Saltar para o conteudo
Avanet

Sophos Connect ou SSL VPN: Qual solução de acesso remoto é a certa?

O Sophos Firewall oferece vários caminhos para acesso remoto. Em ambientes mais antigos, muitas vezes você ainda encontra o cliente VPN SSL clássico ou perfis IPsec antigos. Nas versões atuais do SFOS, o Sophos Connect é o cliente central para muitos cenários de acesso remoto, mas a adequação varia dependendo da plataforma, do protocolo e do modelo operacional.

Este guia de decisão mostra quando o Sophos Connect com IPsec, o Sophos Connect com SSL VPN, um cliente compatível com OpenVPN ou ZTNA faz sentido. Para ambientes com SFOS 22.0 MR1 também é importante: IPsec de acesso remoto legado não deve mais ser deixado como legado. A migração está descrita no artigo Migrar IPsec de acesso remoto legado antes do SFOS 22 MR1.

Qual artigo VPN se encaixa?

O acesso remoto e a VPN site a site são configurados em locais diferentes no Sophos Firewall. A primeira coisa que é importante para os administradores é se se trata de acesso do usuário, rede do site, operação do cliente, identidade ou solução de problemas.

Breve auxílio para tomada de decisão

  • Clientes Windows com distribuição central: Sophos Connect com VPN IPsec ou SSL.
  • Clientes macOS do Sophos Connect 2.0: Sophos Connect com VPN IPsec ou SSL, dependendo da configuração do firewall.
  • ARM do Windows: Sophos Connect a partir da versão 2.5.
  • iOS, iPadOS, Android ou outras plataformas móveis: Cliente compatível com OpenVPN ou recursos integrados do sistema operacional, dependendo do protocolo.
  • Redes estrangeiras com IPsec bloqueado: Verifique SSL VPN ou ZTNA.
  • Acesso apenas a aplicações individuais: Verifique ZTNA ou acesso sem cliente.
  • IPsec de acesso remoto legado antes do SFOS 22 MR1: Migrar e remover. A tabela é deliberadamente simplificada. Na prática, não é apenas o cliente que decide, mas também o modelo de autenticação, o MFA, o ambiente de rede dos usuários, os alvos internos necessários e como os perfis são distribuídos e atualizados.

Limites de plataforma e perfil

Antes de tomar uma decisão, você não deve apenas perguntar “IPsec ou SSL VPN”. Igualmente importante é se a plataforma desejada suporta o tipo de perfil apropriado e a distribuição desejada.

  • Windows 10/11 de 64 bits: Sophos Connect IPsec: sim; VPN SSL Sophos Connect: sim; Arquivo de provisionamento: sim.
  • ARM do Windows: Sophos Connect IPsec: do Sophos Connect 2.5; VPN SSL Sophos Connect: do Sophos Connect 2.5; Arquivo de provisionamento: do Sophos Connect 2.5.
  • MacOS Intel: Sophos Connect IPsec: sim; VPN SSL Sophos Connect: do Sophos Connect 2.0; Arquivo de provisionamento: não.
  • macOS Apple Silício: Sophos Connect IPsec: sim, através da Rosetta 2; VPN SSL Sophos Connect: do Sophos Connect 2.0, via Rosetta 2; Arquivo de provisionamento: não.
  • iOS, iPadOS, Android: Sophos Connect IPsec: não com o Sophos Connect; VPN SSL Sophos Connect: não com o Sophos Connect; Arquivo de provisionamento: não com o Sophos Connect.
  • Clientes Windows 32-bit antigos: apenas versões antigas do Sophos Connect até 2.4 ainda suportam Windows 32-bit. As implementações atuais devem ser planeadas com Windows 64-bit.

Para o macOS, isso significa praticamente: o Sophos Connect agora pode usar SSL VPN, mas não com a mesma lógica de provisionamento do Windows. Os perfis devem ser importados e reaprovisionados deliberadamente após alterações relevantes. Para plataformas móveis, o Sophos Connect não permanece como cliente direto; Dependendo do protocolo, são necessários aplicativos ou funções do sistema operacional compatíveis com OpenVPN.

Sophos Connect com IPsec

O Sophos Connect com IPsec costuma ser a primeira escolha quando VPNs clientes clássicas são necessárias para dispositivos Windows ou macOS. O IPsec geralmente tem alto desempenho e é adequado para clientes de empresas gerenciadas, onde os perfis podem ser distribuídos de maneira controlada.

Vantagens:

  • bom desempenho em muitos ambientes
  • adequado para clientes gerenciados Windows e macOS
  • Regras centrais de firewall possíveis através da zona VPN
  • separação clara entre acesso remoto e VPN site-to-site
  • útil se o Sophos Connect for usado como cliente padrão de qualquer maneira

Limites:

  • O IPsec pode ser bloqueado em hotéis, redes de hóspedes, redes móveis ou redes de terceiros estritamente filtradas.
  • Perfis e atribuições de usuários devem ser mantidos adequadamente.
  • Após alterações em pools, DNS ou redes de destino, os clientes deverão ser testados novamente.
  • O IPsec de acesso remoto legado não deve ser confundido com a configuração atual do IPsec de acesso remoto.

Para configurá-lo no firewall, Configurar ou cliente Sophos Connect no Sophos Firewall é o artigo de conexão apropriado.

Sophos Connect com VPN SSL

O Sophos Connect também pode usar conexões VPN SSL. Isso é relevante no Windows há muito tempo e, desde o Sophos Connect 2.0, o Sophos também oferece suporte a SSL VPN no macOS. Isso é particularmente importante porque as instruções mais antigas do Avanet e do Sophos Connect remontam parcialmente a uma época em que o macOS com Sophos Connect só podia fazer IPsec.

Vantagens:

  • muitas vezes melhor utilizável em redes restritivas de terceiros do que IPsec
  • Windows e macOS são compatíveis com as versões atuais do Sophos Connect
  • A tecnologia OpenVPN é fácil de entender em operação
  • faz sentido se os processos SSL VPN existentes já estiverem estabelecidos

Limites:

  • O desempenho e o dimensionamento dependem mais do dispositivo, do protocolo, da criptografia e da carga.
  • Os perfis de usuário e certificados devem ser gerenciados adequadamente.
  • Clientes SSL VPN antigos e versões antigas do OpenVPN não devem ser usados ​​sem verificação.
  • Os dispositivos móveis ainda costumam usar outros clientes compatíveis com OpenVPN.

A configuração do lado do firewall está em Configurar o acesso remoto SSL VPN do Sophos Firewall. Para Windows existe o passo a passo Configurar o Sophos SSL VPN com Sophos Connect no Windows. Para macOS, você deve verificar a versão atual do Sophos Connect para novas instalações porque o suporte da plataforma mudou em 2026. O artigo operacional apropriado para isso é Verifique e atualize com segurança a versão do Sophos Connect Client.

Clientes OpenVPN e plataformas móveis

O Sophos Connect não oferece suporte direto a todas as plataformas. Plataformas móveis como iOS e Android não são diretamente cobertas pelo Sophos Connect para IPsec e SSL VPN. Nesses casos, dependendo do protocolo, são utilizados os recursos integrados do sistema operacional ou clientes compatíveis com OpenVPN.

Isto não é uma desvantagem se o processo estiver claramente documentado. Só se torna problemático quando os usuários usam aplicativos diferentes, perfis antigos e instruções pouco claras. O seguinte deve, portanto, ser claramente definido para dispositivos móveis:

  • qual protocolo é usado
  • qual aplicativo é compatível
  • de onde vem o arquivo de configuração
  • como funcionam o MFA ou os certificados
  • quem suporta alterações de dispositivos

Instruções específicas estão disponíveis para Sophos SSL VPN com Sophos Connect no Windows, Sophos SSL VPN com Sophos Connect no macOS, VPN SSL Sophos no iPhone e iPad e VPN SSL Sophos no Android.

Distribuição e atualizações de perfil

Os problemas de acesso remoto geralmente surgem não do tipo de túnel selecionado, mas de perfis antigos. Se o gateway, o certificado, o DNS, o grupo de usuários, o pool de IP, o portal ou o arquivo de provisionamento forem alterados, você deverá limpar ativamente o inventário de perfis.

Regras práticas:- Rastreie as versões do Sophos Connect centralmente.

  • Não distribua arquivos .scx, .tgb, .ovpn e .pro em paralelo de maneira descontrolada.
  • Com provisioning .pro, o cliente recebe a configuração automaticamente, mas os gateways SSL VPN reais continuam a vir da configuração SSL VPN importada e podem diferir do endereço do portal.
  • Em SSL VPN, verificar se os utilizadores podem descarregar novas configurações através de Update policy no User Portal ou se o perfil tem de ser redistribuído manualmente.
  • Distinguir conscientemente os tipos de ficheiro: .scx é normalmente usado para perfis Sophos Connect IPsec, .tgb para perfis IPsec de certos clientes de terceiros ou móveis, .ovpn para configurações SSL VPN e .pro para provisioning Windows.
  • Distinguir conscientemente os tipos de ficheiro: .scx é normalmente usado para perfis IPsec do Sophos Connect, .tgb para perfis IPsec de certos clientes de terceiros ou móveis, .ovpn para configurações SSL VPN e .pro para provisioning Windows.
  • Mantenha os nomes dos perfis exclusivos, especialmente para vários locais.
  • Agende uma nova importação após alterações no SSL VPN ou IPsec.
  • Teste clientes Windows, macOS e móveis separadamente.
  • Remova perfis antigos ao sair, trocar de dispositivo ou migrar.

O processo operacional para atualizações do cliente está em Verifique e atualize com segurança a verão do Sophos Connect Client.

Quando ZTNA é mais adequado

Nem todo caso de acesso remoto precisa de uma VPN clássica. Quando os usuários precisam apenas acessar aplicativos web individuais ou serviços internos definidos, o ZTNA costuma ser a arquitetura mais limpa. O cliente então não obtém acesso geral à rede, mas apenas acesso aos aplicativos de que necessita.

ZTNA é particularmente adequado se:

  • não é necessária acessibilidade total à rede
  • usuários externos usam apenas aplicativos individuais
  • O acesso deve estar mais intimamente ligado à identidade, ao dispositivo e à política
  • As regras VPN cresceram historicamente e tornaram-se demasiado amplas

ZTNA não substitui todas as VPN. Uma VPN clássica ainda pode ser necessária para acesso administrativo, muitos protocolos, software especial ou caminhos de rede complexos. Conector de gateway Sophos ZTNA serve como introdução.

Segurança e Operações

Independentemente do cliente escolhido, as questões operacionais permanecem semelhantes. O acesso remoto é um ponto de entrada na rede acessível ao público e não deve apenas funcionar tecnicamente, mas também ser operado de forma limpa.

Pontos importantes:

  • Ative e teste MFA para acesso remoto.
  • No Sophos Connect, verificar se o método MFA corresponde ao cliente. Métodos OTP challenge-based não funcionam da mesma forma que User Portal ou WebAdmin; o Sophos Connect trabalha com palavra-passe mais OTP ou com fluxos baseados em chamada/push.
  • Verifique os grupos de usuários regularmente.
  • Liberar apenas redes e serviços de destino necessários.
  • Nomeie e registre claramente as regras de firewall para a zona VPN.
  • Remova perfis VPN ao sair ou trocar de dispositivo.
  • Limpe configurações legadas antigas antes do SFOS 22.0 MR1.
  • Use o visualizador de logs e logs centrais para erros de login e conexão.

Configurar o Sophos Firewall MFA é adequado para MFA. Se as conexões forem estabelecidas, mas nenhum tráfego estiver fluindo, Solução de problemas de VPN IPsec do Sophos Firewall e Teste regras de firewall com Log Viewer, Policy Test e Packet Capture podem ajudar.

Se o Portal VPN, Portal do Usuário ou VPN SSL puder ser acessado pela Internet, você também deverá verificar Acesso a dispositivos e ACL de serviço local. O Acesso Remoto não é apenas um problema do cliente, mas também um serviço de firewall acessível ao público.

Perguntas frequentes

O Sophos Connect é o sucessor do antigo cliente SSL VPN?

Para muitos cenários Windows e macOS, o Sophos Connect é agora o cliente central do Sophos. No entanto, os clientes compatíveis com OpenVPN ainda podem ser úteis, especialmente em plataformas móveis ou em casos especiais.

O Sophos Connect oferece suporte a SSL VPN no macOS?

Sim. Desde o Sophos Connect 2.0, o cliente Sophos Connect no macOS também pode usar VPN SSL de acesso remoto. Para fazer isso, a versão do cliente, a versão do firewall e a configuração devem corresponder.

O IPsec é mais rápido que o SSL VPN?

Muitas vezes sim, mas não de forma generalizada. O IPsec costuma ter melhor desempenho, enquanto o SSL VPN tem melhor desempenho em redes restritivas de terceiros. Os fatores decisivos são o dispositivo, o cliente, o caminho da rede, a criptografia e o padrão de acesso específico.

E quanto ao ARM do Windows?

O Sophos Connect suporta Windows ARM a partir da versão 2.5. Para versões de clientes mais antigas ou pacotes de software internos antigos, você deve verificar qual versão está realmente sendo distribuída.

Quando o ZTNA é melhor que a VPN clássica?

O ZTNA geralmente é melhor quando os usuários precisam apenas de aplicativos individuais e não é necessário amplo acesso à rede. A VPN clássica continua útil para muitos protocolos, acesso de administrador, software especial ou caminhos de rede complexos.

O que deve ser verificado antes do SFOS 22.0 MR1?

Antes do SFOS 22.0 MR1, deve-se verificar se o Legacy Remote Access IPsec ainda existe. Esta configuração antiga bloqueia a atualização e deve ser migrada ou removida antecipadamente.