Sophos UTM: So stellen Sie eine Verbindung zu Microsoft Azure her

Übersicht

In diesem Artikel wird erläutert, wie Sie eine IPsec-Verbindung von Sophos UTM zu Microsoft Azure einrichten. Dieser Artikel beschreibt jeden Schritt, der erforderlich ist, damit ein funktionierendes virtuelles Netzwerk mit Azure verbunden werden kann. Passen Sie diese Schritte an Ihre vorhandene Umgebung an.

Dieses Kapitel umfasst die folgenden Themen:

  • So richten Sie die Azure-Umgebung ein
    • Erstellen Sie das virtuelle Netzwerk

    • Erstellen Sie das Virtual Network Gateway

    • Erstellen Sie das lokale Netzwerk-Gateway

  • Herstellen der Verbindung
    • Wie richte ich die UTM ein?

    • Erstellen Sie das Remote-Gateway

    • Erstellen Sie die IPSec-Richtlinie

  • Herstellen der IPsec-Verbindung

 

Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:
XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750

So richten Sie die Azure-Umgebung ein

Das folgende Beispiel beschreibt die Schritte zum Erstellen einer neuen Umgebung, kann jedoch leicht an eine vorhandene Umgebung angepasst werden.

Erstellen Sie ein virtuelles Netzwerk

Das virtuelle Netzwerk definiert den in Azure verwendeten Adressraum sowie die Subnetze in diesem Netzwerk.

1. Melden Sie sich im Azure Portal an.

2. Klicken Sie auf das Zeichen + (new).

3. Wählen Sie Networking > Virtual Network

4. Erstellen Sie das neue virtuelle Netzwerk wie folgt:

createvirtualnetwork1

5. Fülle, Sie den Namen aus.

6. Der Adressraum sollte größer als der Subnetzadressbereich sein, da wir für diese Einrichtung mindestens zwei Subnetze benötigen.

Beispiel: Adressraum: 10.0.0.0/16

Beispiel: Subnetzadressbereich 10.0.0.0/24

7. Erstellen Sie eine neue oder verwenden Sie eine vorhandene Ressourcengruppe.

8. Klicken Sie auf Erstellen.

Erstellen Sie ein Local Network Gateway

Das lokale Netzwerk-Gateway gibt die öffentliche IP-Adresse und die private IP-Adresse lokaler Netzwerke an, die eine Verbindung zu Azure herstellen können.

1. Klicken Sie auf das Zeichen + (new).

2. Wählen Sie Networking > Virtual Network Gateway.

3. Füllen Sie die Einstellungen wie folgt aus:
localgateway1

4. Erstellen Sie einen Namen.

5. Die IP-Adresse sollte die öffentliche IP-Adresse Ihres lokalen Netzwerks sein.

6. Füllen Sie den Adressraum für das lokale Netzwerk aus, das auf das Azure-VPN zugreifen soll.

7. Verwenden Sie die vorhandene Ressourcengruppe.

8. Klicken Sie auf Erstellen.

Herstellen der Verbindung

Die Verbindung definiert einen bestimmten VPN-Tunnel und, welche Netzwerke darauf zugreifen können.

1. Navigieren Sie zu Ressources> Virtual Network Gateway.

2. Gehen Sie zu Connections.

3. Klicken Sie auf + Add.

4. Füllen Sie die Einstellungen wie folgt aus:

ipsecconnection1

5. Füllen Sie den Namen aus.

6. Wählen Sie Site-to-Site (Ipsec) als Verbindungstyp aus.

7. Das virtuelle Netzwerk-Gateway sollte nicht geändert werden müssen.

8. Wählen Sie das soeben erstellte lokale Netzwerk-Gateway aus.

9. Ein Shared key wurde erstellt.

10. Klicken Sie auf Create.

Wie richte ich die UTM ein?

Die UTM wird wie jeder normale IPsec-Tunnel eingerichtet, mit der Ausnahme, dass wir eine für Azure spezifische Verschlüsselungsrichtlinie erstellen müssen.

Erstellen Sie das Remote-Gateway

1. Melden Sie sich am Webadmin der Sophos UTM an.

2. Navigieren Sie zu Site-to-Site-VPN> IPsec> Remote-Gateways.

3. Füllen Sie die Einstellungen wie folgt aus:

ipsecgateway1

4. Erstellen Sie den Namen.

5. Der Gateway-Typ sollte die Verbindung initiieren.

6. Erstellen Sie neben Gateway ein Netzwerkobjekt für die Gateway-IP-Adresse. Dies ist die öffentliche IP-Adresse des Azure Virtual Network Gateway.

7. Authentifizierungstyp ist Preshared Key.

8. Füllen Sie den Schlüssel aus und wiederholen Sie den Vorgang. Dieser muss mit dem für die Azure-Verbindung verwendeten Schlüssel übereinstimmen.

9. Füllen Sie für die Remote-Netzwerke das Subnetz aus, auf das in Azure zugegriffen wird.

10. Klicken Sie auf Speichern.

Erstellen Sie die IPSec-Richtlinie

Die IPSec-Richtlinie definiert die Verschlüsselung und andere Sicherheitsparameter, die vom IPsec-Tunnel verwendet werden. Azure hat bestimmte Anforderungen und wir haben festgestellt, dass diese Einstellungen am besten funktionieren.

1. Navigieren Sie zu Site-to-Site-VPN> IPsec> Policies.

2. Klicken Sie auf + Neue IPSec-Richtlinie.

3. Füllen Sie die Details wie folgt aus:

ipsecpolicy1

        • Name: Policy Name.
        • IKE encryption algorithm: AES 128.
        • IKE authentication algorithm: SHA1
        • IKE SA lifetime: 28800
        • IKE DH group: Group 2: MODP 1024
        • IPsec encryption algorithm: AES 128
        • IPsec authentication algorithm: SHA1
        • IPsec SA lifetime: 3600
        • IPsec PFS group: None

4. Klicken Sie auf Save

Herstellen der IPsec-Verbindung

Dadurch wird der IPsec-Tunnel erstellt, indem ein Remote-Gateway und eine Richtlinie ausgewählt werden und definiert wird, welche lokalen Netzwerke auf den Tunnel zugreifen können.

1. Navigieren Sie zu Site-to-Site VPN > IPsec > Connections.

2. Füllen Sie die Einstellungen wie folgt aus:

ipsecutmconnection1

3. Füllen Sie den Namen für den Tunnel aus.

4. Wählen Sie das Remote-Gateway aus, das wir zuvor erstellt haben.

5. Die lokale Schnittstelle sollte das Gateway sein, das zum Herstellen der IPsec-Verbindung verwendet wird, normalerweise die WAN-Schnittstelle.

6. Definieren Sie die lokalen Netzwerke, die Zugriff auf den IPsec-Tunnel haben.

7. Klicken Sie auf Speichern.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.