Microsoft Teams hiện đang là nền tảng phổ biến cho các cuộc họp trực tuyến (Meeting) và làm việc từ xa. Để đảm bảo chất lượng đường truyền cho các cuộc họp Teams, việc thiết lập QoS (Quality of Service) trên firewall là rất cần thiết.

Trong bài viết này, chúng ta sẽ thực hiện cấu hình QoS ưu tiên lưu lượng Microsoft Teams trên thiết bị Sophos Firewall.

• Thiết bị Sophos Firewall đã hoạt động bình thường.
• Quyền truy cập quản trị Sophos Central hoặc trực tiếp trên Firewall.
• Đường truyền internet ổn định.

• Đăng nhập vào Firewall Sophos.

• Tiếp theo chọn Application->Application Filter -> Add để tạo Microsoft Teams .

• Nhập name là: Mircrosoft Teams

Nhấn add để vào Application filter policy rules

• Ở chỗ Category chọn: Conferencing -> Select individual application -> Mircrosoft Teams -> Action chọn: Allow -> Schedule chọn: All the time -> Save.

• Xong phần thì nó sẽ hiện ra như thế này rồi mình nhấn Save.

• Chọn vào System service->Traffic Shaping-> Add

          Sau khi nhấn add->nhập những thông tin như này theo thứ tự ở trên hình ảnh

• Name : Team_QoS
• Policy association: Rules
• Rule Type: Guarantee
• Limit upload/download separately: Enable
• Priority: 0 – [ Real Time – e.g. VoIP] (highest)
• Guarantee – limit upload: ( 400-500) KBps
• Guarantee – limit download: (400-500) KBps
• Bandwidth usage type: Individual
• Save

 Sau khi nhập những bước trên xong thì chúng ta sẽ tạo 1 cái rule để Bước 1 và Bước 2 có thể chạy

Muốn tạo được Rule Policy thì ta vào phần Protect->Rule and policies->Firewall rules-> Add firewall rule->New firewall rules

          Sau khi nhấn New firewall rule thì firewall sẽ hiện ra trang edit firewall rule để mình điền thông rule

• Rule name: Allow_Teams_Meeting
• Action: Accept
• Tích vào Log firewall traffic
• Rule group: None

• Source Zone: LAN
• Source networks and devices: Khuyến khích chọn IP và subnet cố định, không nên để any ở mục này. Ở đây tôi sẽ để IP của máy mình.
• Destination Zones: WAN
• Destination networks: Any
• Service: Any

Kéo xuống dưới sẽ thấy phần Other security features trong phần này thì điền như sau:

• Identify and control applications (App control): Chọn Mircrosoft Teams mà nãy mình đã tạo ở Application (Bước 1).
• Shape traffic: Chọn Teams-Qos mà nãy mình đã tạo ở Traffic Shaping Policy (Bước 2).
• Tích vào Apply application-base traffic shaping policy
• Cuối cùng là chọn Save.

Khi xong hết những cấu hình ở trên thì tiếp theo mình sẽ vào bước test xem cấu hình của mình đã chạy hay chưa.

Ở đây em sẽ test với mức băng thông mình đã quy định là 400KBps ở trên bước 2, mình sẽ vào Teams để download 1 file mà mình đã tạo.

Tiếp theo sẽ tang băng thông lên thành 4000KBps tức là 4MBps để xem băng thông.

Nếu mà kết quả như trên mình đã làm thành công với QoS rồi nhé. Chúc các bạn thành công nhé.

Wasabi Cloud hỗ trợ mô hình IAM (Identity and Access Management) tương tự như Amazon S3, giúp doanh nghiệp dễ dàng kiểm soát và phân quyền truy cập đến tài nguyên (buckets, objects). Các thành phần chính bao gồm:

• User: Đại diện cho một cá nhân hoặc ứng dụng cụ thể.
• Group: Tập hợp các user có cùng chức năng, được gán quyền truy cập tập trung.
• Policy: Tập hợp các quy tắc (định nghĩa bằng JSON) xác định quyền được phép thực hiện hành động nào trên tài nguyên nào.

• Tạo các user riêng biệt cho từng nhân viên/phòng ban.
• Nhóm các user vào group theo chức năng (IT, HR, MKT).
• Áp dụng chính sách phân quyền theo nhóm để dễ quản lý.
• Tăng tính bảo mật và kiểm soát truy cập trong hệ thống Wasabi Cloud

Doanh nghiệp VACIF có nhu cầu tổ chức người dùng như sau:

Mỗi nhóm sẽ được gán policy riêng biệt (tham khảo phần hướng dẫn JSON policy trước đó).

• Đăng nhập vào Wasabi Console với quyền Admin.
• Truy cập tab Groups → nhấn Create Group.
• Nhập tên group (ví dụ: IT, HR, MKT) → nhấn Create.

Lưu ý: Các group này sẽ được gán các policy phù hợp sau đó.

• Truy cập tab Users → nhấn Create User.
• Nhập tên user, ví dụ: son.
• Chọn quyền truy cập:

+ Programmatic Access: Cho phép truy cập qua CLI/API.

+ Console Access: Truy cập qua Web UI.

• Gán user vào group tương ứng (ví dụ: user son → group IT).
• Gán chính sách đã tạo sẵn (policy dạng JSON) cho user hoặc group.

Lặp lại quy trình này để tạo các user simpson và simon.

• Truy cập tab Users → chọn user → mục Access Keys.
• Nhấn Create Access Key → hệ thống sẽ sinh ra:
• Access Key ID
• Secret Access Key
• Tải file .csv chứa key để lưu trữ an toàn.

Lưu ý: Không thể xem lại secret key sau khi đóng hộp thoại. Phải lưu ngay.

Tương tự, tạo access key cho 2 users còn lại

Tải và cài đặt WinSCP:

• Link tải: https://winscp.net/download/WinSCP-6.5.3-Setup.exe/download

Cấu hình kết nối Amazon S3 trong WinSCP:

• Mở WinSCP → nhấn New Site.
• Thiết lập các thông số:

+ File Protocol: Amazon S3

+ Access Key ID: (dán từ file key)

+ Secret Access Key: (dán từ file key)

+ Region: us-east-1 hoặc theo khu vực tạo bucket

+ Hostname: theo vùng Wasabi đang sử dụng (ví dụ: s3.us-east-1.wasabisys.com)

• Nhấn Login để kết nối.

Đăng nhập bằng user son (group IT):
 → Có quyền read/write tất cả thư mục được chỉ định.

Đăng nhập bằng user simpson (group HR):
 → Có quyền read/write thư mục HR
 → Chỉ được đọc, không ghi các thư mục khác.

Đăng nhập bằng user simon (group MKT):
 → Có quyền read/write thư mục MKT
 → Không thể ghi vào thư mục của nhóm khác.

Các quyền truy cập trên được kiểm soát bằng JSON policy gán cho từng group.

Với mô hình IAM trên Wasabi, việc cấu hình user, group và policy giúp doanh nghiệp:

• Tăng cường kiểm soát truy cập.
• Đảm bảo phân quyền chính xác cho từng vai trò.
• Hạn chế rủi ro bảo mật từ việc dùng chung tài khoản.
• Dễ dàng quản lý và mở rộng hệ thống người dùng khi doanh nghiệp phát triển.

Wasabi Cloud hỗ trợ mô hình IAM (Identity and Access Management) cho phép kiểm soát truy cập chi tiết đến tài nguyên lưu trữ như buckets, folders (prefix) và objects.
 Việc xây dựng các policy IAM sử dụng định dạng JSON giúp xác định chính xác:

• Ai được truy cập
• Truy cập ở đâu (bucket, folder)
• Có thể làm gì (đọc, ghi, xóa, liệt kê…)

Wasabi IAM Policy có thể gán cho:

• User (từng cá nhân, ứng dụng)
• Group (tập hợp users cùng vai trò)
• Tài nguyên cụ thể như bucket, folder, hoặc toàn hệ thống

Hướng dẫn cách viết policy bằng JSON để:

• Cấp quyền đọc/ghi/xoá dữ liệu cho người dùng
• Giới hạn quyền theo bucket, prefix (folder), hoặc hành động cụ thể
• Cấu hình chính sách phân quyền theo nhóm (group-based) cho doanh nghiệp SMB

Doanh nghiệp: VACIF
 Hệ thống lưu trữ:

• Truy cập: https://console.wasabisys.com
• Đăng nhập với quyền Admin
• Điều hướng: Policies → Create Policy

Mô tả: Toàn quyền thao tác với mọi bucket, bao gồm vacif-dulieu và vacif-luutru.

{

  “Version”: “2012-10-17”,

  “Statement”: [

    {

      “Sid”: “ITGroupFullAccess”,

      “Effect”: “Allow”,

      “Action”: [

        “s3:*”,

        “s3:ListAllMyBuckets”

      ],

      “Resource”: “*”

    }

  ]

}

Mô tả:

• Read/Write thư mục vacif-dulieu/HR/
• Read-only thư mục IT/ và MKT/
• Cấm hoàn toàn truy cập bucket vacif-luutru

{

  “Version”: “2012-10-17”,

  “Statement”: [

    {

      “Sid”: “HRGroupRW”,

      “Effect”: “Allow”,

      “Action”: [

        “s3:GetObject”,

        “s3:PutObject”,

        “s3:ListBucket”

      ],

      “Resource”: [

        “arn:aws:s3:::vacif-dulieu/HR/*”,

        “arn:aws:s3:::vacif-dulieu”

      ]

    },

    {

      “Sid”: “HRGroupROOthers”,

      “Effect”: “Allow”,

      “Action”: [

        “s3:GetObject”,

        “s3:ListBucket”

      ],

      “Resource”: [

        “arn:aws:s3:::vacif-dulieu/IT/*”,

        “arn:aws:s3:::vacif-dulieu/MKT/*”,

        “arn:aws:s3:::vacif-dulieu”

      ]

    },

    {

      “Sid”: “HRGroupDenyLuutru”,

      “Effect”: “Deny”,

      “Action”: “s3:*”,

      “Resource”: [

        “arn:aws:s3:::vacif-luutru”,

        “arn:aws:s3:::vacif-luutru/*”

      ]

    }

  ]

}

Mô tả:

• Read/Write thư mục vacif-dulieu/MKT/
• Read-only thư mục IT/ và HR/
• Cấm hoàn toàn bucket vacif-luutru

{

  “Version”: “2012-10-17”,

  “Statement”: [

    {

      “Sid”: “MKTGroupRW”,

      “Effect”: “Allow”,

      “Action”: [

        “s3:GetObject”,

        “s3:PutObject”,

        “s3:ListBucket”

      ],

      “Resource”: [

        “arn:aws:s3:::vacif-dulieu/MKT/*”,

        “arn:aws:s3:::vacif-dulieu”

      ]

    },

    {

      “Sid”: “MKTGroupROOthers”,

      “Effect”: “Allow”,

      “Action”: [

        “s3:GetObject”,

        “s3:ListBucket”

      ],

      “Resource”: [

        “arn:aws:s3:::vacif-dulieu/HR/*”,

        “arn:aws:s3:::vacif-dulieu/IT/*”,

        “arn:aws:s3:::vacif-dulieu”

      ]

    },

    {

      “Sid”: “MKTGroupDenyLuutru”,

      “Effect”: “Deny”,

      “Action”: “s3:*”,

      “Resource”: [

        “arn:aws:s3:::vacif-luutru”,

        “arn:aws:s3:::vacif-luutru/*”

      ]

    }

  ]

}

• Sau khi gán policy cho từng nhóm, kiểm tra lại quyền truy cập thực tế bằng:
• Đăng nhập bằng user tương ứng
• Sử dụng công cụ hỗ trợ như WinSCP, S3 Browser hoặc AWS CLI
• Thử các hành động: đọc, ghi, xóa, upload file, tạo folder…

Đảm bảo rằng:

+ son toàn quyền trên mọi thư mục

+ simpson chỉ ghi được ở HR, đọc được ở IT & MKT

+ simon chỉ ghi được ở MKT, đọc được ở IT & HR

Việc triển khai IAM Policy JSON trong Wasabi giúp:

• Phân quyền chi tiết và chính xác theo nhu cầu doanh nghiệp
• Tăng cường bảo mật, tránh rò rỉ dữ liệu giữa các phòng ban
• Tối ưu vận hành khi số lượng người dùng và dữ liệu tăng lên

• Duy trì một chính sách chung cho mỗi group để dễ quản lý.
• Thường xuyên audit log hoạt động truy cập (nếu sử dụng Wasabi Event Notifications).
• Cập nhật policy nếu có thay đổi về phân quyền hoặc tổ chức.

Wasabi Hot Cloud Storage là dịch vụ lưu trữ đám mây tương thích với giao thức S3, nổi bật nhờ chi phí thấp và hiệu suất cao. Trong Wasabi, Bucket là đơn vị lưu trữ chính, nơi chứa tất cả các objects (files, thư mục).

Việc tạo buckets đúng cách là bước đầu tiên trong việc tổ chức và quản lý dữ liệu doanh nghiệp trên môi trường Wasabi Cloud.

• Tạo mới một hoặc nhiều buckets trên nền tảng Wasabi.
• Áp dụng các cấu hình cơ bản như:

+ Khu vực (Region)

+ Versioning (Lưu phiên bản)

+ Object Lock (Khóa đối tượng)

+ Bucket Logging (Ghi nhật ký truy cập)

+ Tags (Gắn nhãn)

• Chuẩn bị bucket cho các chính sách phân quyền (IAM Policy, Bucket Policy).

• Công ty SMB “VACIF Co.” sử dụng Wasabi làm nơi lưu trữ dữ liệu các phòng ban: IT, HR, MKT.
• Cần tạo 2 bucket chính:

+ vacif-dulieu – lưu dữ liệu sản xuất

+ vacif-luutru – dùng làm bản sao dự phòng (replication)

• Bật Versioning để lưu các phiên bản cũ.
• Gắn tags để phục vụ truy xuất và báo cáo chi phí.
• Không bật Object Lock (do chưa cần Compliance Storage).
• Chưa áp dụng Public Access.

• Để bắt đầu, bạn cần có quyền truy cập vào tài khoản quản trị chính (Account Control Managed) – đây là tài khoản cấp cao cho phép bạn tạo và quản lý các sub-account cho người dùng trong doanh nghiệp.
• Truy cập địa chỉ: https://wacm.wasabisys.com
• Điền các thông tin cần thiết:

+ Account Name: Tên người dùng

+ Email Address: Email đăng nhập của người dùng
+ Password: Mật khẩu đăng nhập ban đầu

+ Storage Quota: Chỉ định dung lượng lưu trữ theo nhu cầu thực tế (ví dụ: 50 GB, 200 GB…)

** Lưu ý: Người dùng có thể đăng nhập vào Wasabi Console thông qua email và mật khẩu bạn vừa tạo để quản lý dữ liệu theo phân quyền được cấp.

Sau khi nhấn create sẽ hiện download key, bạn nhớ giữ key này để có thể đăng nhập vào winscp truy cập dữ liệu.

https://console.wasabisys.com/

• Tại giao diện quản trị Wasabi, truy cập vào mục “Buckets”, sau đó chọn “Create Bucket” để bắt đầu tạo mới.
• Bucket là vùng lưu trữ chính trong hệ thống Wasabi, nơi chứa toàn bộ dữ liệu (object) của bạn. Mỗi bucket nên được đặt tên rõ ràng và phản ánh đúng mục đích sử dụng (ví dụ: vacif-dulieu, ke-toan-backup).

• Bucket Name:
   Nhập tên bucket theo quy chuẩn đơn giản, dễ quản lý (viết thường, không dấu, không khoảng trắng).
   Ví dụ: vacif-dulieu, luutru-ke-toan, mkt-uploads

• Region:

Chọn khu vực lưu trữ gần bạn nhất để tối ưu tốc độ truy cập và giảm độ trễ.

• Bucket Versioning: Tích chọn “Enable Versioning” nếu bạn muốn lưu nhiều phiên bản của cùng một object (file) trong bucket.

+ Lợi ích: Cho phép khôi phục phiên bản cũ nếu file bị chỉnh sửa hoặc xóa nhầm.
+  Lưu ý: Tính phí theo tổng dung lượng của tất cả phiên bản. Ví dụ: Một file 100MB được cập nhật 3 lần sẽ tính 4 phiên bản × 100MB = 400MB dung lượng lưu trữ.

• Object Lock: Là tính năng giúp ngăn object bị xóa hoặc ghi đè trong một khoảng thời gian cố định (compliance hoặc governance mode).

+ Chỉ có thể bật khi tạo bucket và không thể tắt về sau. Do đó, chỉ nên bật nếu bạn cần lưu trữ dữ liệu tuân thủ pháp lý, chống ghi đè nghiêm ngặt (ví dụ: dữ liệu tài chính, log hệ thống).

Bucket Logging – Ghi nhật ký truy cập: Đây là tính năng sẽ ghi lại tất cả các lần truy cập (GET,PUT,DELETE, v.v..) Khi bật Bucket Logging, Wasabi sẽ tạo các file log chứa thông tin chi tiết như: địa chỉ IP, thời gian truy cập, người dùng thực hiện thao tác, loại thao tác thực hiện trên object,…

Object Replication – Sao chép đối tượng tự động: Đây là tính năng mỗi khi bạn tải lên hoặc cập nhật file trong bucket nguồn, wasabi sẽ tự động nhận bản sang bucket đích để bảo vệ dữ liệu khỏi mất mát, tạo bản sao dự phòng và đảm bảo tính liên tục hệ thống. Nhược điểm là việc sao chép sẽ tốn thêm dung lượng lưu trữ, chỉ các object mới tạo hoặc cập nhật sau khi cấu hình replication mới được sao chép.

Bucket Tags – Gắn nhãn quản lý: Tính năng cho phép gắn các cặp khóa/giá trị (key/value) để phân loại, quản lý hoặc theo dõi chi phí của bucket. Tags không ảnh hưởng đến quyền truy cập hay dữ liệu, mà chủ yếu dùng để đánh dấu, lọc báo cáo, hoặc phục vụ tự động hóa trong hệ thống quản lý.

Nhấn Next để hoàn tất.

Tương tự, tạo 1 bucket dùng để backup.

Để cho phép bucket vacif-dulieu tự động tạo bản sao dữ liệu sang vacif-luutru, thực hiện như sau:

• Truy cập mục Buckets, chọn bucket vacif-dulieu
• Nhấn vào biểu tượng bánh răng ở góc trên bên phải
• Trong phần Replication, chọn “Create Replication Job” để bắt đầu cấu hình

Ở mục Object Replication -> Create Replication Job.

• Replicate to a bucket within this account → Sao chép đến bucket khác trong cùng tài khoản Wasabi
• Replicate to a bucket in another account → Dùng khi bạn cần sao lưu đến tài khoản Wasabi khác (phải thiết lập trust + policy chia sẻ trước)
• Name → Tên của job (ví dụ: vacif-rep1)
• Destination Bucket → Bucket đích, ví dụ: vacif-luutru.Bucket này phải bật versioning trước
• Replicate only new objects → Chỉ sao chép các object được tạo hoặc cập nhật sau khi cấu hình job
   (Nên bật để tránh sao toàn bộ dữ liệu cũ không cần thiết)
• Sync deleted objects → Nếu bật: khi object bị xóa ở bucket nguồn, nó cũng bị xóa ở bucket đích. Cẩn thận: nếu dùng tính năng này, nên kết hợp với Versioning

Sau khi nhấn Create, hệ thống sẽ hiển thị thông tin chi tiết của Replication Job vừa thiết lập, bao gồm:

• Tên Job: ví dụ vacif-rep1
• Nguồn: vacif-dulieu
• Đích: vacif-luutru
• Trạng thái: Active (hoặc Enabled)
• Kiểu đồng bộ: chỉ các object mới hoặc có cập nhật
• Tùy chọn xóa đồng bộ: bật/tắt (tùy bạn đã chọn)

Từ thời điểm này, mọi file mới được tải lên hoặc chỉnh sửa trong vacif-dulieu sẽ tự động được sao chép sang vacif-luutru theo cấu hình đã đặt.

Việc cấu hình đúng các buckets, bật versioning, và thiết lập replication trong Wasabi không chỉ giúp doanh nghiệp bảo vệ dữ liệu hiệu quả mà còn đảm bảo tính liên tục hệ thống, phục vụ khôi phục sau sự cố, và nâng cao năng lực giám sát truy cập.

Khi thực hiện đúng quy trình, dữ liệu của bạn sẽ luôn có bản sao an toàn, có thể truy vết mọi thay đổi và đảm bảo tính toàn vẹn trong môi trường lưu trữ đám mây.

Trong phần tiếp theo, chúng ta sẽ tập trung vào:

• Cấu hình người dùng và nhóm (IAM Users & Groups)
• Xây dựng chính sách phân quyền chi tiết (IAM Policies)
• Gán quyền truy cập theo từng phòng ban và nhu cầu thực tế

Từ đó, hệ thống Wasabi không chỉ an toàn mà còn phù hợp với mô hình tổ chức doanh nghiệp, đảm bảo mỗi người dùng chỉ được truy cập đúng phạm vi dữ liệu của họ.

Trong môi trường doanh nghiệp hiện đại, nhu cầu truy cập từ xa vào hệ thống nội bộ là rất phổ biến. Tuy nhiên, không phải lúc nào người dùng cũng có thể cài đặt phần mềm VPN. Vì vậy, tính năng Clientless VPN trên Sophos XGS Firewall là một giải pháp lý tưởng. Nó cho phép người dùng truy cập các dịch vụ nội bộ như Remote Desktop (RDP), HTTP/S, SSH… trực tiếp qua trình duyệt web, thông qua cổng VPN Portal bảo mật bằng SSL.

Bài viết này sẽ hướng dẫn cấu hình chức năng Clientless VPN với giao thức RDP, nhằm giúp người dùng từ xa có thể truy cập máy chủ nội bộ nhanh chóng và an toàn mà không cần cài thêm phần mềm.

Mục tiêu: Cho phép người dùng truy cập máy chủ nội bộ (Windows Server) thông qua RDP bằng trình duyệt web, sử dụng tính năng Clientless VPN trên Sophos XGS.

Máy chủ cần truy cập: 192.168.20.21 – đã bật tính năng RDP

Người dùng: Nhân viên được cấp tài khoản (tài khoản local hoặc từ AD/LDAP)

Truy cập từ xa: Thông qua portal SSL VPN tại địa chỉ
https://<WAN_IP hoặc Domain>:445

Yêu cầu bảo mật:

• Xác thực người dùng trước khi hiển thị bookmark RDP
• Không cài đặt phần mềm, sử dụng giao diện HTML5
• Giới hạn quyền truy cập theo user cụ thể

• Vào menu: Remote Access VPN → Clientless SSL VPN policy → Bookmarks
• Nhấn Add để tạo kết nối mới.

• Name: đặt tên (ví dụ: WINDOW_SERVERS)
• Type: chọn RDP
• URL: nhập IP máy cần truy cập (ví dụ: 192.168.20.21)
• Port: 3389
• Protocol security: chọn TLS
• Nhấn Save.

• Chuyển sang tab: Policies
• Nhấn Add để tạo chính sách truy cập.

• Name: đặt tên cho policy (ví dụ: ALLOW_RDP_WIN_SVR)
• Policy members: chọn user/group được cấp quyền
• Published bookmarks: chọn bookmark đã tạo ở bước 2
• Nhấn Save

• Vào menu: Administration → Device Access → Local service ACL
• Ở dòng VPN Protal, tick chọn zone WAN

• Trên trình duyệt, truy cập: https://<WAN-IP hoặc domain>:8443 (Mặc định port truy cập VPN Portal của Sophos là 445, ở đây do mình đã đổi port)

• Sau khi đăng nhập, chọn tab Clientless Access
• Nhấn vào biểu tượng RDP tương ứng để kết nối từ trình duyệt

“Error: protocol security negotiation failure”,
thì cần tắt xác thực NLA (Network Level Authentication) trên Windows Server.

1. Nhấn Windows + R
2. Gõ lệnh: SystemPropertiesRemote → nhấn Enter
3. Trong cửa sổ System Properties, tab Remote
4. Bỏ chọn dòng:
   “Allow connections only from computers running Remote Desktop with Network Level Authentication”
5. Nhấn Apply → OK

Join domain là quá trình đưa máy tính Windows vào hệ thống quản lý tập trung sử dụng Active Directory. Khi máy đã join domain, người dùng có thể đăng nhập bằng tài khoản domain, nhận chính sách Group Policy và được quản lý tập trung từ Domain Controller (DC).

• Máy chủ Domain Controller đã được cấu hình Active Directory (VD: vf.com).
• Máy trạm cần join domain đang dùng Windows 10/11 hoặc Windows Server.
• Máy trạm đã trỏ DNS về IP của Domain Controller.
• Có tài khoản domain có quyền join domain (Domain Admin hoặc được cấp quyền).

1. Nhấn Windows + R để mở hộp thoại Run.
2. Gõ ncpa.cpl → nhấn Enter để mở cửa sổ Network Connections.
3. Chuột phải vào adapter đang dùng (Ethernet/Wi-Fi) → chọn Properties.
4. Chọn Internet Protocol Version 4 (TCP/IPv4) → bấm Properties.
5. Điền vào Preferred DNS server là IP của Domain Controller (VD: 192.168.20.254).

Mở Command Prompt và chạy:

ping vf.com   |  nslookup vf.com

Nếu kết quả phản hồi đúng IP DC thì có thể tiếp tục.

1. Nhấn Windows + R, gõ sysdm.cpl → Enter.
2. Chọn Change, đổi tên máy nếu cần và nhập tên domain (ví dụ: vf.com).

• Nhập tài khoản domain (VD: administrator / mật khẩu).

• Khởi động lại máy.

Tại màn hình đăng nhập:

1. Chọn Other user (Người dùng khác).
2. Nhập thông tin đăng nhập domain:
   1. Username: domain\tennguoidung
   1. Password: mật khẩu tài khoản domain

Sau khi đăng nhập, mở Command Prompt và gõ:

whoami

Kết quả sẽ là domain\tennguoidung.

echo %userdomain%

Kết quả là tên domain viết hoa, VD: DOMAIN.

IPv6 là thế hệ địa chỉ IP mới thay thế cho IPv4 với không gian địa chỉ gần như vô hạn. Trong mạng nội bộ, việc triển khai IPv6 giúp thử nghiệm các kỹ thuật mới như DHCPv6, SLAAC, router advertisement, và chuẩn bị cho khả năng mở rộng trong tương lai.

Sophos Firewall hỗ trợ cấu hình IPv6 nội bộ mà không cần nhà mạng cấp prefix. Điều này giúp dễ dàng mô phỏng và kiểm tra hoạt động cấp phát địa chỉ IPv6 trong lab hoặc doanh nghiệp nhỏ.

Bài viết này nhằm hướng dẫn cách cấu hình IPv6 trên Sophos Firewall trong môi trường nội bộ (lab) khi chưa có IPv6 từ nhà mạng. Mục tiêu chính bao gồm:

• Làm quen với cơ chế hoạt động của IPv6 trên Sophos Firewall.
• Triển khai cấp phát địa chỉ IPv6 tự động trong mạng LAN.
• Thực hành và kiểm tra các phương pháp cấp phát địa chỉ như DHCPv6 Stateful, SLAAC, và Stateless DHCPv6.
• Tạo nền tảng để triển khai thực tế trong doanh nghiệp khi có IPv6 từ ISP.

Trong môi trường lab nội bộ, bạn chưa có kết nối IPv6 từ ISP nhưng muốn triển khai và kiểm tra hoạt động của 3 phương pháp cấp phát địa chỉ IPv6 cho thiết bị (client) bao gồm:

• Thiết bị client tự tạo địa chỉ IPv6 dựa vào prefix được quảng bá từ firewall.
• Không cần DHCPv6 server cấp địa chỉ.
• Phù hợp với môi trường đơn giản, không yêu cầu quản lý địa chỉ chặt chẽ.

• Sophos Firewall đóng vai trò DHCPv6 server và cấp địa chỉ IPv6 trực tiếp cho các thiết bị.
• Cấu hình phù hợp với các môi trường yêu cầu kiểm soát và ghi log địa chỉ IP.

• Thiết bị client vẫn tự tạo địa chỉ IPv6 bằng SLAAC.
• DHCPv6 server chỉ cấp các thông tin phụ như DNS, NTP.
• Phù hợp khi cần sự linh hoạt của SLAAC nhưng vẫn muốn bổ sung thông tin mạng.

Mục tiêu: kiểm tra, đánh giá và hiểu rõ cơ chế hoạt động, cấu hình và sự khác nhau giữa các phương pháp trên trong cùng một mô hình lab nội bộ, từ đó chuẩn bị cho việc triển khai IPv6 thực tế khi có prefix từ ISP.

• Vào mục Network -> Add Interface

• Name: Đặt tên rule
• Hardware: Chọn Port muốn cấu hình
• Tick chọn mục IPv6 configuration
• IP assignment: Chọn Static vì chưa có ISP cấp mạng wan ra internet
• Ipv6/prefix*: Đặt dãy mạng ipv6 mà bạn muốn

• Interface: Chọn port cấp ipv6, nơi gói RA sẽ được gửi ra
• Min Advertisement interval: Thời gian tối thiểu giữa hai gói RA, giúp giảm bớt lưu lượng quảng bá
• Max Advertisement interval: Thời gian tối đa giữa các gói RA. Trong khoảng này, firewall sẽ gửi RA
• Default gateway: Cho phép firewall cung cấp địa chỉ cổng mặc định (gateway) cho các thiết bị IPv6 trong mạng
• Managed flag: Thông client rằng cần dùng DHCPv6 để nhận địa chỉ IP
• On-link: Cho phép client biết rằng subnet này có thể gửi gói trực tiếp (không cần router trung gian)
• Other flag: Thông báo rằng có DHCPv6 server cung cấp các thông tin phụ DNS, NTP
• Autonomous: Cho phép client tự tạo địa chỉ IP bằng SLAAC từ prefix được quảng bá
• Preferred lifetime: Thời gian ưu tiên sử dụng địa chỉ IPv6, sau đó có thể được làm mới
• Valid lifetime: Thời gian hợp lệ của địa chỉ IPv6. Hết thời gian này, địa chỉ sẽ bị gỡ bỏ nếu không được gia hạn

→ Với cả 3 cờ đều bật như trên → client có thể tự tạo địa chỉ IP bằng SLAAC và cũng có thể nhận IP và DNS từ DHCPv6 Server nếu có.

• Ở đây mình test thử phương pháp SLAAC trước, bỏ tick chọn M với O và đặt ip tĩnh cho client.

• Trên máy client đặt ip tĩnh

• Sau đó dùng lệnh ping đến default gateway của sophos firewall trên cmd.Phương pháp SLAAC thành công.

→ Ưu điểm của SLAAC: Không cần DHCPv6, Dễ triển khai, không cần server, Phù hợp cho mạng nhỏ, đơn giản

Mục tiêu của bài lab là cấu hình NAT (Network Address Translation) trên Sophos Firewall để cho phép máy chủ web (Web Server) trong môi trường ảo EVE-NG có thể cung cấp dịch vụ HTTPS có chứng chỉ CA ra Internet. Qua đó, người dùng bên ngoài có thể truy cập trang web nội bộ qua địa chỉ IP công cộng của firewall.

• Web Server nằm trong mạng nội bộ (LAN) của mô hình EVE-NG, chỉ có IP nội bộ (Private IP).
• Sophos Firewall được cấu hình làm gateway giữa mạng nội bộ và Internet.
• Cần cấu hình NAT để ánh xạ (map) cổng HTTP (80) và HTTPS (443) từ IP công cộng trên Sophos và router đến địa chỉ IP nội bộ của Web Server.

• Cài đặt dịch vụ HTTP/HTTPS (Apache, Nginx…).
• Đảm bảo Web Server có IP tĩnh và dịch vụ web hoạt động bình thường trong nội bộ.

• Vào mục Rules and policies -> Add firewall rule.

• Ở mục Source zones: Chọn WAN -> Source networks and devices: Chọn Any
• Destination zones: Chọn LAN -> Destination networks: chọn IP của router EVE -> Services: Chọn dịch vụ HTTP và HTTPS

• Vào Rules and Policies -> NAT Rules -> Add NAT rule
• Original source: chọn Any
• Original destination: Chọn port wan
• Original service: Chọn dịch vụ HTTPS
• Translated source (SNAT): Chọn Original
• Translated destination (DNAT): Chọn IP của route eve (10.10.10.23)
• Translated service(PAT): Chọn dịch vụ HTTPS(443)
• Inbound interface: Chọn Network là cổng wan
• Outbound interface: Chọn any

• Đăng nhập vào modem -> Internet -> Security -> Port Forwarding -> Create New Item
• Name: Đặt tên rule
• Protocol: chọn TCP
• WAN connection: Auto
• LAN Host: Chọn IP Wan tĩnh cấp cho firewall
• WAN Port: 443
• LAN Host Port: 443

• Từ máy bên ngoài hoặc host thật, truy cập IP công cộng của firewall trên trình duyệt.
• Nếu cấu hình đúng, sẽ truy cập được Web Server nội bộ qua NAT.

• Proxmox VE đã cài đặt và hoạt động
• File ISO Sophos XG Firewall (tải từ trang chủ Sophos:https://www.sophos.com/)
• Trình duyệt web để truy cập giao diện Proxmox

• RAM: Tối thiểu 2 GB (nên dùng 4 GB)
• CPU: 2 nhân trở lên
• Ổ cứng: Tối thiểu 10 GB
• 2 card mạng ảo: WAN & LAN

• Truy cập: https://www.sophos.com/en-us/support/downloads/firewall-installers

• Truy cập Proxmox à Datacenter à pve à qnap àISO Images à Nhấn Upload

• Nhấn upload xong sẽ hiện lên cái bảng như này chọn: Seclect File (chọn file iso mình đã tải bên Webiste Sophos)à Upload.

Nó hiện lên TASK OK là đã upload lên thành công rồi.

• Tạo máy ảo trên Proxmox cho Sophos XG
• Nhấn Create VM

• Mode: pve
• VM ID: 106 (106 là vì tôi đã có mấy con ảo hóa từ trước)
• Name: Sophos
• Nhấn Next để tiếp tục

• Sau khi nhấn Next nó sẽ qua phần OS để cho mình chọn cái iso mà mình mong muốn. Ở đây tôi cài Sophos nên các bước như sau.
• Storage: qnap (do nãy tôi lưu iso Sophos vào đó nên chọn ổ cứng qnap để lấy iso Sophos ra).
• ISO image: HW-21.0.1_MR-1-277.iso.
• Type: Linux.
• Version: 6.x – 2.6 Kernel.
• Nhấn Next để tiếp tục.

• Graphic card: Default
• Machine: Default (i440fx)
• BIOS: Default ( SeaBIOS)
• SCSI Controller : VirtlO SCSI single

• Bus/Device: SCSI 0
• SCSI Controller: VirtlO SCSI single
• Storage: local-lvm (lưu vào một ổ đĩa trên proxmox VM)
• Disk size (GiB): 32
• Cache: Write back
• Nhấn Next tiếp tục.

• Sockets: 4
• Core: 1
• Type: host
• Total cores: 4
• Nhấn Next để tiếp tục

Ở phần này thì mình chỉ cần điền số MB mà mình cần chỉnh cho RAM

• Memory (MiB): 8192MB
• Nhấn Next.

• Bridge: vmbr0 (Đây là Card mạng mà bạn đã cấu hình ban đầu.)
• Model: VirtlO (paravirtualized), (ưu tiên để cái này nếu card mạng không nhận thì mình có thể chuyển qua Intel E1000).
• Nhấn Next để tiếp tục.

Sau khi nhấn next thì nó ra sẽ phần cho các bạn kiểm tra cấu hình những gì mình đã chọn ở những bước qua, nếu nó đã phù hợp với những gì mình đã cấu hình thì mình nhấn Finish.

Đây là toàn bộ cấu hình mình đã thưc hiện, nhưng ở đâu đang thiếu 1 card LAN để user có thể kết nối vào Sophos thì ta sẽ làm như sau:

• Hardware à Add à Network Device.

• Bridge: vmbr1
• Model: VirtlO (paravirtualized)

Cái card mạng này sẽ dành cho cách máy Window ảo hóa. Sau khi tạo xong cái card mạng này thì mình sẽ Start nó lên rồi để nó cài.

Tới đây mình sẽ điền mật khẩu mặc định là admin.

Như vầy là mình đã cài xong Sophos trên Proxmox, muốn vào Website Sophos thì mình cần phải tạo thêm 1 HĐH Win 11 và để card mạng là vmbr1 để có thế kết nối vào đc trang web Sophos.

Bây giờ mình sẽ thực hiện vào trang web Sophos trên Win 10 ảo đã tạo trước đó, mình sẽ nhập như sau:

https://172.16.16.16:4444 (Đây là địa chỉ web mặc định của Sophos) .

Sau đó mọi người accept Sophos như bình thường. Vậy cách cài đặt Sophos lên proxmox đã xong.

Chúc mọi người thành công.

Sau khi hoàn tất quá trình triển khai Sophos Firewall trên nền tảng Proxmox, hệ thống đã hoạt động ổn định, đầy đủ chức năng và cho hiệu suất tốt tương đương với thiết bị phần cứng chuyên dụng. Nhờ sự linh hoạt của Proxmox, người quản trị có thể dễ dàng sao lưu, snapshot, khôi phục hệ thống, đồng thời tối ưu tài nguyên phù hợp với nhu cầu thực tế.

Các bước cấu hình mạng, cấp quyền ACL, gán card mạng ảo, và tối ưu CPU/RAM đều đã hoàn thiện, đảm bảo tường lửa vận hành an toàn, hiệu quả và có khả năng mở rộng khi cần thiết. Ngoài ra, việc giới hạn quyền truy cập qua ACL và chỉ định IP đáng tin cậy giúp tăng cường bảo mật cho giao diện quản trị.

• Triển khai firewall mạnh mẽ mà không cần thiết bị phần cứng riêng.
• Linh hoạt trong cấu hình, nâng cấp và quản trị.
• Tận dụng tối đa tài nguyên ảo hóa có sẵn.
• Dễ backup, snapshot và rollback khi cần.
• Hoàn toàn tương thích với các tính năng chính của Sophos như VPN, IPS, Web Filtering, Application Control…

Đây là một giải pháp lý tưởng cho lab nghiên cứu, doanh nghiệp nhỏ, hoặc quản lý hệ thống mạng chuyên nghiệp. Nếu cần mở rộng thêm HA (High Availability) hoặc clustering, Proxmox vẫn hỗ trợ tốt.

SSL VPN Client to Site là một phương thức kết nối an toàn cho phép người dùng từ xa truy cập vào mạng nội bộ doanh nghiệp thông qua Internet bằng cách sử dụng phần mềm VPN client. Với SSL VPN, dữ liệu được mã hóa qua giao thức SSL/TLS giúp đảm bảo tính bảo mật trong quá trình truyền tải.

Trên Sophos Firewall, SSL VPN thường được triển khai để hỗ trợ nhân viên làm việc từ xa (Work from Home), kỹ thuật viên hỗ trợ hoặc các nhà cung cấp dịch vụ truy cập vào hệ thống nội bộ để thực hiện công việc một cách an toàn và linh hoạt.

• Không yêu cầu IP tĩnh từ phía client.
• Dễ dàng triển khai và sử dụng thông qua phần mềm Sophos Connect.
• Có thể kiểm soát, giới hạn quyền truy cập dựa trên user/group.
• Hỗ trợ xác thực hai lớp (Two-Factor Authentication).
• TÌNH HUỐNG CẤU HÌNH

Cấu hình SSL VPN trên Sophos Firewall để người dùng ở ngoài công ty có thể kết nối về mạng LAN nội bộ thông qua phần mềm Sophos Connect Client.

• Dải mạng nội bộ (LAN): 10.10.10.0/24
• IP của Sophos Firewall (port WAN): 123.20.173.178
• Dải IP cấp cho client VPN: 10.102.10.0/24
• Người dùng VPN: vpnuser01, thuộc group SSLVPN-Users

Người dùng có thể truy cập các tài nguyên trong LAN khi kết nối VPN

Vào menu Authentication → chuyển sang tab Groups → nhấn Add để tạo nhóm người dùng mới.

• Group name: Đặt tên cho nhóm (ví dụ: SSLVPN-Users)
• Group type: Chọn Normal
• Surfing quota: Chọn Unlimited Internet Access hoặc chọn quota giới hạn nếu cần
• Access time: Chọn Allowed all the time hoặc cấu hình khung thời gian truy cập tùy ý
  → Nhấn Save để lưu lại nhóm vừa tạo.

• Chuyển sang tab Users → nhấn Add
• Username: Đặt tên người dùng (ví dụ: vpnuser01)
• User type: Chọn User
• Password: Nhập mật khẩu cho người dùng
• Email: Nhập địa chỉ email của quản trị viên (hoặc của người dùng nếu cần gửi thông tin qua email)
• Group: Chọn nhóm SSLVPN-Users đã tạo ở bước trước
  → Nhấn Save để hoàn tất tạo user.

• Vào menu Remote access VPN → chọn tab SSL VPN → nhấn Add → nhấn Configure manually

• Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
• Policy members: Chọn user hoặc group mà bạn đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
• Use as default gateway:
  • Bật nếu bạn muốn tất cả lưu lượng của client đi qua firewall (full tunnel).
  • Không bật nếu bạn chỉ muốn lưu lượng truy cập nội bộ đi qua VPN (split tunnel).
• Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà bạn muốn cấp quyền truy cập cho người dùng VPN (ví dụ: 10.10.10.0/24)
  → Nhấn Apply để lưu cấu hình.

Tại menu Remote access VPN, chọn mục SSL VPN global settings.

• Protocol: Chọn UDP để có hiệu suất tốt hơn.
• SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định).
• Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ kết nối tới (ví dụ: 123.20.173.178)
• Port: Để mặc định là 8443 hoặc thay đổi nếu có yêu cầu riêng.
• Assign IPv4 addresses: Nhập dải IP cấp phát cho client VPN (ví dụ: 10.121.10.0/24).
• IPv4 DNS: Nên cấu hình DNS như 8.8.8.8 và 1.1.1.1 để client có thể phân giải tên miền khi kết nối VPN.
• Disconnect dead peer after: Có thể đặt là 180 giây để tự động ngắt kết nối khi client không phản hồi.
• Disconnect idle peer after: (có thể cấu hình thời gian ngắt nếu người dùng không hoạt động – nên để trống nếu không giới hạn) → Nhấn Apply để lưu cấu hình.

• Vào Rules and Policies → chọn tab Firewall Rules
• Nhấn Add firewall rule → chọn New Rule
• Cấu hình các thông số sau:

• Nhấn Save để lưu rule.

• Truy cập VPN Portal bằng cách mở trình duyệt và truy cập địa chỉ: https://<WAN-IP hoặc tên miền >:445
• Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.

Nhấn Download for Windows trong mục Sophos Connect client để tải file cài đặt phần mềm.
Sau đó, nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN.

• Chạy file cài đặt SophosConnect_<version>.exe vừa tải về.
• Tại màn hình cài đặt, tick chọn ô:
  “I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy”
• Nhấn Install để bắt đầu cài đặt.
• Chờ quá trình cài đặt hoàn tất, sau đó nhấn Finish.

• Mở phần mềm Sophos Connect sau khi cài đặt.
• Tại giao diện chính, nhấn Import connection.
• Chọn file cấu hình sslvpn-vpnuser01-client-config.ovpn đã tải trước đó từ VPN Portal.
• Sau khi import thành công, kết nối VPN sẽ hiển thị trên danh sách.