主持人 > 博客 > 管理 > Sophos XG Firewall 中的遠程工作或 VPN 概述

Sophos XG Firewall 中的遠程工作或 VPN 概述

Sophos XG Firewall 中的遠程工作或 VPN 概述

大家好! 本文將回顧 Sophos XG Firewall 產品中的 VPN 功能。 在之前的 文章 我們研究瞭如何免費獲得具有完整許可證的家庭網路保護解決方案。 今天我們將討論 Sophos XG 中內建的 VPN 功能。 我將嘗試告訴您該產品的功能,並舉例說明設定 IPSec 站點到站點 VPN 和自訂 SSL VPN。 那麼讓我們開始評論吧。

首先我們來看看授權表:

Sophos XG Firewall 中的遠程工作或 VPN 概述

您可以在此處閱讀有關 Sophos XG Firewall 如何獲得許可的更多資訊:
鏈接
但在本文中,我們只對那些以紅色突出顯示的項目感興趣。

主要 VPN 功能包含在基本許可證中,只需購買一次。 這是終身許可證,不需要續約。 基本 VPN 選項模組包括:

站點到站點:

  • SSL VPN
  • 安全VPN

遠端存取(客戶端 VPN):

  • SSL VPN
  • IPsec 無客戶端 VPN(附免費客製化應用程式)
  • L2TP
  • PPTP

如您所見,支援所有流行的協定和 VPN 連線類型。

此外,Sophos XG Firewall 還有兩種不包含在基本訂閱中的 VPN 連線類型。 它們是 RED VPN 和 HTML5 VPN。 這些 VPN 連線包含在網路保護訂閱中,這意味著要使用這些類型,您必須擁有有效的訂閱,其中還包括網路保護功能 - IPS 和 ATP 模組。

RED VPN 是 Sophos 的專有 L2 VPN。 在兩個 XG 之間設定 VPN 時,這種類型的 VPN 連線比站點到站點 SSL 或 IPSec 有許多優勢。 與 IPSec 不同,RED 隧道在隧道的兩端創建一個虛擬接口,這有助於解決問題,並且與 SSL 不同,該虛擬接口是完全可自訂的。 管理員可以完全控制 RED 隧道內的子網路,這使得更容易解決路由問題和子網路衝突。

HTML5 VPN 或無用戶端 VPN – 特定類型的 VPN,可讓您直接在瀏覽器中透過 HTML5 轉送服務。 可配置的服務類型:

  • RDP
  • 遠程登錄
  • SSH
  • VNC
  • 則fTP
  • FTPS
  • SFTP
  • SMB

但值得考慮的是,這種類型的 VPN 僅在特殊情況下使用,如果可能,建議使用上面列表中的 VPN 類型。

實踐

讓我們實際看看如何設定其中幾種類型的隧道,即:站點到站點 IPSec 和 SSL VPN 遠端存取。

站台到站台 IPSec VPN

讓我們先了解如何在兩個 Sophos XG Firewall 之間設定 Site-to-Site IPSec VPN 隧道。 它在底層使用了strongSwan,它允許您連接到任何啟用IPSec 的路由器。

您可以使用方便快速的設定精靈,但我們將遵循一般路徑,以便根據這些說明,您可以將 Sophos XG 與任何使用 IPSec 的裝置結合。

讓我們打開策略設定視窗:

Sophos XG Firewall 中的遠程工作或 VPN 概述

正如我們所看到的,已經有預設設置,但我們將創建自己的設置。

Sophos XG Firewall 中的遠程工作或 VPN 概述

Sophos XG Firewall 中的遠程工作或 VPN 概述

我們來配置第一階段和第二階段的加密參數並儲存策略。 以此類推,我們在第二個 Sophos XG 上執行相同的步驟,然後繼續設定 IPSec 隧道本身

Sophos XG Firewall 中的遠程工作或 VPN 概述

輸入名稱、操作模式並配置加密參數。 例如,我們將使用預共享金鑰

Sophos XG Firewall 中的遠程工作或 VPN 概述

並指示本地和遠端子網路。

Sophos XG Firewall 中的遠程工作或 VPN 概述

我們的連接已創建

Sophos XG Firewall 中的遠程工作或 VPN 概述

以此類推,我們在第二個 Sophos XG 上進行相同的設置,但操作模式除外,我們將在那裡設置“啟動連接”

Sophos XG Firewall 中的遠程工作或 VPN 概述

現在我們已經配置了兩條隧道。 接下來,我們需要啟動它們並運行它們。 操作非常簡單,您需要單擊“活動”一詞下的紅色圓圈來激活,然後單擊“連接”下的紅色圓圈來啟動連接。
如果我們看到這張圖:

Sophos XG Firewall 中的遠程工作或 VPN 概述
這意味著我們的隧道工作正常。 如果第二個指示器為紅色或黃色,則表示加密策略或本機和遠端子網路中的某些配置不正確。 讓我提醒您,設定必須是鏡像的。

另外,我想強調的是,您可以從 IPSec 隧道建立故障轉移群組以實現容錯:

Sophos XG Firewall 中的遠程工作或 VPN 概述

遠端存取 SSL VPN

讓我們繼續為用戶提供遠端存取 SSL VPN。 在引擎蓋下有一個標準的 OpenVPN。 這允許使用者透過任何支援 .ovpn 設定檔的用戶端(例如標準連接客戶端)進行連接。

首先,您需要設定 OpenVPN 伺服器策略:

Sophos XG Firewall 中的遠程工作或 VPN 概述

指定連線的傳輸方式,設定連接遠端使用者的連接埠、IP 位址範圍

Sophos XG Firewall 中的遠程工作或 VPN 概述

您也可以指定加密設定。

設定伺服器後,我們繼續設定客戶端連線。

Sophos XG Firewall 中的遠程工作或 VPN 概述

每個 SSL VPN 連線規則都是為群組或單一使用者建立的。 每個使用者只能有一個連線策略。 根據設置,有趣的是,對於每個此類規則,您可以指定將使用此設定的單一使用者或AD 中的群組,您可以啟用該複選框,以便所有流量都包含在VPN 隧道中或指定IP位址,使用者可用的子網路或 FQDN 名稱。 根據這些策略,將自動建立包含客戶端設定的 .ovpn 設定檔。

Sophos XG Firewall 中的遠程工作或 VPN 概述

使用使用者門戶,使用者可以下載包含 VPN 用戶端設定的 .ovpn 文件,以及包含內建連線設定檔的 VPN 用戶端安裝檔。

Sophos XG Firewall 中的遠程工作或 VPN 概述

結論

在本文中,我們簡要介紹了 Sophos XG Firewall 產品中的 VPN 功能。 我們研究如何設定 IPSec VPN 和 SSL VPN。 這並不是該解決方案功能的完整清單。 在接下來的文章中,我將嘗試回顧 RED VPN 並展示它在解決方案本身中的樣子。

感謝您的時間。

如果您對XG Firewall商業版有任何疑問,您可以聯絡我們公司 因素組,Sophos 經銷商。 您所要做的就是以自由形式寫在 [電子郵件保護].

來源: www.habr.com

添加評論