- Mục đích
Việc mở giao diện quản trị Web (Web GUI) cho toàn bộ mạng LAN hoặc VPN có thể tiềm ẩn nguy cơ bị truy cập trái phép, dò quét hoặc tấn công. Trong nhiều hệ thống nội bộ như Zabbix, NAS, camera, hoặc router, việc kiểm soát truy cập đến Web GUI là vô cùng quan trọng.
Hướng dẫn này giúp bạn cấu hình Sophos Firewall để:
– Chỉ cho phép duy nhất một IP nội bộ được truy cập vào Web GUI (trong ví dụ này là Zabbix).
– Chặn toàn bộ các IP khác trong mạng LAN hoặc VPN truy cập vào Web GUI.
– Áp dụng được cho nhiều hệ thống khác nhau bằng cách thay đổi IP và dịch vụ tương ứng.
- Sơ đồ mạng
– Zabbix Server IP: 10.10.10.40 (zone: LAN)
– IP được phép truy cập: 192.168.20.21 (zone: LAN)
– Các zone bị chặn: Toàn bộ VPN và các IP khác trong LAN
Luồng truy cập được phép:
– IP 192.168.20.21 (LAN) → Zabbix Web GUI (port 80/443) → ✅ Cho phép
Luồng truy cập bị chặn:
– IP bất kỳ khác trong LAN hoặc VPN → Zabbix Web GUI (port 80/443) → ❌ Bị chặn
- Hướng dẫn cấu hình
- 1.Tạo IP Host
Truy cập vào Sophos Firewall:
– Vào menu: Hosts and Services > IP Host
– Nhấn “Add” để tạo hai host:
1. Host Name: Zabbix-Server
– IP Address: 10.10.10.40
– Type: IP
– IP vesion: Ipv4
2. Host Name: Trusted-Zabbix-Admin
– IP Address: 192.168.20.21
– Type: IP
– IP vesion: Ipv4
- 2.Tạo rule cho phép truy cập từ IP được chỉ định
Vào menu: Rules and Policies > Firewall Rules > Add Firewall Rule > New Rule
Cấu hình rule như sau:
– Rule Name: Allow Zabbix Web Admin IP
– Source Zone: LAN
– Source Network: Trusted-Zabbix-Admin
– Destination Zone: LAN
– Destination Network: Zabbix-Server
– Services: HTTP, HTTPS
– Action: Accept
– Turn on: Log traffic
– Position: Đặt rule này ở vị trí trên cùng trong bảng firewall rules
- 3. Tạo rule chặn các IP khác trong LAN và VPN
Tiếp tục tạo 1 firewall rule khác để chặn các truy cập còn lại:
– Rule Name: Block Zabbix Web Access (LAN & VPN)
– Source Zone: LAN, VPN
– Source Network: Any
– Destination Zone: LAN
– Destination Network: Zabbix-Server
– Services: HTTP, HTTPS
– Action: Drop
– Turn on: Log traffic
– Position: Đặt rule này ngay bên dưới rule Allow ở bước 2
Lưu ý: Vì Sophos xử lý firewall rule theo thứ tự từ trên xuống, nên cần đảm bảo rule Allow được ưu tiên trước
- Kiểm tra
– Từ máy có IP 192.168.20.21: truy cập http://10.10.10.40 → Web GUI mở thành công ✅
– Từ máy khác trong LAN hoặc VPN: truy cập http://10.10.10.40 → Trình duyệt báo lỗi kết nối hoặc timeout ❌
Bạn có thể kiểm tra log trong Firewall > Log Viewer để xác nhận các kết nối bị drop.
- Kết luận
Việc giới hạn IP truy cập vào Web GUI là bước quan trọng trong bảo mật nội bộ. Sophos Firewall cho phép bạn thực hiện điều này một cách linh hoạt thông qua các rule đơn giản. Hướng dẫn này có thể áp dụng không chỉ cho Zabbix mà còn cho bất kỳ hệ thống Web GUI nội bộ nào như: NAS, camera IP, hệ thống quản lý server, v.v.
Luôn theo dõi log và cập nhật chính sách bảo mật định kỳ để đảm bảo an toàn tối đa cho hệ thống.