Overview
Một trong những tính năng mới tuyệt vời trong XG Firewall v18 mà đã đề cập trong Phần 3 của series bài này là ứng dụng SD-WAN mới và khả năng lựa chọn liên kết dựa trên người dùng hoặc nhóm. Trong bài viết này, bạn có thể tận dụng chúng như một phần của một tính năng mới khác trong XG Firewall v18: IPsec VPN dựa trên tuyến đường (route-based IPsec VPN).
Route-based (RBVPN) trong XG Firewall v18 cho phép các đường hầm IPsec VPN site-to-site thực sự động. Với RBVPN, các thay đổi cấu trúc liên kết mạng không ảnh hưởng đến chính sách VPN và bạn không cần phải sửa đổi chính sách VPN nữa nếu mạng được thêm vào hoặc bị xóa khỏi môi trường. Điều này giúp đơn giản hóa đáng kể việc tạo và quản lý chính sách VPN, đặc biệt là trong các môi trường lớn hơn và phức tạp hơn. RBVPN cung cấp toàn quyền kiểm soát định tuyến với sự hỗ trợ cho các tuyến dựa trên route tĩnh, động (OSPF, BGP, RIP) và SD-WAN với các chính sách RBVPN.
Triển khai RBVPN trong XG Firewall v18 cũng cung cấp tính linh hoạt để thiết lập dịch địa chỉ mạng phức tạp hơn bằng cách sử dụng cấu hình quy tắc NAT mới, chẳng hạn như các trường hợp VPN NAT overlap. XG Firewall v18 cũng hỗ trợ các giao diện đường hầm RBVPN cho các tuyến dựa trên chính sách SD-WAN để hỗ trợ IPsec và MPLS cùng tồn tại với SD-WAN. Điều này làm cho nó có thể cho phép IPsec và MPLS (ngay cả trên một vùng không phải WAN) hoạt động cùng một lúc, với các tùy chọn cân bằng tải trên các đường hầm VPN.
RBVPN tương thích tốt với các đường hầm VPN dựa trên tuyến đường của các nhà cung cấp khác, giúp việc chuyển đường hầm tới Azure / AWS và các nhà cung cấp đám mây khác dễ dàng hơn. Cuối cùng, VPN dựa trên tuyến là lựa chọn ưu tiên cho các mạng dynamic ngày nay.
Khai thác tối đa route-based IPsec VPN tunnels trong XG Firewall
Video này cung cấp một cái nhìn chi tiết về cách thiết lập VPN dựa trên tuyến đường trong XG Firewall v18:
Sau đó, bạn có thể tận dụng tối đa khả năng định tuyến dựa trên chính sách SD-WAN được đồng bộ hóa mới cho traffic VPN của mình, với các tùy chọn cho người dùng hoặc nhóm và ứng dụng.
SD-WAN được đồng bộ hóa thúc đẩy sự rõ ràng và độ tin cậy của nhận dạng ứng dụng đi kèm với việc chia sẻ thông tin Synchronized Application Control giữa các điểm cuối do Sophos quản lý và tường lửa XG. Synchronized Application Control có thể xác định được gần như 100% tất cả các ứng dụng mạng, bao gồm các ứng dụng mã hóa, che dấu và tùy chỉnh – và giờ đây các ứng dụng chưa được xác định trước đây này cũng có thể được thêm vào định tuyến SD-WAN và VPN. Điều này cung cấp mức độ kiểm soát định tuyến ứng dụng và độ tin cậy mà các tường lửa khác không thể sánh được.
Để sử dụng các ứng dụng được phát hiện trong Synchronized Application Control trong định tuyến, khi tạo đối tượng ứng dụng cho định tuyến SD-WAN hoặc VPN, bạn có thể chọn “Synchronized Application Control” từ phần Technology như được hiển thị bên dưới để xem tất cả các ứng dụng có liên quan.