跳至內容
最後更新: 2022-09-14

設定閘道

現在設定 ZTNA 閘道,以控制對網路資源的存取權限。

具體步驟會有所不同,具體取決於您是要將閘道託管在 ESXi 伺服器、Microsoft Hyper-V 還是 Amazon Web Services 上。

則警告

請勿將閘道設定為在用於內部服務的子網路中運作。如果這麼做,您可能會在存取應用程式時發生問題。這些子網路如下所示:10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

注意

在 Amazon Web Services 中,根據您的組態會產生額外費用。您的 ZTNA 授權不包含這些費用。

要獲取逐步說明,請按一下下方主機標籤。

您可以分兩個階段在 ESXi 上設定閘道:

  • 下載閘道影像(OVA 檔案)並將其部署在 ESXi 中。

  • 在 Sophos Central 中新增閘道設定,以產生用於在 ESXi 中啟動閘道的 ISO 檔案(「種子影像」)。

您可設定閘道叢集以確保可用性。若要如此,您需要按此處所述設定閘道的其他執行個體。

注意

確保 ESXi 主機上設定了正確的時間和日期。您必須將時區設定爲 UTC。如果未正確設定時間,ZTNA 閘道會遇到問題。請參閱要求

如果您使用的是雙臂代理程式,請參閱 網路設定

下載並部署影像

  1. 在 Sophos Central 中,轉至保護裝置

  2. 查找 Zero Trust Network Access

    1. 按一下閘道影像的下載連結。
    2. 接受授權合約和(如有提示)軟體匯出合規性表單。
    3. 將下載閘道影像。這是適用於 ESXi 伺服器之 ZTNA 閘道的一般 OVA 影像。您可以任意多次重複使用它。

    下載頁面的螢幕擷取畫面

  3. 將 OVA 影像部署至 ESXi 主機。在 VMware vSphere 中,右鍵按一下主機並選擇部署 OVA 範本。這將執行一個小幫手,引導您完成部署。

    則警告

    關閉自動開機選項(ESXi 上的預設設定),或在完成後阻止 ZTNA 閘道開機。否則,閘道將在沒有 ISO 檔案的情況下開機,您必須重新啟動。

    VMware vSphere 中的部署頁面的螢幕擷取畫面

新增設定和啟動閘道

  1. 返回 Sophos Central 並轉至 ZTNA > 閘道。按一下新增閘道

    閘道頁面的螢幕擷取畫面

  2. 新增閘道中,請執行以下操作。

    1. 輸入閘道名稱和閘道 FQDN。
    2. 輸入資源(應用程式)的網域。
    3. 平台類型中,選擇 VMware ESXi
    4. 選擇部署模式

      • 單臂採用外部介面來處理傳入和傳出流量。
      • 雙臂同時使用外部和內部介面。
    5. 輸入介面設定。

      • 如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。

        則警告

        閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。

      • 如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。

      在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由

    6. 上傳您先前建立的憑證。

    7. 按一下儲存並產生檔案

    注意

    此發行版僅支援單個萬用字元憑證。

    新增閘道對話方塊的螢幕擷取畫面

  3. 閘道頁面上,閘道的狀態爲等待部署

    種子影像 ISO 已就緒可供下載。您將需要它來啟動閘道並完成註冊程序。每個閘道的 ISO 都是唯一的。您無法重複使用它。

    注意

    下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至步驟 6。

    顯示閘道狀態的閘道頁面的螢幕擷取畫面

  4. 按一下新閘道以開啟其詳細資料頁面。按一下新增/編輯執行個體

    閘道詳細資料頁面

  5. 新增/編輯執行個體,請執行以下操作:

    1. 按一下新增其他執行個體。叢集自動開啟。
    2. 輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須與閘道執行個體處於相同的 IP 範圍內。

      在雙臂部署中,外部叢集 VIP 僅用於負載平衡。如果您使用的是外部負載平衡器,請將此留空。

    3. 輸入新執行個體的 VMb名稱介面 IP

      在雙臂部署中,輸入內部和外部介面 IP。

    4. 重複此過程以新增另一個執行個體。

    叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。

    新增/編輯執行個體對話方塊

  6. 下載每個 ISO 檔案並將其安裝到主機上。然後將其連接到閘道,如下所示:

    1. 轉至 VMware vSphere。
    2. 右鍵按一下閘道 VM,然後選擇編輯設定
    3. 硬體標籤的 CD/DVD 磁碟機中,確保顯示 ISO 檔案並選擇連線
    4. 狀態中,選擇開機時連線
    5. 按一下儲存

    如果虛擬硬體中列出了序列裝置,則可以安全地將其刪除。

    當閘道使用 ISO 檔案啟動時,它將聯繫 Sophos Central 進行註冊。

    VMware vSphere 中的虛擬硬體標籤的螢幕擷取畫面

  7. 返回 Sophos Central。在閘道頁面上,閘道狀態變更爲等待核准

    出現提示時,核准閘道註冊。

    核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線。如果您想要建立密碼,您會看到一個密碼建立選項。

注意

ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。

您已完成閘道設定。

注意

如果閘道無法連線至 Sophos Central,請移至 VMware vSphere 並在虛擬機上執行診斷。

當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。

要在 Microsoft Hyper-V 上設定閘道,請執行以下操作:

  • 下載並部署閘道虛擬機映像。

  • 新增閘道設定以產生 ISO 檔案(「種子映像」)。

  • 下載 ISO 檔案並啟動閘道。

下載並部署影像

  1. 在 Sophos Central 中,轉至保護裝置

  2. Zero Trust Network Access 下,按一下下載用於 Hyper-V 的閘道虛擬機映像

    已下載包含虛擬機映像的 ZIP 檔案。

    保護裝置頁面

  3. 從下載的 ZIP 檔案中擷取 Hyper-V 基本映像。

    這將為您提供設定閘道所需的 .vhdx 檔案。您不能使用此檔案部署多個虛擬機,但可以製作副本並將其用於其他虛擬機。

  4. 在 Hyper-V 管理員中,在虛擬機清單的動作中,按一下新建

    Hyper-V 管理員

  5. 輸入 VM 名稱。

    「指定名稱和位置」頁面

  6. 選取世代。第 1 代支援 32 位和 64 位作業系統。

    「指定世代」頁面

  7. 指派記憶體中,輸入至少 4096 MB 的啟動記憶體。

    「指派記憶體」頁面

  8. 設定網路中,選取一個網路介面卡。

    「設定網路」頁面

  9. 連線虛擬硬碟中,選取使用現有的虛擬硬碟,然後瀏覽至從下載的虛擬機映像中擷取的 .vhdx 檔案。

    「連線虛擬硬碟」頁面

  10. 按一下 完成

    「完成新建虛擬機」頁面

  11. 移至新虛擬機的設定

    1. 硬體 > 處理器中,將虛擬處理器的數量設定爲「2」。

    2. 如果您的閘道處於雙臂部署中,請移至網路介面卡,並向虛擬機新增另一個介面卡。

    VM 設定

  12. 依序按一下套用儲存

新增閘道設定

  1. 返回 Sophos Central 並轉至 ZTNA > 閘道。按一下新增閘道

    閘道頁面

  2. 新增閘道中,請執行以下操作。

    1. 輸入閘道名稱和閘道 FQDN。
    2. 輸入資源(應用程式)的網域。
    3. 平台類型中,選取 Hyper-V
    4. 選擇部署模式

      • 單臂採用外部介面來處理傳入和傳出流量。
      • 雙臂同時使用外部和內部介面。
    5. 輸入介面設定。

      • 如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。

        則警告

        閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。

      • 如果選取靜態 IP,請輸入一個 IP 位址、子網和 DNS 伺服器設定。

      在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由

    6. 上傳您先前建立的憑證。

    7. 按一下儲存並產生檔案

    注意

    此發行版僅支援單個萬用字元憑證。

    新增閘道對話方塊

  3. 閘道頁面上,新閘道的狀態爲等待部署。按一下閘道,查看詳細資料。

  4. 在閘道詳細資料中,您可以看到 ISO 映像已準備好可供下載。您需要它來啟動閘道。每個閘道的 ISO 都是唯一的。您無法重複使用它。

    下載映像之前,我們建議您先建立閘道叢集。如果不想要叢集,請跳至「下載 ISO 檔案並啟動閘道」部分。

    新閘道的詳細資料

  5. 在閘道詳細資料中,按一下新增/編輯執行個體

    閘道詳細資料頁面

  6. 新增/編輯執行個體中,按一下新增其他執行個體。叢集自動開啟。

    新增/編輯執行個體對話方塊

  7. 輸入新執行個體的詳細資料,如下所示:

    1. 輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須與閘道執行個體處於相同的 IP 範圍內。

      在雙臂部署中,外部叢集 VIP 僅用於負載平衡。如果您使用的是外部負載平衡器,請將此留空。

    2. 輸入新執行個體的 VMb名稱介面 IP

      在雙臂部署中,輸入內部和外部介面 IP。

    3. 重複此過程以新增另一個執行個體。

      注意

      叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。

    執行個體詳細資料

接下來,下載 ISO 檔案並啟動閘道。

下載 ISO 檔案並啟動閘道

下載每個執行個體的 ISO 檔案,將其連接到閘道虛擬機,然後啟動閘道,如下所示:

  1. 在閘道詳細資料中,移至每個執行個體,然後按一下下載映像

    帶有下載的閘道執行個體

  2. 在 Hyper-V 管理員中,移至虛擬機的設定。在 DVD 光碟機中,執行以下操作:

    1. 控制器中,選取 IDE 控制器 1
    2. 介質中,選取映像檔案並輸入種子 ISO 的路徑。
    3. 依序按一下套用儲存

    注意

    ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。

    虛擬機 DVD 光碟機

  3. 打開閘道執行個體的電源。等待幾分鐘。

  4. 在 Sophos Central 中,移至 ZTNA > 閘道,然後按一下新閘道以打開其詳細資料頁面。

    閘道狀態變更爲等待閘道核准。按一下核准

    帶有核准按鈕的閘道狀態

  5. 閘道狀態將變更爲啟用中

您已完成閘道設定。

注意

如果閘道無法連線至 Sophos Central,請移至 Hyper-V 管理員並在虛擬機上執行診斷。

當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。

若要在 Amazon Web Services (AWS) 中設定 ZTNA 閘道,請執行以下操作:

  1. 在 Sophos Central 中,轉至 ZTNA > 閘道

    ZTNA 功能表

  2. 閘道頁面上,按一下新增閘道

    閘道頁面

  3. 新增閘道對話方塊中,按如下方式新增詳細資料:

    1. 輸入閘道名稱和 FQDN。
    2. 輸入資源(應用程式)的網域。
    3. 平台類型中,選擇 Amazon Web Services
    4. 身分識別提供者中,選擇先前設定的身分識別提供者。
    5. 上傳您先前建立的憑證。
    6. 按一下儲存

    新增閘道

  4. 閘道頁面上,您現在可以看到新閘道。按一下它旁邊的啓動堆疊連結。

    具有啓動堆疊連結的閘道

在 AWS 中建立堆疊

在 AWS 的 CloudForemation 中,您會看到快速建立堆疊範本。我們已經對它進行了部分設定。按照以下步驟完成操作。

  1. 快速建立堆疊頁面上,請執行以下操作:

    1. 選取 AWS 區域(畫面右上方)。
    2. 堆疊名稱中,輸入自訂名稱。

    堆疊範本

  2. 基本設定中,選擇兩個或三個可用區域以確保閘道的可用性。

    堆疊基本設定

  3. VPC 網路設定中,請執行以下操作:

    1. 設定可用性區域的數量。這必須與您在上一步中選擇的區域數相匹配。
    2. 確保子網與現有資源不衝突。
    3. MaxNumberOfNodes 中,設定最大節點數。預設值為三。
    4. NodeInstanceType 中,選擇要使用的 EC2 執行個體的類型。
    5. NumberOfNodes 中,設定所需的節點數。每個可用性區域的預設值爲 1。

    ZTNA 目前無法使用自動調整大小功能。

    VPC 網路設定

  4. 按一下建立堆疊,等待進程完成。此項操作最多可能會耗費 1 小時。完成後,您的新堆疊會顯示在您的 AWS 堆疊清單中,詳細資料看起來像這樣。

    新 ZTNA 堆疊

  5. 在 Sophos Central 中,轉至新閘道。按一下核准

    核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線

    閘道詳細資料頁面

設定新的 VPC

按照以下步驟設定 VPC:

  1. 在 AWS 中,轉至 Virtual Private Cloud > 您的 VPC

    AWS VPC 功能表

  2. 前往您的新 VPC 並尋找 VPC ID。您可以使用此 ID 搜尋您建立的其他元件。

    新 VPC 詳細資料

  3. 轉至 EC2 執行個體並搜尋具有新 VPC ID 的執行個體。這可查找構成 ZTNA 閘道叢集的執行個體。對其重新命名。

    EC2 執行個體

  4. 在負載平衡中,使用 VPC ID 查找 ZTNA 的負載平衡器。開啟其詳細資料並複製 DNS 名稱。您需要進行此操作以便為指向負載平衡器的閘道建立公用 DNS 記錄 (CNAME)。

    AWS 負載平衡器

建立對等連線

在 ZTNA EAP2 版本中,閘道始終處於新 VPC 中。因此,您必須使用對等處理將其連線至應用程式所在的 VPC。

  1. 轉至 VPC > 對等連線。按一下建立對等連線,然後執行以下操作:

    1. VPC ID(要求者)中,選擇 ZTNA 閘道的 ID。
    2. VPC ID(接受者)中,選擇您的資源所在的 VPC。
    3. 按一下建立對等連線

    VPC 對等連線

  2. 移至子網路,並將您的資源子網路和閘道的私人子網路新增至路由表。這可使 ZTNA 透過對等連線功能連線至資源。

    子網頁

您已完成閘道設定。

當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。

接下來,新增原則。