Sophos NGFW [Lab 2-3] Cấu hình Routing (Static Route, OSPF và Gateway) trên Sophos XG

Ở Lab này, chúng ta sẽ giải quyết bài toán định tuyến (Routing). Để các lớp mạng bên trong có thể giao tiếp với nhau hoặc đi ra Internet, Firewall cần được "chỉ đường" chuẩn xác thông qua Gateway, Static Route và giao thức định tuyến động OSPF.

Dưới đây là các bước triển khai:

Bước 1: Khai báo Gateway
Gateway đóng vai trò là cửa ngõ để đẩy lưu lượng ra khỏi mạng nội bộ.

• Vào menu Routing -> chọn tab Gateways.
• Nhấn Add ở góc phải để tạo Gateway mới.
• Cấu hình các thông số cơ bản:
  • Name (Tên Gateway, VD: GW_WAN),
  • Gateway IP (Quan trọng): Đây là IP của thiết bị cấp mạng (Next-hop) nằm ngay phía trước tường lửa.
    • Mẹo nhỏ: Mọi người xem cổng WAN của mình đang nhận IP dải nào thì trỏ về Gateway của dải đó. Trong Lab này, PortB của mình nhận IP 10.0.137.32 nên mình sẽ điền Gateway là 10.0.137.254
  • Interface kết nối tương ứng (VD: PortB - 10.0.137.32).
  • Zone: Chọn vùng mạng là WAN
• Nhấn Save để lưu.

Bước 2: Cấu hình Định tuyến tĩnh (Static Route)Nếu Gateway ở Bước 1 là cửa ngõ chung, thì Static Route là việc bạn "vẽ đường" thủ công cho Firewall biết cách đi đến một dải mạng cụ thể nào đó (thường là các dải mạng LAN nằm sau một con Core Switch hoặc Router khác).

• Chuyển sang tab Static routing (vẫn trong menu Routing).
• Tại mục IPv4 unicast route, nhấn Add.
• Điền các thông số định tuyến:
  • Destination IP / Netmask: Dải mạng đích mà bạn muốn gói tin đi tới. (Ví dụ: Đằng sau Firewall của bạn có một con Switch chia VLAN, bạn muốn Tường lửa biết đường đi tới VLAN Kế toán 192.168.20.0/24, thì bạn điền dải IP này vào đây).
  • Gateway: Chọn trạm tiếp theo để đến được đích. (Theo ví dụ trên, trạm tiếp theo chính là địa chỉ IP của con Core Switch đang nối trực tiếp với Firewall).
  • Interface: Chọn cổng của Firewall đang cắm dây nối với cái Gateway đó.
• Nhấn Save để áp dụng rule định tuyến.

Bước 3: Cấu hình Định tuyến động (OSPF)Trong mô hình mạng lớn có quá nhiều dải IP, việc "vẽ đường" thủ công (Static Route) sẽ rất mất thời gian và dễ sai sót. Lúc này ta dùng OSPF để các thiết bị tự động "nói chuyện" và trao đổi bản đồ mạng cho nhau.

• Chuyển sang tab OSPF.
• Tại ô Router ID, bạn đặt một địa chỉ IP định danh cho Firewall (Ví dụ: 1.1.1.1). Giải thích: Router ID giống như cái "Căn cước công dân" để con Firewall xưng tên với các Router khác trong mạng OSPF.

• Areas: Nhấn Add để khai báo vùng. Thường chúng ta sẽ khai báo vùng trung tâm (Backbone) với Area ID là 0.0.0.0.
• Networks: Nhấn Add để khai báo các mạng đang kết nối. Mẹo nhỏ: Ở đây bạn sẽ thêm các dải mạng mà con Firewall đang trực tiếp quản lý, mục đích là để nó "khoe" với các Router khác rằng: "Này, tôi biết đường đi đến các mạng này, ai muốn tới đó thì cứ đưa gói tin cho tôi". Nhớ gán chúng vào Area 0.0.0.0 vừa tạo nhé.

• Kéo xuống dưới cùng nhấn Apply để thiết lập có hiệu lực.

Vậy là chúng ta đã hoàn tất việc "thông mạch" định tuyến cho toàn bộ hệ thống. Thông qua việc thiết lập Gateway làm cửa ngõ ra Internet, dùng Static Route để chỉ định đường đi tĩnh và bật OSPF để tường lửa tự động trao đổi bản đồ mạng, hệ thống giờ đây đã biết chính xác cách điều phối các luồng dữ liệu đi và đến một cách trơn tru.
Đến đây, phần khung xương hạ tầng mạng đã hoàn toàn vững vàng. Ở Lab tiếp theo, chúng ta sẽ bước vào nhiệm vụ cốt lõi của một thiết bị NGFW: Khởi tạo các Object và xây dựng Security Policy (Firewall Rule) để kiểm soát chặt chẽ quyền truy cập của người dùng. Hẹn gặp lại mọi người ở chặng sau nhá :3