Blog

Overview

Làm việc từ xa và sử dụng kết nối VPN an toàn đã trở thành một phần quan trọng trong cuộc sống hàng ngày. Với XG Firewall, mọi việc trở nên vô cùng dễ dàng vì XG Firewall là tường lửa duy nhất cung cấp kết nối SSL hoặc IPSec VPN truy cập từ xa không giới hạn và miễn phí.

Sophos cũng đã nâng cao đáng kể dung lượng SSL VPN trên toàn bộ các sản phẩm của mình trong XG Firewall v18 MR3 thông qua một số tối ưu hóa. Với Remote access VPN Sophos Connect v2 mới cũng bổ sung các tính năng mới giúp truy cập từ xa nhanh hơn, tốt hơn và dễ dàng hơn.

Có gì mới trong Sophos Connect v2:

+ Tùy chọn tự động kết nối cho SSL

+ Tùy chọn để thực thi một script đăng nhập khi kết nối

+ Kiểm tra tính khả dụng của cổng từ xa

+ Tự động chuyển đổi dự phòng sang liên kết WAN tiếp theo nếu một liên kết bị lỗi

+ Tự động đồng bộ hóa chính sách người dùng mới nhất nếu chính sách SSL được cập nhật trên tường lửa (khi sử dụng tệp cấp phép để triển khai) cũng như đồng bộ hóa lại thủ công chính sách mới nhất.

+ Liên kết phần tệp mở rộng cho các tệp chính sách – nhập tệp chính sách vào Sophos Connect chỉ bằng cách nhấp chuột vào tệp đó trong Windows Explorer hoặc mở tệp được đính kèm trong email.

Cải tiến truy cập từ xa XG Firewall v18 MR3:

+ Nâng cao khả năng kết nối SSL VPN trên toàn bộ các dòng tường lửa. Mức tăng dung lượng phụ thuộc vào mô hình tường lửa của bạn: các mô hình desktop có thể có mức tăng khiêm tốn, trong khi rack mount unit sẽ cho khả năng kết nối SSL VPN cải thiện gấp 3-5 lần.

+ Hỗ trợ nhóm cho các kết nối IPSec VPN, hiện cho phép nhập nhóm từ AD / LDAP / etc. để dễ dàng thiết lập chính sách truy cập nhóm.

Tận dụng tối đa khả năng truy cập từ xa của Sophos Connect

Quyết định đầu tiên bạn phải đưa ra là bạn muốn sử dụng SSL, IPSec hay cả hai. Sau đó, thiết lập tường lửa để chấp nhận các kết nối Sophos Connect VPN trước khi triển khai ứng dụng khách và cấu hình kết nối cho người dùng của bạn.

SSL so với IPSec

Với Sophos Connect v2 hiện hỗ trợ SSL (trên Windows) và với khả năng SSL VPN nâng cao có sẵn trong XG Firewall v18 MR3, bạn nên cân nhắc sử dụng SSL để có được trải nghiệm và hiệu suất tốt nhất cho người dùng truy cập từ xa.

Mặc dù dự kiến ​​Sophos sẽ sớm hỗ trợ macOS cho truy cập từ xa SSL qua Sophos Connect, nhưng nếu bạn đang sử dụng macOS vẫn nên tận dụng ứng dụng khách macOS OpenVPN mới trong thời gian tạm thời.

Thiết lập tường lửa XG

Thiết lập SSL VPN rất đơn giản:

1.Thực hiện theo các hướng dẫn thiết lập ban đầu “Create a remote access SSL VPN” để tạo dải địa chỉ IP cho khách hàng, nhóm người dùng, chính sách truy cập SSL và xác thực.

2. SSL VPN yêu cầu quyền truy cập vào XG Firewall User Portal. Để bảo mật tối ưu, bạn nên sử dụng xác thực đa yếu tố. Thiết lập xác thực hai yếu tố bạn di chuyển đến Authentication > One-time password và cài đặt để đảm bảo bạn chỉ cho phép MFA truy cập vào User Portal.

3. Tạo firewall rule cho phép lưu lượng truy cập từ zone VPN truy cập vào zone LAN của bạn (hoặc bất kỳ zone nào bạn muốn).

Việc triển khai client cũng dễ dàng:

Cài đặt ứng dụng khách: Trình cài đặt ứng dụng khách có sẵn bằng cách di chuyển đến VPN > Sophos Connect Client.

Cấu hình kết nối: File cấu hình kết nối SSL VPN (OVPN) có thể truy cập thông qua User Portal, nhưng bạn nên sử dụng tệp cấp phép để tự động tìm nạp cấu hình từ portal. Điều này có thể hơi phức tạp lúc ban đầu, nhưng đơn giản hóa đáng kể quá trình triển khai và cho phép thay đổi chính sách mà không cần triển khai lại cấu hình.

Group Policy Management (GPO): Cách tốt nhất để triển khai ứng dụng khách truy cập từ xa và tệp cấp phép là thông qua Group Policy Management của Microsoft. Bạn sẽ cần các tệp được đề cập trong các bước ở trên. Bạn cũng có thể sử dụng bất kỳ công cụ triển khai phần mềm nào khác mà bạn có sẵn – ngay cả email.

Giám sát việc sử dụng đang hoạt động:

Bạn có thể giám sát người dùng từ xa được kết nối từ XG Firewall Control Center.

và nhấn vào để xem chi tiết