Zum Inhalt
Letztes Update: 2022-09-23

Ein Gateway einrichten

Richten Sie jetzt ein ZTNA-Gateway ein, das den Zugriff auf Ressourcen in Ihrem Netzwerk steuert.

Die Schritte unterscheiden sich je nachdem, ob Sie das Gateway auf einem ESXi-Server, auf Microsoft Hyper-V oder in Amazon Web Services hosten möchten.

Warnung

Konfigurieren Sie Gateways nicht für den Betrieb in Subnetzen, die für interne Dienste verwendet werden. Andernfalls haben Sie möglicherweise Probleme beim Zugriff auf Anwendungen. Diese Subnetze lauten wie folgt: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Hinweis

In Amazon Web Services fallen aufgrund Ihrer Konfiguration zusätzliche Kosten an. Ihre ZTNA-Lizenz deckt diese Kosten nicht ab.

Um Schritt-für-Schritt-Anweisungen zu erhalten, klicken Sie unten auf die Registerkarte für Ihren Host.

Sie richten ein Gateway auf ESXi in zwei Phasen ein:

  • Laden Sie ein Gateway-Image (OVA-Datei) herunter und stellen Sie es in ESXi bereit.

  • Fügen Sie Gateway-Einstellungen in Sophos Central hinzu, um eine ISO-Datei („Start-Image“) zu generieren, die Sie zum Starten des Gateways in ESXi verwenden.

Sie können ein Gateway-Cluster einrichten, um die Verfügbarkeit zu gewährleisten. Dazu richten Sie, wie hier beschrieben, weitere Instanzen des Gateways ein.

Hinweis

Stellen Sie sicher, dass die richtige Uhrzeit und das richtige Datum auf dem ESXi-Host eingestellt sind. Sie müssen die Zeitzone als UTC festlegen. Das ZTNA-Gateway stößt auf Probleme, wenn Sie die Zeit nicht richtig einstellen. Siehe Anforderungen.

Wenn Sie einen zweiarmigen Proxy verwenden, siehe Netzwerkkonfiguration.

Image herunterladen und bereitstellen

  1. Gehen Sie in Sophos Central zu Geräte schützen.

  2. Suchen Sie Zero Trust Network Access.

    1. Klicken Sie auf den Download-Link für ein Gateway-Image.
    2. Akzeptieren Sie die Lizenzvereinbarung und (falls Sie dazu aufgefordert werden) die Formulare zur Einhaltung der Software-Export-Compliance.
    3. Das Gateway-Image wird heruntergeladen. Dies ist ein generisches OVA-Image des ZTNA-Gateways für ESXi-Server. Sie können es so oft wiederverwenden, wie Sie möchten.

    Screenshot der Seite „Downloads“

  3. Stellen Sie das OVA-Image auf Ihrem ESXi-Host bereit. Klicken Sie in VMware vSphere mit der rechten Maustaste auf den Host, und wählen Sie OVA-Vorlage bereitstellen. Dadurch wird ein Assistent ausgeführt, der Sie durch die Bereitstellung führt.

    Warnung

    Deaktivieren Sie die Option für das automatische Einschalten (die Standardeinstellung auf ESXi), oder verhindern Sie, dass das ZTNA-Gateway nach Abschluss des Startvorgangs startet. Wenn Sie dies nicht tun, startet das Gateway ohne die ISO-Dateien, und Sie müssen erneut starten.

    Screenshot der Bereitstellungsseite in VMware vSphere

Einstellungen und Start-Gateway hinzufügen

  1. Gehen Sie zurück zu Sophos Central und gehen Sie zu ZTNA > Gateways. Klicken Sie auf Gateway hinzufügen.

    Screenshot der Seite „Gateways“

  2. Verfahren Sie unter „Gateway hinzuzufügen“ wie folgt:

    1. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.
    2. Geben Sie die Domäne für die Ressourcen (Anwendungen) ein.
    3. Wählen Sie unter Plattformtyp die Option VMware ESXi aus.
    4. Wählen Sie den Bereitstellungsmodus aus.

      • Einarmig verwendet die externe Schnittstelle für eingehenden und ausgehenden Datenverkehr.
      • Zweiarmig verwendet sowohl externe als auch interne Schnittstellen.
    5. Geben Sie die Schnittstellen-Einstellungen ein.

      • Wenn Sie DHCP auswählen, legen Sie eine Reservierung auf dem DHCP-Server fest.

        Warnung

        Das Gateway kann Änderungen an seiner IP-Adresse nicht verarbeiten. Sie müssen eine Reservierung festlegen, um sicherzustellen, dass immer die anfängliche IP-Adresse beibehalten wird, die DHCP zuweist.

      • Wenn Sie statische IP auswählen, geben Sie die IP-Adresse, das Subnetz und die DNS-Servereinstellungen an.

      Bei einer zweiarmigen Bereitstellung müssen Sie Statische Routen angeben, wenn Anwendungen in mehreren internen Netzwerken gehostet werden.

    6. Laden Sie die zuvor erstellten Zertifikate hoch.

    7. Klicken Sie auf Speichern und Datei erstellen.

    Hinweis

    In dieser Version wird nur ein einzelnes Wildcard-Zertifikat unterstützt.

    Screenshot des Dialogfelds „Gateway hinzufügen“

  3. Auf der Seite Gateways lautet der Status des Gateways Warten auf Bereitstellung.

    Die Start-Image-ISO steht zum Download bereit. Sie benötigen diese, um das Gateway zu starten und den Registrierungsvorgang abzuschließen. Die ISO ist für jedes Gateway eindeutig. Sie können sie nicht erneut verwenden.

    Hinweis

    Bevor Sie das Image herunterladen, sollten Sie ein Gateway-Cluster erstellen. Wenn Sie kein Cluster verwenden möchten, springen Sie zu Schritt 6.

    Screenshot der Seite „Gateways“ mit dem Gateway-Status.

  4. Klicken Sie auf Ihr neues Gateway, um die Detailseite zu öffnen. Klicken Sie auf Instanzen hinzufügen/bearbeiten.

    Gateway-Detailseite

  5. Gehen Sie unter Instanzen hinzufügen/bearbeiten folgendermaßen vor:

    1. Klicken Sie auf Eine weitere Instanz hinzufügen. Clustering wird automatisch aktiviert.
    2. Geben Sie eine virtuelle Cluster-IP ein. Dies wird für Cluster-Verwaltung und Lastverteilung verwendet. Sie muss sich im gleichen IP-Bereich wie die Gateway-Instanzen befinden.

      Bei einer zweiarmigen Bereitstellung dient die externe Cluster-VIP nur dem Lastenausgleich. Wenn Sie einen externen Load Balancer verwenden, lassen Sie dieses Feld frei.

    3. Geben Sie einen VM-Namen und eine Schnittstellen-IP für die neue Instanz ein.

      Geben Sie bei einer zweiarmigen Bereitstellung eine interne und eine externe Schnittstellen-IP ein.

    4. Wiederholen Sie den Vorgang, um eine weitere Instanz hinzuzufügen.

    Sie müssen mindestens über drei Instanzen für ein Cluster verfügen. Sie können bis zu neun Instanzen haben, die Anzahl muss dabei ungerade sein.

    Dialogfeld „Instanzen hinzufügen/bearbeiten“

  6. Laden Sie jede ISO-Datei herunter und mounten Sie sie auf Ihrem Host. Verbinden Sie sie dann wie folgt mit dem Gateway:

    1. Wechseln Sie zu VMware vSphere.
    2. Klicken Sie mit der rechten Maustaste auf die Gateway-VM und wählen Sie Einstellungen bearbeiten.
    3. Stellen Sie sicher, dass auf der Registerkarte Hardware unter CD/DVD-Laufwerk die ISO-Datei angezeigt wird und wählen Sie Verbinden.
    4. Wählen Sie unter Status die Option Beim Einschalten verbinden aus.
    5. Klicken Sie auf Speichern.

    Wenn ein serielles Gerät in der virtuellen Hardware aufgeführt ist, können Sie es sicher entfernen.

    Wenn das Gateway mit der ISO-Datei startet, kontaktiert es Sophos Central, um sich zu registrieren.

    Screenshot der Registerkarte „Virtuelle Hardware“ in VMware vSphere

  7. Wechseln Sie wieder zu Sophos Central. Auf der Seite Gateways ändert sich der Gateway-Status zu Warte auf Genehmigung.

    Wenn Sie dazu aufgefordert werden, genehmigen Sie die Gateway-Registrierung.

    Es kann bis zu zehn Minuten dauern, bis die Genehmigung wirksam wird. Der Gateway-Status ändert sich dann in Verbunden. Sie sehen eine Option zum Erstellen eines Kennworts (bei Bedarf).

Hinweis

Die ISO-Datei muss an das Gateway angehängt bleiben. Sie können die Bereitstellung nicht aufheben, nachdem das Gateway gestartet wurde.

Sie haben das Gateway eingerichtet.

Hinweis

Wenn das Gateway keine Verbindung zu Sophos Central herstellen kann, gehen Sie zu VMware vSphere und führen Sie die Diagnose auf der VM aus.

Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

Gehen Sie wie folgt vor, um ein Gateway auf Microsoft Hyper-V einzurichten:

  • Laden Sie das Gateway-VM-Image herunter und stellen Sie es bereit.

  • Fügen Sie Gateway-Einstellungen hinzu, um eine ISO-Datei zu generieren („Start-Image“).

  • Laden Sie die ISO-Datei herunter und starten Sie das Gateway.

Image herunterladen und bereitstellen

  1. Gehen Sie in Sophos Central zu Geräte schützen.

  2. Klicken Sie unter Zero Trust Network Access auf Gateway-VM-Image für Hyper-V herunterladen.

    Eine ZIP-Datei mit dem VM-Image wird heruntergeladen.

    Seite „Geräte schützen“

  3. Extrahieren Sie das Hyper-V Base-Image aus der heruntergeladenen ZIP-Datei.

    Dadurch erhalten Sie die .vhdx-Datei, die Sie zum Einrichten des Gateways benötigen. Sie können diese Datei nicht für die Bereitstellung von mehr als einer VM verwenden. Sie können jedoch Kopien erstellen und diese für zusätzliche VMs verwenden.

  4. Klicken Sie in Hyper-V Manager in der Liste Virtuelle Maschinen unter Aktionen auf Neu.

    Hyper-V Manager

  5. Geben Sie dem VM einen Namen.

    Seite „Namen und Speicherort angeben“

  6. Wählen Sie die Generation aus. Generation 1 unterstützt sowohl 32-Bit- als auch 64-Bit-Betriebssysteme.

    Seite „Generation angeben“

  7. Geben Sie unter Speicher zuweisen mindestens 4096 MB Startspeicher ein.

    Seite „Speicher zuweisen“

  8. Wählen Sie unter Netzwerkkonfiguration einen Netzwerkadapter aus.

    Seite „Netzwerkkonfiguration“

  9. Wählen Sie unter Virtuelle Festplatte verbinden die Option Vorhandene virtuelle Festplatte verwenden aus und navigieren Sie zu der .vhdx-Datei, die Sie aus dem VM-Image-Download extrahiert haben.

    Seite „Virtuelle Festplatte verbinden“

  10. Klicken Sie auf Fertigstellen.

    Ausfüllen der Seite „Neue VM“

  11. Gehen Sie zu den Einstellungen für die neue VM.

    1. Legen Sie unter Hardware > Prozessoren die Anzahl der virtuellen Prozessoren auf „2“ fest.

    2. Wenn sich Ihr Gateway in einer zweiarmigen Bereitstellung befindet, gehen Sie zu Netzwerkadapter und fügen Sie der VM einen weiteren Adapter hinzu.

    VM-Einstellungen

  12. Klicken Sie auf Anwenden und Speichern.

Gateway-Einstellungen hinzufügen

  1. Gehen Sie zurück zu Sophos Central und gehen Sie zu ZTNA > Gateways. Klicken Sie auf Gateway hinzufügen.

    Seite „Gateways“

  2. Verfahren Sie unter „Gateway hinzuzufügen“ wie folgt:

    1. Geben Sie einen Gateway-Namen und den Gateway-FQDN ein.
    2. Geben Sie die Domäne für die Ressourcen (Anwendungen) ein.
    3. Wählen Sie unter Plattformtyp die Option Hyper-V aus.
    4. Wählen Sie den Bereitstellungsmodus aus.

      • Einarmig verwendet die externe Schnittstelle für eingehenden und ausgehenden Datenverkehr.
      • Zweiarmig verwendet sowohl externe als auch interne Schnittstellen.
    5. Geben Sie die Schnittstellen-Einstellungen ein.

      • Wenn Sie DHCP auswählen, legen Sie eine Reservierung auf dem DHCP-Server fest.

        Warnung

        Das Gateway kann Änderungen an seiner IP-Adresse nicht verarbeiten. Sie müssen eine Reservierung festlegen, um sicherzustellen, dass immer die anfängliche IP-Adresse beibehalten wird, die DHCP zuweist.

      • Wenn Sie Statische IP auswählen, geben Sie die IP-Adresse, das Subnetz und die DNS-Servereinstellungen an.

      Bei einer zweiarmigen Bereitstellung müssen Sie Statische Routen angeben, wenn Anwendungen in mehreren internen Netzwerken gehostet werden.

    6. Laden Sie die zuvor erstellten Zertifikate hoch.

    7. Klicken Sie auf Speichern und Datei erstellen.

    Hinweis

    In dieser Version wird nur ein einzelnes Wildcard-Zertifikat unterstützt.

    Dialogfeld „Gateway hinzufügen“

  3. Auf der Seite Gateways lautet der Status des neuen Gateways Warten auf Bereitstellung. Klicken Sie auf das Gateway, um weitere Details anzuzeigen.

  4. In den Gateway-Details sehen Sie, dass das ISO-Image zum Download bereit ist. Sie benötigen es zum Starten des Gateways. Die ISO ist für jedes Gateway eindeutig. Sie können sie nicht erneut verwenden.

    Bevor Sie das Image herunterladen, sollten Sie ein Gateway-Cluster erstellen. Wenn Sie kein Cluster möchten, fahren sie mit dem Abschnitt 'ISO-Dateien herunterladen und Gateway starten' fort.

    Details des neuen Gateways

  5. Klicken Sie in den Gateway-Details auf Instanzen hinzufügen/bearbeiten.

    Gateway-Detailseite

  6. Klicken Sie unter Instanzen hinzufügen/bearbeiten auf Weitere Instanz hinzufügen. Clustering wird automatisch aktiviert.

    Dialogfeld „Instanzen hinzufügen/bearbeiten“

  7. Geben Sie die Details der neuen Instanz wie folgt ein:

    1. Geben Sie eine virtuelle Cluster-IP ein. Dies wird für Cluster-Verwaltung und Lastverteilung verwendet. Sie muss sich im gleichen IP-Bereich wie die Gateway-Instanzen befinden.

      Bei einer zweiarmigen Bereitstellung dient die externe Cluster-VIP nur dem Lastenausgleich. Wenn Sie einen externen Load Balancer verwenden, lassen Sie dieses Feld frei.

    2. Geben Sie einen VM-Namen und eine Schnittstellen-IP für die neue Instanz ein.

      Geben Sie bei einer zweiarmigen Bereitstellung eine interne und eine externe Schnittstellen-IP ein.

    3. Wiederholen Sie den Vorgang, um eine weitere Instanz hinzuzufügen.

      Hinweis

      Sie müssen mindestens über drei Instanzen für ein Cluster verfügen. Sie können bis zu neun Instanzen haben, die Anzahl muss dabei ungerade sein.

    Instanzdetails

Als Nächstes laden Sie die ISO-Dateien herunter und starten das Gateway.

ISO-Dateien zum Starten des Gateways herunterladen

Laden Sie die ISO-Datei für jede Instanz herunter, hängen Sie sie an die Gateway-VM an und starten Sie das Gateway wie folgt:

  1. Gehen Sie in den Gateway-Details zu jeder Instanz und klicken Sie auf Image herunterladen.

    Gateway-Instanzen mit Downloads

  2. Gehen Sie in Hyper-V Manager zu Einstellungen für die VM. Gehen Sie im DVD-Laufwerk wie folgt vor:

    1. Wählen Sie unter Controller IDE Controller 1 aus.
    2. Wählen Sie unter Medien die Option Image-Datei aus und geben Sie den Pfad zur Ausgangsdatei-ISO ein.
    3. Klicken Sie auf Anwenden und Speichern.

    Hinweis

    Die ISO-Datei muss an das Gateway angehängt bleiben. Sie können die Bereitstellung nicht aufheben, nachdem das Gateway gestartet wurde.

    VM-DVD-Laufwerk

  3. Schalten Sie die Gateway-Instanzen ein. Warten Sie einige Minuten.

  4. Gehen Sie in Sophos Central zu ZTNA > Gateways und klicken Sie auf das neue Gateway, um die Detailseite zu öffnen.

    Der Gateway-Status ändert sich in Warten auf Gateway-Genehmigung. Klicken Sie auf Genehmigen.

    Gateway-Status mit der Schaltfläche „Genehmigen“

  5. Der Gateway-Status ändert sich in Aktiv.

Sie haben das Gateway eingerichtet.

Hinweis

Wenn das Gateway keine Verbindung zu Sophos Central herstellen kann, gehen Sie zu Hyper-V Manager und führen Sie die Diagnose auf der VM aus.

Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

So richten Sie ein ZTNA-Gateway in Amazon Web Services (AWS) ein:

  1. Gehen Sie in Sophos Central zu ZTNA > Gateways.

    ZTNA-Menü

  2. Klicken Sie auf der Seite Gateways auf Gateway hinzufügen.

    Seite „Gateways“

  3. Geben Sie im Dialogfeld Gateway hinzufügen Ihre Daten wie folgt ein:

    1. Geben Sie den Gateway-Namen und den FQDN ein.
    2. Geben Sie die Domäne für die Ressourcen (Anwendungen) ein.
    3. Wählen Sie unter Plattformtyp die Option Amazon Web Services aus.
    4. Wählen Sie unter Identitätsanbieter den Identitätsanbieter aus, den Sie zuvor eingerichtet haben.
    5. Laden Sie die zuvor erstellten Zertifikate hoch.
    6. Klicken Sie auf Speichern.

    Gateway hinzufügen

  4. Auf der Seite Gateways wird nun das neue Gateway angezeigt. Klicken Sie auf den Link Stapel starten daneben.

    Gateway mit Link „Stapel starten“

Erstellen Sie einen Stapel in AWS

In AWS wird in CloudFormation die Vorlage für die schnelle Stapelerstellung angezeigt. Wir haben sie bereits teilweise konfiguriert. Führen Sie die folgenden Schritte aus, um den Vorgang abzuschließen.

  1. Gehen Sie auf der Seite der schnellen Stapelerstellung wie folgt vor:

    1. Wählen Sie einen AWS-Bereich aus (oben rechts auf dem Bildschirm).
    2. Geben Sie unter Stapelname einen benutzerdefinierten Namen ein.

    Stapelvorlage

  2. Wählen Sie unter Basiskonfiguration zwei oder drei Verfügbarkeitszonen aus, um die Verfügbarkeit des Gateways sicherzustellen.

    Stapel-Basiskonfiguration

  3. Verfahren Sie unter VPC-Netzwerkkonfiguration wie folgt vor:

    1. Legen Sie die Anzahl der Verfügbarkeitszonen fest. Diese muss mit der Anzahl der Zonen übereinstimmen, die Sie im vorherigen Schritt ausgewählt haben.
    2. Stellen Sie sicher, dass die Subnetze nicht mit vorhandenen Ressourcen in Konflikt stehen.
    3. Legen Sie in MaxNumberOfNodes die maximale Anzahl von Knoten fest. Standardmäßig sind es drei.
    4. Wählen Sie unter NodeInstanceType den Typ der zu verwendenden EC2-Instanz aus.
    5. Legen Sie unter NumberOfNodes die gewünschte Knotenanzahl fest. Der Standardwert ist eins für jede Verfügbarkeitszone.

    Die automatische Skalierung ist derzeit für ZTNA nicht verfügbar.

    VPC-Netzwerkkonfiguration

  4. Klicken Sie auf Stapel erstellen und warten Sie, bis der Prozess abgeschlossen ist. Dies kann bis zu einer Stunde dauern. Nach Abschluss der Stapelerstellung befindet sich Ihr neuer Stapel in Ihrer AWS-Stapel-Liste, und die Details sehen wie folgt aus.

    Neuer ZTNA-Stapel

  5. Gehen Sie in Sophos Central zum neuen Gateway. Klicken Sie auf Genehmigen.

    Es kann bis zu zehn Minuten dauern, bis die Genehmigung wirksam wird. Der Gateway-Status ändert sich dann in Verbunden.

    Gateway-Detailseite

Konfigurieren Ihrer neuen VPC

Konfigurieren Sie die VPC folgendermaßen:

  1. Gehen Sie in AWS zu Virtual Private Cloud > Ihre VPCs.

    VPCs-Menü in AWS

  2. Gehen Sie zu Ihrer neuen VPC und suchen Sie nach der VPC-ID. Sie können diese ID verwenden, um nach den anderen Komponenten zu suchen, die Sie erstellt haben.

    Neue VPC-Details

  3. Rufen Sie Ihre EC2-Instanzen auf, und suchen Sie nach Instanzen mit der neuen VPC-ID. Dadurch werden die Instanzen gefunden, aus denen der ZTNA-Gateway-Cluster besteht. Benennen Sie sie um.

    EC2-Instanzen

  4. Verwenden Sie beim Load Balancing die VPC-ID, um den Load Balancer für ZTNA zu finden. Öffnen Sie die Details und kopieren Sie den DNS-Namen. Dies ist erforderlich, um einen öffentlichen DNS-Eintrag (CNAME) für das Gateway zu erstellen, der auf den Load Balancer verweist.

    AWS Load Balancer

Erstellen Sie eine Peering-Verbindung

In der Version ZTNA EAP2 befindet sich das Gateway immer in einem neuen VPC. Sie müssen also Peering verwenden, um es mit dem VPC zu verbinden, wo sich Ihre Anwendungen befinden.

  1. Gehen Sie zu VPC > Peering Connections. Klicken Sie auf Create Peering Connection und gehen Sie wie folgt vor:

    1. Wählen Sie unter VPC-ID (Requester)die ID des ZTNA-Gateways aus.
    2. Wählen Sie unter VPC ID (Accepter) den VPC aus, in dem sich Ihre Ressourcen befinden.
    3. Klicken Sie auf Create peering connection.

    VPC-Peering-Verbindung

  2. Wechseln Sie zu Subnets, und fügen Sie den Routentabellen das Subnetz für Ressourcen und die privaten Subnetze Ihres Gateways hinzu. Dadurch kann ZTNA die Peering-Verbindung verwenden, um eine Verbindung zu Ressourcen herzustellen.

    Seite „Subnetze“

Sie haben das Gateway eingerichtet.

Wenn eine neue Version der virtuellen Maschine verfügbar ist, wird in der Spalte „Version“ ein grünes Häkchen angezeigt. Klicken Sie auf die Versionsnummer, um eine Aktualisierung zu starten oder zu planen. Siehe Gateway-Updates unter Gateways.

Als Nächstes fügen Sie Richtlinien hinzu.