由於RED設備需搭配Sophos UTM,因此如何取得與建置這套產品,是我們使用這套解決方案時,首先要面對的主要障礙。

沒有硬體UTM也行!用虛擬設備來部署RED hub

我們原本以為需要請廠商提供UTM硬體設備才能做到,然而,有別於多數UTM廠商主要提供各種型號的硬體整合式設備,Sophos還同時提供軟體版本,系統可安裝在一般個人電腦、伺服器或虛擬化環境中──只要到Sophos網站申請,隨即就能下載到可安裝成該公司UTM系統的ISO光碟映像檔。

系統安裝

我們拿到的是去年12月發行的9.004-33版,ISO檔大約占488MB,因為我們測試室本身的設備有限,因此在一臺Windows Server 2008 R2的電腦上,我們用VMware Workstation 9.01建置了一臺針對Linux環境組態的虛擬機器,作為Sophos UTM的執行環境。因為我們要將這臺系統建置成防火牆,因此在這臺VM中總共要設置兩張虛擬網路卡,而且硬碟空間至少需設定為10GB以上,否則安裝程序將無法繼續進行。

Sophos UTM的安裝畫面和一般Linux系統相似,而且過程較簡化,但在第一階段的安裝步驟中,仍需選擇時區、設定網卡的IP位址。如果你曾安裝Red Hat Linux或Slackeware Linux,一定不會感到陌生。

要設定RED網路相關組態,全靠UTM網頁介面

當你第一次登入Sophos UTM的網頁介面時,管理者須輸入公司資訊與管理者密碼,接著進行10個步驟的系統基本設定,舉凡上傳授權檔、LAN埠與WAN埠組態,以及防火牆、IPS、應用程式控管、網頁、電子郵件等防護項目,大部分都在這個精靈的引導下,用勾選的方式設定完成。

設法讓RED與UTM彼此相連接

接下來,要啟用RED的管理,做法也相當簡單。在UTM管理介面主選單中已獨立列出RED Management的部分,IT人員僅需在裡面的全域設定分頁,將RED狀態改為啟用,並且輸入你所屬公司或單位的名稱、國別與管理者電子郵件信箱後,即可啟動Sophos UTM對RED的支援;接著,在用戶端管理分頁裡面,輸入外點的代稱、RED設備的識別碼,以及UTM設備本身的網域名稱或IP位址,即可完成通用設定。

我們在RED管理的狀態一覽首頁上,就會看到新增了一個遠端站臺,並出現綠色打勾圖示,這意味著RED與UTM之間的連線狀態正常(反之,則會以紅色叉叉的圖示警告)。

值得注意的是,新增RED設備組態時,你在不同設定分頁上操作,效果會有差異。當你在[Server] Deployment Helper這個輔助資訊、圖示較為豐富的分頁設定時,系統隨後會自動在UTM的網路介面新增一個專用的虛擬網路埠(它的別名就是先前你輸入的外點代稱),並且若依照預設值設定,採用標準部署模式,此時也會自動建立一組針對RED網路介面的DHCP伺服器,讓插上RED設備的分公司電腦可以自動取得IP位址。

相對地,若是在[Server] Client Management這個簡略的設定分頁上,去新增RED,UTM就不會自動產生這個虛擬網路介面和DHCP伺服器,你必須手動新增。

此外,若你先在[Server] Client Management上新增RED設備後,再到[Server] Deployment Helper設定是不行的,因為UTM上已經存在RED的設定,必須要先回到[Server] Client Management刪除RED設備組態後、再到[Server] Deployment Helper重新設定才行。

相關報導請參考「Site to Site VPN也能做到即插即用」


Advertisement

更多 iThome相關內容