Tải bản đầy đủ (.pdf) (53 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Cài đặt và cấu hình tường lửa Sophos

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.27 MB, 53 trang )

TÀI LIỆU CẤU HÌNH
SOPHOS UTM
(Unified Threat Management)

Version 9.X

1
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


MỤC LỤC
1

2

3

4

MÔ HÌNH KẾTNỐI .................................................................................................................. 4
1.1

Chuẩn bị ............................................................................................................................ 4

1.2

Kết nối thiết bị ................................................................................................................... 5

BƯỚC CÀI ĐẶT ...................................................................................................................... 6


2.1

Bước cài đặt cơ bản............................................................................................................ 6

2.2

Các bước cài đặt nâng cao .................................................................................................. 6

CHI TIẾT CÀI ĐẶTCƠ BẢN ................................................................................................... 7
3.1

Cài đặt bản Software .......................................................................................................... 7

3.2

Cài đặt trên thiết bị Hardware............................................................................................. 7

3.3

Khai báo thông số ban đầu ................................................................................................. 8

3.4

Bỏ qua cấu hình wizard ...................................................................................................... 9

3.5

Cấu hình LAN interface ................................................................................................... 10

3.6


Cấu hình WAN interface .................................................................................................. 11

3.7

Cấu hình DNS Server ....................................................................................................... 12

3.8

Cấu hình DHCP Server .................................................................................................... 12

3.9

Cấu hình Firewall Rules ................................................................................................... 13

3.10

Cấu hình NAT MASQUERADING ................................................................................. 16

CÂU HÌNH CÀI ĐẶT NÂNG CAO ........................................................................................ 17
4.1

Cấu hình Uplink Balancing .............................................................................................. 17

4.2

Cấu hình phòng chống xâm nhập (IPS) ............................................................................ 18

4.2.1


Cấu hình tính năng phòng chống xâm nhập. ............................................................. 18

4.2.2

Tính năng Attack Patterns ........................................................................................ 19

4.2.3

Cấu hình tính năng Anti-DoS/ Flooding.................................................................... 20

4.2.4

Bật tính năng Anti-Portscan ..................................................................................... 22

4.2.5

Cấu hình Exception .................................................................................................. 23

4.2.6

Cấu hình các mấy chủ sẽ được bảo vệ ...................................................................... 23

4.3

Cấu hình Web Filtering .................................................................................................... 24

4.4

Cấu hình Mail Protection ................................................................................................. 29


4.5

Cấu hình VPN Site-to-Site SSL........................................................................................ 29

4.6

Cấu hình VPN Site-to-Site IPSec ..................................................................................... 32
2

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


4.7

Cấu hình Client-to-Site SSL..............................................

4.8

Cấu hình Client-to-Site PPTP ........................................................................................... 32

4.9

Tích hợp AD Authentication ............................................................................................ 32

4.10

Cấu hình Web Protection nâng cao ................................................................................... 33


4.10.1

Cấu hình Web Filtering Profiles ............................................................................... 33

4.10.2

Cấu hình Filtering Options....................................................................................... 34

4.10.3

Cấu hình Policy Test ................................................................................................ 39

4.10.4

Cấu hình Application Control................................................................................... 39

4.10.5

Cấu hình FTP (File Transfer Protocol) .................................................................... 41

4.11

Cấu hình phần quản trị backup, notify .............................................................................. 43

4.11.1

Cấu hình backup ...................................................................................................... 43

4.11.2


Cấu hình Notifications.............................................................................................. 45

4.11.3

Cấu hình xem báo cáo .............................................................................................. 46

4.11.4

Cấu hình gửi báo cáo ............................................................................................... 47

4.12

Reset password admin ...................................................................................................... 48

4.13

Reset password root ......................................................................................................... 49

4.14

Reset factory default ........................................................................................................ 52

4.15

Cấu hình thay thế thiết bị Backup-Restore ........................................................................ 53

3
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn



1 MÔ HÌNH KẾTNỐI
1.1 Chuẩn bị
 Scope of Supply

 License: Activate license hoặc sử dụng trial 30-ngày với đầy đủ tính năng.
Xác nhận tập tin bản quyền (có thể skip bước này để dùng trial 30 ngày).

4
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


1.2

Kết nối thiết bị

Mô hình kết nối thiết bị FireWall UTM và các thiết bị LAN, WAN

kết nối cổng LAN và WAN của thiết bị:
 Kết nối LAN thông qua cổng eth0 (SG 210/230/310/330) hoặc cổng MGMT
(SG 430/450). Dùng Cable ethernet RJ45 để kết nối từ cổng LAN trên thiết bị
UTM đến thiết bị Switch, Hub trong mạng internal.
 Kết nối WAN thông qua cổng eth1 (SG 210/230/310/330) hoặc bất kỳ cổng
nào được chỉ định cổng WAN hoặc trên các modul mở rộng (SG 430/450). Kết
nối từ cổng WAN của thiết bị UTM đến INTERNET.
Các thông số mặc định trên thiết bị UTM:









Internal network card (eth0/MGMT)
IP address: 192.168.0.1
Network mask: 255.255.255.0
Default gateway: None
DNS proxy: Enabled
Firewall: Block all
DHCP service: Disabled

5
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


2 BƯỚC CÀI ĐẶT
2.1 Bước cài đặt cơ bản
STT
CÔNG VIỆC
1
Gắn thiết bị, bật nguồn, gắn cáp
2
Kết nối web admin:
https://192.168.0.1:4444

3
Khai báo thông số ban đầu
4
5
6
7
8
9
10

Bỏ qua Wizard, License: 30 ngày
trial
Cấu hình LAN Interface
Cấu hình WAN Interface
Cấu hình DNS server
Cấu hình DHCP server (nếu cần)
Cấu hình Firewall rules
Cấu hình NAT
(MASQUERADING)

GHI CHÚ

CHI TIẾT
Mục 3.2

Thông tin công ty, dùng
để tạo Certificate
có thể theo wizard nếu
cần


Mục 3.3
Mục 3.4

Mục 3.5
Mục 3.6
Mục 3.7
Mục 3.8
Cho phép LAN ra Internet Mục 3.9
Mục 3.10

Kết quả: Sau các bước cài đặt cơ bản, máy tính LAN có khả năng đi ra Internet.
2.2 Các bước cài đặt nâng cao
STT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

CÔNG VIỆC

Cấu hình Link Load balancing
Cấu hình IPS
Cấu hình Web Protection
Cấu hình Email Protection
Cấu hình VPN Site-tos-site SSL
Cấu hình VPN Site-tos-site IPSec
Cấu hình VPN Client-to-site SSL
Cấu hình VPN Client-to-site PPTP
Tích hợp AD authentication
Cấu hình Web Protection nâng cao
Cấu hình phần quản trị: backup, notify
Reset password admin
Reset password root
Reset factory default
Thay thế thiết bị: Backup-Restore

GHI CHÚ

CHI TIẾT
Mục 4.1
Mục 4.2
Mục 4.3
Mục 4.4
Mục 4.5
Mục 4.6
Mục 4.7
Mục 4.8
Mục 4.9
Mục 4.10
Mục 4.11

Mục 4.12
Mục 4.13
Mục 4.14
Mục 4.15
6

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


3 CHI TIẾT CÀI ĐẶTCƠ BẢN
3.1 Cài đặt bản Software
 Sophos cho tải hoàn toàn miễn phí các phiên bản của hãng.
 Cấu hình tối thiểu phần cứng như sau:
o 1.5+ GHz processor
o 1 GB RAM (2GB Recommended)
o 40 GB hard disk
o Bootable CD-ROM
o 2 or more network cards
Có thể tải gói cài đặtUTM v9 software appliance tại link sau:
/> Cài đặt trên máy ảo.

 Mặc định ta cấu hình thông qua WebAdmin
Thông qua địa chỉ mặc định: https://192.168.2.100:4444/
Tham khảo thêm Quick Star Guide ở đây: < />3.2 Cài đặt trên thiết bị Hardware
 Cài đặt phiên bản OS:
Có thể tải gói cài đặtUTM v9 hardware appliance tại link sau:
/>Các bước tiến hành cài đặt OS:
7

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


o Download phiên bản ISO image
o
o
o
o
o

mới nhất.
Ghi ISO image vào disc CD.
Insert CD and boot the Sophos UTM appliance from the CD-ROM USB drive.
Follow the on-screen installation instructions. The WebAdmin URL will be
shown in the final step of the installation.
Point your browser to the web-based configuration tool (WebAdmin).
Follow the wizard to setup a basic configuration.

 Mặc định truy cập cấu tại port Eth0.
Với địa chỉ ip mặc định là https://192.168.0.1:4444/
 Đầu tiên khi Login vào WebAdmin ta sẽ thiết lập các thông số cơ bản cho hệ
thống như sau (chỉ thiết lập lần đầu tiên khi login và có thể thay đổi sau).
3.3 Khai báo thông số ban đầu
Thuộc tính
Hostname
Company or Organization
Name
City

Country
Admin account password
Repeat password
Admin account email address

Mô tả
Tên thiết bị
tên công ty, tổ chức
tên thành phố
chọn quốc gia
gõ mật khẩu admin
nhập lại mật khẩu admin
nhập địa chỉ email sau này thiết bị sẽ tự
động gửi các báo cáo

8
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


Sau đó check vào "I accept the license agreement" sau đó Click "Perform basic
system setup".
 Đợi khoảng 40 giây rồi đăng nhập lại ta được giao diện LOGIN như sau:

3.4 Bỏ qua cấu hình wizard
 Sau khi Login vào hệ thống yêu cầu cấu hình theo Wizard thì chọn Continue
9
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM

P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


 Chọn Restore a backup nếu trước đó đã có file cấu hình sẵn để phục hồi cấu hình.
 Nhấn "Cancel" để bỏ qua bước trên và cấu hình mới cho thiết bị từ đầu.
3.5 Cấu hình LAN interface
 Vào mode "Interface & Routing" > "Inerface" > "New interface".
Cấu hình các thông số cơ bản:
o Name:
Tên của Interface.
o Type:
Gồm các lựa chọn như:
 Group: Nhóm các lớp mạng, các host thành 1 Group.
 3G/UMTS: (Universal Mobile Telecommunications Systems)
là chuẩn dùng sóng 3G khi gắn các thiết bị 3G.
 DSL PPOA/PPTP và DSL PPOE: nếu quay số thay thế cho
Router DSL.
 Ethernet DHCP: Nếu cấp phát IP động cho mạng nội bộ.
 Ethernet Static: Nếu cắm cáp RJ45 và địa chỉ IP tĩnh.
 Ethernet VLAN: Nếu chia IP theo Vlan.
 Modem (PPP): Kết nối UTM với Modem, cần có Username,
Password và chuỗi Dial.
o Hardware:
Chọn interface trên thiết bị.
o IPv4 Address:
Nhập địa chỉ IP cho interface.
o NetMask:
Chọn mặt nạ cho địa chỉ IP.
o IPv4 Default GW: Địa chỉ IP Của Gateway để đi ra ngoài Internet.
o Comment:

Mô tả nội dung của Interface (nếu muốn).

10
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


 Sau khi tạo xong nhấn "Save" để lưu và nhấn "
interface đó hoạt động.

" Enable interface đó để

3.6 Cấu hình WAN interface
 Vào mode "Interface & Routing" > "Inerface" > "New interface".
Tương tự cấu hình LAN nhưng chỉ định cổng dùng để kết nối internet. Interface
external (WAN ) được chỉ định trong hình dưới là cổng Ethe1.

11
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn



Sau khi tạo xong nhấn "Save" để lưu
và nhấn "
" Enable interface đó để interface đó hoạt động.
 Hoặc quản trị muốn tạo thêm các interface DMZ, VLAN... thì có thể tạo tương tự
hình bên dưới.


3.7 Cấu hình DNS Server
 Cấu hình DNS
Khi cấu hình NAT và Interface thì mặc định DNS sẽ dùng địa chỉ Internal làm DNS.

Muốn dùng DNS server thì qua tab "Forwarders" tạo DNS trỏ về địa chỉ DNS server.
3.8 Cấu hình DHCP Server
 cấu hình DHCP vào "Network Service" > "DHCP" > "New DHCP Server"
Trong đó:
12
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


o
o
o
o
o
o
o

Interface: Mạng cần cấp

DHCP.
Range Start và Range End:địa chỉ IP bắt đầu và IP kết thúc, đây là dãy IP
sẽ cấp cho mạng Internal.
DNS server 1: Sẽ mặc định dùng DNS đã cấu hình ở mode "Network
Service" > "DNS".

DNS server 2: (có thể bỏ trống).
Default GW: (chỉ dùng cho IPv4) địa chi IP của default GW.
Domain: Nhập tên domain vào.
Lease time: Khoảng thời gian dùng một Ip. nhỏ nhất 600 giây, lớn nhất
2,592,000 giây (1 tháng). Default là 86,400 giây (1 ngày).

 Nhấn "Save" để lưu thông tin cấu hình DHCP.

3.9

Cấu hình Firewall Rules

 Vào "Network Protection" > "Firewall" > "New Rule"
13
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


Cấu hình các thông số cơ bản:
o Group: Chọn New Group nếu muốn đặt tên nhóm các chính sách liên quan
đến nhau.
o Position: Vị trí của rule đang tạo (Gồm: Top; Bottom) mặc định các chính
sách sẽ được duyệttheo trình tự từ trên xuống dưới. Nên đặt các Rule nội bộ ở
trên.
o Source: Địa chỉ nguồn của gói tin (gồm: Host, Network, DNS host, Range,
Network Group,...)
o Services: Các dịch vụ sẽ cho phép/ không cho phép.
o Destination: Địa chỉ đích của nơi nhận gói tin. (gồm: Host, Network, DNS
host, Range, Network Group,...)

o Action:
 Allow: Cho phép.
 Drop: Huỷ gói tin.
 Reject: Gửi trả gói tin ngược lại.
o Time period: Thời gian thực thi chính sách. <<Always>> Luôn thực thi;
<<Lunch>> giờ ăn trưa; <work hours>> giờ làm việc;<<weekend >> Cuối
tuần;...
o Log traffic: Ghi log lại hoạt động của chính sách này.
 Tạo Rule cho phép LAN đi ra internet.

 Hoặc tạo rule cho vùng LAN đi vào DMZ và ngược lại

14
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


 Tạo rule cho phép LAN và DMZ đi ra Internet

 Sau khi tạo xong nhấn "Save" để lưu và nhấn "

" để Enable chính sách này.

15
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn



3.10

Cấu hình NAT

MASQUERADING
Cơ chế NAT sẽ xác định mạng nào sẽ NAT ra mạng Bên ngoài. Để cấu hình NAT:
 Vào "Network Protection" > "NAT" > "New Masquerading Rule..."
Cấu hình các thông số cơ bản:
o Network: Mạng sử dụng NAT để đi ra Internet.
o Position: Vị trí rule NAT
o Interface: Chọn Interface để đi ra mạng bên ngoài.
o User address:<< Primary address >>
 Tạo rule NAT để mạng LAN được NAT ra Internet

 Tạo rule NAT để mạng LAN và DMZ được NAT ra Internet.

 Nhấn "Save" và nhấn "

" để Enable cấu hình này.
16

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


4

CÂU HÌNH CÀI ĐẶT NÂNG CAO


4.1 Cấu hình Uplink Balancing
Mục đích của việc cấu hình Uplink Balncing là để thêm đường backup và load
balancing cho việc kết nối Internet.
Để cấu hình Uplink Balancing vào "interface and routing" >> "interfaces" >> "uplink
balancing" >> Enable "
"
Trong đó:
 Active Interfaces: Cấu hình các interface chạy mode active, cho phép tạo
nhiều chọn nhiều interfaces và sẽ ưu tiên theo vị trí sắp xếp của interfaces đó
(Tức là interfaces nằm trên sẽ hoạt động ưu tiên hơn).
 Standby interfaces (optional): cấu hình interfaces chạy mode standby, vẫn cho
phép chọn nhiều interfaces và sẽ tự động lên active khi các interfaces được cấu
hình trên active interface không hoạt động. Mục đích để backup và failover.
 Change monitoring settings (optional): Mặc định là Automatic monitoring
được enable nên sẽ phát hiện các lỗi trên các interfaces.
Lưu ý:
 Tại active interfaces có thể tuỳ chỉnh "Edit Scheduler"

 Tại Monitoring hosts có thể tuỳ chỉnh " Edit Scheduler"

17
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


4.2 Cấu hình phòng chống xâm nhập (IPS)
4.2.1 Cấu hình tính năng phòng chống xâm nhập.
 Vào Mode "Network Protection" > "Intrusion Prevention" > Tab "Global"> nhấn
"Enable".

Trong đó:
18
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


o
Local Network: Chọn
các đối tượng cần bảo vệ như: Subnet, VLAN hoặc IP mạng nôi bộ cần được
bảo vệ.
o Policy: Drop Silently - sẽ tự động ngăn chặn các gói tin có dấu hiệu xâm nhập
mà không cần bất kỳ thông báo nào.
o Termination Connection: Sẽ kết thúc các kết nối.

 Nhấn "Apply" để xác nhận chính sách
 Nhấn "Open live log" để xem log file.
4.2.2 Tính năng Attack Patterns
 Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Attack
Patterns".
 Chọn các mẫu trong danh sách để xác định hoạt động của tấn công và xác nhận có
gửi thông báo hay không.
Trong đó:
o Action: mặc định là Drop.
 Drop - Huỷ cuộc tấn công.
 Alert - Cảnh báo
o Options
 Add extra warnings: Được dùng để gửi 1 nhóm các cảnh báo mục tiêu
"Warning-Purposes", cảnh báo này có thể không chính xác nên không được
chọn làm mặc định.

 Notify: Gửi thông báo đến tất cả trọng điểm trong nhóm.

19
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


 Nhấn "

" để xác nhận các thông tin lựa chọn.

4.2.3 Cấu hình tính năng Anti-DoS/ Flooding.
 Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Anti-DoS/
Flooding"
 Chọn "Use TCP SYN Flood Protection" phòng chống tấn công bằng hình thức
TCP SYN Flood.

Trong đó:
o Mode: Huỷ gói tin SYN nếu đúng địa chỉ IP nguồn hoặc IP đích hoặc cả IP
nguồn và Ip đích. Đầu tiên gói tin SYN sẽ được lọc theo địa chỉ nguồn, nếu
vẫn còn nhiều yêu cầu thì tiếp tục lọc theo địa chỉ IP đích.
o Logging:
 Off - Tắt logging.
20
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn





Limited - Giới hạn ghi 5

log mỗi giây.
 Everything - ghi log mọi thứ.
o Source Pactket Rate (pactkets/ sencond): 100 - Xác định địa tỷ lệ gói tin
được phép của IP nguồn.
o Destination Pactket Rate (pactkets/ sencond): 200 - Xác định địa tỷ lệ gói
tin được phép của IP đích.
 Chọn "Use UDP Flood Protection" phòng chống tấn công bằng hình thức UDP
Flood.

Trong đó:
o Mode:
 Source Address Only.
 Destination Address Only.
 Source and Destination Address.
o Logging:
 Off - Tắt logging.
 Limited - Giới hạn ghi 5 log mỗi giây.
 Everything - Ghi log mọi thứ.
o Source Pactket Rate (pactkets/ sencond): 200 - xác định địa tỷ lệ gói tin
được phép của IP nguồn.
o Destination Pactket Rate (pactkets/ sencond): 300 - Xác định địa tỷ lệ gói
tin được phép của IP đích.
 Chọn "Use ICMP Flood Protection" là để chống tấn công bằng hình thức ICMP
Flood.

21

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


Trong đó:
o Mode:
 Source Address Only.
 Destination Address Only.
 Source and Destination Address.
o Logging:
 Off - Tắt logging.
 Limited - Giới hạn ghi 5 log mỗi giây.
 Everything - ghi log mọi thứ.
o Source Pactket Rate (pactkets/ sencond): 10 - Xác định địa tỷ lệ gói tin được
phép của IP nguồn.
o Destination Pactket Rate (pactkets/ sencond): 20 - Xác định địa tỷ lệ gói tin
được phép của IP đích.
 Nhấn "Apply" cho từng hình thưc tấn công để xác nhận.

4.2.4 Bật tính năng Anti-Portscan
 Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "AntiPortscan": Bật tính năng chống tấn công bằng hình thức Scan Port.
Trong đó:
o Action:
 Log event only - Chỉ ghi log các sự kiện diễn ra.
 Drop Traffic - Tự động huỷ các gói tin Port Scan, đây là mode mặc định.
 Reject Traffic -gửi trả các gói tin portscan
o Limited Logging: giới hạn số lượng ghi log, chỉ mặc định ghi mỗi giây 5 lần.

22

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


 Nhấn "Apply" cho từng hình thưc tấn công để xác nhận.

4.2.5 Cấu hình Exception
 Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Excetions"
> "New exception list...": Tạo các ngoại lệ để bỏ qua các rule IPS.
Trong đó:
o Name: đặt tên của exception.
o Skip these checks: Lựa chọn các phương thức để bỏ qua.

4.2.6 Cấu hình các mấy chủ sẽ được bảo vệ
 Vào Mode "Network Protection" > "Intrusion Prevention" > vào Tab "Advanced"
Trong đó:

23
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


o
Modify Rule: Chọn rule
nào muốn bỏ hoặc không gửi thông báo bằng cách nhập vào Số Rule ID.
o Action:
 Drop - gói tin sẽ bị khoá nếu một cuộc tấn công được phát hiện.
 Alert - Chỉ cảnh báo.

 Thông tin về Rule ID cho UTM version 9
Link: />
 Cấu hình Performance Tuning cho các máy chủ để tăng tốc các gói tin của máy
chủ đó.
Mô tả các thông số:
o HTTP Servers: khai báo máy chủ web.
o DNS Servers: khai báo máy chủ DNS.
o SMTP Servers: khai báo máy chủ Mail.
o SQL Servers: khai báo máy chủ SQL.

4.3 Cấu hình Web Filtering
 Thiết lập tổng thể (Tab Global)
 Khi "Enable" tính năng này, thiết bị Firewall là một máy chủ Proxy Web.
Trong đó:
24
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


o
Allowed
Networks: Chọn địa chỉ mạng sẽ sử dụng Web Filtering ở chính sách mặc
định.
o HTTPS (SSL) Traffic: Chọn để lọc web HTTPS.
o Operation mode:
 Standard Mode:Tại mode này, Web Filter sẽ lắng nghe Client ở port 8080
(default). Client buộc phải thiết lập máy chủ HTTP Proxy trong trình duyệt.
 Transparent Mode: Chế độ lọc auto proxy nên không cần khai báo proxy
trên trình duyệt.

 Full Transparent: mode này chỉ hoạt động khi Firewall ở chế độ Bridging.
o Default Authentication: Chọn các chế độ xác thực cho người dùng.
 Active Directory SSO: ở mode này là xác thực một lần cho người dùng
thông quaActive Directory Single Sign-On (SSO), cần cấu hình trong
"Definitions & Users > Authentication Services > Servers".
 Agent: Xác thực thông qua Agent, downloads Agent từ User Portal.
 Browser:mode này sẽ xác thực người dùng thông qua trình duyệt web.

 Nhấn "Apply" để hoàn tất thiết lập.
 Cấu hình chính sách (Tab Policies)
Cấu hình chính sách theo các phân loại cụ thể sau:
 Tab Categories: Cho phép (allow) hoặc Khoá (Block) hoặc cảnh báo (Warn) nội
dung duyệt web theo các danh mục có sẵnnhư : IT, Game, Job Search,...
 Nhấn "Save" để lưu các chính sách vừa cấu hình hoặc "Next" để qua chính sách
tiếp theo.
25
CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016
A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM
P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×