主持人 > 博客 > 管理 > Sophos XG Firewall 中的远程工作或 VPN 概述

Sophos XG Firewall 中的远程工作或 VPN 概述

Sophos XG Firewall 中的远程工作或 VPN 概述

大家好! 本文将回顾 Sophos XG Firewall 产品中的 VPN 功能。 在之前的 文章 我们研究了如何免费获得具有完整许可证的家庭网络保护解决方案。 今天我们将讨论 Sophos XG 中内置的 VPN 功能。 我将尝试告诉您该产品的功能,并举例说明设置 IPSec 站点到站点 VPN 和自定义 SSL VPN。 那么让我们开始评论吧。

首先我们看一下授权表:

Sophos XG Firewall 中的远程工作或 VPN 概述

您可以在此处阅读有关 Sophos XG Firewall 如何获得许可的更多信息:
链接
但在本文中,我们只对那些以红色突出显示的项目感兴趣。

主要 VPN 功能包含在基本许可证中,并且只需购买一次。 这是终身许可证,不需要续订。 基本 VPN 选项模块包括:

站点到站点:

  • SSL VPN
  • 安全VPN

远程访问(客户端 VPN):

  • SSL VPN
  • IPsec 无客户端 VPN(带免费定制应用程序)
  • L2TP
  • PPTP

如您所见,支持所有流行的协议和 VPN 连接类型。

此外,Sophos XG Firewall 还有两种不包含在基本订阅中的 VPN 连接类型。 它们是 RED VPN 和 HTML5 VPN。 这些 VPN 连接包含在网络保护订阅中,这意味着要使用这些类型,您必须拥有有效的订阅,其中还包括网络保护功能 - IPS 和 ATP 模块。

RED VPN 是 Sophos 的专有 L2 VPN。 在两个 XG 之间设置 VPN 时,这种类型的 VPN 连接比站点到站点 SSL 或 IPSec 有许多优势。 与 IPSec 不同,RED 隧道在隧道的两端创建一个虚拟接口,这有助于解决问题,并且与 SSL 不同,该虚拟接口是完全可定制的。 管理员可以完全控制 RED 隧道内的子网,这使得更容易解决路由问题和子网冲突。

HTML5 VPN 或无客户端 VPN – 一种特定类型的 VPN,允许您直接在浏览器中通过 HTML5 转发服务。 可配置的服务类型:

  • RDP
  • 远程登录
  • SSH的
  • VNC
  • 则fTP
  • FTPS
  • SFTP
  • SMB

但值得考虑的是,这种类型的 VPN 仅在特殊情况下使用,如果可能,建议使用上面列表中的 VPN 类型。

实践

让我们实际看看如何配置其中几种类型的隧道,即:站点到站点 IPSec 和 SSL VPN 远程访问。

站点到站点 IPSec VPN

让我们首先了解如何在两个 Sophos XG Firewall 之间设置 Site-to-Site IPSec VPN 隧道。 它在底层使用了strongSwan,它允许您连接到任何启用IPSec 的路由器。

您可以使用方便快捷的设置向导,但我们将遵循一般路径,以便根据这些说明,您可以将 Sophos XG 与任何使用 IPSec 的设备结合起来。

让我们打开策略设置窗口:

Sophos XG Firewall 中的远程工作或 VPN 概述

正如我们所看到的,已经有预设设置,但我们将创建自己的设置。

Sophos XG Firewall 中的远程工作或 VPN 概述

Sophos XG Firewall 中的远程工作或 VPN 概述

我们来配置第一阶段和第二阶段的加密参数并保存策略。 以此类推,我们在第二个 Sophos XG 上执行相同的步骤,然后继续设置 IPSec 隧道本身

Sophos XG Firewall 中的远程工作或 VPN 概述

输入名称、操作模式并配置加密参数。 例如,我们将使用预共享密钥

Sophos XG Firewall 中的远程工作或 VPN 概述

并指示本地和远程子网。

Sophos XG Firewall 中的远程工作或 VPN 概述

我们的连接已创建

Sophos XG Firewall 中的远程工作或 VPN 概述

以此类推,我们在第二个 Sophos XG 上进行相同的设置,但操作模式除外,我们将在那里设置“启动连接”

Sophos XG Firewall 中的远程工作或 VPN 概述

现在我们已经配置了两条隧道。 接下来,我们需要激活它们并运行它们。 操作非常简单,您需要单击“活动”一词下的红色圆圈来激活,然后单击“连接”下的红色圆圈来启动连接。
如果我们看到这张图片:

Sophos XG Firewall 中的远程工作或 VPN 概述
这意味着我们的隧道工作正常。 如果第二个指示器为红色或黄色,则说明加密策略或本地和远程子网中的某些配置不正确。 让我提醒您,设置必须是镜像的。

另外,我想强调的是,您可以从 IPSec 隧道创建故障转移组以实现容错:

Sophos XG Firewall 中的远程工作或 VPN 概述

远程访问 SSL VPN

让我们继续为用户提供远程访问 SSL VPN。 在引擎盖下有一个标准的 OpenVPN。 这允许用户通过任何支持 .ovpn 配置文件的客户端(例如标准连接客户端)进行连接。

首先,您需要配置 OpenVPN 服务器策略:

Sophos XG Firewall 中的远程工作或 VPN 概述

指定连接的传输方式,配置连接远程用户的端口、IP 地址范围

Sophos XG Firewall 中的远程工作或 VPN 概述

您还可以指定加密设置。

设置服务器后,我们继续设置客户端连接。

Sophos XG Firewall 中的远程工作或 VPN 概述

每个 SSL VPN 连接规则都是为组或单个用户创建的。 每个用户只能有一个连接策略。 根据设置,有趣的是,对于每个此类规则,您可以指定将使用此设置的单个用户或 AD 中的组,您可以启用该复选框,以便所有流量都包含在 VPN 隧道中或指定 IP 地址,用户可用的子网或 FQDN 名称。 根据这些策略,将自动创建包含客户端设置的 .ovpn 配置文件。

Sophos XG Firewall 中的远程工作或 VPN 概述

使用用户门户,用户可以下载包含 VPN 客户端设置的 .ovpn 文件,以及包含内置连接设置文件的 VPN 客户端安装文件。

Sophos XG Firewall 中的远程工作或 VPN 概述

结论

在本文中,我们简要介绍了 Sophos XG Firewall 产品中的 VPN 功能。 我们研究了如何配置 IPSec VPN 和 SSL VPN。 这并不是该解决方案功能的完整列表。 在接下来的文章中,我将尝试回顾 RED VPN 并展示它在解决方案本身中的样子。

多谢您的宝贵时间。

如果您对XG Firewall商业版有任何疑问,您可以联系我们公司 因子组,Sophos 经销商。 您所要做的就是以自由形式写在 [电子邮件保护].

来源: habr.com

添加评论