Configurar um gateway local

Configure o gateway ZTNA local que controlará o acesso aos recursos em sua rede.

As etapas diferem, dependendo se você deseja hospedar o gateway em um servidor ESXi ou no Microsoft Hyper-V.

Alerta

Os gateways AWS chegam ao fim da vida útil em 31 de março de 2024. Consulte o calendário de retirada. Você pode implantar o SFOS na AWS e migrar os recursos para esse gateway para garantir que os usuários ainda possam acessar aplicativos após essa data.

Alerta

Não configure gateways para operar em sub-redes usadas para serviços internos. Se fizer isso, você pode ter problemas ao acessar aplicativos. As sub-redes são: 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

Alerta

Não configure endereços IPv6 para seus gateways ou permita que endereços IPv6 DHCP sejam atribuídos a endpoints, pois o IPv6 não é suportado.

Dica

Se os seus usuários precisarem acessar recursos ZTNA da mesma rede que o gateway ZTNA, adicione uma regra SNAT do tipo MASQ para impedir o roteamento assimétrico.

Para obter instruções passo a passo, clique na guia do seu host abaixo.

Servidor ESXiHyper-V

Você configura um gateway no ESXi em dois estágios:

Baixe uma imagem do gateway (arquivo OVA) e implante-a no ESXi.
Adicione configurações de gateway ao Sophos Central para gerar um arquivo ISO ("imagem de semeadura") que você usa para inicializar o gateway no ESXi.

Você pode configurar um cluster de gateway para garantir a disponibilidade. Para isso, configure instâncias adicionais do gateway, conforme descrito aqui.

Nota

Certifique-se de que a data e a hora corretas estejam definidas no host ESXi. Você deve definir o fuso horário como UTC. O gateway ZTNA terá problemas se você não definir a hora corretamente. Consulte Requisitos.

Se você estiver usando um proxy two-arm, consulte Configuração de Rede.

Baixar e implantar imagem

Em Sophos Central, vá para Dispositivos > Instaladores.
Localize Zero Trust Network Access.
1. Clique no link de download de uma imagem de gateway.
2. Aceite o contrato de licença e (se solicitado) os formulários de conformidade de exportação de software.
3. A imagem do gateway é baixada. Esta é uma imagem OVA genérica do gateway ZTNA para servidores ESXi. Você pode reutilizá-la quantas vezes quiser.
Implemente a imagem OVA em seu host ESXi. No VMware vSphere, clique com o botão direito do mouse no host e selecione Deploy OVA Template. Isso executa um assistente que o orienta pela implantação.

Alerta

Desative a opção para ligar automaticamente (o padrão no ESXi) ou impeça que o gateway ZTNA seja inicializado depois que você terminar. Caso contrário, o gateway será inicializado sem os arquivos ISO e você terá que iniciar novamente.

Adicionar configurações e inicializar o gateway

Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.
Em Modo de gateway, selecione No local.
Em Adicionar gateway, faça o seguinte:
1. Insira um nome de gateway e o FQDN do gateway.
2. Insira o domínio dos recursos (aplicativos).
3. Em Tipo de plataforma, selecione VMware ESXi.
4. Selecione o Modo de implantação.
  - One-arm usa a interface externa para o tráfego de entrada e de saída.
  - Two-arm usa as interfaces externa e interna.
5. Insira as configurações da Interface.
  - Se selecionar DHCP, defina uma reserva no servidor DHCP.
    
    Alerta
    
    O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.
  - Se você selecionar IP estático, especifique o endereço IP, a sub-rede e as configurações do servidor DNS.
  Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.
6. Carregue os certificados que você criou anteriormente.
7. Clique em Salvar e gerar arquivo.
Nota

Somente um único certificado curinga é suportado nesta versão.
Na página Gateways, o status do gateway é Aguardando implantação.

O ISO da imagem de semeadura está pronto para download. Você precisará dele para inicializar o gateway e concluir o processo de registro. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

Nota

Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a etapa 6.

.
Clique no seu novo gateway para abrir a página de detalhes. Clique em Adicionar/Editar instâncias.
Em Adicionar/Editar instâncias, faça o seguinte:
1. Clique em Adicionar outra instância. O clustering é ativado automaticamente.
2. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. Ele deve estar no mesmo intervalo de IP das instâncias do gateway.
  
  Em uma implantação two-arm, o VIP do cluster externo é apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe isso em branco.
3. Digite o Nome da VM e IP de interface para a nova instância.
  
  Em uma implantação two-arm, insira um IP de interface interna e externa.
4. Repita o processo para adicionar outra instância.
  Nota
  - Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.
  - Se você criar um cluster, certifique-se de que as regras DNAT criadas no firewall apontem para o endereço IP virtual externo do cluster. Se um nó de gateway estiver inativo, as solicitações serão encaminhadas para os outros nós do cluster.
  - Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.
Baixe cada arquivo ISO e monte-o em seu host, depois anexe-o ao gateway.

Nota

Se você não montar o ISO neste momento, deverá desmarcar "Ligar quando terminar" na última etapa do assistente. Você pode ligar manualmente a máquina virtual depois de montar o ISO.

Para anexar o arquivo ISO ao seu gateway, faça o seguinte:
1. Vá para VMware vSphere.
2. Clique com o botão direito do mouse na VM do gateway e selecione Edit Settings.
3. Na guia Hardware, em CD/DVD drive, certifique-se de que o arquivo ISO aparece e selecione Connect.
4. Em Status, selecione Connect at Power on.
5. Clique em Salvar.
Se um dispositivo serial estiver listado no hardware virtual, você poderá removê-lo com segurança.

Quando o gateway inicializar com o arquivo ISO, ele entrará em contato com o Sophos Central para se registrar.
Volte para o Sophos Central. Na página Gateways, o status do gateway muda para Aguardando Aprovação.

Quando solicitado, aprove o registro do gateway.

Pode levar até dez minutos para a aprovação entrar em vigor. O status do gateway muda para Conectado. Você verá uma opção para criar uma senha, se desejar.

Nota

Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.

Nota

O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.

Você acabou a configuração do gateway local.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o VMware vSphere e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Para configurar um gateway no Microsoft Hyper-V, faça o seguinte:

Baixe e implante a imagem da VM do gateway.
Adicione configurações de gateway para gerar um arquivo ISO ("imagem de semeadura").
Baixe o arquivo ISO e inicialize o gateway.

Baixar e implantar imagem

Em Sophos Central, vá para Dispositivos > Instaladores.
Em Zero Trust Network Access, clique em Download da imagem Gateway VM para Hyper-V.

Um arquivo ZIP contendo a imagem da VM é baixado.
Extraia a imagem Hyper-V base do arquivo ZIP que você baixou.

Isso lhe dá o arquivo .vhdx necessário para configurar o gateway. Você não pode usar esse arquivo para implantar mais de uma VM, mas pode fazer cópias e usá-las para VMs adicionais.
No Gerenciador do Hyper-V, na lista Máquinas virtuais, em Ações, clique em Novo.
Insira um nome para o VM.
Selecione a geração. Geração 1 suporta sistemas operacionais de 32 e 64 bits.
Em Atribuir memória, digite pelo menos 4096 MB de memória de inicialização.
Em Configurar rede, selecione um adaptador de rede.
Em Conectar disco rígido virtual, selecione Usar um disco rígido virtual existente e navegue até o arquivo .vhdx que você extraiu do download da imagem da VM.
Clique em Terminar.
Vá para Configurações da nova VM.
1. Em Hardware > Processadores, defina Número de processadores virtuais como "2".
2. Se o gateway estiver em uma implantação two-arm, vá para Adaptador de rede e adicione outro adaptador à VM.
Nota

Se você estiver usando VLANs, certifique-se de marcar suas interfaces de rede com os IDs de VLAN apropriados.
Clique em Aplicar e Salvar.

Adicionar configurações de gateway

Volte para o Sophos Central e vá para Meus produtos > ZTNA > Gateways. Clique em Adicionar gateway.
Em Modo de gateway, selecione No local.
Em Adicionar gateway, faça o seguinte:
1. Insira um nome de gateway e o FQDN do gateway.
2. Insira o domínio dos recursos (aplicativos).
3. Em Tipo de plataforma, selecione Hyper-V.
4. Selecione o Modo de implantação.
  - One-arm usa a interface externa para o tráfego de entrada e de saída.
  - Two-arm usa as interfaces externa e interna.
5. Insira as configurações da Interface.
  - Se selecionar DHCP, defina uma reserva no servidor DHCP.
    
    Alerta
    
    O gateway não pode lidar com alterações em seu endereço IP. Você deve definir uma reserva para garantir que ele sempre mantenha o endereço IP inicial que o DHCP atribui.
  - Se você selecionar IP estático, insira o endereço IP, a sub-rede e as configurações do servidor DNS.
  Em uma implantação two-arm, você deve especificar Rotas estáticas se tiver aplicativos hospedados em várias redes internas.
6. Carregue os certificados que você criou anteriormente.
7. Clique em Salvar e gerar arquivo.
Nota

Somente um único certificado curinga é suportado nesta versão.
Na página Gateways, o status do novo gateway é Aguardando implantação. Clique no gateway para ver detalhes.
Nos detalhes do gateway, você pode ver que a imagem ISO está pronta para download. Você precisará dela para inicializar o gateway. O ISO é exclusivo para cada gateway. Você não pode reutilizá-lo.

Antes de baixar a imagem, sugerimos que você crie um cluster de gateway. Se você não quiser um cluster, vá para a seção Baixar o arquivo ISO e inicializar o gateway.
Nos detalhes do gateway, clique em Adicionar/Editar instâncias.
Em Adicionar/Editar instâncias, clique em Adicionar outra instância. O clustering é ativado automaticamente.
Insira os detalhes da nova instância da seguinte forma:
1. Digite um IP virtual de cluster. Usado para gerenciamento de cluster e balanceamento de carga. O endereço IP deve ser um endereço que você não usou antes nessa configuração e deve estar no mesmo intervalo de IP que as instâncias do gateway.
  
  Dica
  
  Em uma implantação two-arm, o endereço IP da interface externa é usado apenas para balanceamento de carga. Se você usar um balanceador externo de carga, deixe esse campo em branco.
2. Digite o Nome da VM e IP de interface para a nova instância.
  
  Em uma implantação two-arm, insira um IP de interface interna e externa.
3. Repita o processo para adicionar outra instância.
  
  Nota
  
  Você deve ter pelo menos três instâncias para um cluster. Você pode ter até nove instâncias, e sempre deve ter um número ímpar de instâncias.
  
  Nota
  
  Para manter seu cluster ativo, certifique-se de que pelo menos metade dos gateways nele estejam ativos.

Em seguida, baixe os arquivos ISO e inicialize o gateway.

Baixar o arquivo ISO e inicializar o gateway

Baixe o arquivo ISO para cada instância, anexe-o à VM do gateway e inicialize o gateway da seguinte forma:

Nos detalhes do gateway, vá para cada instância e clique em Download da imagem.
No Gerenciador do Hyper-V, vá para Configurações da VM. Em Unidade de DVD, faça o seguinte:
1. Em Controlador, selecione Controlador IDE 1.
2. Em Mídia, selecione Arquivo de imagem e insira o caminho para o ISO de semeadura.
3. Clique em Aplicar e Salvar.
Nota

O arquivo ISO deve permanecer anexado ao gateway. Não é possível desmontá-lo após a inicialização do gateway.
Ligue as instâncias do gateway. Aguarde alguns minutos.
No Sophos Central, vá para Meus produtos > ZTNA > Gateways e clique no novo gateway para abrir sua página de detalhes.

O status do gateway muda para Aguardando aprovação do gateway. Clique em Aprovar.

Nota

Se você tiver um cluster de instâncias de gateway, é necessário aprovar o registro de gateway apenas para a primeira instância de gateway. As instâncias subsequentes são gerenciadas sem aprovação explícita.
O status do gateway muda para Ativo.

Você acabou a configuração do gateway local.

Nota

Se o gateway não puder se conectar ao Sophos Central, vá para o Gerenciador do Hyper-V e execute o diagnóstico na VM.

Quando uma nova versão de máquina virtual está disponível, uma marca de seleção verde é exibida na coluna de versão. Clique no número da versão para iniciar ou programar uma atualização. Veja as atualizações do Gateway em Gateways.

Agora, adicione as configurações de DNS.