Sự phát triển của một hệ thống mạng phải đi cùng với nhu cầu của người sử dụng để có thể kiệp thời bảo vệ, ngăn chặn và kiểm soát tránh những nguy cơ vô tình hay cố ý. Để đạt được những mục tiêu trên hệ thống cần một giải pháp tốt và “vệ sĩ” mạnh mẽ giúp nhà quản trị thực hiện các chính sách phù hợp. O2Security SifoWorks UTM là thiết bị hoàn toàn có khả năng đáp ứng những nhu cầu trên.
Case study sau đây sẽ giới thiệu cách cấu hình trên SifoWorks U100 thực hiện 2 chức năng Content filtering và QoS để thực hiện chính sách bảo mật, kiểm soát hệ thống, giúp hệ thống đáp ứng tốt hơn cho người sử dụng.
Mô hình của một hệ thống mạng doanh nghiệp.
Yêu cầu và thực trạng của hệ thống:
- Hệ thống mạng của doanh nghiệp như hình vẽ:
- Mạng LAN gồm 2 phòng Sale và Technical, hệ thống server farm cung cấp các dịch vụ mail, web, file, database….
- Hệ thống mạng có đường WAN kết nối ra internet.
- Vì yêu cầu bảo mật cho hệ thống mạng, Người quản trị không cho phép các nhân viên ở phòng Sale vào những trang web không an toàn, upload hay download file có nguy cơ lây nhiễm virus như .exe ….. Phòng Technical có thể truy cập ra internet mà không bị giới hạn nhưng chịu sự quản lý về băng thông.
- Các nhân viên phòng Sale thường dùng các chương trình nhắn tin, tán gẫu trong giờ làm việc hay các chương trình chia sẻ P2P, các chương trình xem video/audio tốn băng thông đường truyền và làm chậm hệ thống mạng.
- Yêu cầu hệ thống mạng đảm bảo băng thông ra internet đảm bảo cho từng phòng ban. Phòng Technical được cấp băng thông đảm bảo khi download 500kps và tối đa 1000kps, và khi upload đảm bảo 200kps và tối đa 500kps.Phòng Sale không bị kiểm soát băng thông.
Giải pháp:
- Triển khai SifoWorks UTM U100 có khả năng đáp ứng các nhu cầu của hệ thống mạng.
- Chức năng Content blocking và application blocking hỗ trợ nhà quản trị thực hiện chính sách bảo mật, kiểm soát user truy cập vào các trang web cũng như các ứng dụng một cách hiệu quả.
- Chức năng QoS giúp hệ thống được đảm bảo về lưu lượng traffic ra ngoài internet cho phòng Technical, quản lý tốt và có hiệu quả trong việc kiểm soát dung lượng đường truyền trên mỗi phòng ban.
Các bước cấu hình:
Bước 1: Cấu hình cơ bản (Basic Configuration) cho U100: Thiết lập các interface:
Interface LAN: vào System > Multiple Subnet: để chia interface LAN thành 2 subnet cho 2 mạng : 192.168.1.0/24 và 172.16.1.0/24 như sau:
Subnet 1:
Subnet 2:
Tấc cả các user bên trong mỗi subnet nếu muốn ra ngoài internet đều bị NAT qua interface WAN 1.
Interface WAN: tạo kết nối với ISP qua PPPoE line.
Chú ý: để UTM có thể kết nối với ISP thành công cần thiết lập policy cho phép tấc cả traffic tại 2 chiều incoming và outgoing
Interface DMZ:
DMZ interface đặt ở chế độ NAT mode nghĩa là các traffic từ server farm đi ra ngoài internet sẽ bị NAT tại interface WAN tương tự như interface LAN.
Bước 2 : Thiết lập Content Blocking:
Policy Object > Content Blocking > URL : thiết lập các URL sẽ bi cấm bởi UTM
Danh sách các địa chỉ URL sẽ bị U100 cấm truy cập. UTM hỗ trợ những ký tự meta-character trong chuỗi URL: “~” : trước URL thể hiện URL đó sẽ bị không bị cấm; “*”: thay thế cho chuỗi ký tự. Như trên: yahoo.com có thể truy cập, google.com sẽ bị cấm truy cập và tấc cả các URL có “.com” đều bị cấm truy cập từ các user bên trong mạng nội bộ.
Policy Object > Content Blocking > URL : tùy chọn các Script nào sẽ bị cấm thực hiện trên web browser.
Policy Object > Content Blocking > Download: Chỉ định các loại file nào sẽ bị cấm download.
- All Types Blocking: cấm tất cả các file khi download
- Audio and Video Types Blocking: cấm các file dạng audio và video khi download bằng HTTP.
- Extension Blocking: lựa chọn các dạng file có phần mở rộng tương ứng nếu muốn UTM cấm download.
Policy Object > Content Blocking > Upload: lựa chọn cấm tất cả các file hay từng file cụ thể dựa vào phần mở rộng bởi UTM khi các user thực hiện upload.
Bước 3: Thiết lập IP/P2P Blocking:
Policy Object > IM / P2P Blocking > Setting : Thiết lập tùy chọn các ứng dụng nhà quản trị muốn UTM cấm truy cập. Danh sách các ứng dụng có thể bị cấm.
Tự động cập nhật các dấu hiệu nhận biết ứng dụng:
Các ứng dụng sau một khoảng thời gian nhất định sẽ nâng cấp lên phiên bản mới vì thế có những thay đổi bên trong ứng dụng. UTM được trang bị khả năng tự động cập nhật các dấu hiệu nhận biết ứng dụng mới trên server của O2Security hàng giờ hay cập nhật bằng tay ngay lập tức.
Bước 4: Thiết lập QoS
Policy Object > QoS > Setting: có tác dụng cho đường WAN ra ngoài internet.
- Name: Tên của QoS để dễ dàng quản lý khi thiết lập trong policy.
- WAN: chọn đường WAN ra ngoài internet muốn áp đặt QoS.
- Downtream Bandwidth: Thiết lập dung lượng đảm bảo ( tối thiểu) và tối đa cho chiều download.
- Uptream Bandwidth: Thiết lập dung lượng đảm bảo ( tối thiểu) và tối đa cho chiều upload.
- Priority: xác định độ ưu tiên cho thiết lập QoS, độ ưu tiên cao sẽ ưu tiên thực hiện trước.
Bước 5: Sau khi hoàn tất thiết lập cho các yêu cầu cần thiết cho hệ thống mạng, bước cuối dùng là thực hiện apply các thiết lập đó lên policy.
Bước 5.1: Tạo các object định nghĩa phòng Sale và Technical:
Policy Object > Address > LAN:
Định nghĩa range IP cho phòng Sale:
Định nghĩa range IP cho phòng Technical:
- Name: Tên của object.
- IP/Subnetmask: IP và Subnetmask của range IP, có thể chỉ định cho 1 PC cụ thể.
- Mac Address: Nếu định nghĩa cho 1 PC cụ thể.
Tạo Policy cho từng phòng:
Policy cho traffic từ phòng Sale đi ra ngoài bị áp đặt Content và Application Blocking nhưng không bị áp đặt QoS như hình bên dưới:
Policy > Outgoing :
Tạo Policy cho traffic phòng Technical đi ra ngoài chỉ bị áp đặt QoS như hình bên dưới:
Policy > Outgoing:
Nếu muốn tạo thêm policy để kiểm soát dung lượng vào bên trong cho các IP phòng Technical, thiết lập policy incoming như hình sau:
Policy > Incomming :
Ngoài ra UTM còn cho phép kiểm soát QoS dựa vào từng IP nguồn (chú ý rằng: thiết lập dung lượng cấp cho từng IP nguồn phải nhỏ hơn tổng dung lượng được cấp cho cả phòng Technical)
Như vậy: Sau khi cấu hình hoàn tất, hệ thống mạng của doanh nghiệp được đảm bảo và hoạt động theo như chủ ý của nhà quản trị . UTM hỗ trợ tốt kiểm soát các trang web truy cập, kiểm soát các ứng dụng, kiểm soát các file được phép upload hay download và kiểm soát dung lượng ra vào hệ thống mạng được áp đặt trên từng phòng ban và cả từng IP cụ thể.