Przejdz do tresci
Avanet

Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest właściwe?

Sophos Firewall oferuje wiele ścieżek zdalnego dostępu. W starszych środowiskach często nadal można znaleźć klasycznego klienta SSL VPN lub stare profile IPsec. W obecnych wersjach SFOS Sophos Connect jest centralnym klientem dla wielu scenariuszy dostępu zdalnego, ale dopasowanie różni się w zależności od platformy, protokołu i modelu operacyjnego.

Ten przewodnik decyzyjny pokazuje, kiedy Sophos Connect z IPsec, Sophos Connect z SSL VPN, klient kompatybilny z OpenVPN lub ZTNA mają sens. W przypadku środowisk z SFOS 22.0 MR1 ważne jest również: Starszy protokół IPsec zdalnego dostępu nie może być już pozostawiony jako dziedzictwo. Migrację opisano w artykule Przeprowadzenie migracji starszego rozwiązania dostępu zdalnego IPsec przed SFOS 22 MR1.

Który artykuł dotyczący VPN pasuje?

Dostęp zdalny i VPN typu site-to-site są konfigurowane w różnych miejscach w zaporze Sophos. Pierwszą rzeczą, która jest ważna dla administratorów, jest to, czy dotyczy to dostępu użytkowników, sieci lokalizacji, działania klienta, tożsamości czy rozwiązywania problemów.

Krótka pomoc w podjęciu decyzji

  • Klienci Windows z centralną dystrybucją: Sophos Connect z IPsec lub SSL VPN.
  • Klienci macOS od Sophos Connect 2.0: Sophos Connect z IPsec lub SSL VPN, w zależności od konfiguracji firewalla.
  • Windows ARM: Sophos Connect od wersji 2.5.
  • iOS, iPadOS, Android lub inne platformy mobilne: Zasoby wbudowane klienta lub systemu operacyjnego kompatybilne z OpenVPN, w zależności od protokołu.
  • Sieci zagraniczne z zablokowanym IPsec: Sprawdź SSL VPN lub ZTNA.
  • Dostęp tylko do poszczególnych aplikacji: Sprawdź ZTNA lub dostęp bezklientowy.
  • Starszy dostęp zdalny IPsec przed SFOS 22 MR1: Przenieś i usuń. Tabela została celowo uproszczona. W praktyce decyduje nie tylko klient, ale także model uwierzytelniania, MFA, środowisko sieciowe użytkowników, wymagane cele wewnętrzne oraz sposób dystrybucji i aktualizacji profili.

Granice platformy i profilu

Przed podjęciem decyzji nie powinieneś po prostu pytać „IPsec lub SSL VPN”. Równie ważne jest, czy pożądana platforma obsługuje odpowiedni typ profilu i pożądaną dystrybucję.

  • Windows 10/11 64-bitowy: Sophos Connect IPsec: tak; Sophos Connect SSL VPN: tak; Plik informacyjny: tak.
  • Windows ARM: Sophos Connect IPsec: od Sophos Connect 2.5; Sophos Connect SSL VPN: od Sophos Connect 2.5; Plik informacyjny: od Sophos Connect 2.5.
  • macOS Intel: Sophos Connect IPsec: tak; Sophos Connect SSL VPN: z Sophos Connect 2.0; Plik informacyjny: nie.
  • macOS Apple Silikon: Sophos Connect IPsec: tak, przez Rosettę 2; Sophos Connect SSL VPN: z Sophos Connect 2.0, poprzez Rosetta 2; Plik informacyjny: nie.
  • iOS, iPadOS, Android: Sophos Connect IPsec: nie w przypadku Sophos Connect; Sophos Connect SSL VPN: nie w przypadku Sophos Connect; Plik informacyjny: nie w przypadku Sophos Connect.W przypadku systemu macOS oznacza to w praktyce: Sophos Connect może teraz korzystać z protokołu SSL VPN, ale nie z taką samą logiką udostępniania jak w systemie Windows. Profile muszą być celowo importowane i ponownie udostępniane po odpowiednich zmianach. W przypadku platform mobilnych Sophos Connect nie pozostaje bezpośrednim klientem; W zależności od protokołu wymagane są aplikacje lub funkcje systemu operacyjnego kompatybilne z OpenVPN.
  • Stare 32-bitowe klienty Windows: tylko starsze wersje Sophos Connect do 2.4 nadal obsługują 32-bitowy Windows. Aktualne wdrożenia należy planować z Windows 64-bit.

Sophos Connect z IPsec

Sophos Connect z IPsec jest często pierwszym wyborem, gdy potrzebne są klasyczne klienckie sieci VPN dla urządzeń z systemem Windows lub macOS. Protokół IPsec jest zwykle wysoce wydajny i dobrze nadaje się dla zarządzanych klientów firmowych, w których profile mogą być dystrybuowane w sposób kontrolowany.

Zalety:

  • dobra wydajność w wielu środowiskach
  • odpowiedni dla zarządzanych klientów Windows i macOS
  • Możliwe centralne reguły firewalla poprzez strefę VPN.
  • wyraźne oddzielenie dostępu zdalnego i VPN typu site-to-site
  • przydatne, jeśli mimo to Sophos Connect jest używany jako standardowy klient

Limity:

  • IPsec można blokować w hotelach, sieciach gościnnych, sieciach komórkowych lub ściśle filtrowanych sieciach innych firm.
  • Profile i przypisania użytkowników muszą być odpowiednio utrzymywane.
  • Po zmianach w pulach, DNS lub sieciach docelowych klienci muszą zostać ponownie przetestowani.
  • Nie należy mylić starszej wersji protokołu IPsec dostępu zdalnego z bieżącą konfiguracją protokołu IPsec dostępu zdalnego.

Do skonfigurowania na zaporze sieciowej odpowiednim artykułem dotyczącym połączenia jest Skonfiguruj klienta Sophos Connect na zaporze sieciowej Sophos.

Sophos Połącz się z SSL VPN

Sophos Connect może także korzystać z połączeń SSL VPN. Od dawna jest to istotne w systemie Windows, a od wersji Sophos Connect 2.0 Sophos obsługuje także SSL VPN w systemie macOS. Jest to szczególnie ważne, ponieważ starsze instrukcje Avanet i Sophos Connect częściowo pochodzą z czasów, gdy macOS z Sophos Connect mógł obsługiwać tylko IPsec.

Zalety:

  • często lepiej nadaje się do stosowania w restrykcyjnych sieciach innych firm niż IPsec
  • Windows i macOS są obsługiwane w aktualnych wersjach Sophos Connect
  • Technologia OpenVPN jest łatwa do zrozumienia w działaniu
  • ma sens, jeśli istnieją już procesy SSL VPN

Limity:

  • Wydajność i skalowanie zależą bardziej od urządzenia, protokołu, szyfrowania i obciążenia.
  • Profile użytkowników i certyfikaty muszą być odpowiednio zarządzane.
  • Nie należy używać starych klientów SSL VPN i starych wersji OpenVPN bez sprawdzenia.
  • Urządzenia mobilne nadal zazwyczaj korzystają z innych klientów kompatybilnych z OpenVPN.

Konfiguracja po stronie zapory sieciowej znajduje się w Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN. Dla systemu Windows dostępny jest przewodnik krok po kroku Konfigurowanie Sophos SSL VPN do korzystania z Sophos Connect w systemie Windows. W przypadku systemu macOS należy sprawdzić aktualną wersję Sophos Connect pod kątem nowych instalacji, ponieważ obsługa platformy uległa zmianie w 2026 r. Odpowiedni artykuł operacyjny w tym zakresie to Sprawdź i bezpieczne z aktualizacja wersji klienta Sophos Connect.

Klienci OpenVPN i platformy mobilne

Sophos Connect nie obsługuje bezpośrednio wszystkich platform. Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio objęte Sophos Connect dla IPsec i SSL VPN. W takich przypadkach, w zależności od protokołu, wykorzystywane są zasoby pokładowe systemu operacyjnego lub klienci kompatybilni z OpenVPN.

Nie jest to wadą, jeśli proces jest jasno udokumentowany. Staje się to problematyczne tylko wtedy, gdy użytkownicy korzystają z różnych aplikacji, starych profili i niejasnych instrukcji. Należy zatem jasno zdefiniować następujące kwestie w odniesieniu do urządzeń mobilnych:

  • jaki protokół jest używany
  • która aplikacja jest obsługiwana
  • skąd pochodzi plik konfiguracyjny
  • jak działa MFA lub certyfikaty
  • kto wspiera zmiany urządzenia

Szczegółowe instrukcje są dostępne dla Sophos SSL VPN dla Sophos Connect w systemie Windows, Sophos SSL VPN dla Sophos Connect na macOS, Sophos SSL VPN na iPhone’a i iPada oraz Sophos SSL VPN na Androida.

Dystrybucja i aktualizacje profili

Problemy ze zdalnym dostępem często wynikają nie z wybranego typu tunelu, ale ze starych profili. Jeśli brama, certyfikat, DNS, grupa użytkowników, pula adresów IP, portal lub plik udostępniania zostaną zmienione, należy aktywnie wyczyścić spis profili.

Praktyczne zasady:- Śledź wersje Sophos Connect centralnie.

  • Nie rozpowszechniaj plików .scx, .tgb, .ovpn i .pro równolegle w sposób niekontrolowany.
  • Przy provisioningu .pro klient otrzymuje konfigurację automatycznie, ale właściwe bramy SSL VPN nadal pochodzą z zaimportowanej konfiguracji SSL VPN i mogą różnić się od adresu portalu.
  • W przypadku SSL VPN sprawdź, czy użytkownicy mogą pobierać nowe konfiguracje przez Update policy w User Portal, czy profil trzeba ponownie dystrybuować ręcznie.
  • Świadomie rozróżniaj typy plików: .scx jest zwykle używany dla profili Sophos Connect IPsec, .tgb dla profili IPsec wybranych klientów zewnętrznych lub mobilnych, .ovpn dla konfiguracji SSL VPN, a .pro dla provisioningu Windows.
  • Świadomie rozróżniaj typy plików: .scx zwykle oznacza profile IPsec Sophos Connect, .tgb profile IPsec dla wybranych klientów zewnętrznych lub mobilnych, .ovpn konfiguracje SSL VPN, a .pro provisioning dla Windows.
  • Zachowaj unikalne nazwy profili, szczególnie w przypadku wielu lokalizacji.
  • Zaplanuj nowy import po zmianach w SSL VPN lub IPsec.
  • Przetestuj osobno klientów Windows, macOS i mobilnych.
  • Usuń stare profile podczas opuszczania, zmiany urządzenia lub migracji.

Proces operacyjny aktualizacji klienta jest opisany w Sprawdź i bezpieczne z aktualizacji wersji klienta Sophos Connect.

Kiedy ZTNA jest lepszym rozwiązaniem

Nie każdy przypadek zdalnego dostępu wymaga klasycznej sieci VPN. Kiedy użytkownicy potrzebują jedynie dostępu do indywidualnych aplikacji internetowych lub zdefiniowanych usług wewnętrznych, ZTNA jest często czystszą architekturą. Klient nie uzyskuje wówczas pełnego dostępu do sieci, a jedynie dostęp do potrzebnych mu aplikacji.

ZTNA jest szczególnie odpowiednia, jeśli:

  • nie jest wymagana pełna dostępność sieci
  • użytkownicy zewnętrzni korzystają wyłącznie z indywidualnych aplikacji
  • Dostęp powinien być ściślej powiązany z tożsamością, urządzeniem i polityką
  • Zasady VPN rozwinęły się w przeszłości i stały się zbyt szerokie

ZTNA nie zastępuje każdego VPN. Klasyczna sieć VPN może być nadal konieczna do dostępu administratora, wielu protokołów, specjalnego oprogramowania lub złożonych ścieżek sieciowych. Złącze brama Sophos ZTNA służy jako wprowadzenie.

Bezpieczeństwo i operacje

Niezależnie od wybranego klienta, kwestie operacyjne pozostają podobne. Zdalny dostęp jest publicznie dostępnym punktem wejścia do sieci i powinien nie tylko działać technicznie, ale także być obsługiwany w sposób czysty.

Ważne punkty:

  • Aktywuj i przetestuj MFA dla zdalnego dostępu.
  • W Sophos Connect sprawdź, czy metoda MFA pasuje do klienta. Metody OTP challenge-based nie działają tak samo jak User Portal lub WebAdmin; Sophos Connect używa formatu hasło plus OTP albo przepływów call/push.
  • Regularnie sprawdzaj grupy użytkowników.
  • Zwolnij tylko wymagane docelowe sieci i usługi.
  • Jasno nazwij i zarejestruj reguły zapory sieciowej dla strefy VPN.
  • Usuń profile VPN przy opuszczaniu lub zmianie urządzenia.
  • Oczyść starsze konfiguracje przed SFOS 22.0 MR1.
  • Użyj przeglądarki dzienników i logów centralnych w celu wykrycia błędów logowania i połączenia.

Do MFA pasuje Skonfiguruj MFA zapory Sophos. Jeśli połączenia zostały nawiązane, ale nie ma przepływu ruchu, Rozwiązywanie problemów z zaporą sieciową Sophos IPsec VPN i Przetestuj ustawienia zapory ogniowej za pomocą ustawień dzienników, testu zasad i przechwytywania) pomoc pakietów.

Jeśli dostęp do Portalu VPN, Portalu Użytkownika lub SSL VPN jest możliwy z Internetu, należy także zaznaczyć opcję Dostęp do urządzeń i lista ACL usług lokalnych. Zdalny dostęp to nie tylko kwestia klienta, ale także publicznie dostępna usługa zapory ogniowej.

Często zadawane pytania

Czy Sophos Connect jest następcą starego klienta SSL VPN?

W wielu scenariuszach Windows i macOS Sophos Connect jest teraz centralnym klientem Sophos. Niemniej jednak klienci kompatybilni z OpenVPN mogą być nadal przydatni, szczególnie na platformach mobilnych lub w szczególnych przypadkach.

Czy Sophos Connect obsługuje SSL VPN na macOS?

Tak. Od wersji Sophos Connect 2.0 klient Sophos Connect na macOS może również korzystać z VPN dostępu zdalnego SSL. Aby to zrobić, wersja klienta, wersja zapory i konfiguracja muszą być zgodne.

Czy protokół IPsec jest szybszy niż SSL VPN?

Często tak, ale nie we wszystkich przypadkach. IPsec jest często bardziej wydajny, podczas gdy SSL VPN działa lepiej w restrykcyjnych sieciach innych firm. Decydującymi czynnikami są urządzenie, klient, ścieżka sieciowa, szyfrowanie i konkretny wzorzec dostępu.

A co z Windows ARM?

Sophos Connect obsługuje Windows ARM od wersji 2.5. W przypadku starszych wersji klientów lub starych wewnętrznych pakietów oprogramowania należy zatem sprawdzić, która wersja jest faktycznie dystrybuowana.

Kiedy ZTNA jest lepsza od klasycznej VPN?

ZTNA jest często lepsza, gdy użytkownicy potrzebują tylko indywidualnych aplikacji i nie jest wymagany szeroki dostęp do sieci. Klasyczna sieć VPN pozostaje przydatna w przypadku wielu protokołów, dostępu administratora, specjalnego oprogramowania lub złożonych ścieżek sieciowych.

Co należy sprawdzić przed SFOS 22.0 MR1?

Przed SFOS 22.0 MR1 należy sprawdzić, czy starszy protokół IPsec dostępu zdalnego nadal istnieje. Ta stara konfiguracja blokuje aktualizację i należy ją wcześniej przenieść lub usunąć.