Embed Size (px)
Citation preview
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
TÀI LIỆU CẤU HÌNH CƠ BẢN
SOPHOS XG FIREWALL
NTSSI - 2017
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
THÔNG TIN KIỂM SOÁT
Đơn vị chịu trách nhiệm
Công ty cổ phần tích hợp hệ thống Nam Trường Sơn
Địa chỉ : 20 Tăng Bạt Hổ, P.11, Q. Bình Thạnh, TP. HCM
Điện thoại : +84 08 6680 5046
Fax : +84 08 3841 5555
Website : http://ntssi.vn
Mô tả Tài liệu kỹ thuật mô tả các giải pháp
Biên soạn Lê Quang Bình Thiên
Biên tập
Phiên bản 2.0
Thời hạn hiệu lực
Phạm vi lưu hành Dành riêng cho nội bộ NTS và khách hàng liên quan
Tài liệu thay thế cho
Các tài liệu đính kèm
Khách hàng
Địa chỉ
Điện thoại
Người liên hệ
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
Mục lục 1. Tạo tài khoản Sophos ID.................................................................................. 4
2. Activate thiết bị Sophos ................................................................................... 5
3. Truy cập Web Admin ...................................................................................... 6
4. Cấu hình Interface ........................................................................................... 8
5. Cấu hình DHCP & DNS .................................................................................. 9
6. Cấu hình NAT ............................................................................................... 11
6.1. NAT LAN => WAN ................................................................................... 11
6.2. NAT Remote Desktop & Mail .................................................................... 13
7. Cấu hình chặn truy cập web ........................................................................... 16
8. Cấu hình Web Exceptions .............................................................................. 18
9. Cấu hình chặn Port......................................................................................... 19
10. Chặn Application ........................................................................................ 20
11. Cấu hình SSL VPN (Remote Access) ......................................................... 22
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
1. Tạo tài khoản Sophos ID - Đăng ký - Kích hoạt tài khoản
B1: Truy cập website: https://id.sophos.com/web/register
B2: Điền thông tin như được yêu cầu. Sau đó Click Register.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B3: Sau khi click “Register” truy cập vào tài khoản email đã đăng ký với Sophos. (Click vào đường dẫn trong email để activate tài khoản Sophos.)
2. Activate thiết bị Sophos B1: Cắm cable WAN vào cổng WAN. Cắm cổng LAN vào đường LAN nội bộ hoặc trực tiếp vào PC cần cấu hình.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B2: Truy cập vào địa chỉ: https://172.16.16.16:4444
Tài khoản defaul:
User: admin – Password: admin
B2.1: Sau đó click “Activate Device”
B2.2: Kế tiếp login với tài khoản Sophos ID đã đăng ký trước đó.
Trường hợp đang sử dụng trial mà muốn Activate thiết bị:
Vào giao diện WebAdmin
Sau đó vào SYSTEM > Administration > Licensing
Sau đó click “Activate Subscription” và nhập các thông tin tài khoản như yêu cầu.
Sau đó click “Synchronize” để đồng bộ thông license với thiết bị.
3. Truy cập Web Admin B1: Truy cập vào địa chỉ: https://172.16.16.16:4444
Tài khoản default:
User: admin – Password: admin
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B2: Giao diện web admin sau khi login thành công.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
4. Cấu hình Interface - Cấu hình interface WAN - Cấu hình interface LAN
Giao diện cấu hình Interfaces nằm trong CONFIGURE > Network > Interfaces. B1: Sau đó chọn interface cần cấu hình.
B2: Cấu hình interface WAN, chọn interface WAN ở bước trên.
B2.1: Sau đó chọn phương thức nhận IP cho cổng WAN là:
Static, PPPoE hay DHCP và nhập các thông số tương ứng
B3: Click “Save” để lưu lại cấu hình
B4: Cấu hình interface LAN, chọn interface LAN ở bước 2.
Nhập thông số IP cho cổng LAN như hình.
B5: Click “Save” để lưu lại cấu hình
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B6: Đặt lại IP card mạng của PC cấu hình cùng lớp với IP Interface LAN của Sophos.
B6.1: Sau đó truy cập vào Web Admin bằng địa chỉ IP LAN mới của Sophos.
5. Cấu hình DHCP & DNS - Tạo DHCP server - Tạo DNS server
Giao diện cấu hình DHCP & DNS nằm trong: CONFIGURE > Network B1: Chọn Tab DHCP trong mục “Server” chọn “Add” để thêm DHCP Server hoặc chọn DHCP Server đã có sẵn và chọn icon Edit.
B2: Nhập các thông số:
- Interface: Chọn interface sẽ cấp phát DHCP.
- Dynamic IP lease: nhập dãy IP sẽ cấp phát.
- Static IP MAC Mapping: Gán địa chỉ IP theo địa chỉ MAC
- Subnet Mask - Gateway - …
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B3: Nhập thông tin DNS Server
Sau đó click “Save” để lưu cấu hình
B4: Cấu hình DNS: Chọn Tab DNS.
Chọn DNS server
B5: Click “Save” để lưu cấu hình DNS.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
6. Cấu hình NAT - Cấu hình NAT cho các user và các đường mạng - Cấu hình NAT để truy cập các dịch vụ và Server
6.1. NAT LAN => WAN Cấu hình cho phép các máy trong mạng LAN có thể truy cập Internet Giao diện cấu hình Firewall nằm trong: PROTECT > Firewall B1: Click “Add Firewall Rule”
B2: Click chọn “User/Network Rule”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B3: Nhập các thông số như hình
B4: Bỏ check “Match known users”
B5: Check “Rewite source address (Masquerading)” (Full NAT)
Và chọn các thông số khác như hình.
B6: Click “Save”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B7: Kiểm tra ping được đi internet.
6.2. NAT Remote Desktop & Mail - Cấu hình NAT để có thể Remote Desktop vào Server. - Cấu hình NAT để có thể gửi và nhận Mail từ Mail Server
NAT Remote Desktop
B1: Add Firewall Rule > Bussiness Application Rule
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B2: Chọn các thông số như hình:
- Application Template: “DNAT/Full NAT/Load Balancing
- Chọn Soure “Any” - Destination Host/Network:
Chọn Port WAN. - Forward Type: Chọn Port sau
đó nhập port của dịch vụ Remote Desktop (trường hợp này là 3389)
B3: Mục Protected Server(s): chọn “Create new” sau đó chọn “IP Address”
B4: Nhập địa chỉ IP của AD Server.
Sau đó “Save”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B5: Protected Zone chọn “LAN”
Check “Rewrite source address (Masquerading)”
Use Outboud Address chọn “MASQ”
Sau đó click “Save”
Cấu hình NAT Mail
B6: Tương tự tạo Rule NAT như trên
Forward Type: Chọn Port List
Service Port(s) Forwaded: Nhập các port 143,25,110
B7: Tương tự mục Protected Server(s): Add thông tin Mail Server vào.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B8: Protected Zone chọn “LAN”
Check “Rewrite source address (Masquerading)”
Use Outboud Address chọn “MASQ”
Click “Save” để lưu lại cấu hình
7. Cấu hình chặn truy cập web - Tạo URL Groups chưa các trang web cần chặn/cho phép - Tạo Policies và apply URL Groups ở trên vào. - Apply Policies vào Rule trong Firewall
Giao diện quản lý web nằm trong: PROTECT > Web
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B1: Trong URL Groups click “Add” để tạo danh sách các web cần chặn
B2: Đặt tên cho URL Group sau đó nhập Url các trang web cần chặn
Sau đó click “Save”
B3: Click Tab “Policies” click “Add Policy”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B4: Sau đó chọn các Users sẽ áp dụng rule này (Anybody).
Mục Activities chọn “Show Only.. > URL Group”
B5: Chọn BlockSite (Đã tạo ở B2) sau đó click “Apply …selected items”
B6: Mục Action chọn “Deny” Status = “ON”. Sau đó click “Save”
B7: Edit lại cấu hình NAT LAN -> WAN trong mục Firewall.
Mục “Web Policy” chọn Policy đã làm ở B4.
B8: Click “Save”
8. Cấu hình Web Exceptions Cho phép một số trang web hoặc một thể loại web nào đó không bị ảnh hưởng bởi các policies.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B1: Chọn “Add Exception” như hình
B2: Nhập các trang web sẽ được phép truy cập (Trust Webs).
Skip the selected checks or actions: chọn các hành động mà hệ thống sẽ bỏ qua cho danh sách Exception này
Sau đó click “Save”
9. Cấu hình chặn Port. Cho phép chặn những port của các ứng dụng.
PROTECT > Firewall > “Add Firewall Rule” > “User/Network Rule”
B1: Mục Action chọn Reject
Nhập các thông số Source, Destination,…
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B2: Mục Services chọn các services cần apply rule hoặc tự định nghĩa port riêng.
Click “Save”
B3: Kiểm tra ping không được.
10. Chặn Application Chặn các ứng dụng như Youtube, Facebook… ở các thiết bị trong mạng
- Tạo Application Filter - Apply “Application Filter” vào Rule trong Firewall
PROTECT > Applications
B1: Chọn Tab Application Filter > Click “Add”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B2: Name: đặt tên cho Policy
- Enable Micro App Discovery: Sophos sẽ tìm các ứng dụng liên quan để áp dụng cho policy này, ví dụng đối với Facebook App thì có Messenger, Game,…
- Template: mặc định để Allow all, các trang web nào cần chặn sẽ được cấu hình sau.
B3: Chọn application filter vừa tạo ra:
B4: Sau đó chọn “Add”
- Sau đó sẽ thấy giao diện như hình, Check “Select individual Application”.
- Sau đó nhập tên ứng dụng cần tìm vào ô Search.
- Chọn các app cần block
B5: Check chọn Deny:
Sau đó click “Save”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B6: Click chọn “Add” tiếp để filter ứng dụng youtube:
B7: Quay lại PROTECT > Firewall, edit rule (cho phép mạng Lan truy cập Internet).
Mục Application Control: chọn Application Fillter đã tạo ở trên.
11. Cấu hình SSL VPN (Remote Access) Các bước cần thực hiện:
- Thiết lập thông số mạng VPN - Tạo SSL VPN Remote Access - Tạo user cho phép remote qua VPN - Truy cập SSL VPN và cài đặt client ssl vpn - Kiểm tra kết nối
Giao diện quản lý VPN nằm trong: CONFIGURE > VPN
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B1: Trong mục “VPN” Click chọn “Show VPN Settings” góc bên phải màn hình.
B2: Để các thông số cài đặt VPN như mặt định.
B3: Click “Apply” sẽ xuất hiện một thông báo click “OK”
B4: Click “Close VPN Settings” bên góc phải màn hình.
Mục “Override Hostname” nhập vào IP WAN.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B5: Chọn Tab “SSL VPN (Remote Access)” chọn “Add”
B6: Nhập thông tin như yêu cầu.
Mục “Policy Members” > chọn
“Add New Item” > Check “Open Group” > Click “Apply …selected items”
B7: Mục “Permitted Network Resources (Ipv4).
Click “Add New Item” > Create new sau đó nhập vào đường mạng mà VPN có thể truy cập vào.
(check chọn Port LAN trường hợp này là “#Port1” sẽ không thể truy cập vào đường LAN được)
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B8: Click “Apply” ở cuối màn hình.
Một bản thông báo hiện lên click “OK”
B9: Tạo user cho phép remote qua VPN:
CONFIGURE > Authentication > Users > Add
B10: Nhập các thông tin như yêu cầu:
User Type: Chọn “Administrator”
Email: Nhập Email
Group: Chọn “Open Group”
Các thông số khác để như mặt định
Sau đó click “Save”
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B11: Cho phép truy cập “User Portal”: System > Administration > Device Access kiểm cột “User Portal” check cho phép truy cập từ WAN và LAN.
Sau đó click “Apply”
B12: Truy cập SSL VPN
Truy cập vào địa chỉ:
https://ip_sophos trong trường hợp này là (https://172.16.1.1)
Sau đó nhập bằng tài khoản user VPN đã tạo ở B9.
B13: Click chọn “ Download Client and Configuration for Windows” để tải về VPN Client và cài đặt.
B14: Sau khi cài đặt xong sẽ xuất hiện icon “Sophos SSL VPN Client” ở thanh taskbar trên máy tính.
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2017 A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn
B15: Click phải lên icon “Sophos SSL VPN Client” > Connect.
B16: Nhập Username và Password tài khoản VPN và click OK
