設定 Sophos Cloud 閘道
現在設定 Sophos Cloud 閘道,可控制對網路上資源的存取。
具體步驟會有所不同,具體取決於您是要將閘道託管在 ESXi 伺服器、Microsoft Hyper-V 還是 Amazon Web Services 上。您也可以在集中管理的 SFOS 裝置上設定閘道。
警告
AWS 閘道將於 2024 年 3 月 31 日到期。請參閱淘汰行事曆。您可以在 AWS 上部署 SFOS,並移轉資源至此閘道,以確保使用者在該日期之後仍可存取應用程式。
警告
請勿將閘道設定為在用於內部服務的子網路中運作。如果這麼做,您可能會在存取應用程式時發生問題。這些子網路如下所示:10.42.0.0/16
, 10.43.0.0/16
, 10.108.0.0/16
。
警告
不要為閘道設定 IPv6 位址,也不要允許將 DHCP IPv6 位址指派給端點,因為 IPv6 不受支援。
注意
在 Amazon Web Services 中,根據您的組態會產生額外費用。您的 ZTNA 授權不包含這些費用。
提示
如果您的使用者需要從 ZTNA 閘道所在的同一網路存取 ZTNA 資源,請新增類型為 MASQ 的 SNAT 規則,以防止非對稱式路由。
要獲取逐步說明,請按一下下方主機標籤。
若要在 ESXi 上設定 Sophos Cloud 閘道,請執行以下操作:
-
下載並部署 VM 映像。
-
驗證您的網域。
-
新增閘道設定並新增執行個體。
-
下載映像並啟動 VM。
注意
確保 ESXi 主機上設定了正確的時間和日期。您必須將時區設定爲 UTC。如果未正確設定時間,ZTNA 閘道會遇到問題。請參閱要求。
如果您使用的是雙臂代理程式,請參閱 網路設定。
下載並部署影像
-
在 Sophos Central 中,轉至裝置 > 安裝程式。
-
查找 Zero Trust Network Access。
- 按一下閘道影像的下載連結。
- 接受授權合約和(如有提示)軟體匯出合規性表單。
- 將下載閘道影像。這是適用於 ESXi 伺服器之 ZTNA 閘道的一般 OVA 影像。您可以任意多次重複使用它。
-
將 OVA 影像部署至 ESXi 主機。在 VMware vSphere 中,右鍵按一下主機並選擇部署 OVA 範本。這將執行一個小幫手,引導您完成部署。
警告
關閉自動開機選項(ESXi 上的預設設定),或在完成後阻止 ZTNA 閘道開機。否則,閘道將在沒有 ISO 檔案的情況下開機,您必須重新啟動。
驗證您的網域
-
在 Sophos Central 中,移至 我的產品 > ZTNA > 設定。
-
按一下網域。
-
按一下新增網域並新增您的網域名,然後按一下新增。
您會在網域表格中看到您的網域資訊。系統會為您的網域產生 TXT 記錄。
-
移至您的 DNS 伺服器,並為您的網域新增 TXT 記錄。
等待幾分鐘後再繼續下一步。
-
返回 Sophos Central,移至 我的產品 > ZTNA > 設定 > 網域,然後按一下驗證。
您的網域狀態變更為「已驗證」。
新增閘道設定並新增執行個體
-
按一下新增閘道。
-
對於閘道模式,請選取 Sophos Cloud。
-
輸入閘道名稱和閘道 FQDN。
注意
確保閘道 FQDN 與您在註冊應用程式頁面上指定的 FQDN 相同。請參閱註冊 ZTNA 應用程式。
-
選取您的網域(已驗證)。
-
選取 VMWare ESXi 作為平台類型。
-
選取您的識別提供者。
-
在存在點下,選取您所在的地區。
選取最靠近您資料中心的地區以減少延遲。
-
選擇部署模式。
- 單臂採用外部介面來處理傳入和傳出流量。
- 雙臂同時使用外部和內部介面。
-
輸入介面設定。
-
如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。
警告
閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。
-
如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。
在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由。
-
-
上傳您先前建立的憑證。請參閱獲取憑證。
-
按一下儲存並產生檔案。
您將看到已新增閘道彈出視窗,其中顯示了為閘道產生的別名網域。稍後,您需要將閘道的別名網域作為 CNAME 項目新增至公用 DNS 伺服器。請參閱新增 DNS 設定。
-
點選 複製。
您會在閘道頁面上看到閘道。以下是一個範例。
-
按一下閘道的名稱。
此動作會為您打開閘道詳細資料頁面。
-
在閘道詳細資料中,您可以看到 ISO 映像已準備好可供下載。您需要它來啟動閘道。每個閘道的 ISO 都是唯一的。您無法重複使用它。
下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至「下載映像並啟動 VM」部分。
-
在閘道詳細資料中,按一下新增/編輯執行個體。
-
在新增/編輯執行個體中,按一下新增其他執行個體。叢集自動開啟。
-
輸入新執行個體的詳細資料,如下所示:
-
輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須是此設定中以前未使用過的 IP 位址,並且必須與閘道執行個體位於相同的 IP 範圍。
提示
在雙臂部署中,外部介面 IP 位址僅用於負載平衡。如果您使用外部負載平衡器,請將此欄位留空。
-
輸入新執行個體的 VMb名稱 和介面 IP。
在雙臂部署中,輸入內部和外部介面 IP。
-
重複此過程以新增另一個執行個體。
注意
叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
-
接下來,下載 ISO 檔案並啟動閘道。
下載映像並啟動 VM
-
移至閘道執行個體,然後向下捲動。
您將在狀態下看到執行個體。
-
下載每個 ISO 檔案並將其安裝到主機上。然後將其連接到閘道,如下所示:
- 轉至 VMware vSphere。
- 右鍵按一下閘道 VM,然後選擇編輯設定。
- 在硬體標籤的 CD/DVD 磁碟機中,確保顯示 ISO 檔案並選擇連線。
- 在狀態中,選擇開機時連線。
- 按一下儲存。
如果虛擬硬體中列出了序列裝置,則可以安全地將其刪除。
當閘道使用
iso
檔案啟動時,它將聯繫 Sophos Central 進行註冊。 -
返回 Sophos Central。在閘道頁面上,閘道狀態變更爲等待核准。
系統提示您核准閘道註冊時,請按一下核准。
核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更為活動和已連線。如果您想要建立密碼,您會看到一個密碼建立選項。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
注意
ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。
注意
如果閘道無法連線至 Sophos Central,請移至 VMware vSphere 並在虛擬機上執行診斷。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
您已完成 Sophos Cloud 閘道設定。
要在 Microsoft Hyper-V 上設定 Sophos Cloud 閘道,請執行以下操作:
-
下載並部署 VM 映像。
-
驗證您的網域。
-
新增閘道設定以產生 ISO 檔案(「種子映像」)。
-
下載 ISO 檔案並啟動閘道。
下載並部署影像
-
在 Sophos Central 中,轉至裝置 > 安裝程式。
-
在 Zero Trust Network Access 下,按一下下載用於 Hyper-V 的閘道虛擬機映像。
已下載包含虛擬機映像的 ZIP 檔案。
-
從下載的 ZIP 檔案中擷取 Hyper-V 基本映像。
這將為您提供設定閘道所需的
.vhdx
檔案。您不能使用此檔案部署多個虛擬機,但可以製作副本並將其用於其他虛擬機。 -
在 Hyper-V 管理員中,在虛擬機清單的動作中,按一下新建。
-
輸入 VM 名稱。
-
選取世代。第 1 代支援 32 位和 64 位作業系統。
-
在指派記憶體中,輸入至少 4096 MB 的啟動記憶體。
-
在設定網路中,選取一個網路介面卡。
-
在連線虛擬硬碟中,選取使用現有的虛擬硬碟,然後瀏覽至從下載的虛擬機映像中擷取的
.vhdx
檔案。 -
按一下 完成。
-
移至新虛擬機的設定。
-
在硬體 > 處理器中,將虛擬處理器的數量設定爲「2」。
-
如果您的閘道處於雙臂部署中,請移至網路介面卡,並向虛擬機新增另一個介面卡。
注意
如果您使用的是 VLAN,請確保使用適當的 VLAN ID 標記網路介面。
-
-
依序按一下套用、儲存。
驗證您的網域
-
在 Sophos Central 中,移至 我的產品 > ZTNA > 設定。
-
按一下網域。
-
按一下新增網域並新增您的網域名,然後按一下新增。
您會在網域表格中看到您的網域資訊。系統會為您的網域產生 TXT 記錄。
-
移至您的 DNS 伺服器,並為您的網域新增 TXT 記錄。
等待幾分鐘後再繼續下一步。
-
返回 Sophos Central,移至 我的產品 > ZTNA > 設定 > 網域,然後按一下驗證。
您的網域狀態變更為「已驗證」。
新增閘道設定並新增執行個體
-
按一下新增閘道。
-
對於閘道模式,請選取 Sophos Cloud。
-
輸入閘道名稱和閘道 FQDN。
注意
確保閘道 FQDN 與您在註冊應用程式頁面上指定的 FQDN 相同。請參閱註冊 ZTNA 應用程式。
-
選取您的網域(已驗證)。
-
選取 VMWare ESXi 作為平台類型。
-
選取您的識別提供者。
-
在存在點下,選取您所在的地區。
選取最靠近您資料中心的地區以減少延遲。
-
選擇部署模式。
- 單臂採用外部介面來處理傳入和傳出流量。
- 雙臂同時使用外部和內部介面。
-
輸入介面設定。
-
如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。
警告
閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。
-
如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。
在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由。
-
-
上傳您先前建立的憑證。
-
按一下儲存並產生檔案。
您將看到已新增閘道彈出視窗,其中顯示了為閘道產生的別名網域。稍後,您需要將閘道的別名網域作為 CNAME 項目新增至公用 DNS 伺服器。請參閱新增 DNS 設定。
-
點選 複製。
您會在閘道頁面上看到閘道。以下是一個範例。
-
按一下閘道的名稱。
此動作會為您打開閘道詳細資料頁面。
-
在閘道詳細資料中,您可以看到 ISO 映像已準備好可供下載。您需要它來啟動閘道。每個閘道的 ISO 都是唯一的。您無法重複使用它。
下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至「下載 ISO 檔案並啟動閘道」部分。
-
在閘道詳細資料中,按一下新增/編輯執行個體。
-
在新增/編輯執行個體中,按一下新增其他執行個體。叢集自動開啟。
-
輸入新執行個體的詳細資料,如下所示:
-
輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須與閘道執行個體處於相同的 IP 範圍內。
在雙臂部署中,外部叢集 VIP 僅用於負載平衡。如果您使用的是外部負載平衡器,請將此留空。
-
輸入新執行個體的 VMb名稱 和介面 IP。
在雙臂部署中,輸入內部和外部介面 IP。
-
重複此過程以新增另一個執行個體。
注意
叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
-
接下來,下載 ISO 檔案並啟動閘道。
下載 ISO 檔案並啟動閘道
下載每個執行個體的 ISO 檔案,將其連接到閘道虛擬機,然後啟動閘道,如下所示:
-
在閘道詳細資料中,移至每個執行個體,然後按一下下載映像。
-
在 Hyper-V 管理員中,移至虛擬機的設定。在 DVD 光碟機中,執行以下操作:
- 在控制器中,選取 IDE 控制器 1。
- 在介質中,選取映像檔案並輸入種子 ISO 的路徑。
- 依序按一下套用、儲存。
注意
ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。
-
打開閘道執行個體的電源。等待幾分鐘。
-
在 Sophos Central 中,移至 我的產品 > ZTNA > 閘道,然後按一下新閘道以打開其詳細資料頁面。
閘道狀態變更爲等待閘道核准。按一下核准。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
-
閘道狀態將變更爲啟用中。
您已完成 Sophos Cloud 閘道設定。
注意
如果閘道無法連線至 Sophos Central,請移至 Hyper-V 管理員並在虛擬機上執行診斷。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
若要在 Amazon Web Services (AWS) 中設定 ZTNA Sophos Cloud 閘道,請執行以下操作:
驗證您的網域
-
在 Sophos Central 中,移至 我的產品 > ZTNA > 設定。
-
按一下網域。
-
按一下新增網域並新增您的網域名,然後按一下新增。
您會在網域表格中看到您的網域資訊。系統會為您的網域產生 TXT 記錄。
-
移至您的 DNS 伺服器,並為您的網域新增 TXT 記錄。
等待幾分鐘後再繼續下一步。
-
返回 Sophos Central,移至 我的產品 > ZTNA > 設定 > 網域,然後按一下驗證。
您的網域狀態變更為「已驗證」。
新增閘道設定並新增執行個體
-
按一下新增閘道。
-
對於閘道模式,請選取 Sophos Cloud。
-
輸入閘道名稱和閘道 FQDN。
注意
確保閘道 FQDN 與您在註冊應用程式頁面上指定的 FQDN 相同。請參閱註冊 ZTNA 應用程式。
-
選取您的網域(已驗證)。
-
選取 AWS 作為平台類型。
-
選取您的識別提供者。
-
在存在點下,選取您所在的地區。
選取最靠近您資料中心的地區以減少延遲。
-
選擇部署模式。
- 單臂採用外部介面來處理傳入和傳出流量。
- 雙臂同時使用外部和內部介面。
-
輸入介面設定。
-
如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。
警告
閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。
-
如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。
在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由。
-
-
上傳您先前建立的憑證。
-
按一下儲存並產生檔案。
您將看到已新增閘道彈出視窗,其中顯示了為閘道產生的別名網域。稍後,您需要將閘道的別名網域作為 CNAME 項目新增至公用 DNS 伺服器。請參閱新增 DNS 設定。
-
點選 複製。
您會在閘道頁面上看到閘道。以下是一個範例。
-
按一下閘道旁邊的啟動堆疊連結。
在 AWS 中建立堆疊
在 AWS 的 CloudFormation 中,您會看到快速建立堆疊範本。我們已經對它進行了部分設定。按照以下步驟完成操作。
-
在快速建立堆疊頁面上,請執行以下操作:
- 選取 AWS 區域(畫面右上方)。
- 在堆疊名稱中,輸入自訂名稱。
-
在基本設定中,選擇兩個或三個可用區域以確保閘道的可用性。
-
在 VPC 網路設定中,請執行以下操作:
- 設定可用性區域的數量。這必須與您在上一步中選擇的區域數相匹配。
- 確保子網與現有資源不衝突。
- 在 MaxNumberOfNodes 中,設定最大節點數。預設值為三。
- 在 NodeInstanceType 中,選擇要使用的 EC2 執行個體的類型。
- 在 NumberOfNodes 中,設定所需的節點數。每個可用性區域的預設值爲 1。
ZTNA 目前無法使用自動調整大小功能。
-
按一下建立堆疊,等待進程完成。此項操作最多可能會耗費 1 小時。完成後,您的新堆疊會顯示在您的 AWS 堆疊清單中,詳細資料看起來像這樣。
-
在 Sophos Central 中,轉至新閘道。按一下核准。
核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
設定新的 VPC
按照以下步驟設定 VPC:
-
在 AWS 中,轉至 Virtual Private Cloud > 您的 VPC。
-
前往您的新 VPC 並尋找 VPC ID。您可以使用此 ID 搜尋您建立的其他元件。
-
轉至 EC2 執行個體並搜尋具有新 VPC ID 的執行個體。這可查找構成 ZTNA 閘道叢集的執行個體。對其重新命名。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
建立對等連線
閘道始終位於新 VPC 中,因此您必須使用對等處理將其連線至應用程式所在的 VPC。
-
轉至 VPC > 對等連線。按一下建立對等連線,然後執行以下操作:
- 在 VPC ID(要求者)中,選擇 ZTNA 閘道的 ID。
- 在 VPC ID(接受者)中,選擇您的資源所在的 VPC。
- 按一下建立對等連線。
-
移至子網路,並將您的資源子網路和閘道的私人子網路新增至路由表。這可使 ZTNA 透過對等連線功能連線至資源。
您已完成 Sophos Cloud 閘道設定。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
集中管理的防火牆可以使用 ZTNA 閘道提供對內部資源的安全存取。要瞭解如何透過 Sophos Central 管理防火牆,請參見 Sophos Firewall:Sophos Central。
若要設定 Sophos Cloud 閘道以控制對您網路資源的存取,請執行以下動作:
-
在 Sophos Central 中,移至我的產品 > ZTNA > 閘道。
-
按一下新增閘道。
-
對於閘道模式,請選取 Sophos Cloud。
-
輸入閘道名稱和閘道 FQDN。
注意
確保閘道 FQDN 與您在註冊應用程式頁面上指定的 FQDN 相同。請參閱註冊 ZTNA 應用程式。
-
選取您的網域(已驗證)。
-
選取防火牆作為平台類型。
-
在防火牆下,從下拉式清單中選取您的 SFOS 防火牆。
下拉式清單僅包括由 Sophos Central 管理並且韌體版本為 19.5 MR3 及更高的防火牆。
您可以從高可用性對中選取作用中防火牆,以確保流量和服務的故障轉移,並最大程度地減少 ZTNA 停機時間。
-
選取您的識別提供者。
-
在存在點下,選取您所在的地區。
選取最靠近您資料中心的地區以減少延遲。
-
上傳您先前建立的憑證。請參閱獲取憑證。
-
按一下儲存。
您會在閘道頁面上看到閘道。
注意
您的閘道應在大約 5 分鐘內處於作用中狀態。
-
按一下閘道的名稱。
此動作會為您打開閘道詳細資料頁面。您可以檢視並編輯閘道詳細資料或删除您的閘道。
注意
設定身分識別提供商時,必須以以下格式為防火牆閘道新增新的重新導向 URL:https://<gateway’s external FQDN>/ztna-oauth2/callback
。此格式與其他閘道平台不同。
將防火牆的 Web 管理入口網站新增為資源
您可以將防火牆 Web 管理入口網站新增為資源。執行此動作時,您將在代理程式和無代理程式存取方法的資源類型下拉式清單中看到 Web 管理入口網站。
無代理程式存取
您可以定義外部 FQDN(如 http://firewall.xyz.com
),並將資源類型設定為 Web 管理入口網站。新增資源時,會產生別名網域。您必須將此作為 CNAME 記錄新增到您的共用 DNS 伺服器上。所有到 Web 管理入口網站的流量都將被重新導向至 Sophos 擁有的別名網域。
基於代理程式的存取
您可以將任何內容新增為資源的外部 FQDN,ZTNA 代理程式會將其截取。當您為防火牆閘道新增 A 記錄時,會建立通道,所有到 Web 管理入口網站的流量都會經過該通道。
移轉資源
要將閘道平台後面的現有資源移轉到防火牆閘道,請執行以下動作:
- 設定防火牆閘道。
- 為防火牆閘道新增新的重新導向 URL。
- 編輯現有資源。要執行此動作,請移至資源與存取,然後按一下資源名稱以打開資源詳細資料。 對於閘道,選取防火牆閘道。
- 如果您的存取方法是無代理程式,請複製防火牆的別名網域並將其新增到您的公用 DNS 伺服器。
接下來,新增 DNS 設定。請參閱新增 DNS 設定。