc biệt và nếu có thể, nên sử dụng các loại VPN từ danh sách trên.
Tập luyện
Chúng ta hãy xem xét thực tế cách định cấu hình một số loại đường hầm này, cụ thể là: Site-to-Site IPSec và SSL VPN Remote Access.
VPN IPSec Site-to-Site
Hãy bắt đầu với cách thiết lập đường hầm IPSec VPN Site-to-Site giữa hai Tường lửa Sophos XG. Bên trong nó sử dụng StrongSwan, cho phép bạn kết nối với bất kỳ bộ định tuyến hỗ trợ IPSec nào.
Bạn có thể sử dụng trình hướng dẫn thiết lập thuận tiện và nhanh chóng, nhưng chúng tôi sẽ đi theo đường dẫn chung để dựa trên các hướng dẫn này, bạn có thể kết hợp Sophos XG với bất kỳ thiết bị nào sử dụng IPSec.
Hãy mở cửa sổ cài đặt chính sách:
Như chúng ta có thể thấy, đã có các cài đặt đặt trước nhưng chúng ta sẽ tạo cài đặt riêng của mình.
Hãy định cấu hình các tham số mã hóa cho giai đoạn đầu tiên và thứ hai và lưu chính sách. Tương tự, chúng ta thực hiện các bước tương tự trên Sophos XG thứ hai và chuyển sang thiết lập đường hầm IPSec
Nhập tên, chế độ hoạt động và cấu hình các thông số mã hóa. Ví dụ: chúng tôi sẽ sử dụng Khóa chia sẻ trước
và chỉ ra các mạng con cục bộ và từ xa.
Kết nối của chúng tôi đã được tạo
Bằng cách tương tự, chúng tôi thực hiện các cài đặt tương tự trên Sophos XG thứ hai, ngoại trừ chế độ vận hành, ở đó chúng tôi sẽ thiết lập Bắt đầu kết nối
Bây giờ chúng ta đã cấu hình được hai đường hầm. Tiếp theo, chúng ta cần kích hoạt chúng và chạy chúng. Việc này thực hiện rất đơn giản, bạn cần click vào vòng tròn màu đỏ dưới chữ Active để kích hoạt và vào vòng tròn màu đỏ bên dưới Connection để bắt đầu kết nối.
Nếu chúng ta nhìn thấy bức ảnh này:
Điều này có nghĩa là đường hầm của chúng tôi đang hoạt động chính xác. Nếu chỉ báo thứ hai có màu đỏ hoặc vàng thì có nghĩa là có điều gì đó được định cấu hình không chính xác trong chính sách mã hóa hoặc mạng con cục bộ và từ xa. Hãy để tôi nhắc bạn rằng các cài đặt phải được phản ánh.
Riêng biệt, tôi muốn nhấn mạnh rằng bạn có thể tạo nhóm Chuyển đổi dự phòng từ đường hầm IPSec để có khả năng chịu lỗi:
Truy cập từ xa SSL VPN
Hãy chuyển sang SSL VPN truy cập từ xa cho người dùng. Dưới mui xe có một OpenVPN tiêu chuẩn. Điều này cho phép người dùng kết nối thông qua bất kỳ ứng dụng khách nào hỗ trợ tệp cấu hình .ovpn (ví dụ: ứng dụng khách kết nối tiêu chuẩn).
Trước tiên, bạn cần định cấu hình chính sách máy chủ OpenVPN:
Chỉ định phương thức vận chuyển để kết nối, cấu hình cổng, dải địa chỉ IP để kết nối người dùng từ xa
Bạn cũng có thể chỉ định cài đặt mã hóa.
Sau khi thiết lập máy chủ, chúng ta tiến hành thiết lập kết nối máy khách.
Mỗi quy tắc kết nối SSL VPN được tạo cho một nhóm hoặc cho một người dùng cá nhân. Mỗi người dùng chỉ có thể có một chính sách kết nối. Theo cài đặt, điều thú vị là đối với mỗi quy tắc như vậy, bạn có thể chỉ định từng người dùng sẽ sử dụng cài đặt này hoặc một nhóm từ AD, bạn có thể bật hộp kiểm để tất cả lưu lượng truy cập được bao bọc trong đường hầm VPN hoặc chỉ định địa chỉ IP, mạng con hoặc tên FQDN có sẵn cho người dùng. Dựa trên các chính sách này, hồ sơ .ovpn có cài đặt cho máy khách sẽ được tạo tự động.
Bằng cách sử dụng cổng thông tin người dùng, người dùng có thể tải xuống cả tệp .ovpn có cài đặt cho máy khách VPN và tệp cài đặt máy khách VPN có tệp cài đặt kết nối tích hợp.
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu ngắn gọn về chức năng VPN trong sản phẩm Tường lửa Sophos XG. Chúng tôi đã xem xét cách bạn có thể định cấu hình IPSec VPN và SSL VPN. Đây không phải là danh sách đầy đủ những gì giải pháp này có thể làm. Trong các bài viết sau, tôi sẽ cố gắng xem xét RED VPN và cho biết giải pháp này trông như thế nào.
Cảm ơn bạn đã dành thời gian.
Nếu bạn có bất kỳ thắc mắc nào về phiên bản thương mại của XG Tường lửa, bạn có thể liên hệ với chúng tôi, công ty , Nhà phân phối Sophos. Tất cả những gì bạn phải làm là viết ở dạng tự do tại .
Nguồn: www.habr.com