Clever Geek Handbook

Sophos XG Firewall中的远程工作或VPN审查





你好!本文将专门介绍Sophos XG Firewall产品中的VPN功能。在上一篇文章中,我们研究了如何获得具有完整许可证的免费家庭网络保护解决方案。今天,我们将讨论Sophos XG内置的VPN功能。我将尝试告诉您该产品可以做什么,并提供配置IPSec站点对站点VPN和自定义SSL VPN的示例。因此,让我们开始回顾一下。



首先,让我们看一下许可表:您







可以在此处阅读有关Sophos XG Firewall如何获得许可的更多信息:

链接

但是,在本文中,我们仅对那些以红色突出显示的项目感兴趣。



VPN的主要功能包含在基本许可证中,并且只能购买一次。这是终身许可证,不需要续订。基本VPN选项模块包括:



站点到站点:



  • SSL VPN
  • IPSec VPN


远程访问(客户端VPN):



  • SSL VPN
  • IPsec无客户端VPN(带有免费的自定义应用)
  • L2TP
  • PPTP


如您所见,支持所有流行的协议和VPN连接类型。



另外,Sophos XG Firewall中还有两种其他类型的VPN连接,它们不包括在基本订阅中。它们是RED VPN和HTML5 VPN。这些VPN连接包含在网络保护订阅中,这意味着要使用这些类型,您必须具有活动的订阅,该订阅还包括网络保护功能-IPS和ATP模块。



RED VPN是Sophos专有的L2 VPN。在两个XG之间设置VPN时,这种类型的VPN连接相对于站点到站点SSL或IPSec具有多个优点。与IPSec不同,RED隧道在隧道的两端都创建了一个虚拟接口,这有助于解决问题,并且与SSL不同,该虚拟接口是完全可定制的。管理员可以完全控制RED隧道内的子网,从而更轻松地解决路由问题和子网冲突。



HTML5 VPN或无客户端VPN-一种特定类型的VPN,允许在浏览器中直接通过HTML5传递服务。可以配置的服务类型:



  • RDP
  • 远程登录
  • SSH协议
  • VNC
  • 的FTP
  • FTPS
  • SFTP
  • 中小型企业


但是值得考虑的是,这种类型的VPN仅在特殊情况下使用,如果可能,建议使用上面列出的VPN类型。



实践



让我们看一下如何设置这些隧道类型中的几种,即站点到站点IPSec和SSL VPN远程访问。



站点到站点IPSec VPN



让我们从如何在两个Sophos XG防火墙之间建立站点到站点IPSec VPN隧道开始。 StrongSwan用于幕后,可让您连接到任何启用IPSec的路由器。



您可以使用方便快捷的设置向导,但是我们将遵循一条通用路径,以便根据本手册,您可以通过IPSec将Sophos XG与任何设备结合使用。



让我们打开策略设置窗口:







可以看到,已经有预定义的设置,但是我们将创建自己的设置。











让我们为第一阶段和第二阶段配置加密设置并保存策略。以此类推,我们在第二个Sophos XG上执行相同操作,然后继续设置IPSec隧道本身







输入名称,操作模式并配置加密参数。例如,我们将使用“预共享密钥”







并指示本地和远程子网。 以类推







创建了连接







,我们在第二个Sophos XG上进行了相同的设置,除了运行模式外,我们在此处放置了Initiate连接,







现在我们已经配置了两个隧道。接下来,我们需要激活并运行它们。这非常简单,您需要单击单词Active下的红色圆圈以激活,单击Connection下的红色圆圈以启动连接。

如果我们看到这样的图片:





这意味着我们的隧道可以正常工作。如果第二个指示器为红色或琥珀色,则说明加密策略或本地和远程子网中的配置不正确。让我提醒您,必须对设置进行镜像。



另外,我想强调一下,您可以从IPSec隧道创建故障转移组以实现容错功能:







远程访问SSL VPN



让我们继续进行针对用户的远程访问SSL VPN。标准OpenVPN在后台运行。这允许用户通过任何支持.ovpn配置文件的客户端(例如标准连接客户端)进行连接。



首先,您需要配置OpenVPN服务器策略:







指定用于连接的传输,配置端口,用于连接远程用户的ip地址范围







,还可以指定加密设置。



配置服务器后,让我们开始配置客户端连接。







每个SSL VPN连接规则都是为组或单个用户创建的。每个用户只能有一个连接策略。根据设置,从有趣的角度出发,对于每个此类规则,您可以指定将使用此设置或AD中的组的单个用户的方式,可以启用复选框,以便将所有流量打包在VPN隧道中,或指定用户可用的IP地址,子网或FQDN ... 根据这些策略,将自动创建带有客户端设置的.ovpn配置文件。







使用用户门户网站,用户可以下载带有VPN客户端设置的.ovpn文件和带有内置连接设置文件的VPN客户端安装文件。







结论



在本文中,我们简要介绍了Sophos XG Firewall产品中的VPN功能。我们研究了如何配置IPSec VPN和SSL VPN。这不是此解决方案可以做什么的完整列表。在接下来的文章中,我将尝试回顾RED VPN并展示其在解决方案本身中的外观。



感谢您的时间。



如果您对XG Firewall的商业版本有任何疑问,可以联系我们-Sophos的分销商Factor Group以自由格式写信到sophos@fgts.ru就足够了


More articles:


All Articles