Trong quá khứ, MPLS là lựa chọn duy nhất để triển khai mạng khu vực rộng (WAN) hiệu suất cao và đáng tin cậy. Tuy nhiên, điều này không còn đúng trong tình hình hiện tại. Mạng khu vực rộng có khả năng định nghĩa bằng phần mềm (SD-WAN) cung cấp một giải pháp thay thế được thiết kế cho mạng hiện đại. Việc lựa chọn sự kết nối phù hợp nhất phụ thuộc vào nhiều biến số kỹ thuật, bao gồm ngân sách vận hành, yêu cầu tính linh hoạt, và khoảng cách địa lý giữa các chi nhánh từ xa và trụ sở chính.

Mục lục :

Nội dung bài viết :

1. Chuyển mạch nhãn đa giao thức (MPLS)

Multiprotocol Label Switching (MPLS) được thiết kế để định tuyến lưu lượng qua mạng thông qua việc sử dụng các nhãn đường dẫn ngắn hơn thay vì sử dụng địa chỉ mạng. Điều này cho phép định tuyến lưu lượng một cách nhanh chóng và hiệu quả đến điểm đích mà không cần phải tiêu tốn nhiều chi phí kiểm tra.

Để tận dụng MPLS, tổ chức cần cài đặt các mạch MPLS vật lý tại mỗi trang kết nối. Các mạch này thực hiện một mạng riêng ảo MPLS (MPLS virtual private network – VPN) giữa các trang kết nối này, cách ly lưu lượng của họ khỏi phần còn lại của Internet.

2. Ưu và nhược điểm của MPLS

MPLS là một lựa chọn phổ biến cho kết nối mạng do nó mang lại một số ưu điểm sau đây cho tổ chức:

1. Hiệu suất: Các mạch MPLS riêng biệt được thiết kế đặc biệt để cung cấp kết nối mạng có hiệu suất cao, khiến chúng trở thành lựa chọn xuất sắc cho các ứng dụng yêu cầu độ trễ thấp.
2. Đáng tin cậy: Các mạch MPLS cung cấp kết nối mạng với mức độ đáng tin cậy cao. Mức độ này thường cần thiết cho các ứng dụng quan trọng đối với sự tồn tại của tổ chức.

MPLS cũng có một số hạn chế, chủ yếu xuất phát từ việc yêu cầu phải cài đặt các liên kết vật lý tại các địa điểm của tổ chức:

1. Chi phí: Băng thông MPLS rất đắt, điều này có thể làm cho việc triển khai đủ để đáp ứng yêu cầu mạng của tổ chức trở nên không khả thi.
2. Mở rộng: Các mạch MPLS là các liên kết vật lý. Nếu tổ chức mở một địa điểm vật lý mới, thì cần phải cài đặt các liên kết mới.
3. Khả năng mở rộng: Các mạch MPLS là các liên kết vật lý được cài đặt tại tổ chức. Nếu nhu cầu về băng thông của tổ chức vượt quá khả năng của các liên kết hiện có, phải cài đặt thêm các mạch, điều này đồng nghĩa rằng MPLS khó mở rộng.

3. Lý do sử dụng công nghệ SD-WAN

Mạng Diện Rộng Được Định Nghĩa Bằng Phần Mềm (SD-WAN) là một công nghệ mạng nhằm cho phép tổ chức triển khai một mạng WAN có hiệu suất cao và đáng tin cậy. Điều này được thực hiện thông qua việc tổng hợp nhiều phương tiện truyền thông và tối ưu hóa định tuyến lưu lượng qua các liên kết truyền thông có sẵn, như Internet rộng, mạng di động và thậm chí mạng MPLS.

Đối với ứng dụng gửi lưu lượng qua mạng SD-WAN, chỉ một đường ống mạng duy nhất được hiển thị. Sau khi lưu lượng được gửi vào đường ống này, SD-WAN sẽ xác định ứng dụng tạo ra lưu lượng và áp dụng các chính sách định tuyến cụ thể cho từng ứng dụng. Dựa trên những chính sách này và tình trạng hiện tại của các liên kết có sẵn, lưu lượng sẽ được định tuyến qua lựa chọn tốt nhất của liên kết đến điểm đến của nó. Phương pháp này cho phép tổ chức đảm bảo rằng các ứng dụng ưu tiên và yêu cầu thời gian phản hồi thấp nhận được hiệu suất mạng mà chúng cần mà không lãng phí băng thông mạng đắt tiền và hiệu suất cao cho lưu lượng không quan trọng hơn.

4. Ưu và nhược điểm của SD-WAN

Giải pháp SD-WAN có nhiều ưu điểm, làm cho chúng trở thành lựa chọn tốt để triển khai mạng WAN doanh nghiệp:

• Chính sách Cụ thể cho Ứng dụng: SD-WAN có khả năng xác định ứng dụng tạo ra lưu lượng mạng và áp dụng các chính sách định tuyến và bảo mật cụ thể cho từng ứng dụng để tối ưu hóa hiệu suất.
• Phân Mảng: Các thiết bị SD-WAN có thể triển khai tại từng vị trí vật lý của tổ chức, di chuyển tính năng mạng và có thể là bảo mật tới biên mạng.
• Hiệu Suất: SD-WAN tổng hợp nhiều phương tiện truyền thông, cho phép tối ưu hóa định tuyến cho các ứng dụng quan trọng và yêu cầu thời gian phản hồi thấp.
• Đáng Tin Cậy: Sử dụng nhiều phương tiện truyền thông giúp SD-WAN thích nghi khi một liên kết cụ thể không khả dụng hoặc cung cấp hiệu suất kém.
• Tích Hợp: SD-WAN được thiết kế để tổng hợp nhiều phương tiện truyền thông vào một giải pháp duy nhất, dễ dàng thêm băng thông bổ sung khi cần.
• Độc Lập với Phương Tiện Truyền Thông: SD-WAN không yêu cầu bất kỳ phương tiện truyền thông vật lý cụ thể nào để hoạt động, giúp dễ dàng triển khai tại các vị trí mới.

Tuy nhiên, các giải pháp SD-WAN cũng có nhược điểm của chúng:

• Phụ thuộc vào Thiết bị: SD-WAN được triển khai như một mạng các thiết bị, yêu cầu triển khai giải pháp SD-WAN tại từng vị trí của tổ chức và các triển khai đám mây để đạt hiệu suất tối đa.
• Tích Hợp Bảo Mật: Không phải tất cả các giải pháp SD-WAN tích hợp bảo mật; tuy nhiên, có thể tìm thấy các giải pháp SD-WAN bảo mật.

5. Sự khác biệt về chi tiết SD-WAN và MPLS

SD-WAN và MPLS đều là những giải pháp được thiết kế để cho phép một tổ chức có thể đạt được kết nối mạng có hiệu suất cao và đáng tin cậy. Tuy nhiên, họ sử dụng những phương pháp khác nhau để thực hiện điều này. Một số sự khác biệt quan trọng giữa MPLS và SD-WAN bao gồm:

• Bảo Mật: MPLS được phân đoạn ra khỏi phần còn lại của Internet nhưng không cung cấp mã hóa dữ liệu. Lưu lượng chảy qua một kết nối SD-WAN có thể được mã hóa bằng cách đặt trong một đường hầm VPN.
• Bảo Mật: MPLS không tích hợp tính năng bảo mật. Một số giải pháp SD-WAN bao gồm tích hợp bảo mật.
• Phương Tiện Truyền Thông: MPLS cung cấp kết nối đáng tin cậy và hiệu suất cao thông qua các mạng mạch riêng. SD-WAN tổng hợp nhiều phương tiện truyền thông để đạt được mục tiêu tương tự.

6. Lựa chọn giữa MPLS và SD-WAN

Một lỗ hổng trong giao thức HTTP/2, được đặt tên là “Rapid Reset,” đã gây ra các cuộc tấn công DDoS kỷ lục vào các máy chủ web trong vài tháng gần đây. Google, AWS và Cloudflare đã cùng tiết lộ về các cuộc tấn công và lỗ hổng này vào ngày hôm nay, nhưng lưu ý rằng mọi máy chủ web hiện đại đều còn tiềm năng mắc phải kỹ thuật tấn công này. Các nhà cung cấp máy chủ web và các dự án cũng đã thông báo các biện pháp hạn chế và kế hoạch vá lỗi.

Google cho biết các cuộc tấn công đã đạt đỉnh 398 triệu yêu cầu mỗi giây (rps), lớn hơn hơn năm lần so với kỷ lục trước đó được thiết lập vào tháng 2 năm 2023, và tạo ra lưu lượng web trong hai phút nhiều hơn lưu lượng truy cập mà Wikipedia nhận được trong cả tháng Tháng Chín. Cloudflare cho biết họ đã thấy cuộc tấn công đạt đỉnh hơn 201 triệu yêu cầu mỗi giây.

Google, AWS và Cloudflare cho biết họ đã khả năng hạn chế thiệt hại từ các cuộc tấn công. “Ban đầu, chúng tôi đã thấy tác động đối với lưu lượng của khách hàng, ảnh hưởng đến khoảng 1% yêu cầu trong lần tấn công ban đầu. Tuy nhiên, hôm nay, chúng tôi đã thể hiện sự hoàn thiện trong các biện pháp hạn chế của chúng tôi để ngăn chặn cuộc tấn công đối với bất kỳ khách hàng Cloudflare nào mà không ảnh hưởng đến hệ thống của chúng tôi,” Cloudflare cho biết.

Nội dung bài viết :

1. Giao thức HTTP/2 là?

HTTP/2 là một phiên bản cập nhật của giao thức HTTP (Hypertext Transfer Protocol), được thiết kế để cải thiện hiệu suất và tốc độ tải trang web. Nó là phiên bản kế nhiệm của HTTP/1.1 và đã được công bố là tiêu chuẩn vào năm 2015. Dưới đây là một số điểm quan trọng về giao thức HTTP/2:

• Tối ưu hóa tốc độ: Một trong những mục tiêu chính của HTTP/2 là tối ưu hóa tốc độ tải trang web. Nó sử dụng việc nén dữ liệu và đa luồng (multiplexing) để giúp tải trang web nhanh hơn và tiết kiệm băng thông.
• Đa luồng (Multiplexing): HTTP/2 cho phép nhiều yêu cầu và phản hồi được gửi trên cùng một kết nối mạng. Điều này giúp tận dụng tối đa khả năng sử dụng kết nối mạng và giảm thời gian tải trang.
• Nén Header: Giao thức HTTP/2 cho phép nén dữ liệu header của các yêu cầu và phản hồi. Điều này giúp giảm băng thông được sử dụng và tăng tốc độ tải trang.
• Ưu tiên luồng (Stream Prioritization): HTTP/2 cho phép ưu tiên hóa các yêu cầu, giúp trang web hiển thị nội dung quan trọng trước.
• Thích ứng với kết nối mạng: HTTP/2 làm việc tốt trên kết nối mạng không ổn định hoặc kết nối di động, giúp cải thiện trải nghiệm người dùng trên mọi loại thiết bị.
• Bảo mật: Mặc dù không bắt buộc, HTTP/2 thường được sử dụng kết hợp với SSL/TLS để mã hóa dữ liệu trên Internet, bảo vệ thông tin cá nhân và đảm bảo tính toàn vẹn dữ liệu.
• Hỗ trợ ngược (Backward Compatibility): HTTP/2 được thiết kế để làm việc với các trình duyệt và máy chủ web hiện có, điều này đồng nghĩa rằng các trang web vẫn có thể được truy cập bởi trình duyệt không hỗ trợ HTTP/2 mà không gặp vấn đề.

HTTP/2 đã giúp cải thiện tốc độ tải trang web và tối ưu hóa hiệu suất trực tuyến, và nó được sử dụng rộng rãi trên Internet ngày nay để cải thiện trải nghiệm người dùng và tiết kiệm tài nguyên mạng.

2. Cách hoạt động các cuộc tấn công “rapid reset” trong giao thức HTTP/2

Các cuộc tấn công “Rapid Reset” trong giao thức HTTP/2 hoạt động như sau:

Bước 1: Khởi tạo nhiều luồng (streams)

Kẻ tấn công mở một lượng lớn luồng cùng một lúc, giống như trong cuộc tấn công HTTP/2 tiêu chuẩn. Mục tiêu của việc này là tạo ra một số lượng lớn yêu cầu gửi đến máy chủ web đích.

Bước 2: Gửi yêu cầu

Sau khi mở các luồng, kẻ tấn công gửi yêu cầu HTTP thông qua từng luồng riêng lẻ. Điều này tạo ra một tải lượng yêu cầu đáng kể đối với máy chủ web.

Bước 3: Hủy bỏ yêu cầu

Ngay sau khi gửi mỗi yêu cầu, kẻ tấn công ngay lập tức hủy bỏ yêu cầu đó bằng cách sử dụng một khung RST_STREAM. Khung này cho phép kẻ tấn công thông báo cho máy chủ web rằng luồng đó đã bị hủy bỏ.

Bước 4: Lặp lại quy trình

Kẻ tấn công lặp lại quy trình này cho mỗi luồng và yêu cầu mà họ đã mở. Kết quả là một tải lượng lớn yêu cầu được gửi đến máy chủ web và sau đó ngay lập tức bị hủy bỏ.

Kết quả: Tạo bất kỳ lúc nào

Do tính chất của giao thức HTTP/2, yêu cầu bị hủy bỏ ngay lập tức, nhưng kết nối HTTP/2 vẫn được duy trì. Điều này tạo ra một tải lượng yêu cầu không xác định đang chờ xử lý trong kết nối, mà không còn phụ thuộc vào thời gian trễ đòi hỏi (RTT) mà chỉ phụ thuộc vào băng thông mạng có sẵn.

3. Phương pháp phòng chống tấn công

Các biện pháp ngăn chặn cuộc tấn công “Rapid Reset” trong giao thức HTTP/2 có thể được triển khai tại cả hai mặt của giao thức, cả ở phía máy chủ và tại mạng tường lửa. Dưới đây là các biện pháp chi tiết:

Tại Máy Chủ HTTP/2:

• Đóng kết nối vượt quá giới hạn luồng: Máy chủ HTTP/2 có thể cấu hình để đóng kết nối khi số lượng luồng vượt quá giới hạn cố định. Điều này ngăn chặn kẻ tấn công tạo ra quá nhiều luồng và yêu cầu, làm giảm khả năng tấn công.
• Giám sát thống kết nối: Máy chủ có thể theo dõi thống kê kết nối để xác định các kết nối có quá nhiều yêu cầu bị hủy bỏ. Nếu một kết nối được xác định có hành vi đáng ngờ, máy chủ có thể thực hiện biện pháp như đóng kết nối hoặc tắt luồng.
• Thực hiện các chiến lược tùy chỉnh: để xác định cách xử lý các kết nối và yêu cầu. Ví dụ, nếu một kết nối có quá nhiều yêu cầu bị hủy bỏ, máy chủ có thể tự động đóng kết nối hoặc thông báo cho tường lửa.
• Cập nhật triển khai máy chủ: Các triển khai máy chủ HTTP/2 có thể cải thiện khả năng chống cuộc tấn công bằng cách giảm thiểu công việc xử lý cho yêu cầu bị hủy bỏ. Các bản cập nhật máy chủ có thể giảm tải cho máy chủ khi xử lý các yêu cầu bị hủy bỏ.
• Cài phần mềm Endpoint : một số hãng nổi tiếng về security giúp bảo vệ máy chủ : Sophos, Kaspersky, AVG.

Thiết lập tường lửa hoặc endpoint một số tính năng sau :

• Cấu hình tường lửa: Tường lửa có thể cấu hình để theo dõi lưu lượng mạng và phát hiện các mẫu lưu lượng gian lận dựa trên quy tắc và chữ ký của cuộc tấn công “Rapid Reset”. Nếu tường lửa phát hiện các mẫu tấn công này, nó có thể ngăn chặn các yêu cầu từ đến máy chủ.
• Kiểm tra SSL/TLS kết nối: Một phần của cuộc tấn công “Rapid Reset” có thể sử dụng kết nối SSL/TLS. Tường lửa có thể kiểm tra nội dung của gói dữ liệu SSL/TLS để phát hiện các yêu cầu bị hủy bỏ và ngăn chặn chúng.
• Quản lý quyền truy cập: Tường lửa có thể quản lý quyền truy cập vào mạng dựa trên các nguyên tắc cụ thể. Nó có thể kiểm soát quyền truy cập của các máy chủ hoặc máy khách có khả năng gây ra cuộc tấn công.

Lưu ý rằng việc ngăn chặn cuộc tấn công “Rapid Reset” đòi hỏi sự hỗ trợ từ các nhà phát triển giao thức và triển khai máy chủ HTTP/2, cùng với việc thực hiện các biện pháp bảo mật phù hợp tại cả phía máy chủ và tường lửa. Tuy nhiên, việc kết hợp các biện pháp này có thể giúp bảo vệ mạng và máy chủ của bạn khỏi cuộc tấn công “Rapid Reset” trong giao thức HTTP/2.

Trong Palo Alto Networks, tính năng NAT (Network Address Translation) Web đóng một vai trò quan trọng trong việc cung cấp an ninh mạng và kiểm soát truy cập Internet. NAT Web được sử dụng để ẩn địa chỉ IP thực sự của các máy tính trong mạng nội bộ và thay thế nó bằng một địa chỉ IP công cộng, giúp bảo vệ sự riêng tư và tăng cường an ninh mạng.

Diagram :

Mục lục :

1. Cấu hình NAS IP máy chủ Web

2. Cấu hình rule cho web

3. Kiểm tra kết quả

Nội dung cấu hình :

1. Cấu hình NAS IP máy chủ Web

Các bạn vào Policies >> NAT >> Nhấn Add 

Name : điền tên bất kỳ

Tab Original Packet

Destination Zone : chọn WAN

Destination Interface : cổng WAN interface

Service : chọn https

Source Address : tích chọn Any

Destination Address : đây là cổng WAN để web ra vào

Tab Translated Packet

Translation Type : chọn Dynamic IP

Translated Address : IP máy chủ web

Translated Port : 443

2. Cấu hình rule cho web

General : tên bất kỳ

Source Zone : WAN

Destination Zone : chọn DMZ

Destination : IP WAN

Service : chọn HTTPS

3. Kiểm tra kết quả

Khi bạn tạo máy trên Vmware Esxi ảo lở thiết lập cho máy đó quá nhiều dung lượng hoặc tổng dung lượng máy ảo bị thiết bạn muốn giảm dung lượng máy khác .

Thì có thể sử dụng phần mềm này để để giảm dung lượng máy ảo

Lưu ý chỉ hỗ trợ giảm dung lượng ổ đĩa cho windows ( không hỗ trợ Linux) và tốt nhất hãy shutdown máy cần chuyển

2. Tiến hình cáo hình

Máy ảo mình muốn chuyển là Test_WIN10 dung lượng hiện tại 48GB

Tiến hành cài và mở ứng dụng lên

Nhấn vào Convert machine

Tiếp theo tiến hành chọn như ảnh

Server : điền địa chỉ máy vmware esxi vào

User name : root

Password : điền pass vmware esxi vào

Nhấn Ignore để làm bước kế tiếp

Các bạn chọn máy ảo cần chuyển >> nhấn Next

Ở bước này tiến hành nhập lại thông tin của Vmware Esxi như bước trên

Mục Name : tiến hình điện tên cho máy ảo mới mà bạn muốn

Datastore chọn đường dẫn lưu trữ ổ cứng ảo đó (xem trên Vmware Esxi)

Data Copy : chọn Edit

Chọn thông tin như hình được khoanh đỏ

Tới đây các bạn tiến hành điền dung lượng mà bạn muốn cấp cho máy ảo mới

Bước này hãy kiểm tra thông tin toàn bộ cấu hình ở trên

Nhấn Finish để hoàn thành

Nhấn vào running để tiến hành chạy chuyển đổi

Máy ảo dung lượng 30GB đã được tạo ra

Kiểm tra kết quả windows 10 vẫn chạy bình thường

Đối với người quản trị hệ thống, việc cấu hình hệ thống RAID trên máy chủ Dell là một bước quan trọng để bảo vệ dữ liệu và tăng cường hiệu suất. Hệ thống RAID (Redundant Array of Independent Disks) cho phép kết hợp nhiều ổ đĩa vật lý thành một ổ đĩa ảo để cải thiện tính sẵn sàng và độ tin cậy của hệ thống lưu trữ.

2. Tiến hành thiết lập

Ấn phím F2 trong quá trình POST để mở System Setup

Nhấn Device Settings để tiếp tục tiến trình

Chọn bộ điều khiển RAID controller cần được cấu hình trên màn hình cài đặt thiết bị

Nhấp vào quản lý cấu hình trên Main Menu

Nhấn Configuration Management để vào trang cài đặt quản trị

Nhấp vào Create Virtual Disk trên màn hình Quản lý Cấu hình.

Chọn Select RAID Level : Chọn tương thích RAID0, RAID1, RAID5

Select Physical Disks From : tương ứng với nhu cầu của bạn

Nhấn Select Physical Disks để tiếp tục

Select Media Type : chọn tương thích với ổ cứng

Select Interface Type : chọn tương thích với ổ cứng

Logical Sector Size : chọn tương thích với ổ cứng

Choose unconfigured physical disks : tiến hành chọn ổ đĩa tham gia quá trình RAID

Nhấn Apply Changes để áp dụng cấu hình

Nhấn OK

Bước này kiểm tra lại thông tin tổng quan trước khi tạo RAID

Nhấn Yes để tiến hành tạo RAID

Trong Palo Alto Networks, tính năng NAT (Network Address Translation) Web đóng một vai trò quan trọng trong việc cung cấp an ninh mạng và kiểm soát truy cập Internet. NAT Web được sử dụng để ẩn địa chỉ IP thực sự của các máy tính trong mạng nội bộ và thay thế nó bằng một địa chỉ IP công cộng, giúp bảo vệ sự riêng tư và tăng cường an ninh mạng.

Diagram :

Mục lục :

1. Cấu hình NAS IP máy chủ Web

2. Cấu hình rule cho web

3. Kiểm tra kết quả

Nội dung cấu hình :

1. Cấu hình NAS IP máy chủ Web

Các bạn vào Policies >> NAT >> Nhấn Add 

Name : điền tên bất kỳ

Tab Original Packet

Destination Zone : chọn WAN

Destination Interface : cổng WAN interface

Service : chọn https

Source Address : tích chọn Any

Destination Address : đây là cổng WAN để web ra vào

Tab Translated Packet

Translation Type : chọn Dynamic IP

Translated Address : IP máy chủ web

Translated Port : 443

2. Cấu hình rule cho web

General : tên bất kỳ

Source Zone : WAN

Destination Zone : chọn DMZ

Destination : IP WAN

Service : chọn HTTPS

3. Kiểm tra kết quả

Trong Palo Alto Networks, ECMP (Equal Cost Multi-Path) được sử dụng để cân bằng tải traffic giữa nhiều đường đi có chi phí bằng nhau đến một đích. Tính năng ECMP có thể được sử dụng không chỉ để cân bằng tải mà còn để đảm bảo sự dự phòng (redundancy) và sẵn sàng (resilience) cho đường WAN.

Diagram :

Mục lục :

1. Cấu hình ECMP

2. Cấu hình rule cho mạng Local ra internet

3. Kết quả

Nội dung cấu hình :

1. Cấu hình ECMP

Đầu tiên các bạn vào Network >> Virtual Routers >> Add

Tab Router Settings

General : những interface được tham gia router settings

Chuyển qua tab ECMP

Các bạn nhấn vào Enable

Method : chọn balanced round robin

Tại Tab Static Route

Mạng WAN FPT

Các bạn tiến hành điền thông tin tương thích của mình để mạng LAN có thể qua WAN ra internet

Tương tự mạng WAN Viettel

2. Cấu hình rule cho mạng Local ra internet

General : điền tên theo ý muốn

Source : cho source zone mà mình muốn cho ra internet

Destination : chọn WAN

3. Kết quả

Mình tiến hành lấy PC thuộc mạng LAN ping 8.8.8.8 >> ngắt kết nối 1 đầu WAN >> thì lập tức sẽ chạy ra internet theo đường WAN còn lại (như ảnh)

VPN Client-to-Site là một loại kết nối mạng ảo (Virtual Private Network – VPN) trong đó người dùng cá nhân hoặc nhóm người dùng có thể kết nối an toàn đến mạng nội bộ của một tổ chức từ xa thông qua Internet.

Sơ đồ :

Mục lục :

• B1. Tạo certificate cho VPN
• B2. Tạo SSL/TLS Service Profile
• B3. Tạo user dùng đăng nhập VPN
• B4. Tạo Authentication Profile
• B5. Tạo Portal
• B6. Tạo tunnel VPN
• B7. Tạo GlobalProtect Gateway
• B8. Tiến hành đăng nhập GlobalProtect Portal
• B9. Kiểm tra kết quả

Nội dung bài viết :

B1. Tạo certificate cho VPN

Đầu tiên các bạn vào Device >> Certificate management >> Generate

Các bạn tiến hành điền thông tin như sau ( danh mục name có thể điền tùy ý )

Nhấn Generate để tạo

Tương tự, tạo thêm Certificate với Common Name là IP WAN

B2. Tạo SSL/TLS Service Profile

Theo đường dẫn Device > Certificate Management > SSL/TLS Service Profile

Các bạn nhấn Add và điền thông tin như ảnh

Riêng ở mục Certificate : chọn Certificate đã tạo ở bước 1

B3. Tạo user dùng đăng nhập VPN

Các bạn theo đường dẫn sau : Device > Local User Database > Users

Nhấn Add để tạo

Các bạn tiến hành nhập Name và Password >> nhấn OK để tạo

B4. Tạo Authentication Profile

Device > Authentication Profile > nhấn Add

Tại Tab Authentication

Name : nhập tùy ý

Type : Local Database

Username Modifier : chọn %USERINPUT%

Tab Advanced :

Tại Allow List tiến hành Add những User mà bạn đã tạo để được cấp quyền VPN

B5. Tạo Portal

Theo đường dẫn Network > GlobalProtect > Portals > Add

Tab General:

Name: gp-portal
Interface: ethernet1/2 (WAN)
IP Address Type: IPv4 Only

Trong bảng Cient Authentication nhấn Add và cấu hình theo các thông số sau:

Name: AU
OS: Any
Authentication Profile: Local_User
Nhấn OK để tạo

Tại SSL/TLS Service Profile : chọn GW_Portal

Tại Tab Agent:

Các bạn làm các bước như trong ảnh

Tab con External

Nhấn Add

Name: tùy chọn
Address: tùy chọn IP hoặc FQDN
IPv4: IP WAN
Source Region > Add và điền thông tin như ảnh
Nhấn OK để lưu

Tiếp theo tại Trusted Root CA > Add CA_Global và đánh dấu tích vào mục kế bên

Nhấn OK để hoàn tất

B6. Tạo tunnel

Các bạn vào Network > Interfaces > Tunnel > nhấn Add

B7. Tạo GlobalProtect Gateway

Theo đường dẫn sau Network > GlobalProtect > Gateways > nhấn Add

Tại Tab General:

Name: GW_GlobalProtect
Interface: cổng WAN
IP Address Type: IPv4 Only
IPv4 Address: None

Tab Authentication

SSL/TLS Service Profile : chọn SSL/TLS mà ta đã tạo ở bước trên

Nhấn Add

Điền thông tin sau

Name: điền tên bất kỳ
OS: Any
Authentication Profile: chọn Local_User đã tạo
Nhấn OK để lưu

Tại Tab Agent

Tab con Tunnel Settings

Đánh dấu tích vào Tunnel Mode

Tunnel Interface : chọn tunnel đã tạo

Trong tab con Client Settings > nhấn Add

Name : điền tên bất kỳ

Tab con IP Pools

Nhập dãy IP mà bạn muốn cấp cho người dùng khi VPN

INCLUDE : Nhập nhóm IP mà bạn muốn connect tới khi VPN

Nhấn OK để tạo ra bảng tổng

B8. Tiến hành đăng nhập GlobalProtect Portal

Nhập IP WAN để vào giao diện

Tiến hành nhập tài khoản user đã tạo

Chọn tải phiên bản thích hợp với máy tính của bạn

Tiến hành cài phần mềm mới download về

Sau khi cài hoàn tất > sẽ xuất hiện giao diện bên dưới góc phải

Các bạn tiến hành nhập IP WAN vào > nhấn Connect

Nhấn Show Certificate

Tiến hành Install

Sau khi cài thành công Certificate

Các bạn tiến hành nhập tài khoảng users vào

Đã kết nối thành công

B9. Kiểm tra kết quả

Ping IP server đã được cấu hình cho phép kết nối thành công

Cách cấu hình HA các bạn có thể tham khảo tại đây :

Sơ đồ mạng :

Mục lục :

1. Tách biệt cổng MGMT trong cấu hình HA

2. Tính năng dự phòng dây dẫn khi HA

Nội dung bài lab

1. Tách biệt cổng MGMT trong cấu hình HA

1.1 Tại FortiGate-2

Như các bạn đã biết, sau khi HA thành công thì ta mặc định chỉ có thể truy cập vào 1 thiết bị Fortigate đang ở mode Primary mà thôi. Nếu quá trình HA khi vận hành bị lỗi và quá trình quản lý sẽ rất khó khăn trong việt fix để tìm cách khắc phục

Để dễ hình dung, ở đây mình sẽ gắn thêm 1 thiết bị Switch với vài trò MGMT quản lý 2 thiết bị Fortigate

Bài trước vì Priority của FortiGate-2 lớn hơn ,nên là Primary. Vậy chúng ta chỉ có thể truy cập giao diện cấu hình FortiGate-2 trước

Tại FotiGate-2

Vào Network >> interfaces >> edit port 4 (sơ đồ)

Alias : MGMT

Role : DMZ

IP/Netmask : 10.10.10.2/24

Cho phép Service HTTPS, Ping

Nhấn OK để thiết lập

Tiếp theo các bạn vào System >> HA

Enable tính năng Management Interface Reservation lên

Interface : cổng kết nối đến thiết bị dùng quản lý thiết bị

Gateway : điền IP của thiết bị MGMT

Destination subnet : chọn lọc subnet

Kết quả :

Dùng VPC-2 ping đến IP MGMT của FortiGate-2

1.2 Tại FortiGate-1

Vì đang cấu hình HA nên Fortigate-1 Port4 cũng được đồng bộ như Fortigate-2 có IP MGMT 10.10.10.2

Chúng ta đang muốn tách ra để quản lý nên cần phải đổi IP này thành IP khác

Các bạn tiến hành cấu hình trên giao diện CMD như sau

Kết quả :

Dùng VPC-2 ping thử Port MGMT của FortiGate-1

2. Tính năng dự phòng dây dẫn khi HA

Vì hiện giờ chúng ta đang cấu hình Active-Active, nên lở đâu port2 bị đứt thì FortiGate-2 vẫn là Primary, các thiết bị mà muốn qua nó đễ đi internet thì không được nữa

Để khắc phục điều này ta cần cấu hình thêm tính dự phòng như sau

Tại Monitor interface : thêm Port2

Trong nội dung này, chúng ta sẽ khám phá cách thêm Firewall của Palo Alto Networks vào Panorama. Panorama của Palo Alto Networks mang lại khả năng quản lý tập trung cho các sản phẩm như Firewall, Prisma, và nhiều hơn nữa. Điều này đồng nghĩa rằng, ngay cả khi các firewall của bạn được cấu hình ở các vị trí địa lý khác nhau, bạn vẫn có thể tích hợp chúng với Panorama để quản lý chúng một cách hiệu quả. Palo Alto Networks khuyến nghị sử dụng cùng phiên bản PAN-OS trên cả Panorama và firewall. Tuy nhiên, nếu phiên bản PAN-OS trên Panorama cao hơn so với firewall, điều này cũng được chấp nhận. Bây giờ, hãy bắt đầu quá trình tích hợp firewall với Panorama.

Mục lục :

I. Cách Add Firewall của Palo Alto Networks vào Panorama

1. Add firewall Palo Alto Networks vào Panorama

2. Thêm thông tin Panorama vào Palo Alto Networks

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

4. Import thiết bị vào Panorama

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Nội dung bài lab :

I. Cách thêm Firewall của Palo Alto Networks vào Panorama

Mặc dù có kết nối hai chiều thông qua TCP/3389 giữa Palo Alto Networks Panorama và Firewalls, ở đây tôi có cả Firewall và Panorama đều nằm trong cùng một subnet.

Nếu bạn đang sử dụng firewall VM Series của Palo Alto Networks, hãy đảm bảo rằng bạn có số sê-ri hợp lệ trên Firewall để bắt đầu quá trình tích hợp.

Trong trường hợp của tôi, tôi đang sử dụng PA-VM với địa chỉ IP quản lý là 192.168.31.205 và Panorama với địa chỉ IP quản lý là 192.168.31.250.

1. Add firewall Palo Alto Networks vào Panorama

Đầu tiên các bạn cần vào giao diện Palo Alto lấy số S/N

Tại giao diện Panorama > Panorama > Managed Devices > Summary > click vào Add.

Nhập số S/N của firewall vào

Click vào Generate Auth Key để tạo key > nhấn vào Copy Auth Key

2. Thêm thông tin Panorama vào Palo Alto Networks

Đăng nhập vào Palo Alto Networks Firewall

Ta vào Device > Setup > Management > Panorama Settings

Tiến hành điền thông tin IP của Panorama và key ở bước trên

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

Login vào Panorama

Chúng ta vào Panorama > Managed Devices > Summary

Kiểm tra trạng thái kết nối.

4. Import thiết bị vào Panorama

Truy cập giao diện Panarama

Panorama > Setup > Operations và click vào Import device configuration trong phần configuration management.

Device : chọn thiết bị Firewall Palo Alto mà bạn cần thiết lập

Templade Name : tên

Device Group Name : tên Group

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Tại giao diện Panarama

Các bạn vào Panorama > Setup > Operations và click vào Export or push device config bundle

Chọn thiết bị và xác minh số sê-ri của thiết bị

Tiếp theo chọn Push & Commit under Export hoặc Push Config Bundle 

Lúc này cấu hình sẽ được đẩy xuống Palo Alto

Các bạn có thể vào giao diện Palo Alto để xem

Màu hiển thị

Cuối cùng cần vào giao diện Panorama

click vào commit và chọn Push to devices