Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos,
Trang 1TÀI LIỆU CẤU HÌNH
SOPHOS UTM (Unified Threat Management)
Version 9.X
Trang 2MỤC LỤC
1 MÔ HÌNH KẾTNỐI 4
1.1 Chuẩn bị 4
1.2 Kết nối thiết bị 5
2 BƯỚC CÀI ĐẶT 6
2.1 Bước cài đặt cơ bản 6
2.2 Các bước cài đặt nâng cao 6
3 CHI TIẾT CÀI ĐẶTCƠ BẢN 7
3.1 Cài đặt bản Software 7
3.2 Cài đặt trên thiết bị Hardware 7
3.3 Khai báo thông số ban đầu 8
3.4 Bỏ qua cấu hình wizard 9
3.5 Cấu hình LAN interface 10
3.6 Cấu hình WAN interface 11
3.7 Cấu hình DNS Server 12
3.8 Cấu hình DHCP Server 12
3.9 Cấu hình Firewall Rules 13
3.10 Cấu hình NAT MASQUERADING 16
4 CÂU HÌNH CÀI ĐẶT NÂNG CAO 17
4.1 Cấu hình Uplink Balancing 17
4.2 Cấu hình phòng chống xâm nhập (IPS) 18
4.2.1 Cấu hình tính năng phòng chống xâm nhập 18
4.2.2 Tính năng Attack Patterns 19
4.2.3 Cấu hình tính năng Anti-DoS/ Flooding 20
4.2.4 Bật tính năng Anti-Portscan 22
4.2.5 Cấu hình Exception 23
4.2.6 Cấu hình các mấy chủ sẽ được bảo vệ 23
4.3 Cấu hình Web Filtering 24
4.4 Cấu hình Mail Protection 29
4.5 Cấu hình VPN Site-to-Site SSL 29
4.6 Cấu hình VPN Site-to-Site IPSec 32
Trang 34.7 Cấu hình Client-to-Site SSL
4.8 Cấu hình Client-to-Site PPTP 32
4.9 Tích hợp AD Authentication 32
4.10 Cấu hình Web Protection nâng cao 33
4.10.1 Cấu hình Web Filtering Profiles 33
4.10.2 Cấu hình Filtering Options 34
4.10.3 Cấu hình Policy Test 39
4.10.4 Cấu hình Application Control 39
4.10.5 Cấu hình FTP (File Transfer Protocol) 41
4.11 Cấu hình phần quản trị backup, notify 43
4.11.1 Cấu hình backup 43
4.11.2 Cấu hình Notifications 45
4.11.3 Cấu hình xem báo cáo 46
4.11.4 Cấu hình gửi báo cáo 47
4.12 Reset password admin 48
4.13 Reset password root 49
4.14 Reset factory default 52
4.15 Cấu hình thay thế thiết bị Backup-Restore 53
Trang 51.2 Kết nối thiết bị
Mô hình kết nối thiết bị FireWall UTM và các thiết bị LAN, WAN
kết nối cổng LAN và WAN của thiết bị:
Kết nối LAN thông qua cổng eth0 (SG 210/230/310/330) hoặc cổng MGMT (SG 430/450) Dùng Cable ethernet RJ45 để kết nối từ cổng LAN trên thiết bị UTM đến thiết bị Switch, Hub trong mạng internal
Kết nối WAN thông qua cổng eth1 (SG 210/230/310/330) hoặc bất kỳ cổng nào được chỉ định cổng WAN hoặc trên các modul mở rộng (SG 430/450) Kết nối từ cổng WAN của thiết bị UTM đến INTERNET
Các thông số mặc định trên thiết bị UTM:
Internal network card (eth0/MGMT)
Trang 62 BƯỚC CÀI ĐẶT
2.1 Bước cài đặt cơ bản
9 Cấu hình Firewall rules Cho phép LAN ra Internet Mục 3.9
10 Cấu hình NAT
(MASQUERADING)
Mục 3.10
Kết quả: Sau các bước cài đặt cơ bản, máy tính LAN có khả năng đi ra Internet
2.2 Các bước cài đặt nâng cao
11 Cấu hình phần quản trị: backup, notify Mục 4.11
Trang 73 CHI TIẾT CÀI ĐẶTCƠ BẢN
3.1 Cài đặt bản Software
Sophos cho tải hoàn toàn miễn phí các phiên bản của hãng
Cấu hình tối thiểu phần cứng như sau:
o 1.5+ GHz processor
o 1 GB RAM (2GB Recommended)
o 40 GB hard disk
o Bootable CD-ROM
o 2 or more network cards
Có thể tải gói cài đặtUTM v9 software appliance tại link sau:
http://www.sophos.com/en-us/support/utm-downloads.aspx
Cài đặt trên máy ảo
Mặc định ta cấu hình thông qua WebAdmin
Thông qua địa chỉ mặc định: https://192.168.2.100:4444/
Tham khảo thêm Quick Star Guide ở đây: <
https://www.sophos.com/en-us/medialibrary/PDFs/documentation/sophosutmsoftwarewebadminqsgen.pdf?la=en>
3.2 Cài đặt trên thiết bị Hardware
Cài đặt phiên bản OS:
Có thể tải gói cài đặtUTM v9 hardware appliance tại link sau:
http://www.sophos.com/en-us/support/utm-downloads.aspx
Các bước tiến hành cài đặt OS:
Trang 8o Download phiên bản ISO image mới nhất
o Ghi ISO image vào disc CD
o Insert CD and boot the Sophos UTM appliance from the CD-ROM USB drive
o Follow the on-screen installation instructions The WebAdmin URL will be shown in the final step of the installation
o Point your browser to the web-based configuration tool (WebAdmin)
o Follow the wizard to setup a basic configuration
Mặc định truy cập cấu tại port Eth0
Admin account password gõ mật khẩu admin
Repeat password nhập lại mật khẩu admin
Admin account email address nhập địa chỉ email sau này thiết bị sẽ tự
động gửi các báo cáo
Trang 9Sau đó check vào "I accept the license agreement" sau đó Click "Perform basic system setup"
Đợi khoảng 40 giây rồi đăng nhập lại ta được giao diện LOGIN như sau:
3.4 Bỏ qua cấu hình wizard
Sau khi Login vào hệ thống yêu cầu cấu hình theo Wizard thì chọn Continue
Trang 10 Chọn Restore a backup nếu trước đó đã có file cấu hình sẵn để phục hồi cấu hình
Nhấn "Cancel" để bỏ qua bước trên và cấu hình mới cho thiết bị từ đầu
3.5 Cấu hình LAN interface
Vào mode "Interface & Routing" > "Inerface" > "New interface"
Cấu hình các thông số cơ bản:
o Name: Tên của Interface
o Type: Gồm các lựa chọn như:
Group: Nhóm các lớp mạng, các host thành 1 Group
3G/UMTS: (Universal Mobile Telecommunications Systems)
là chuẩn dùng sóng 3G khi gắn các thiết bị 3G
DSL PPOA/PPTP và DSL PPOE: nếu quay số thay thế cho
Router DSL
Ethernet DHCP: Nếu cấp phát IP động cho mạng nội bộ
Ethernet Static: Nếu cắm cáp RJ45 và địa chỉ IP tĩnh
Ethernet VLAN: Nếu chia IP theo Vlan
Modem (PPP): Kết nối UTM với Modem, cần có Username,
Password và chuỗi Dial
o Hardware: Chọn interface trên thiết bị
o IPv4 Address: Nhập địa chỉ IP cho interface
o NetMask: Chọn mặt nạ cho địa chỉ IP
o IPv4 Default GW: Địa chỉ IP Của Gateway để đi ra ngoài Internet
o Comment: Mô tả nội dung của Interface (nếu muốn)
Trang 11 Sau khi tạo xong nhấn "Save" để lưu và nhấn " " Enable interface đó để interface đó hoạt động
3.6 Cấu hình WAN interface
Vào mode "Interface & Routing" > "Inerface" > "New interface"
Tương tự cấu hình LAN nhưng chỉ định cổng dùng để kết nối internet Interface
external (WAN ) được chỉ định trong hình dưới là cổng Ethe1
Trang 12 Sau khi tạo xong nhấn "Save" để lưu
và nhấn " " Enable interface đó để interface đó hoạt động
Hoặc quản trị muốn tạo thêm các interface DMZ, VLAN thì có thể tạo tương tự hình bên dưới
3.7 Cấu hình DNS Server
Cấu hình DNS
Khi cấu hình NAT và Interface thì mặc định DNS sẽ dùng địa chỉ Internal làm DNS
Muốn dùng DNS server thì qua tab "Forwarders" tạo DNS trỏ về địa chỉ DNS server
3.8 Cấu hình DHCP Server
cấu hình DHCP vào "Network Service" > "DHCP" > "New DHCP Server"
Trong đó:
Trang 13o Interface: Mạng cần cấp DHCP
o Range Start và Range End:địa chỉ IP bắt đầu và IP kết thúc, đây là dãy IP
sẽ cấp cho mạng Internal
o DNS server 1: Sẽ mặc định dùng DNS đã cấu hình ở mode "Network Service" > "DNS"
o DNS server 2: (có thể bỏ trống)
o Default GW: (chỉ dùng cho IPv4) địa chi IP của default GW
o Domain: Nhập tên domain vào
o Lease time: Khoảng thời gian dùng một Ip nhỏ nhất 600 giây, lớn nhất 2,592,000 giây (1 tháng) Default là 86,400 giây (1 ngày)
Nhấn "Save" để lưu thông tin cấu hình DHCP
3.9 Cấu hình Firewall Rules
Vào "Network Protection" > "Firewall" > "New Rule"
Trang 14Cấu hình các thông số cơ bản:
o Group: Chọn New Group nếu muốn đặt tên nhóm các chính sách liên quan
đến nhau
o Position: Vị trí của rule đang tạo (Gồm: Top; Bottom) mặc định các chính sách sẽ được duyệttheo trình tự từ trên xuống dưới Nên đặt các Rule nội bộ ở trên
o Source: Địa chỉ nguồn của gói tin (gồm: Host, Network, DNS host, Range, Network Group, )
o Services: Các dịch vụ sẽ cho phép/ không cho phép
o Destination: Địa chỉ đích của nơi nhận gói tin (gồm: Host, Network, DNS host, Range, Network Group, )
o Action:
Allow: Cho phép
Drop: Huỷ gói tin
Reject: Gửi trả gói tin ngược lại
o Time period: Thời gian thực thi chính sách <<Always>> Luôn thực thi;
<<Lunch>> giờ ăn trưa; <work hours>> giờ làm việc;<<weekend >> Cuối tuần;
o Log traffic: Ghi log lại hoạt động của chính sách này
Tạo Rule cho phép LAN đi ra internet
Hoặc tạo rule cho vùng LAN đi vào DMZ và ngược lại
Trang 15 Tạo rule cho phép LAN và DMZ đi ra Internet
Sau khi tạo xong nhấn "Save" để lưu và nhấn " " để Enable chính sách này
Trang 163.10 Cấu hình NAT MASQUERADING
Cơ chế NAT sẽ xác định mạng nào sẽ NAT ra mạng Bên ngoài Để cấu hình NAT:
Vào "Network Protection" > "NAT" > "New Masquerading Rule "
Cấu hình các thông số cơ bản:
o Network: Mạng sử dụng NAT để đi ra Internet
o Position: Vị trí rule NAT
o Interface: Chọn Interface để đi ra mạng bên ngoài
o User address:<< Primary address >>
Tạo rule NAT để mạng LAN được NAT ra Internet
Tạo rule NAT để mạng LAN và DMZ được NAT ra Internet
Nhấn "Save" và nhấn " " để Enable cấu hình này
Trang 174 CÂU HÌNH CÀI ĐẶT NÂNG CAO
4.1 Cấu hình Uplink Balancing
Mục đích của việc cấu hình Uplink Balncing là để thêm đường backup và load
balancing cho việc kết nối Internet
Để cấu hình Uplink Balancing vào "interface and routing" >> "interfaces" >> "uplink balancing" >> Enable " "
Trong đó:
Active Interfaces: Cấu hình các interface chạy mode active, cho phép tạo nhiều chọn nhiều interfaces và sẽ ưu tiên theo vị trí sắp xếp của interfaces đó (Tức là interfaces nằm trên sẽ hoạt động ưu tiên hơn)
Standby interfaces (optional): cấu hình interfaces chạy mode standby, vẫn cho phép chọn nhiều interfaces và sẽ tự động lên active khi các interfaces được cấu hình trên active interface không hoạt động Mục đích để backup và failover
Change monitoring settings (optional): Mặc định là Automatic monitoring được enable nên sẽ phát hiện các lỗi trên các interfaces
Lưu ý:
Tại active interfaces có thể tuỳ chỉnh "Edit Scheduler"
Tại Monitoring hosts có thể tuỳ chỉnh " Edit Scheduler"
Trang 184.2 Cấu hình phòng chống xâm nhập (IPS)
4.2.1 Cấu hình tính năng phòng chống xâm nhập
Vào Mode "Network Protection" > "Intrusion Prevention" > Tab "Global"> nhấn
"Enable"
Trong đó:
Trang 19o Local Network: Chọn
các đối tượng cần bảo vệ như: Subnet, VLAN hoặc IP mạng nôi bộ cần được bảo vệ
o Policy: Drop Silently - sẽ tự động ngăn chặn các gói tin có dấu hiệu xâm nhập
mà không cần bất kỳ thông báo nào
o Termination Connection: Sẽ kết thúc các kết nối
Nhấn "Apply" để xác nhận chính sách
Nhấn "Open live log" để xem log file
4.2.2 Tính năng Attack Patterns
Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Attack Patterns"
Chọn các mẫu trong danh sách để xác định hoạt động của tấn công và xác nhận có gửi thông báo hay không
Add extra warnings: Được dùng để gửi 1 nhóm các cảnh báo mục tiêu
"Warning-Purposes", cảnh báo này có thể không chính xác nên không được chọn làm mặc định
Notify: Gửi thông báo đến tất cả trọng điểm trong nhóm
Trang 20 Nhấn " " để xác nhận các thông tin lựa chọn
4.2.3 Cấu hình tính năng Anti-DoS/ Flooding
Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Anti-DoS/ Flooding"
Chọn "Use TCP SYN Flood Protection" phòng chống tấn công bằng hình thức TCP SYN Flood
Trong đó:
o Mode: Huỷ gói tin SYN nếu đúng địa chỉ IP nguồn hoặc IP đích hoặc cả IP
nguồn và Ip đích Đầu tiên gói tin SYN sẽ được lọc theo địa chỉ nguồn, nếu
vẫn còn nhiều yêu cầu thì tiếp tục lọc theo địa chỉ IP đích
o Logging:
Off - Tắt logging
Trang 21 Limited - Giới hạn ghi 5 log mỗi giây
Everything - ghi log mọi thứ
o Source Pactket Rate (pactkets/ sencond): 100 - Xác định địa tỷ lệ gói tin được phép của IP nguồn
o Destination Pactket Rate (pactkets/ sencond): 200 - Xác định địa tỷ lệ gói
tin được phép của IP đích
Chọn "Use UDP Flood Protection" phòng chống tấn công bằng hình thức UDP Flood
Trong đó:
o Mode:
Source Address Only
Destination Address Only
Source and Destination Address
o Logging:
Off - Tắt logging
Limited - Giới hạn ghi 5 log mỗi giây
Everything - Ghi log mọi thứ
o Source Pactket Rate (pactkets/ sencond): 200 - xác định địa tỷ lệ gói tin được phép của IP nguồn
o Destination Pactket Rate (pactkets/ sencond): 300 - Xác định địa tỷ lệ gói tin được phép của IP đích
Chọn "Use ICMP Flood Protection" là để chống tấn công bằng hình thức ICMP Flood
Trang 22Trong đó:
o Mode:
Source Address Only
Destination Address Only
Source and Destination Address
o Logging:
Off - Tắt logging
Limited - Giới hạn ghi 5 log mỗi giây
Everything - ghi log mọi thứ
o Source Pactket Rate (pactkets/ sencond): 10 - Xác định địa tỷ lệ gói tin được phép của IP nguồn
o Destination Pactket Rate (pactkets/ sencond): 20 - Xác định địa tỷ lệ gói tin được phép của IP đích
Nhấn "Apply" cho từng hình thưc tấn công để xác nhận
4.2.4 Bật tính năng Anti-Portscan
Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab
"Anti-Portscan": Bật tính năng chống tấn công bằng hình thức Scan Port
Trong đó:
o Action:
Log event only - Chỉ ghi log các sự kiện diễn ra
Drop Traffic - Tự động huỷ các gói tin Port Scan, đây là mode mặc định
Reject Traffic -gửi trả các gói tin portscan
o Limited Logging: giới hạn số lượng ghi log, chỉ mặc định ghi mỗi giây 5 lần
Trang 23 Nhấn "Apply" cho từng hình thưc tấn công để xác nhận
4.2.5 Cấu hình Exception
Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Excetions"
> "New exception list ": Tạo các ngoại lệ để bỏ qua các rule IPS
Trong đó:
o Name: đặt tên của exception
o Skip these checks: Lựa chọn các phương thức để bỏ qua
4.2.6 Cấu hình các mấy chủ sẽ được bảo vệ
Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Advanced"
Trong đó:
Trang 24o Modify Rule: Chọn rule
nào muốn bỏ hoặc không gửi thông báo bằng cách nhập vào Số Rule ID
o HTTP Servers: khai báo máy chủ web
o DNS Servers: khai báo máy chủ DNS
o SMTP Servers: khai báo máy chủ Mail
o SQL Servers: khai báo máy chủ SQL
4.3 Cấu hình Web Filtering
Thiết lập tổng thể (Tab Global)
Khi "Enable" tính năng này, thiết bị Firewall là một máy chủ Proxy Web
Trong đó:
Trang 25o Allowed Networks: Chọn địa chỉ mạng sẽ sử dụng Web Filtering ở chính sách mặc
định
o HTTPS (SSL) Traffic: Chọn để lọc web HTTPS
o Operation mode:
Standard Mode:Tại mode này, Web Filter sẽ lắng nghe Client ở port 8080
(default) Client buộc phải thiết lập máy chủ HTTP Proxy trong trình duyệt
Transparent Mode: Chế độ lọc auto proxy nên không cần khai báo proxy
trên trình duyệt
Full Transparent: mode này chỉ hoạt động khi Firewall ở chế độ Bridging
o Default Authentication: Chọn các chế độ xác thực cho người dùng
Active Directory SSO: ở mode này là xác thực một lần cho người dùng
thông quaActive Directory Single Sign-On (SSO), cần cấu hình trong
"Definitions & Users > Authentication Services > Servers"
Agent: Xác thực thông qua Agent, downloads Agent từ User Portal
Browser:mode này sẽ xác thực người dùng thông qua trình duyệt web
Nhấn "Apply" để hoàn tất thiết lập
Cấu hình chính sách (Tab Policies)
Cấu hình chính sách theo các phân loại cụ thể sau:
Tab Categories: Cho phép (allow) hoặc Khoá (Block) hoặc cảnh báo (Warn) nội dung duyệt web theo các danh mục có sẵnnhư : IT, Game, Job Search,
Nhấn "Save" để lưu các chính sách vừa cấu hình hoặc "Next" để qua chính sách tiếp theo
Trang 26 Tab Websites: tạo các danh sách BlackList/WhiteList để cấm hoặc cho phép một trang web
Nhấn "Save" để lưu các chính sách vừa cấu hình hoặc "Next" để qua chính sách tiếp theo