Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 6. rész

Route-Based IPsec site-to-site VPN

A Sophos XG tűzfalak v18-as verziójának egyik legnagyobb újításai, a blogsorozat harmadik részében tárgyalt SD-WAN képességek, illetve a felhasználó/csoport-alapú útválasztás. Ebben a posztban ezek hatékonyabb kihasználását vesszük górcső alá, egy másik modul kapcsán, mely az útválasztás alapú IPsec-VPN.

A Route-Based IPsec VPN (RBVPN) segítségével teljesen dinamikus site-to-site VPN csatornákat lehet létrehozni, melyek használatával a tényleges hálózati topológia változásai nem befolyásoljak a VPN szabályokat, így nem kell azokat minden hálózatrész hozzáadásakor, illetve elvételekor módosítani. Ez az eddigiekhez képest sokkal egyszerűbbé teszi a VPN szabályok menedzsmentjét a nagyméretű, elosztott környezetek esetén.

Az RBVPN funkció képes a teljes útválasztást kezelni, legyen szó statikus, dinamikus (OSPF, BGP, RIP), illetve SD-WAN szabályok által képzett utakról, mely esetben mind az IPsec, mind pedig az MPLS alapú route-okat kezeli. Ennek segítségével megoldható, hogy az IPsec csatornák és MPLS kapcsolatok egyszerre legyenek aktívak, utat engedve a hatékonyabb terhelésmegosztáshoz (load-balancing).

Az RBVPN ipari szabvány, ennek okán képes együttműködni más gyártók útválasztás alapú VPN csatornáival, melynek segítségével a különféle felhős szolgáltatók (pl.: Azure, AWS, stb.) felé irányuló csatornák kiépítése játszi könnyedséggel oldható meg.

Hogyan lehet a legtöbbet kihozni az útválasztás alapú, dinamikus VPN csatornákból Sophos XG tűzfalak alatt?

Az alábbi, angol nyelvű videó részletesen bemutatja a dinamikus VPN csatornák létrehozását az eszközön:

A videó megnézése elég információt biztosít ahhoz, hogy el lehessen kezdeni beállítani a Synchronized SD-WAN policy alapú útválasztást a VPN forgalomhoz, felhasználó, csoport, alkalmazás, és egyéb kritériumok alapján.

Hogyan lehet a legtöbbet kihozni a NAT funkciókból az új tűzfalverzió alatt?

Az új NAT képességek nem csak hasznosak, de egyszerű is őket használni. Példának okáért, egy port forwarding/DNAT szabály létrehozásához elég csak használni a „server access assistant” varázslót.

A Synchronized SD-WAN/Application Control képes fölismerni és kontrollálni a különféle alkalmazásokat a hálózaton és a végpontokon, ezzel biztosítva a totális transzparenciát, még a különféle titkosított forgalmak esetén is. Ezen modulnak köszönhetően az SD-WAN és VPN útválasztási szabályokat ki lehet terjeszteni különféle appokra, ezzel olyan szintű kontrollt elérve a környezet fölött, melyre más tűzfalak nem képesek.

A Synchronized Application Control által fölfedett alkalmazások útválasztásban használatához az SD-WAN és VPN útválasztás esetén először egy „Application Object”-et kell csinálni, ott a „Technology” filter alatt kiválasztani a „Synchronized Application Control”-t, majd pedig hozzáadni az objektumhoz a szükséges alkalmazásokat.

November 4th, 2020

Top