Chung Anh Kiệt
Intern
Chào anh em, sau khi đã thông đường định tuyến ở các Lab trước, giờ là lúc chúng ta bắt tay vào việc chính của Firewall: Kiểm soát xem ai được phép đi đâu, làm gì trong hệ thống mạng của mình.
Để làm được việc này một cách khoa học, chúng ta sẽ đi qua 2 bước cốt lõi: Tạo Object (Đối tượng) và áp dụng Security Policy (Chính sách bảo mật/Firewall Rule).
Bước 1: Khởi tạo Object (Đối tượng mạng)Thay vì mỗi lần tạo Rule anh em phải gõ đi gõ lại những dải IP khô khan và dễ nhầm lẫn, Sophos XG cho phép chúng ta "đóng gói" chúng lại thành các Object có tên gọi dễ nhớ.
Bước 2: Xây dựng Security Policy (Firewall Rule)
Đây là nơi anh em thiết lập luật lệ. Giả sử mình sẽ làm một Rule cơ bản nhất: Cho phép cái dải mạng LAN_Vung_Cam vừa tạo ở trên được phép đi ra Internet (WAN).
Vậy là anh em đã tự tay "mở cổng" thành công cho mạng nội bộ ra ngoài Internet. Bằng cách quy hoạch các dải IP thành Object, bộ luật (Policy) của hệ thống nhìn sẽ cực kỳ khoa học, chuyên nghiệp và dễ bảo trì sau này. Thêm vào đó, việc nắm bắt được cơ chế Linked NAT (MASQ) trên giao diện firmware mới chính là chìa khóa then chốt giúp luồng dữ liệu của chúng ta vượt qua tường lửa trơn tru mà không bị rớt mạng.
Đây chính là nguyên lý cốt lõi nhất của mọi dòng NGFW. Về sau, anh em chỉ cần dùng đúng cái "sườn" này, linh hoạt tạo thêm các Object khác và tinh chỉnh hành động (Accept/Drop) là đã có thể siết chặt an ninh cho bất kỳ mô hình mạng nào.
Bây giờ thì anh em cứ bật máy ảo Client ở lớp LAN lên, ping thử ra 8.8.8.8 hoặc lướt web để tận hưởng thành quả cấu hình nãy giờ nhé. Chúc mọi người thực hành mượt mà và hẹn gặp lại ở những bài Lab tiếp theo!
Để làm được việc này một cách khoa học, chúng ta sẽ đi qua 2 bước cốt lõi: Tạo Object (Đối tượng) và áp dụng Security Policy (Chính sách bảo mật/Firewall Rule).
Bước 1: Khởi tạo Object (Đối tượng mạng)Thay vì mỗi lần tạo Rule anh em phải gõ đi gõ lại những dải IP khô khan và dễ nhầm lẫn, Sophos XG cho phép chúng ta "đóng gói" chúng lại thành các Object có tên gọi dễ nhớ.
- Thao tác: Ở menu bên trái, tìm đến mục Hosts and services -> chọn tab IP host.
- Nhấn nút Add ở góc phải để tạo mới.
- Name: Đặt tên gợi nhớ cho dải IP/Thiết bị (Ví dụ: LAN_Vung_Cam)
- Type: Chọn IP (nếu là 1 máy cụ thể) hoặc Network (nếu là cả một dải mạng).
- IP address/Subnet: Nhập đúng IP hoặc dải mạng tương ứng vào.
- Nhấn Save để lưu. (Anh em cứ thế tạo sẵn một loạt Object tương ứng với sơ đồ mạng của mình để lát lôi ra dùng cho tiện nhé).
Bước 2: Xây dựng Security Policy (Firewall Rule)
Đây là nơi anh em thiết lập luật lệ. Giả sử mình sẽ làm một Rule cơ bản nhất: Cho phép cái dải mạng LAN_Vung_Cam vừa tạo ở trên được phép đi ra Internet (WAN).
- Thao tác: Vào menu Rules and policies -> tab Firewall rules.
- Nhấn Add firewall rule -> Chọn New firewall rule.
- Khai báo các thông số cốt lõi:
- Rule name: Đặt tên rõ ràng dễ quản lý (Ví dụ: Allow_LAN_Vung_Cam_to_WAN).
- Action: Chọn Accept (Cho phép).
- Source: * Source zones: Chọn LAN.
- Source networks and devices: Xổ xuống và chọn đúng cái Object LAN_Vung_Cam anh em vừa tạo ở Bước 1
- Destination & services:
- Destination zones: Chọn WAN (Hướng ra ngoài).
- Destination networks: Chọn Any (Đi đâu trên Internet cũng được).
- Services: Chọn Any (Cho phép mọi dịch vụ).
- LƯU Ý CỰC QUAN TRỌNG (Cập nhật cho bản Firmware mới): * Từ bản SFOS v18 trở đi, phần NAT đã được hãng tách riêng chứ không nằm ở dưới cùng nữa. Anh em cuộn màn hình xuống, tìm dòng chữ màu xanh dương Create linked NAT rulevà click thẳng vào đó.
- Một bảng cấu hình NAT nhỏ sẽ bật lên. Tại mục Translated source (SNAT), anh em giữ nguyên tùy chọn mặc định là MASQ (Masquerade) rồi nhấn Save trên cái bảng nhỏ đó. (Nếu quên kích hoạt NAT chỗ này, mạng LAN có đẩy được gói tin tới Firewall thì cũng sẽ "tịt ngòi", không thể ra ngoài Internet được đâu).
- Cuối cùng, kéo xuống dưới cùng và nhấn nút Save màu xanh bự chảng để áp dụng Rule này vào hệ thống.
Vậy là anh em đã tự tay "mở cổng" thành công cho mạng nội bộ ra ngoài Internet. Bằng cách quy hoạch các dải IP thành Object, bộ luật (Policy) của hệ thống nhìn sẽ cực kỳ khoa học, chuyên nghiệp và dễ bảo trì sau này. Thêm vào đó, việc nắm bắt được cơ chế Linked NAT (MASQ) trên giao diện firmware mới chính là chìa khóa then chốt giúp luồng dữ liệu của chúng ta vượt qua tường lửa trơn tru mà không bị rớt mạng.
Đây chính là nguyên lý cốt lõi nhất của mọi dòng NGFW. Về sau, anh em chỉ cần dùng đúng cái "sườn" này, linh hoạt tạo thêm các Object khác và tinh chỉnh hành động (Accept/Drop) là đã có thể siết chặt an ninh cho bất kỳ mô hình mạng nào.
Bây giờ thì anh em cứ bật máy ảo Client ở lớp LAN lên, ping thử ra 8.8.8.8 hoặc lướt web để tận hưởng thành quả cấu hình nãy giờ nhé. Chúc mọi người thực hành mượt mà và hẹn gặp lại ở những bài Lab tiếp theo!
Bài viết liên quan
Bài viết mới