Sophos NGFW VPN Site-to-Site SOPHOS XG (P2)

VPN Site-to-Site SOPHOS XG (P2)
Link xem chi tiết phần 1: PHẦN 1

I. Lý thuyết

VPN Site-to-Site là giải pháp kết nối bảo mật giữa hai hoặc nhiều mạng nội bộ (LAN) ở các vị trí địa lý khác nhau. Nó sử dụng đường hầm (tunnel) mã hóa, phổ biến là IPsec, giúp các chi nhánh và trụ sở chia sẻ tài nguyên an toàn mà không cần đường truyền riêng.
Đặc điểm chính của VPN Site-to-Site:
  • Kết nối toàn bộ mạng: Thay vì kết nối từng người dùng (client-to-site), loại VPN này kết nối toàn bộ mạng LAN của một chi nhánh với mạng của trụ sở chính.
  • Mã hóa an toàn: Sử dụng các giao thức như IPsec để bảo mật dữ liệu truyền qua Internet, thường dùng mã hóa AES-256.
  • Ứng dụng: Kết nối chi nhánh, văn phòng từ xa
  • Thiết bị: Triển khai trên các thiết bị mạng chuyên dụng như router, tường lửa (firewall).

II. Thực hành

Xem PHẦN 1 trước khi cấu hình phần 2

Cấu hình Định tuyến Lưu lượng
Đây là bước quan trọng nhất để biến đường hầm VPN (được tạo ở bước 1) thành một kênh truyền dữ liệu thực tế.

Destination IP / Netmask: 192.168.1.0/24
Ý nghĩa: Đây là dải địa chỉ mạng cục bộ (LAN) của Site 1 (mạng đối tác).
Interface: xfrm-1.1.2
Ý nghĩa: Đây là tên của giao diện ảo (tunnel interface) được tạo ra khi chọn kiểu kết nối Route-based VPN (VPNSite2).

Ý nghĩa của thao tác Định tuyến:
Thao tác này chỉ thị cho tường lửa Sophos (ở Site 2) rằng:
"Khi bất kỳ gói tin nào từ mạng nội bộ của Site 2 muốn đi đến bất kỳ địa chỉ nào trong dải mạng 172.16.0.0/24 (LAN của Site 2), thì thay vì gửi ra Internet thông thường, hãy đẩy gói tin đó vào giao diện VPN xfrm-1.1.1.1 (đường hầm VPN VPNSite1)”, gói tin đó sẽ trải qua quá trình mã hóa

1769348153292.png


Tương tự cấu hình Định tuyến cho các lưu lượng có đích đến là 192.168.1.0/24

1769348153299.png


Cấu hình Rule để mạng nội bộ Site1 truy cập mạng nội bộ Site2
Rule name: Đặt tên cho luật tường lửa để dễ dàng quản lý
Action-Accept: Đây là phần quan trọng nhất: cho phép lưu lượng mạng thỏa mãn các điều kiện của luật này được đi qua tường lửa.
Log firewall traffic: Ghi lại các sự kiện liên quan đến lưu lượng này vào nhật ký (log) của tường lửa, rất hữu ích cho việc kiểm tra và khắc phục sự cố.

1769348153306.png


Source zones/networks: Chỉ định nguồn lưu lượng được phép
Destination zones/networks: Chỉ định đích lưu lượng được phép

Mục đích: Cho phép lưu lượng đã định tuyến vào đường hầm được đi qua tường lửa (bắt buộc vì tường lửa chặn mọi thứ theo mặc định).

1769348153313.png


Tương tự cấu hình Rule để mạng nội bộ Site2 truy cập mạng nội bộ Site1
1769348153319.png

1769348153325.png

1769348153332.png


Kiểm tra kết quả Rule

1769348153337.png

1769348153343.png


Trên máy DC của Site1 truy cập Webserver trên Site2
1769348153350.png


Trên Webserver của Site2 truy cập vào File chia sẻ trên DC của Site1
1769348153356.png
 
Nhấn để mở rộng...
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top