Clever Geek Handbook

SophosXGFirewallでのリモート作業またはVPNレビュー





こんにちは!この記事では、Sophos XGFirewall製品のVPN機能の概要について説明します。前回の記事では、フルライセンスでホームネットワークを無料で保護するためのこのソリューションを入手する方法について説明しました。今日は、SophosXGに組み込まれているVPN機能について説明します。この製品で何ができるかを説明し、IPSecサイト間VPNとカスタムSSLVPNの構成例を示します。それでは、レビューに取り掛かりましょう。



まず、ライセンス表を見てみましょう。SophosXGFirewallのライセンス







方法について詳しくは、こちらをご覧ください:

リンク

ただし、この記事では、赤で強調表示されている項目のみに関心があります。



主なVPN機能は基本ライセンスに含まれており、一度だけ購入します。これは生涯ライセンスであり、更新は必要ありません。ベースVPNオプションモジュールには、次のものが含まれます。



サイト間:



  • SSL VPN
  • IPSec VPN


リモートアクセス(クライアントVPN):



  • SSL VPN
  • IPsecクライアントレスVPN(無料のカスタムアプリ付き)
  • L2TP
  • PPTP


ご覧のとおり、一般的なプロトコルとVPN接続の種類はすべてサポートされています。



また、Sophos XG Firewallには、基本サブスクリプションに含まれていない他の2つのタイプのVPN接続があります。それらはREDVPNとHTML5VPNです。これらのVPN接続はネットワーク保護サブスクリプションに含まれています。つまり、これらのタイプを使用するには、アクティブなサブスクリプションが必要です。これには、ネットワーク保護機能(IPSおよびATPモジュール)も含まれています。



RED VPNは、Sophos独自のL2VPNです。このタイプのVPN接続には、2つのXG間にVPNを設定するときに、サイト間SSLまたはIPSecに比べていくつかの利点があります。IPSecとは異なり、REDトンネルはトンネルの両端に仮想インターフェイスを作成します。これは問題のトラブルシューティングに役立ちます。SSLとは異なり、この仮想インターフェイスは完全にカスタマイズ可能です。管理者はREDトンネル内のサブネットを完全に制御できるため、ルーティングの問題やサブネットの競合を簡単に解決できます。



HTML5VPNまたはクライアントレスVPN-サービスがブラウザで直接HTML5を通過できるようにする特定のタイプのVPN。構成できるサービスの種類:



  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • SMB


ただし、このタイプのVPNは特別な場合にのみ使用されることを考慮する価値があり、可能であれば、上記のリストのVPNタイプを使用することをお勧めします。



練習



これらのトンネルタイプのいくつか、つまりサイト間IPCSおよびSSLVPNリモートアクセスを構成する方法を見てみましょう。



サイト間IPSecVPN



2つのSophosXGファイアウォール間にサイト間IPSecVPNトンネルを設定する方法から始めましょう。 StrongSwanは内部で使用され、IPSec対応のルーターに接続できます。



便利で迅速なセットアップウィザードを使用できますが、このマニュアルに基づいて、IPSecを介してSophos XGを任意の機器と組み合わせることができるように、一般的なパスに従います。



ポリシー設定ウィンドウを開きましょう。







ご覧のとおり、事前定義された設定がすでにありますが、独自の設定を作成します。











第1フェーズと第2フェーズの暗号化設定を構成し、ポリシーを保存しましょう。同様に、2番目のSophos XGでも同じことを行い、IPSecトンネル自体のセットアップに進みます。







名前、動作モードを入力し、暗号化パラメーターを構成します。たとえば、事前共有キーを使用して、







ローカルサブネットとリモートサブネットを示します。







接続が作成されます







。類推により、2番目のSophos XGで同じ設定を行いますが、動作モードを除いて、そこに[接続の開始]を配置します。







これで、2つのトンネルが構成されました。次に、それらをアクティブ化して実行する必要があります。これは非常に簡単に実行できます。アクティブ化するには[アクティブ]という単語の下にある赤い円をクリックし、接続を開始するには[接続]の下にある赤い円をクリックする必要があります。

このような写真が表示された場合:





これは、トンネルが正しく機能していることを意味します。2番目のインジケーターが赤または黄色の場合は、暗号化ポリシーまたはローカルサブネットとリモートサブネットで何かが正しく構成されていません。設定をミラーリングする必要があることを思い出させてください。



これとは別に、障害耐性のために、IPSecトンネルからフェイルオーバーグループを作成できることを強調したいと思います。







リモートアクセスSSLVPN



ユーザー向けのリモートアクセスSSLVPNに移りましょう。標準のOpenVPNは内部で実行されています。これにより、ユーザーは.ovpn構成ファイルをサポートする任意のクライアント(標準接続クライアントなど)を介して接続できます。



まず、OpenVPNサーバーポリシーを構成する必要があります。







接続のトランスポートを指定し、ポートを構成し、リモートユーザーを接続するためのIPアドレスの範囲を構成します。







また、暗号化設定を指定することもできます。



サーバーを構成したら、クライアント接続の構成を開始しましょう。







各SSLVPN接続ルールは、グループまたは個々のユーザー用に作成されます。各ユーザーは、1つの接続ポリシーのみを持つことができます。設定に応じて、興味深い点から、このようなルールごとに、この設定を使用する個々のユーザーまたはADのグループを指定して、すべてのトラフィックをVPNトンネルにラップするようにチェックボックスを有効にするか、ユーザーが使用できるIPアドレス、サブネット、またはFQDNを指定できます。 ..。これらのポリシーに基づいて、クライアントの設定を含む.ovpnプロファイルが自動的に作成されます。







ユーザーは、ユーザーポータルを使用して、VPNクライアントの設定を含む.ovpnファイルと、組み込みの接続設定ファイルを含むVPNクライアントインストールファイルの両方をダウンロードできます。







結論



この記事では、Sophos XGFirewall製品のVPN機能について簡単に説明しました。IPSecVPNとSSLVPNを構成する方法を確認しました。これは、このソリューションで実行できることの完全なリストではありません。次の記事では、RED VPNを確認し、ソリューション自体でどのように見えるかを示します。



お時間をいただきありがとうございます。



あなたはXGファイアウォールの商用版について質問がある場合は、ご連絡することができます-ファクターグループ、ソフォスの販売代理店を。sophos@fgts.ruに自由形式で書くだけで十分です


More articles:


All Articles