Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos, Cấu hình tường lửa sophos,
TÀI LIỆU CẤU HÌNH SOPHOS UTM (Unified Threat Management) Version 9.X CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn MỤC LỤC MƠ HÌNH KẾTNỐI 1.1 Chuẩn bị 1.2 Kết nối thiết bị BƯỚC CÀI ĐẶT 2.1 Bước cài đặt 2.2 Các bước cài đặt nâng cao CHI TIẾT CÀI ĐẶTCƠ BẢN 3.1 Cài đặt Software 3.2 Cài đặt thiết bị Hardware 3.3 Khai báo thông số ban đầu 3.4 Bỏ qua cấu hình wizard 3.5 Cấu hình LAN interface 10 3.6 Cấu hình WAN interface 11 3.7 Cấu hình DNS Server 12 3.8 Cấu hình DHCP Server 12 3.9 Cấu hình Firewall Rules 13 3.10 Cấu hình NAT MASQUERADING 16 CÂU HÌNH CÀI ĐẶT NÂNG CAO 17 4.1 Cấu hình Uplink Balancing 17 4.2 Cấu hình phịng chống xâm nhập (IPS) 18 4.2.1 Cấu hình tính phịng chống xâm nhập 18 4.2.2 Tính Attack Patterns 19 4.2.3 Cấu hình tính Anti-DoS/ Flooding 20 4.2.4 Bật tính Anti-Portscan 22 4.2.5 Cấu hình Exception 23 4.2.6 Cấu hình chủ bảo vệ 23 4.3 Cấu hình Web Filtering 24 4.4 Cấu hình Mail Protection 29 4.5 Cấu hình VPN Site-to-Site SSL 29 4.6 Cấu hình VPN Site-to-Site IPSec 32 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn 4.7 Cấu hình Client-to-Site SSL 4.8 Cấu hình Client-to-Site PPTP 32 4.9 Tích hợp AD Authentication 32 4.10 Cấu hình Web Protection nâng cao 33 4.10.1 Cấu hình Web Filtering Profiles 33 4.10.2 Cấu hình Filtering Options 34 4.10.3 Cấu hình Policy Test 39 4.10.4 Cấu hình Application Control 39 4.10.5 Cấu hình FTP (File Transfer Protocol) 41 4.11 Cấu hình phần quản trị backup, notify 43 4.11.1 Cấu hình backup 43 4.11.2 Cấu hình Notifications 45 4.11.3 Cấu hình xem báo cáo 46 4.11.4 Cấu hình gửi báo cáo 47 4.12 Reset password admin 48 4.13 Reset password root 49 4.14 Reset factory default 52 4.15 Cấu hình thay thiết bị Backup-Restore 53 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn MÔ HÌNH KẾTNỐI 1.1 Chuẩn bị Scope of Supply License: Activate license sử dụng trial 30-ngày với đầy đủ tính Xác nhận tập tin quyền (có thể skip bước để dùng trial 30 ngày) CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn 1.2 Kết nối thiết bị Mơ hình kết nối thiết bị FireWall UTM thiết bị LAN, WAN kết nối cổng LAN WAN thiết bị: Kết nối LAN thông qua cổng eth0 (SG 210/230/310/330) cổng MGMT (SG 430/450) Dùng Cable ethernet RJ45 để kết nối từ cổng LAN thiết bị UTM đến thiết bị Switch, Hub mạng internal Kết nối WAN thông qua cổng eth1 (SG 210/230/310/330) cổng định cổng WAN modul mở rộng (SG 430/450) Kết nối từ cổng WAN thiết bị UTM đến INTERNET Các thông số mặc định thiết bị UTM: Internal network card (eth0/MGMT) IP address: 192.168.0.1 Network mask: 255.255.255.0 Default gateway: None DNS proxy: Enabled Firewall: Block all DHCP service: Disabled CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn BƯỚC CÀI ĐẶT 2.1 Bước cài đặt STT CÔNG VIỆC Gắn thiết bị, bật nguồn, gắn cáp Kết nối web admin: https://192.168.0.1:4444 Khai báo thông số ban đầu 10 Bỏ qua Wizard, License: 30 ngày trial Cấu hình LAN Interface Cấu hình WAN Interface Cấu hình DNS server Cấu hình DHCP server (nếu cần) Cấu hình Firewall rules Cấu hình NAT (MASQUERADING) GHI CHÚ CHI TIẾT Mục 3.2 Thông tin công ty, dùng để tạo Certificate theo wizard cần Mục 3.3 Mục 3.4 Mục 3.5 Mục 3.6 Mục 3.7 Mục 3.8 Cho phép LAN Internet Mục 3.9 Mục 3.10 Kết quả: Sau bước cài đặt bản, máy tính LAN có khả Internet 2.2 Các bước cài đặt nâng cao STT 10 11 12 13 14 15 CÔNG VIỆC Cấu hình Link Load balancing Cấu hình IPS Cấu hình Web Protection Cấu hình Email Protection Cấu hình VPN Site-tos-site SSL Cấu hình VPN Site-tos-site IPSec Cấu hình VPN Client-to-site SSL Cấu hình VPN Client-to-site PPTP Tích hợp AD authentication Cấu hình Web Protection nâng cao Cấu hình phần quản trị: backup, notify Reset password admin Reset password root Reset factory default Thay thiết bị: Backup-Restore GHI CHÚ CHI TIẾT Mục 4.1 Mục 4.2 Mục 4.3 Mục 4.4 Mục 4.5 Mục 4.6 Mục 4.7 Mục 4.8 Mục 4.9 Mục 4.10 Mục 4.11 Mục 4.12 Mục 4.13 Mục 4.14 Mục 4.15 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn CHI TIẾT CÀI ĐẶTCƠ BẢN 3.1 Cài đặt Software Sophos cho tải hồn tồn miễn phí phiên hãng Cấu hình tối thiểu phần cứng sau: o 1.5+ GHz processor o GB RAM (2GB Recommended) o 40 GB hard disk o Bootable CD-ROM o or more network cards Có thể tải gói cài đặtUTM v9 software appliance link sau: http://www.sophos.com/en-us/support/utm-downloads.aspx Cài đặt máy ảo Mặc định ta cấu hình thông qua WebAdmin Thông qua địa mặc định: https://192.168.2.100:4444/ Tham khảo thêm Quick Star Guide đây: 3.2 Cài đặt thiết bị Hardware Cài đặt phiên OS: Có thể tải gói cài đặtUTM v9 hardware appliance link sau: http://www.sophos.com/en-us/support/utm-downloads.aspx Các bước tiến hành cài đặt OS: CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn o Download phiên ISO image o o o o o Ghi ISO image vào disc CD Insert CD and boot the Sophos UTM appliance from the CD-ROM USB drive Follow the on-screen installation instructions The WebAdmin URL will be shown in the final step of the installation Point your browser to the web-based configuration tool (WebAdmin) Follow the wizard to setup a basic configuration Mặc định truy cập cấu port Eth0 Với địa ip mặc định https://192.168.0.1:4444/ Đầu tiên Login vào WebAdmin ta thiết lập thông số cho hệ thống sau (chỉ thiết lập lần login thay đổi sau) 3.3 Khai báo thơng số ban đầu Thuộc tính Hostname Company or Organization Name City Country Admin account password Repeat password Admin account email address Mô tả Tên thiết bị tên công ty, tổ chức tên thành phố chọn quốc gia gõ mật admin nhập lại mật admin nhập địa email sau thiết bị tự động gửi báo cáo CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Sau check vào "I accept the license agreement" sau Click "Perform basic system setup" Đợi khoảng 40 giây đăng nhập lại ta giao diện LOGIN sau: 3.4 Bỏ qua cấu hình wizard Sau Login vào hệ thống yêu cầu cấu hình theo Wizard chọn Continue CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Chọn Restore a backup trước có file cấu hình sẵn để phục hồi cấu hình Nhấn "Cancel" để bỏ qua bước cấu hình cho thiết bị từ đầu 3.5 Cấu hình LAN interface Vào mode "Interface & Routing" > "Inerface" > "New interface" Cấu hình thơng số bản: o Name: Tên Interface o Type: Gồm lựa chọn như: Group: Nhóm lớp mạng, host thành Group 3G/UMTS: (Universal Mobile Telecommunications Systems) chuẩn dùng sóng 3G gắn thiết bị 3G DSL PPOA/PPTP DSL PPOE: quay số thay cho Router DSL Ethernet DHCP: Nếu cấp phát IP động cho mạng nội Ethernet Static: Nếu cắm cáp RJ45 địa IP tĩnh Ethernet VLAN: Nếu chia IP theo Vlan Modem (PPP): Kết nối UTM với Modem, cần có Username, Password chuỗi Dial o Hardware: Chọn interface thiết bị o IPv4 Address: Nhập địa IP cho interface o NetMask: Chọn mặt nạ cho địa IP o IPv4 Default GW: Địa IP Của Gateway để ngồi Internet o Comment: Mơ tả nội dung Interface (nếu muốn) 10 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Skip Transparent mode destination hosts/nets: Khi truy cập đến địa IP mạng, URLs thiết lập không bị Filter Allow HTTP/S traffic for listed hosts/nets: Cho phép truy cập không cần qua Proxy 4.10.3 Cấu hình Policy Test Nhập thơng tin Domain cần test URLs để xem kế bên phải hình (Allowed Bloccked) 4.10.4 Cấu hình Application Control Vào "Applicatio Control" > Enable chức 39 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Cấu hình Application Control Rules >>Tạo "New Rule " Trong đó: o Name: Tên rule o Group: Tạo Group IP, Network rules o Action: Block Allow o Control by: Chọn Applications Dynamic Filter o Control these Applications: Thêm ứng dụng muốn Block Allow Cấu hình danh sách bỏ qua tính Application Control 40 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Application Control Skiplist: Cho phép thêm IP , Hosts để bỏ qua Application Control 4.10.5 Cấu hình FTP (File Transfer Protocol) Cấu hình tổng thể Trong đó: o Allow network: Lựa chọn mạng phép dịch vụ FTP o Operation Mode: Lựa chọn cách thức hoạt động FTP Cấu hình FTP-Antivirus: Cấu hình tính qt virus chạy giao thức FTP Trong đó: 41 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn o Use Antivirus scanning: Có thể chọn Single-Scan Dual-Scan để quét virus o Max scanning size: Chọn kích thước file để scan o File Extension filter: Thêm vào file có phần mở rộng mà muốn Block Cấu hình Exception: tạo danh sách ngoại lệ để bỏ qua rule như: Antivius, files Extention, 42 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Cấu hình Advaced: Cho phép tạo danh sách host, IP để FTP proxy bỏ qua 4.11 Cấu hình phần quản trị backup, notify 4.11.1 Cấu hình backup Vào mode Management > "Backup/Restore" > tab "Backup/Restore" thực việc Backup cho hệ thống Quá trình thực hiện: o Nhập tên file backup Comment (Optional) 43 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn o Có thể khơng cho hiển thị thơng tin license, password, Endoint, Certificates/keys địa mail người quản trị o Click vào nnút "Create backup now" để thực q trình backup o Sau download file bakup click vào biểu tượng " " Chuyển qua tab "Automatic Backups" Tại cho phép cấu hình thơng tin để backup tự động như: o Thời gian thực backup: Daily, Weekly, Monthly o Giới hạn số lượng file backup lưu thiết bị o Gửi file backup mail định o Cho phép mã hoá email thực gửi file backup 44 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Hồn tất click nút "Apply" để lưu cấu hình 4.11.2 Cấu hình Notifications Vào mode Management > "Notificaions" > tab "Global" thực việc định thông báo đến email định Nhấn Apply để save thiết lập 45 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Qua tab "Notifications" để cấu hình lựa chọn cho việc gửi notifications đến email định Click nút Apply cho loại (Base System, Endpoint, HA/Cluster, IPS, Loging&Reporting, SeftMonitor, Up2date) 4.11.3 Cấu hình xem báo cáo Vào Loging and Reporting >> View Log Files o Tab " Today's log file" xem file log ngày "Live log" xem log diễn ra, "view" xem log ngày, "Clear log" xố log 46 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn o Tab "Archived Log Files" Lưu log ngày trước dó, download máy tính để xem o Tab "Search Log File" tìm file log theo loại theo thời gian để xem 4.11.4 Cấu hình gửi báo cáo Vào loging and reporting >> Executive Report >> Tab "View report" Nhấn Generate Report Now để xem thông tin phần cứng ứng dụng Tab " Archived Executive Report" Chọn report lưu trước để tải máy xem Tab "Configuration": o Daily executive report: Gửi báo cáo hàng ngày o Archive PDF reports: gửi gói báo cáo dạng PDF o Send reports as PDF instead of HTML: gửi dạng PDF thay cho HTML o Email address: Địa email nhận báo cáo 47 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Tương tự cấu hình với Weekly Monthly 4.12 Reset password admin Tiến hành reset password admin, đảm bảo login vào quyền root Đứng mode root, nhấn lệnh "cc" enter, sau sẽlàm việc với mode 127.0.0.1 MAIN> giao diện command-line Tại 127.0.0.1 MAIN> gõ "RAW", chuyển mode RAW Tiếp tục gõ "system_password_reset" 48 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Sau đăng nhập lại vào webadmin, Sẽ yêu cầu đặt lại password Nhấn "Apply " để lưu lại thơng tin vừa reset Và đăng nhập với quyền Admin 4.13 Reset password root Cách 1: Reset qua giao diện command-line Khởi động lại Sophos UTM, giao diện Command-line nhấn "ESC": 49 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Chọn Sophos UTM 9.x beta hình (khơng chọn "previous" hay "rescue") Tiếp theo, chọn dịng lệnh "kernel" cách nhấn phím "e" (khơng nhấn enter") Nhấn lại phím "e" lần nhập dòng lệnh "init=/bin/bash" vào cuối đoạn text Nhấn "enter" sau nhấn phím "b" để reboot sophos UTM Sau reboot xong, trỏ nằm vị trí "(none:/#_)" o Đến bước reset password Password loginuser nhâp "passwd loginuser" o nhập nhập lại password tài khoản "loginuser" o Đến tài khoản root: "passwd root" 50 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn o nhập nhập lại password tài khoản "root" Nhấn "Ctrl+Alt+Delete" để khởi động lại sophos UTM đăng nhập để check lại thông tin vừa reset Cách 2: Reset qua giao diện webadmin Đăng nhập vào webadmin Vào Management | System Settings | Reset Configurations or Passwords chọn 'Run factory reset now' 51 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn 4.14 Reset factory default Cách 1: Reset với giao diện command-line Tiến hành reset factory default, đảm bảo login vào quyền root Tiến trình tương tự reset password admin Đứng mode root, nhấn lệnh "cc" enter, sau sẽlàm việc với mode 127.0.0.1 MAIN> giao diện command-line Tại 127.0.0.1 MAIN> gõ "RAW", chuyển mode RAW Tiếp tục gõ "system_factory_reset" Nhấn "enter" sau hoàn thành thiết bị shutdown 52 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn Cách 2: Reset với giao diện Webadmin Đăng nhập vào webadmin Vào Management | System Settings | Reset Configurations or Passwords chọn 'Run factory reset now' 4.15 Cấu hình thay thiết bị Backup-Restore Khi thay thiết bị, cần cấu hình Restore từ file backup Vào mode Management > "Backup/Restore" > tab "Backup/Restore" thực việc Restore cho hệ thống o Chọn file cần backup tiến hành upload o Chọn "Import backup" để thực việc restore 53 CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016 A: 20 Tăng Bạt Hổ, P 11, Q Bình Thạnh, Tp HCM P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn ... Sau bước cài đặt bản, máy tính LAN có khả Internet 2.2 Các bước cài đặt nâng cao STT 10 11 12 13 14 15 CƠNG VIỆC Cấu hình Link Load balancing Cấu hình IPS Cấu hình Web Protection Cấu hình Email... 3.10 Cấu hình NAT MASQUERADING 16 CÂU HÌNH CÀI ĐẶT NÂNG CAO 17 4.1 Cấu hình Uplink Balancing 17 4.2 Cấu hình phịng chống xâm nhập (IPS) 18 4.2.1 Cấu hình. .. Protection Cấu hình VPN Site-tos-site SSL Cấu hình VPN Site-tos-site IPSec Cấu hình VPN Client-to-site SSL Cấu hình VPN Client-to-site PPTP Tích hợp AD authentication Cấu hình Web Protection nâng cao Cấu