跳至內容

設定內部部署閘道

設定 ZTNA 內部部署閘道,可控制對網路上資源的存取。

具體步驟會有所不同,具體取決於您是要將閘道託管在 ESXi 伺服器上還是 Microsoft Hyper-V 上。

警告

AWS 閘道將於 2024 年 3 月 31 日到期。請參閱淘汰行事曆。您可以在 AWS 上部署 SFOS,並移轉資源至此閘道,以確保使用者在該日期之後仍可存取應用程式。

警告

請勿將閘道設定為在用於內部服務的子網路中運作。如果這麼做,您可能會在存取應用程式時發生問題。這些子網路如下所示:10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16。

警告

不要為閘道設定 IPv6 位址,也不要允許將 DHCP IPv6 位址指派給端點,因為 IPv6 不受支援。

提示

如果您的使用者需要從 ZTNA 閘道所在的同一網路存取 ZTNA 資源,請新增類型為 MASQ 的 SNAT 規則,以防止非對稱式路由。

要獲取逐步說明,請按一下下方主機標籤。

您可以分兩個階段在 ESXi 上設定閘道:

  • 下載閘道影像(OVA 檔案)並將其部署在 ESXi 中。

  • 在 Sophos Central 中新增閘道設定,以產生用於在 ESXi 中啟動閘道的 ISO 檔案(「種子影像」)。

您可設定閘道叢集以確保可用性。若要如此,您需要按此處所述設定閘道的其他執行個體。

注意

確保 ESXi 主機上設定了正確的時間和日期。您必須將時區設定爲 UTC。如果未正確設定時間,ZTNA 閘道會遇到問題。請參閱要求

如果您使用的是雙臂代理程式,請參閱 網路設定

下載並部署影像

  1. 在 Sophos Central 中,轉至裝置 > 安裝程式

  2. 查找 Zero Trust Network Access

    1. 按一下閘道影像的下載連結。
    2. 接受授權合約和(如有提示)軟體匯出合規性表單。
    3. 將下載閘道影像。這是適用於 ESXi 伺服器之 ZTNA 閘道的一般 OVA 影像。您可以任意多次重複使用它。

    下載頁面。

  3. 將 OVA 影像部署至 ESXi 主機。在 VMware vSphere 中,右鍵按一下主機並選擇部署 OVA 範本。這將執行一個小幫手,引導您完成部署。

    警告

    關閉自動開機選項(ESXi 上的預設設定),或在完成後阻止 ZTNA 閘道開機。否則,閘道將在沒有 ISO 檔案的情況下開機,您必須重新啟動。

    VMware vSphere 中的部署頁面。

新增設定和啟動閘道

  1. 返回 Sophos Central 並轉至 我的產品 > ZTNA > 閘道。按一下新增閘道

    閘道頁面。

  2. 對於閘道模式,選取內部部署

    已選取內部部署閘道模式。

  3. 新增閘道中,請執行以下操作。

    1. 輸入閘道名稱和閘道 FQDN。
    2. 輸入資源(應用程式)的網域。
    3. 平台類型中,選擇 VMware ESXi

    4. 選擇部署模式

      • 單臂採用外部介面來處理傳入和傳出流量。
      • 雙臂同時使用外部和內部介面。

    5. 輸入介面設定。

      • 如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。

        警告

        閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。

      • 如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。

      在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由

    6. 上傳您先前建立的憑證。

    7. 按一下儲存並產生檔案

    注意

    此發行版僅支援單個萬用字元憑證。

    新增閘道對話方塊。

  4. 閘道頁面上,閘道的狀態爲等待部署

    種子影像 ISO 已就緒可供下載。您將需要它來啟動閘道並完成註冊程序。每個閘道的 ISO 都是唯一的。您無法重複使用它。

    注意

    下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至步驟 6。

    顯示閘道狀態的閘道頁面。

  5. 按一下新閘道以開啟其詳細資料頁面。按一下新增/編輯執行個體

    閘道詳細資料頁面。

  6. 新增/編輯執行個體,請執行以下操作:

    1. 按一下新增其他執行個體。叢集自動開啟。

    2. 輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須與閘道執行個體處於相同的 IP 範圍內。

      在雙臂部署中,外部叢集 VIP 僅用於負載平衡。如果您使用的是外部負載平衡器,請將此留空。

    3. 輸入新執行個體的 VMb名稱介面 IP

      在雙臂部署中,輸入內部和外部介面 IP。

    4. 重複此過程以新增另一個執行個體。

      注意

      • 叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。

      • 如果建立叢集,請確保在防火牆上建立的 DNAT 規則指向叢集的外部虛擬 IP 位址。如果閘道節點關閉,則請求將轉送到叢集中的其他節點。

      • 要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。

    新增/編輯執行個體對話方塊。

  7. 下載每個 ISO 檔案並將其裝載到主機上,然後將其連接到閘道。

    注意

    如果此時未裝載 ISO,則必須在精靈的最後一步中取消選取「完成時開機」。您可以在裝載 ISO 後手動啟動虛擬機。

    要將 ISO 檔案連接到閘道,請執行以下操作:

    1. 轉至 VMware vSphere。
    2. 右鍵按一下閘道 VM,然後選擇編輯設定
    3. 硬體標籤的 CD/DVD 磁碟機中,確保顯示 ISO 檔案並選擇連線
    4. 狀態中,選擇開機時連線
    5. 按一下儲存

    如果虛擬硬體中列出了序列裝置,則可以安全地將其刪除。

    當閘道使用 ISO 檔案啟動時,它將聯繫 Sophos Central 進行註冊。

    VMware vSphere 中的虛擬硬體索引標籤。

  8. 返回 Sophos Central。在閘道頁面上,閘道狀態變更爲等待核准

    出現提示時,核准閘道註冊。

    核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線。如果您想要建立密碼,您會看到一個密碼建立選項。

    注意

    如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。

    注意

    ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。

您已完成內部部署閘道設定。

注意

如果閘道無法連線至 Sophos Central,請移至 VMware vSphere 並在虛擬機上執行診斷。

當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。

要在 Microsoft Hyper-V 上設定閘道,請執行以下操作:

  • 下載並部署閘道虛擬機映像。

  • 新增閘道設定以產生 ISO 檔案(「種子映像」)。

  • 下載 ISO 檔案並啟動閘道。

下載並部署影像

  1. 在 Sophos Central 中,轉至裝置 > 安裝程式

  2. Zero Trust Network Access 下,按一下下載用於 Hyper-V 的閘道虛擬機映像

    已下載包含虛擬機映像的 ZIP 檔案。

    保護裝置頁面。

  3. 從下載的 ZIP 檔案中擷取 Hyper-V 基本映像。

    這將為您提供設定閘道所需的 .vhdx 檔案。您不能使用此檔案部署多個虛擬機,但可以製作副本並將其用於其他虛擬機。

  4. 在 Hyper-V 管理員中,在虛擬機清單的動作中,按一下新建

    Hyper-V 管理員。

  5. 輸入 VM 名稱。

    「指定名稱和位置」頁面。

  6. 選取世代。第 1 代支援 32 位和 64 位作業系統。

    「指定世代」頁面。

  7. 指派記憶體中,輸入至少 4096 MB 的啟動記憶體。

    「指派記憶體」頁面。

  8. 設定網路中,選取一個網路介面卡。

    「設定網路」頁面。

  9. 連線虛擬硬碟中,選取使用現有的虛擬硬碟,然後瀏覽至從下載的虛擬機映像中擷取的 .vhdx 檔案。

    「連線虛擬硬碟」頁面。

  10. 按一下 完成

    「完成新建虛擬機」頁面。

  11. 移至新虛擬機的設定

    1. 硬體 > 處理器中,將虛擬處理器的數量設定爲「2」。

    2. 如果您的閘道處於雙臂部署中,請移至網路介面卡,並向虛擬機新增另一個介面卡。

    VM 設定。

    注意

    如果您使用的是 VLAN,請確保使用適當的 VLAN ID 標記網路介面。

  12. 依序按一下套用儲存

新增閘道設定

  1. 返回 Sophos Central 並轉至 我的產品 > ZTNA > 閘道。按一下新增閘道

    閘道頁面。

  2. 對於閘道模式,選取內部部署

    已選取內部部署閘道模式。

  3. 新增閘道中,請執行以下操作。

    1. 輸入閘道名稱和閘道 FQDN。
    2. 輸入資源(應用程式)的網域。
    3. 平台類型中,選取 Hyper-V

    4. 選擇部署模式

      • 單臂採用外部介面來處理傳入和傳出流量。
      • 雙臂同時使用外部和內部介面。

    5. 輸入介面設定。

      • 如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。

        警告

        閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。

      • 如果選取靜態 IP,請輸入一個 IP 位址、子網和 DNS 伺服器設定。

      在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由

    6. 上傳您先前建立的憑證。

    7. 按一下儲存並產生檔案

    注意

    此發行版僅支援單個萬用字元憑證。

    新增閘道對話方塊。

  4. 閘道頁面上,新閘道的狀態爲等待部署。按一下閘道,查看詳細資料。

    正在等待部署狀態。

  5. 在閘道詳細資料中,您可以看到 ISO 映像已準備好可供下載。您需要它來啟動閘道。每個閘道的 ISO 都是唯一的。您無法重複使用它。

    下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至「下載 ISO 檔案並啟動閘道」部分。

    新閘道的詳細資料。

  6. 在閘道詳細資料中,按一下新增/編輯執行個體

    閘道詳細資料頁面。

  7. 新增/編輯執行個體中,按一下新增其他執行個體。叢集自動開啟。

    新增/編輯執行個體對話方塊。

  8. 輸入新執行個體的詳細資料,如下所示:

    1. 輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須是此設定中以前未使用過的 IP 位址,並且必須與閘道執行個體位於相同的 IP 範圍。

      提示

      在雙臂部署中,外部介面 IP 位址僅用於負載平衡。如果您使用外部負載平衡器,請將此欄位留空。

    2. 輸入新執行個體的 VMb名稱介面 IP

      在雙臂部署中,輸入內部和外部介面 IP。

    3. 重複此過程以新增另一個執行個體。

      注意

      叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。

      注意

      要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。

    執行個體詳細資料。

接下來,下載 ISO 檔案並啟動閘道。

下載 ISO 檔案並啟動閘道

下載每個執行個體的 ISO 檔案,將其連接到閘道虛擬機,然後啟動閘道,如下所示:

  1. 在閘道詳細資料中,移至每個執行個體,然後按一下下載映像

    帶有下載的閘道執行個體。

  2. 在 Hyper-V 管理員中,移至虛擬機的設定。在 DVD 光碟機中,執行以下操作:

    1. 控制器中,選取 IDE 控制器 1
    2. 介質中,選取映像檔案並輸入種子 ISO 的路徑。
    3. 依序按一下套用儲存

    注意

    ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。

    虛擬機 DVD 光碟機。

  3. 打開閘道執行個體的電源。等待幾分鐘。

  4. 在 Sophos Central 中,移至 我的產品 > ZTNA > 閘道,然後按一下新閘道以打開其詳細資料頁面。

    閘道狀態變更爲等待閘道核准。按一下核准

    帶有核准按鈕的閘道狀態。

    注意

    如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。

  5. 閘道狀態將變更爲啟用中

您已完成內部部署閘道設定。

注意

如果閘道無法連線至 Sophos Central,請移至 Hyper-V 管理員並在虛擬機上執行診斷。

當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。

接下來,新增 DNS 設定。