Amazon VPC
Amazon Virtual Private Cloud (VPC) ist ein Cloud-Computing-Dienst, mit dem Sie virtuelle Netzwerke für Ihre Amazon Web Service (AWS)-Ressourcen erstellen können. Sie können Amazon VPC mit der Sophos Firewall verbinden, indem Sie die Verbindungsinformationen mit Ihren Amazon-Sicherheitsanmeldeinformationen oder einer VPC-Konfigurationsdatei importieren.
Voraussetzungen
Bevor Sie Amazon VPC mit der Sophos Firewall verbinden, müssen Sie eine AWS Site-to-Site-VPN-Verbindung auf der Amazon VPC-Konsole einrichten. Siehe Einrichten einer AWS Site-to-Site-VPN-Verbindung.
Notiz
Bei der Konfiguration der AWS Site-to-Site VPN-Verbindung müssen Sie Lokales IPv4-Netzwerk CIDR Und Remote-IPv4-Netzwerk-CIDR als 0.0.0.0/0
um BGP-Peering einzurichten.
Notiz
Wenn Sie BGP auf der Sophos Firewall konfiguriert haben, gehen Sie zu Routenplanung > BGP > Globale Konfiguration und beachten Sie die Lokales AS Wert. Sie müssen diesen Wert eingeben für BGP-ASN auf der Kunden-Gateway erstellen Seite in AWS.
Einrichten der Amazon VPC-Verbindung
Nachdem Sie die AWS Site-to-Site VPN-Verbindung erstellt haben, müssen Sie die Einstellungen in die Sophos Firewall importieren. Dies ist eine einmalige Aktion. Wenn Sie die Einstellungen der AWS Site-to-Site VPN-Verbindung ändern, müssen Sie die Einstellungen erneut importieren, um die Verbindungen in der Firewall zu aktualisieren.
Es gibt zwei Möglichkeiten, Amazon VPC-Verbindungen hinzuzufügen:
- Importieren Sie Verbindungen von AWS unter Verwendung Ihrer Sicherheitsanmeldeinformationen.
- Importieren Sie Verbindungen aus einer VPC-Konfigurationsdatei.
Gehen Sie wie folgt vor, um eine Amazon VPC-Verbindung mit AWS-Sicherheitsanmeldeinformationen hinzuzufügen:
- Gehe zu Site-to-Site-VPN > Amazon VPC.
-
Wählen Verwenden Sie AWS-Sicherheitsanmeldeinformationen.
Notiz
Dies muss ein AWS Identity and Access Management (IAM)-Benutzer mit entsprechenden Berechtigungen für den Zugriff auf die AWS Site-to-Site-VPN-Einstellungen sein.
-
Geben Sie Ihren Zugangsschlüssel und Ihren geheimen Schlüssel ein.
-
Klicken Import.
Warnung
Die Konfigurationsdatei dient nur als Beispiel und entspricht möglicherweise nicht Ihren gewünschten Site-to-Site-VPN-Verbindungseinstellungen. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche Sicherheitsalgorithmen, Diffie-Hellman-Gruppen, private Zertifikate und IPv6-Verkehr zu nutzen. Sie müssen außerdem sicherstellen, dass Tunnel_Außenadresse Werte in der VPC-Konfigurationsdatei stimmen mit der IP-Adresse der WAN-Schnittstelle auf der Firewall überein.
Gehen Sie wie folgt vor, um eine Amazon VPC-Verbindung mithilfe einer VPC-Konfigurationsdatei hinzuzufügen:
- Laden Sie die Beispiel-VPN-Konfigurationsdatei von der Amazon VPC-Konsole herunter. Siehe Wie lade ich AWS Site-to-Site VPN-Beispielkonfigurationsdateien herunter?.
-
Wählen Sie bei der entsprechenden Aufforderung die folgenden Einstellungen und klicken Sie auf Herunterladen:
Einstellung Wert Verkäufer Sophos Plattform Sophos Firewall Software Version 19+ Ike-Version Wählen Sie IKEv1 oder IKEv2 Notiz
Wenn Sie statisches Routing verwenden möchten, müssen Sie Generisch Wählen Sie „Anbieter“ und konfigurieren Sie die IPsec-Profile und -Verbindungen manuell mithilfe der Einstellungen in der VPC-Konfigurationsdatei. Die Sophos Firewall unterstützt dynamisches Routing nur, wenn Sie „Sophos“ als Anbieter wählen. Siehe Folgendes:
-
Melden Sie sich bei der Sophos Firewall an.
- Gehe zu Site-to-Site-VPN > Amazon VPC.
- Wählen VPC-Konfigurationsdatei verwenden.
- Klicken Durchsuchen.
- Wählen Sie die Konfigurationsdatei aus und klicken Sie auf Offen.
-
Klicken Import.
Sophos Firewall erstellt automatisch die IPsec-Profile, BGP-Einstellungen und XFRM-Schnittstellen mithilfe der aus AWS importierten Einstellungen.
Nächste Schritte
- Klicken IPsec-Profile um die für die VPC-Verbindung erstellten benutzerdefinierten Profile zu überprüfen.
- Gehe zu Netzwerk > Schnittstellen um die für die VPC-Verbindung erstellten XFRM-Schnittstellen zu überprüfen.
- Gehe zu Routenplanung > BGP > Netzwerke und klicken Sie auf Hinzufügen , um die lokalen Netzwerk-Subnetze hinzuzufügen. Siehe BGP-Netzwerk hinzufügen.
- Erstellen Sie eine Firewallregel, um den Datenverkehr zwischen AWS VPC und Ihren Netzwerkressourcen zuzulassen. Siehe Hinzufügen einer Firewallregel.
-
Klicken Gerätezugriff oder gehen Sie zu Verwaltung > Gerätezugriff und gehen Sie wie folgt vor:
- Einschalten IPsec für die VAN Zone.
- Einschalten Dynamisches Routing für die VPN Zone.
Amazon VPC-Verbindungen
Die Verbindungen erscheinen in Amazon VPC-Verbindungen und werden automatisch aktiviert. Sie können die Verbindungen wie folgt verwalten:
- Klicken Zusätzliche Eigenschaften anzeigen , um zusätzliche Verbindungseigenschaften auszuwählen, die in der Liste angezeigt werden sollen.
- Klickfilter
um die Liste der Verbindungen zu filtern.
- Aktivieren, deaktivieren und zeigen Sie den Status von VPC-Verbindungen an. Siehe Verbindungsstatus.
- Klicken Sie auf Löschen
, um eine Verbindung aus der Liste zu entfernen. Sie können auch eine Verbindung auswählen und auf Löschen.
Weitere Informationen