Richtlinienbasiertes VPN
Richtlinienbasierte VPNs sind IPsec-Verbindungen, die den durch die Abhörschnittstelle fließenden Datenverkehr verschlüsseln und kapseln, wenn der Datenverkehr mit den angegebenen lokalen und Remote-Subnetzen und der entsprechenden Firewall-Regel übereinstimmt.
Sie können den Zugriff auf Ressourcen durch den Tunnel basierend auf den Quell- und Zieladressen, Zonen, Diensten, Anwendungen und den Benutzern steuern, die Sie in der Firewall-Regel angeben.
Sie können richtlinienbasierte VPNs (Site-to-Site und Host-to-Host) konfigurieren von Site-to-Site-VPN > IPsec.
Die Sophos Firewall verwendet für alle richtlinienbasierten Verbindungen eine einzige IPsec-Schnittstelle. Für jedes Paar lokaler und Remote-Subnetze, das Sie in der IPsec-Verbindung angeben, werden individuelle Phase-2-Tunnel eingerichtet. Wenn Sie beispielsweise zwei lokale und zwei Remote-Subnetze angeben, werden vier Tunnel eingerichtet.
Sie können Site-to-Site-IPsec-Verbindungen zwischen zwei Sophos Firewall-Geräten oder zwischen einem Sophos Firewall-Gerät und einer Firewall eines Drittanbieters erstellen.
Notiz
Sie können nicht auswählen Beliebig für die lokalen und Remote-Subnetze mithilfe eines richtlinienbasierten VPN.
Erstellen Sie keinen Tunnel mit einer richtlinienbasierten VPN-Konfiguration an einem Ende und einer routenbasierten VPN-Konfiguration am anderen Ende.
Anwendungsfälle
Richtlinienbasierte VPNs erfordern einen höheren Wartungsaufwand als routenbasierte VPNs, insbesondere bei vielen VPN-Verbindungen. Wenn Ihr Netzwerk erweitert wird, müssen Sie die Netzwerkparameter, z. B. Subnetze, in der IPsec-Konfiguration ändern. Dies führt dazu, dass bestehende Verbindungen getrennt werden, und Sie müssen die Ausfallzeiten einplanen.
Tipp
Wir empfehlen die Verwendung routenbasierter VPNs anstelle von richtlinienbasierten VPNs. Routenbasierte VPNs verwenden für jede IPsec-Verbindung individuelle XFRM-Schnittstellen, was das Debuggen vereinfacht.
Sie können richtlinienbasierte VPNs für Folgendes verwenden:
- Begrenzte Anzahl von Netzwerken: Nutzen Sie diese Option, um eine kleine Anzahl von Netzwerken mit begrenztem Wachstum zu verbinden. Wenn Sie eine große Anzahl von VPN-Verbindungen herstellen müssen, empfehlen wir die Verwendung routenbasierter VPNs.
- Spezifische Netzwerkanforderungen: Verwenden Sie diese Tunnel nur basierend auf Ihren Netzwerkanforderungen. Diese Tunnel benötigen mehr Ressourcen, da die Firewall für jedes Paar lokaler und Remote-Subnetze einen Phase-2-Tunnel erstellt.
So konfigurieren Sie ein richtlinienbasiertes VPN
Gehen Sie wie folgt vor, um ein Site-to-Site-VPN auf Richtlinienbasis einzurichten:
- Gehen Sie auf dem lokalen Sophos Firewall-Gerät zu Site-to-Site-VPN > IPsec und konfigurieren Sie eine IPsec-Verbindung mit Anschlussart eingestellt auf Richtlinienbasiert.
- Geben Sie die NAT-Einstellung für überlappende Subnetze im lokalen und Remote-Netzwerk an.
- Fügen Sie eingehende und ausgehende Firewallregeln manuell hinzu oder verwenden Sie die Erstellen einer Firewallregel Option zur automatischen Erstellung. Um ein höheres Maß an Sicherheit zu gewährleisten, bearbeiten Sie diese automatisch erstellte Firewall-Regel und stellen Sie sicher, dass Sie unabhängige Regeln für eingehenden und ausgehenden Datenverkehr haben.
- Wiederholen Sie diese Schritte für die Peer-Sophos-Firewall.