א גוטן יעדער! דער אַרטיקל וועט אָפּשאַצן די VPN פאַנגקשאַנאַליטי אין די Sophos XG Firewall פּראָדוקט. אין די פריערדיקע אַרטיקל מיר געקוקט אויף ווי צו באַקומען דעם היים נעץ שוץ לייזונג פֿאַר פריי מיט אַ פול דערלויבעניש. הייַנט מיר וועלן רעדן וועגן די VPN פאַנגקשאַנאַליטי וואָס איז געבויט אין Sophos XG. איך וועל פּרובירן צו זאָגן איר וואָס דעם פּראָדוקט קענען טאָן, און אויך געבן ביישפילן פון באַשטעטיקן אַ IPSec פּלאַץ-צו-פּלאַץ וופּן און אַ מנהג SSL VPN. אַזוי לאָזן ס אָנהייבן מיט די רעצענזיע.

ערשטער פון אַלע, לאָמיר קוקן אין די לייסאַנסינג טיש:

איר קענט לייענען מער וועגן ווי Sophos XG Firewall איז לייסאַנסט דאָ:
רונג
אבער אין דעם אַרטיקל מיר וועלן זיין אינטערעסירט בלויז אין די זאכן וואָס זענען כיילייטיד אין רויט.

די הויפּט וופּן פאַנגקשאַנאַליטי איז אַרייַנגערעכנט אין די יקערדיק דערלויבעניש און איז פּערטשאַסט בלויז אַמאָל. דאָס איז אַ לעבן דערלויבעניש און טוט נישט דאַרפן רינואַל. די באַסע VPN אָפּציעס מאָדולע כולל:

פּלאַץ צו פּלאַץ:

• ssl vpn
• IPSec וופּן

ווייַט אַקסעס (קליענט VPN):

• ssl vpn
• IPsec Clientless VPN (מיט פריי מנהג אַפּ)
• לקסנומקסטפּ
• פּפּטפּ

ווי איר קענען זען, אַלע פאָלקס פּראָטאָקאָלס און טייפּס פון VPN קאַנעקשאַנז זענען געשטיצט.

אויך, Sophos XG Firewall האט צוויי מער טייפּס פון וופּן קאַנעקשאַנז וואָס זענען נישט אַרייַנגערעכנט אין די יקערדיק אַבאָנעמענט. דאָס זענען RED VPN און HTML5 VPN. די וופּן קאַנעקשאַנז זענען ינקלודעד אין די נעטוואָרק פּראַטעקשאַן אַבאָנעמענט, וואָס מיטל אַז צו נוצן די טייפּס איר מוזן האָבן אַן אַקטיוו אַבאָנעמענט, וואָס אויך כולל נעץ שוץ פאַנגקשאַנאַליטי - IPS און ATP מאַדזשולז.

RED VPN איז אַ פּראַפּרייאַטערי L2 VPN פֿון Sophos. דעם טיפּ פון וופּן פֿאַרבינדונג האט אַ נומער פון אַדוואַנטידזשיז איבער פּלאַץ-צו-פּלאַץ SSL אָדער IPSec ווען באַשטעטיקן אַ וופּן צווישן צוויי XGs. ניט ענלעך IPSec, די RED טונעל קריייץ אַ ווירטואַל צובינד אין ביידע ענדס פון דעם טונעל, וואָס העלפּס מיט טראָובלעשאָאָטינג פּראָבלעמס, און ניט ענלעך SSL, די ווירטואַל צובינד איז גאָר קוסטאָמיזאַבלע. דער אַדמיניסטראַטאָר האט פול קאָנטראָל איבער די סובנעט אין די RED טונעל, וואָס מאכט עס גרינגער צו סאָלווע רוטינג פּראָבלעמס און סובנעט קאָנפליקט.

HTML5 VPN אָדער Clientless VPN - א ספּעציפיש טיפּ פון וופּן וואָס אַלאַוז איר צו פאָרויס באַדינונגס דורך HTML5 גלייַך אין דעם בלעטערער. טייפּס פון סערוויסעס וואָס קענען זיין קאַנפיגיערד:

• רדפּ
• טעלנעט
• סש
• וונק
• פטפּ
• FTPS
• ספטפּ
• סמב

אבער עס איז ווערט קאַנסידערינג אַז דעם טיפּ פון וופּן איז געניצט בלויז אין ספּעציעל קאַסעס און עס איז רעקאַמענדיד, אויב מעגלעך, צו נוצן VPN טייפּס פון די רשימות אויבן.

פיר

זאל ס נעמען אַ פּראַקטיש קוק אין ווי צו קאַנפיגיער עטלעכע פון ​​די טייפּס פון טאַנאַלז, ניימלי: פּלאַץ-צו-פּלאַץ IPSec און SSL VPN רימאָוט אַקסעס.

פּלאַץ-צו-פּלאַץ IPSec VPN

לאָמיר אָנהייבן מיט ווי צו שטעלן אַרויף אַ פּלאַץ-צו-פּלאַץ IPSec וופּן טונעל צווישן צוויי Sophos XG פירעוואַללס. אונטער די קאַפּטער עס ניצט strongSwan, וואָס אַלאַוז איר צו פאַרבינדן צו קיין IPSec-ענייבאַלד ראַוטער.

איר קענען נוצן אַ באַקוועם און שנעל סעטאַפּ מאַזעק, אָבער מיר וועלן נאָכגיין די אַלגעמיינע דרך אַזוי אַז באזירט אויף די ינסטראַקשאַנז, איר קענען פאַרבינדן Sophos XG מיט קיין ויסריכט ניצן IPSec.

זאל ס עפֿענען די פּאָליטיק סעטטינגס פֿענצטער:

ווי מיר קענען זען, עס זענען שוין פּריסעט סעטטינגס, אָבער מיר וועלן מאַכן אונדזער אייגענע.

לאָמיר קאַנפיגיער די ענקריפּשאַן פּאַראַמעטערס פֿאַר דער ערשטער און רגע פייז און ראַטעווען די פּאָליטיק. לויט אַנאַלאַדזשי, מיר טאָן די זעלבע סטעפּס אויף די רגע Sophos XG און מאַך אויף צו באַשטעטיקן די IPSec טונעל זיך

אַרייַן די נאָמען, אַפּערייטינג מאָדע און קאַנפיגיער די ענקריפּשאַן פּאַראַמעטערס. פֿאַר בייַשפּיל, מיר וועלן נוצן Preshared Key

און אָנווייַזן היגע און ווייַט סובנעץ.

אונדזער קשר איז באשאפן

דורך אַנאַלאַדזשי, מיר מאַכן די זעלבע סעטטינגס אויף די רגע Sophos XG, מיט די ויסנעם פון די אָפּערייטינג מאָדע, מיר וועלן שטעלן די ינישיייט די קשר.

איצט מיר האָבן קאַנפיגיערד צוויי טאַנאַלז. ווייַטער, מיר דאַרפֿן צו אַקטאַווייט זיי און לויפן זיי. דאָס איז געטאן זייער פּשוט, איר דאַרפֿן צו גיט אויף די רויט קרייַז אונטער די וואָרט אַקטיווע צו אַקטאַווייט און אויף די רויט קרייַז אונטער קאַנעקשאַן צו אָנהייבן די קשר.
אויב מיר זען דעם בילד:

דאָס מיינט אַז אונדזער טונעל אַרבעט ריכטיק. אויב די רגע גראדן איז רויט אָדער געל, עפּעס איז פאַלש קאַנפיגיערד אין ענקריפּשאַן פּאַלאַסיז אָדער היגע און ווייַט סובנעץ. לאָזן מיר דערמאָנען איר אַז די סעטטינגס מוזן זיין שפּיגל.

סעפּעראַטלי, איך וואָלט ווי צו הויכפּונקט אַז איר קענען שאַפֿן פאַילאָווער גרופּעס פֿון IPSec טאַנאַלז פֿאַר שולד טאָלעראַנץ:

ווייַט אַקסעס SSL VPN

זאל ס מאַך אויף צו רימאָוט אַקסעס SSL VPN פֿאַר יוזערז. אונטער די קאַפּטער עס איז אַ נאָרמאַל OpenVPN. דאָס אַלאַוז ניצערס צו פאַרבינדן דורך קיין קליענט וואָס שטיצט .אָוופּן קאַנפיגיעריישאַן טעקעס (למשל, אַ נאָרמאַל קשר קליענט).

ערשטער, איר דאַרפֿן צו קאַנפיגיער די OpenVPN סערווער פּאַלאַסיז:

ספּעציפיצירן די אַריבערפירן פֿאַר קשר, קאַנפיגיער די פּאָרט, די קייט פון IP אַדרעסעס פֿאַר קאַנעקטינג ווייַט ניצערס

איר קענען אויך ספּעציפיצירן ענקריפּשאַן סעטטינגס.

נאָך באַשטעטיקן די סערווער, מיר גיינ ווייַטער צו באַשטעטיקן קליענט קאַנעקשאַנז.

יעדער SSL VPN פֿאַרבינדונג הערשן איז באשאפן פֿאַר אַ גרופּע אָדער פֿאַר אַ יחיד באַניצער. יעדער באַניצער קענען האָבן בלויז איין קשר פּאָליטיק. לויט די סעטטינגס, וואָס איז טשיקאַווע איז אַז פֿאַר יעדער אַזאַ הערשן איר קענען ספּעציפיצירן יחיד יוזערז וואָס וועלן נוצן דעם באַשטעטיקן אָדער אַ גרופּע פֿון AD, איר קענען געבן די טשעקקבאָקס אַזוי אַז אַלע פאַרקער איז אלנגעוויקלט אין אַ VPN טונעל אָדער ספּעציפיצירן די IP אַדרעסעס, סובנעץ אָדער FQDN נעמען בנימצא צו יוזערז. באַזירט אויף די פּאַלאַסיז, ​​אַן .אָוופּן פּראָפיל מיט סעטטינגס פֿאַר דעם קליענט וועט ווערן אויטאָמאַטיש באשאפן.

ניצן די באַניצער טויער, דער באַניצער קענען אראפקאפיע ביידע אַ .אָוופּן טעקע מיט סעטטינגס פֿאַר די וופּן קליענט, און אַ VPN קליענט ייַנמאָנטירונג טעקע מיט אַ געבויט-אין קשר סעטטינגס טעקע.

סאָף

אין דעם אַרטיקל, מיר בעקיצער דורכגעקאָכט די VPN פאַנגקשאַנאַליטי אין די Sophos XG Firewall פּראָדוקט. מיר האָבן געקוקט ווי איר קענען קאַנפיגיער IPSec VPN און SSL VPN. דאָס איז נישט אַ גאַנץ רשימה פון וואָס די לייזונג קענען טאָן. אין די פאלגענדע אַרטיקלען איך וועל פּרובירן צו אָפּשאַצן RED VPN און ווייַזן ווי עס קוקט ווי אין די לייזונג זיך.

דאנק איר פֿאַר דיין צייט.

אויב איר האָט פֿראגן וועגן די געשעפט ווערסיע פון ​​XG Firewall, איר קענט קאָנטאַקט אונדז, די פירמע פאַקטאָר גרופּע, Sophos דיסטריביאַטער. כל איר האָבן צו טאָן איז שרייַבן אין פריי פאָרעם אין [אימעיל באשיצט].

מקור: www.habr.com