Zero-day Protection được vận hành bởi SophosLabs Intelix, là một dịch vụ đám mây kết hợp machine learning, sandboxing và năng lực nghiên cứu mối đe dọa để phát hiện cả các mối nguy đã biết và chưa biết thông qua việc phân tích các tệp tải xuống đáng ngờ và file đính kèm email.

Sophos Firewall sẽ gửi các tệp mới đến SophosLabs Intelix để thực hiện phân tích bảo vệ zero-day khi các tệp này đi vào mạng của bạn. Intelix sử dụng nhiều lớp phân tích để xác định mức độ rủi ro mà từng tệp có thể gây ra cho hệ thống mạng. Ngoài việc chặn các tệp nguy hiểm, tính năng zero-day protection còn cung cấp các báo cáo phân tích chi tiết giúp bạn hiểu rõ mức độ rủi ro của từng tệp.

SophosLabs Intelix sử dụng nhiều mô hình machine learning để phân tích đặc điểm, tính năng, mã di truyền (genetics) và uy tín toàn cầu của tệp. Hệ thống sẽ so sánh các tệp mới với hàng triệu tệp đã được xác định là an toàn hoặc độc hại để đánh giá khả năng tệp mới có phải là mã độc hay không.

Phân tích sandbox thực hiện cả phân tích động và phân tích tĩnh đối với các tệp mới đi vào mạng của bạn. Quá trình này bao gồm:

• Phân tích bằng deep learning
• Phát hiện khai thác lỗ hổng (exploit detection)
• Công nghệ CryptoGuard để phát hiện ransomware đang mã hóa dữ liệu theo thời gian thực

PC/laptop người dùng trong mạng sẽ thực hiện download các tệp đáng ngờ trên trình duyệt Chrome, khi đó Sophos firewall đã cấu hình tính năng Zero-day sẽ thực hiệnscan file download từ trình duyệt Chrome với protocol HTTP/HTTPS, với các tệp đáng ngờ sẽ có action là block download.

Kiểm tra cài đặt Zero-day Protection vào mục Zero-day Protection > Protection Settings > Data Center Location chọn Let Sophos Decide.

Di chuyển xuống mục Certificate > Certificate Authorities > chọn download Security Appliance SSL_CA.

Di chuyển qua máy tính của người dùng, add Certificates, chọn All tasks > Import

Chọn Browse, click chọn Certificates SSL_CA vừa tải xuống ở bước trên. Click Next

Chọn Place all certificates in following store. Chọn Trust root Certificates Authorities. Click Next

Chọn Finish. Import thành công.

Truy cập Rule and policies > Firewall rules > Add firewall rule > New firewall rule.

• Rule Name: Điền tên bạn muốn
• Action: chọn Accept
• Tích chọn Log firewall traffic để xem log match với rule này
• Source zone: LAN
• Source networks and devices: Test_VM (IP:123.123.123.203/24)
• Destination Zones: WAN
• Destination networks: Any
• Services: Any

Trong Web Policy chọn Scan HTTP and Decrypted HTTPS và Use Zero-day Protection để sử dụng tính năng này.

Nhấn Save để lưu

Di chuyển đến tab Rules and policies. > Chọn tab SSL/TLS inspection rules > Click Add

• Name: Đặt tên policy bạn muốn
• Source zones: LAN.
• Source networks and devices: chọn Test VM.
• Destination zones: WAN.
• Action: Chọn Decrypt.
• Profile: chọn Maximum compatibility.

Nhấn Save.

Đối với trình duyệt Chrome thường dùng kho chứng chỉ riêng nên nếu muốn scan http/https 1 cách hiệu quả phải add thêm chứng chỉ SSL_CA của Sophos.

Mở trình duyệt, vào Settings (Cài đặt).Tìm kiếm từ khóa “Quản lý chứng chỉ”. Click chọn “Chứng chỉ được nhập từ windows” chọn tab Trust root Certification Authorities > Import.

Click Browse > chọn SSL_CA.pem của Sophos > click Next.

Import thành công. Click OK.

Kiểm tra chứng chỉ SSL_CA đã được add vào trình duyệt.

Truy cập vào trang Sophostest của Sophos, kiểm tra trang web đang sử dụng chứng chỉ SSL_CA.

Click chọn Anti-virus Eicar > Download

Trình duyệt báo lỗi không thể truy cập

Kiểm tra log Malware trên Sophos firewall báo đã block file tải xuống với protocol Https.

Truy cập Sophostest > chọn Intelix Potentially Unwanted Application (PUA) Reputation EXE file > Download.

Trình duyệt báo lỗi truy cập

Kiểm tra log Zero-day Protection đã block file tải xuống.

Bạn có thể truy cập bào tab Zero-day protection > Download and attachments để có các thông tin rõ ràng hơn về các file đã tải xuống.

Click chọn icon 3 chấm > View report về 1 file cụ thể

Vậy, bạn đã hoàn thành cấu hình tính năng Zero-Day Protection trên Sophos Firewall

SD-RED 60 ở chế độ Standard/Unified cho phép kết nối chi nhánh hoặc văn phòng từ xa về Sophos Firewall XGS thông qua một đường hầm bảo mật qua Internet. Toàn bộ mạng phía sau thiết bị RED sẽ được xem như một phần của mạng LAN nội bộ, do firewall trung tâm quản lý hoàn toàn, bao gồm DHCP, gateway và các chính sách bảo mật. Chế độ này giúp quản trị tập trung, kiểm soát truy cập và lọc lưu lượng hiệu quả, rất phù hợp cho mô hình nhiều site hoặc branch office.

Truy cập vào Sophos Firewall. Đến phần System services -> RED. Bật RED status trên Head Office Firewall lên.

Đăng kí Sophos Firewall với RED provisioning Server sau khi bật RED status. Lưu ý: chỉ làm 1 lần suy nhất.

Sau khi đăng kí xong thì sẽ có giao diện như sau.

Vào Network -> Zones. Nhấn Add.

Bật dịch vụ mạng và các dịch vụ khác phục vụ cho việc cấu hình và troubleshoot.

Đến phần Network -> Interfaces. Nhấn Add interface, và chọn Add RED.

• Branch name: Đặt tên
• Type: Dòng thiết bị
• RED ID: S/N thiết bị (nằm dưới thiết bị RED)
• Unlock code: nhập đoạn mã mà firewall sẽ gửi qua email đã nhập ở bước đăng kí RED
• Firewall/Hostname: IP WAN firewall
• 2^nd Firewall/Hostname: IP WAN remote (phía SD-RED)

Cấu hình cho SD-RED và remote LAN nhận DHCP.

Cấu hình mode Standard/unified.

• RED IP: nhập IP cùng subnet với subnet mà Firewall cấp cho remote LAN
• RED netmask: lớp mạng
• Zone: RED_Device
• RED DHCP range: IP range cho remote network (phía sau thiết bị RED)

Kết quả

Tạo Firewall rule cho phép remote LAN(phía sau thiết bị RED) truy cập Internet và try cập vào LAN Office.

Trong PROTECT, chọn Rule and policies -> Add firewall rule -> chọn New firewall rule.

Đặt tên và chọn action.

Chọn Source zone là RED_Device và Destination zone là LAN/WAN để remote LAN có thể truy cập Internet và access vào LAN.

Qua bài viết này, chúng ta đã cùng đi qua toàn bộ quy trình triển khai SD-RED 60 ở chế độ Standard/Unified trên Sophos Firewall XGS, từ mô hình kết nối cho đến các bước cấu hình thực tế. Đây là một giải pháp tối ưu cho doanh nghiệp có nhiều chi nhánh, giúp mở rộng mạng nội bộ một cách an toàn, linh hoạt và dễ quản trị tập trung. Hy vọng bài viết sẽ giúp anh em kỹ sư có thêm góc nhìn thực tế và tự tin hơn khi triển khai RED trong các dự án thực chiến.

Bài viết này hướng dẫn cấu hình IPsec Remote Access VPN trên Sophos Firewall thông qua Sophos Connect Client, giúp người dùng từ xa có thể truy cập an toàn vào hệ thống mạng nội bộ của doanh nghiệp.

Bên cạnh đó, bài viết cũng phân tích sự khác biệt giữa hai mô hình triển khai phổ biến:

• Firewall quay PPPoE trực tiếp (khuyến nghị – đảm bảo IPsec hoạt động ổn định)
• Firewall đặt sau modem NAT (dễ phát sinh lỗi kết nối IPsec)

Qua đó, giúp người đọc hiểu rõ nguyên nhân và lựa chọn mô hình triển khai phù hợp trong thực tế.

Trong thực tế, doanh nghiệp thường có nhu cầu cho phép nhân viên truy cập vào hệ thống nội bộ khi làm việc từ xa (tại nhà, quán cà phê hoặc khi đi công tác). Tuy nhiên, việc mở trực tiếp các dịch vụ nội bộ ra Internet tiềm ẩn nhiều rủi ro về bảo mật.

Vì vậy, giải pháp được đặt ra là triển khai VPN để tạo một kênh kết nối an toàn giữa người dùng bên ngoài và hệ thống mạng nội bộ.

Yêu cầu:

• Triển khai IPsec Remote Access VPN trên Sophos Firewall sử dụng Sophos Connect Client
• Đảm bảo dữ liệu trao đổi được mã hóa, an toàn khi đi qua Internet
• Người dùng sau khi kết nối VPN có thể truy cập vào các tài nguyên nội bộ như:
  • Server nội bộ
  • File chia sẻ (SMB)
  • Remote Desktop (RDP)
• Hạn chế truy cập, chỉ cho phép vào các mạng cần thiết (ví dụ: VLAN quản trị)

1. Tạo user VPN
2. Tạo IPsec Profile
3. Cấu hình IPsec Remote Access
4. Tạo Firewall Rule cho VPN
5. Cài Sophos Connect và export file cấu hình để kết nối

Authentication → Users → Add

Profiles → IPsec profiles → Add

IPsec Profile dùng để định nghĩa các thông số bảo mật và cách thức thiết lập kết nối VPN giữa client và firewall. Để đảm bảo tương thích với Sophos Connect, profile nên cấu hình tương tự profile mặc định DefaultRemoteAccess.

Thông tin chung

• Name: IPsec VPN Remote Access.
• Description: Description.
• Key exchange: IKEv1 – Chuẩn kết nối cũ.
• Authentication mode: Main mode – đảm bảo quá trình xác thực an toàn hơn.
• Key negotiation tries: 0 – cho phép thử kết nối không giới hạn nếu lần đầu thất bại.
• Re-key connection: Enable  – tự động gia hạn kết nối khi sắp hết hạn.
• Use strict profile: Disable – cho phép linh hoạt khi thương lượng thuật toán giữa client và firewall.
• Pass data in compressed format: Disable – không cần thiết trong hầu hết trường hợp
• SHA2 with 96-bit truncation: Disable – giữ nguyên độ bảo mật đầy đủ của SHA2.

Đây là giai đoạn hai bên tạo kênh bảo mật để trao đổi khóa và xác thực lẫn nhau.

• Key life: 18000 seconds (thời gian tồn tại của phiên kết nối ban đầu)
• DH group: (giữ mặc định hệ thống – đảm bảo tương thích)
• Re-key margin: 360 seconds (bắt đầu gia hạn trước khi hết hạn)
• Randomize re-keying margin: 100% (tránh nhiều kết nối gia hạn cùng lúc)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Việc cấu hình nhiều thuật toán giúp firewall và client có thể “thương lượng” và chọn ra thuật toán phù hợp nhất để kết nối thành công.

Sau khi Phase 1 thành công, Phase 2 sẽ tạo kênh để truyền dữ liệu thực tế.

• PFS group: Same as Phase 1 (tăng cường bảo mật cho mỗi phiên dữ liệu)
• Key life: 3600 seconds (thời gian sử dụng khóa cho việc truyền dữ liệu)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Dead Peer Detection (DPD)

DPD giúp firewall kiểm tra xem client còn kết nối hay không.

• Dead Peer Detection: Enable.
• Check peer after every: 60 seconds – kiểm tra định kỳ.
• Wait for response up to: 240 seconds  – thời gian chờ phản hồi.
• When peer unreachable: Disconnect – ngắt kết nối nếu không phản hồi.

Nhấn Save để lưu cấu hình

Truy cập:

Remote Access VPN → IPsec

Đây là bước cấu hình để bật tính năng IPsec Remote Access trên firewall và liên kết với profile đã tạo ở bước trước.

General settings:

• IPsec remote access: Enable – Bật tính năng IPsec Remote Access trên firewall
• Interface: Port2 – 115.70.xxx.xxx – Cổng WAN nhận kết nối từ Internet
• IPsec profile: IPsec VPN Remote Access – Sử dụng profile đã tạo ở bước 1

Authentication:

• Authentication type: Preshared key – Xác thực bằng khóa bí mật dùng chung giữa client và firewall
• Preshared key: Client phải nhập đúng key này mới kết nối được

Identification:

• Local ID: Default
• Remote ID: Default

Dùng để định danh 2 đầu VPN, trong lab có thể để mặc định

Allowed users and groups:

• Allowed users and groups: it  – Chỉ user thuộc group it mới được phép kết nối VPN

Client information:

• Name: it – Tên cấu hình VPN (hiển thị khi export file cho client)
• Assign IP from: 11.11.11.1 – 11.11.11.10 -> Dải IP cấp cho user khi kết nối VPN
• DNS server 1 / 2: Có thể thêm DNS nội bộ nếu cần resolve domain nội bộ

Idle timeout:

• Disconnect when tunnel is idle: Tự ngắt VPN nếu không có hoạt động
• Idle session time interval: (120–21600s) – Thời gian chờ trước khi ngắt

Advanced settings:

• Use as default gateway:
  • Nếu bật: toàn bộ traffic client đi qua VPN
  • Nếu tắt: chỉ đi các mạng nội bộ (split tunnel)
• Permitted network resources (IPv4): VLAN_10_MGMT – Chỉ cho phép truy cập vào mạng nội bộ VLAN_10_MGMT
• Send Security Heartbeat through tunnel: Dùng cho Sophos endpoint
• Allow users to save username and password: Enable – Cho phép client lưu thông tin đăng nhập
• Prompt users for 2FA token: Dùng nếu có xác thực 2 lớp
• Run AD logon script after connecting: Tùy chọn
• Hostname or DNS suffix to monitor: Tùy chọn
• Connect tunnel automatically: Dùng để auto connect VPN khi truy cập domain
• DNS suffix: Dùng cho môi trường domain nội bộ

Nhấn Apply để lưu cấu hình và nhấn Export Connection để lấy file đăng nhập.

Truy cập:

Rules and Policies → Firewall Rules → Add

Firewall Rule dùng để cho phép traffic từ VPN đi vào mạng nội bộ và ngược lại. Nếu không có rule này, dù VPN kết nối thành công thì user vẫn không truy cập được tài nguyên bên trong.

Thông tin chung:

• Rule name: IPsec VPN Remote Access
• Action: Accept – cho phép lưu lượng đi qua
• Log firewall traffic: Enable – ghi log để dễ kiểm tra khi cần
• Description: (tùy chọn)
• Rule group: None

Source zones:

• LAN
• VPN

Cho phép traffic từ cả mạng nội bộ và user VPN

Source networks and devices:

• 11 (dải IP VPN: 11.11.11.1 – 11.11.11.10) là IP được cấp cho client VPN
• VLAN_10_MGMT là mạng nội bộ

Destination zones:

• LAN
• VPN

Cho phép truy cập hai chiều

Destination networks:

• 11 – cho phép chiều ngược lại (LAN có thể phản hồi lại VPN client)
• VLAN_10_MGMT  – là mạng nội bộ mà user VPN được phép truy cập

Nhấn Save / Apply để lưu rule

Sau khi hoàn tất cấu hình trên firewall, cần export file cấu hình VPN và cài đặt Sophos Connect trên máy người dùng để thực hiện kết nối.

Khi export cấu hình IPsec VPN từ Sophos Firewall, hệ thống có thể cung cấp hai loại file với mục đích sử dụng khác nhau:

• File .scx: Đây là file cấu hình dành cho người dùng cuối, được sử dụng để import vào Sophos Connect Client nhằm thiết lập kết nối VPN. File này chứa đầy đủ thông tin cần thiết như địa chỉ gateway, cấu hình IPsec và các tham số kết nối.
• File .tgb: Đây là file backup cấu hình, được sử dụng cho mục đích sao lưu và khôi phục trên firewall. File này không dùng cho client và không thể import vào Sophos Connect.

Ngoài ra, bạn có thể truy cập mục Current Activities để theo dõi các phiên VPN đang hoạt động, bao gồm thông tin người dùng đang đăng nhập và loại client đang sử dụng.

Bài viết này hướng dẫn cấu hình SSL VPN Client-to-Site trên Sophos Firewall firmware v22, cho phép người dùng từ xa (remote user) sử dụng máy Windows kết nối an toàn vào mạng nội bộ doanh nghiệp thông qua Internet.

Sau khi hoàn thành, người dùng có thể:

• Truy cập tài nguyên nội bộ (Server, NAS, RDP, Web nội bộ…)
• Mã hóa kết nối đảm bảo an toàn dữ liệu
• Xác thực bằng tài khoản người dùng trên Sophos Firewall

Doanh nghiệp cần:

• Nhân viên truy cập từ xa (WFH)
• Kết nối vào LAN nội bộ
• Đảm bảo bảo mật và kiểm soát truy cập

Yêu cầu:

• Chỉ user hợp lệ mới được VPN
• Truy cập server nội bộ (RDP, File Server)
• Có thể mở rộng MFA sau này

Tổng quan các bước:

1. Tạo User và Group
2. Cấu hình SSL VPN Profile
3. Cấu hình SSL VPN Global Settings
4. Tạo Firewall Rule cho phép truy cập từ VPN vào vùng LAN
5. Tải VPN Client và file cấu hình
6. Cài đặt phần mềm Sophos Connect
7. Import cấu hình VPN vào Sophos Connect
8. Test kết nối SSL VPN

Authentication → Groups → Add

• Group Name: VACIF GROUP
• Surfing quota: Unlimited Internet Access
• Access time: Allowed all the time

Authentication → Users → Add

• Username: VACIF
• Password: ****
• Group: VACIF GROUP

VPN → Remote Access VPN → SSL VPN → Add → Configure manually

Thực hiện cấu hình các thông số sau:

• Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
• Policy members: Chọn user hoặc group đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
• Use as default gateway:
  • Bật khi muốn toàn bộ lưu lượng của VPN Client đi qua Sophos Firewall (Full Tunnel)
  • Không bật khi chỉ định tuyến lưu lượng truy cập vào mạng nội bộ qua VPN (Split Tunnel)
• Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà người dùng VPN được phép truy cập (ví dụ: 10.10.10.0/24)
• Disconnect idle clients: Tự động ngắt kết nối VPN khi người dùng không có hoạt động trong một khoảng thời gian nhất định

→ Nhấn Apply để lưu cấu hình

VPN → Remote Access VPN → SSL VPN → Global Settings

• Protocol: Chọn UDP để tối ưu hiệu suất và giảm độ trễ khi kết nối VPN
• SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định của thiết bị)
• Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ sử dụng để kết nối (ví dụ: 123.20.173.178 hoặc vpn.company.com)
• Port: Giữ mặc định 8443 hoặc thay đổi nếu có yêu cầu riêng (Ở đây mình đặt 10443)
• Assign IPv4 addresses: Khai báo dải IP cấp phát cho VPN Client (ví dụ: 10.121.10.0/24)
• IPv4 DNS: Cấu hình DNS để client có thể phân giải tên miền khi kết nối VPN (ví dụ: 8.8.8.8, 1.1.1.1 hoặc DNS nội bộ)
• Disconnect dead peer after: Thiết lập thời gian (giây) để tự động ngắt kết nối khi client không phản hồi
• Disconnect idle peer after: Thiết lập thời gian ngắt kết nối khi người dùng không có hoạt động Có thể để trống – nên để trống nếu không giới hạn

→ Nhấn Apply để lưu cấu hình

Rules and Policies → Firewall Rules

Thực hiện cấu hình các thông số sau:

→ Nhấn Save để lưu cấu hình

Để biết được port VPN là bao nhiêu thì bạn cần phải vào:

Administrator → Admin and user settings

• Tiếp theo, truy cập VPN Portal bằng trình duyệt: https://<WAN-IP hoặc tên miền>:8443
• Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.

Tại giao diện Portal:

• Nhấn Download for Windows trong mục Sophos Connect client để tải phần mềm
• Nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN (.ovpn)

• Chạy file cài đặt: SophosConnect_<version>.exe
• Tại màn hình cài đặt: Tick chọn “I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy”

• Mở phần mềm Sophos Connect
• Tại giao diện chính: Nhấn Import connection
• Chọn file cấu hình đã tải: sslvpn-vacif-client-config.ovpn
• Sau khi import thành công: Kết nối VPN sẽ hiển thị trong danh sách

Lúc này bạn có thể truy cập vào trong lớp mạng LAN nội bộ đã cấu hình. Ngoài ra bạn có thể vào mục Current activities để kiểm tra xem user nào đang đăng nhập SSL VPN.

Nếu bạn đã quen với việc triển khai Sophos Firewall trên các nền tảng ảo hóa như VMware Workstation hoặc ESXi, thì Proxmox VE là một lựa chọn đáng để thử khi xây dựng hệ thống lab hoặc hạ tầng ảo hóa chi phí thấp.

Proxmox VE là nền tảng ảo hóa mã nguồn mở hỗ trợ hai công nghệ chính:

• KVM (Kernel-based Virtual Machine) để chạy máy ảo
• LXC (Linux Containers) để chạy container

Với các ưu điểm như:

• Miễn phí và mã nguồn mở
• Cộng đồng sử dụng lớn
• Quản lý VM thông qua Web GUI
• Hỗ trợ snapshot, backup và clustering

Proxmox ngày càng được nhiều doanh nghiệp vừa và nhỏ lựa chọn. Trong bài viết này, chúng ta sẽ thực hiện:

• Triển khai Sophos Firewall Virtual trên Proxmox VE
• Sử dụng file KVM image của Sophos
• Tạo máy ảo bằng lệnh CLI trên Proxmox
• Import disk image vào VM
• Khởi động Sophos Firewall và thực hiện cấu hình ban đầu

Sau khi hoàn thành bài lab, Sophos Firewall sẽ hoạt động như một tường lửa ảo trong hệ thống Proxmox.

Trong mô hình này:

• Proxmox VE đóng vai trò là hypervisor để chạy máy ảo.
• Sophos Firewall được cài đặt dưới dạng Virtual Machine.
• Máy Windows Client dùng để:
  • Truy cập giao diện quản trị firewall
  • Kiểm tra trạng thái hoạt động của hệ thống.

Quản trị viên truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web với địa chỉ: https://10.10.10.200:4444

Trong bài lab này, chúng ta thực hiện triển khai Sophos Firewall dưới dạng máy ảo trên Proxmox VE với mục đích xây dựng môi trường thử nghiệm.

Các yêu cầu của hệ thống như sau:

• Cài đặt Sophos Firewall Virtual trên Proxmox.
• Cấu hình địa chỉ IP cho firewall là 10.10.10.200/24.
• Máy Windows Client có địa chỉ 10.10.10.116/24.
• Máy Windows có thể truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web.

Sau khi hoàn thành cấu hình:

• Quản trị viên có thể đăng nhập vào giao diện Web Admin
• Thực hiện các cấu hình bảo mật, firewall rule và quản lý hệ thống.

Quá trình triển khai Sophos Firewall Virtual trên Proxmox gồm các bước chính sau:

1. Tải file “Sophos Firewall KVM Image”
2. Upload file image lên server Proxmox
3. Tạo máy ảo Sophos Firewall bằng CLI
4. Import disk image vào máy ảo
5. Cấu hình boot disk
6. Khởi động Sophos Firewall
7. Truy cập giao diện Web Admin

Trước khi bắt tay vào dựng Sophos Firewall trên Proxmox, bạn cần chuẩn bị:

• Máy chủ/PC đã cài Proxmox VE (khuyến nghị bản 7.x hoặc mới hơn).
• File KVM Sophos Firewall (SFOS): tải từ trang chủ Sophos (bản Home hoặc Trial).
• Tài nguyên tối thiểu cho VM: CPU: 2, coreRAM: 4 GB

Trước tiên, chúng ta cần chuẩn bị file KVM cài đặt Sophos Firewall. Truy cập trang chính thức của Sophos tại: https://www.sophos.com/en-us/support/downloads/firewall-installers. Tại đây, chọn và tải về phiên bản dành cho KVM (tương thích với Proxmox).

Sau khi tải và giải nén ta được 2 file như sau:

Tạo máy ảo Sophos Firewall trên Proxmox -> Đăng nhập vào Proxmox Web UI -> chọn Create VM để bắt đầu tạo máy ảo mới -> Nhập VM ID và Tên máy ảo (Name).

Tick chọn Do not use any media ->Type: linux ->Version: 6.x – 2.6 Kernel

Sockets: 2

Cores: 2

Type: host

Memory(MB): 4096 và click next

Chọn card mạng bridge và clicknext -> chắc chắn ràng không có gì sai xót sau khi tạo xong, nhấn finish.

Sử dụng công cụ WinSCP để tiến hành copy file KVM Sophos đã tải về vào thư mục của VM theo đường dẫn: /mnt/pve/disk-pve1/images/2027/

Trong đó:

• disk-pve1 là tên storage trên Proxmox.
• 2027 là VM ID mà bạn đã tạo ở bước trước.

** Lưu ý: Thư mục có dạng/mnt/pve/<storage-name>/images/<VMID>/. Bạn cần thay đúng <storage-name> và <VMID> theo môi trường của mình.

Mở Shell trong giao diện Proxmox.

Truy cập thư mục lưu trữ:

• cd /mnt/pve
• ls

→ Lệnh ls sẽ liệt kê tất cả các storage có trong Proxmox.

Di chuyển vào storage bạn đã dùng để lưu file KVM, ví dụ:

• cd /mnt/pve/disk1-pve1/images/
• Ls

Tại đây sẽ hiển thị danh sách các thư mục tương ứng với VM ID. Trong ví dụ này, máy Sophos Firewall được gán VM ID = 1027:

• cd 1027
• ls

→ Bạn sẽ thấy toàn bộ các file (bao gồm ISO và disk image) của VM Sophos Firewall.

Mở file cấu hình của VM bằng trình soạn thảo nano:

•  nano /etc/pve/qemu-server/1027.conf

Thêm hoặc chỉnh sửa 2 dòng sau để khai báo ổ đĩa cho Sophos Firewall:

• scsi0: disk1-pve1:1027/PRIMARY-DISK.qcow2,size=32G
• scsi1: disk1-pve1:1027/AUXILIARY-DISK.qcow2,size=80G

→ scsi0: Ổ cứng chính (32GB).

→ scsi1: Ổ phụ (80GB).

Lưu file cấu hình:

• Nhấn Ctrl + O → Enter để lưu.
• Nhấn Ctrl + X để thoát khỏi nano.

Tick chọn như hình bên dưới

Sau khi hoàn tất, nhấn Start để khởi động node Sophos Firewall.

Truy cập Console của VM để theo dõi quá trình boot. Nếu thấy giao diện cài đặt của Sophos xuất hiện và hệ thống chạy ổn định, nghĩa là bạn đã triển khai thành công.

Như vậy, chúng ta đã chạy Sophos Firewall ảo trong Proxmox thành công. Từ đây, bạn có thể tiếp tục:

• Truy cập WebAdmin
• Thực hiện các bước cấu hình cơ bản (IP LAN/WAN, NAT, Firewall Rule).
• Mở rộng lab với VPN, IPS, WAF, hoặc thử nghiệm các tính năng bảo mật khác.

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Bài viết này nhằm:

• Hướng dẫn cách xem và lọc log trên Sophos Firewall.
• Hướng dẫn đọc và xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Xem thông tin về lưu lượng mạng đi qua firewall và các mối đe dọa bảo mật

Các loại Dashboard chính:

• Traffic dashboard: Phân loại theo lưu lượng mạng
• Security dashboard:  Hoạt động bị chặn và các mối đe dọa: Malware, IPS, Spam, nguồn tấn công.
• Executive report: Thông tin tổng hợp cho người quản lý: Traffic & Threat nổi bật.
• User threat quotient (UTQ): Xếp hạng người dùng dựa trên điểm rủi ro bảo mật.

Xem thông tin về việc sử dụng ứng dụng và Internet trên hệ thống mạng của bạn.

Application risk meter là cách thức mà Firewall sẽ tính điểm dựa trên mức độ rủi ro và số lần truy cập (hits) của từng ứng dụng. Chỉ số rủi ro ứng dụng được xác định dựa trên điểm trung bình của toàn bộ lưu lượng ứng dụng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• User app risks & usage: Thống kê việc sử dụng các ứng dụng và mức độ rủi ro tương ứng.
• Cloud applications usage: Thống kê việc sử dụng các ứng dụng đám mây
• Blocked user apps: Các lần truy cập ứng dụng bị chặn.
• Synchronized applications: Các ứng dụng được phân loại và đồng bộ từ endpoint lên firewall.
• Web risks & usage: Hoạt động truy cập web trong mạng và các rủi ro liên quan.
• Blocked web attempts: Các lần truy cập web bị chặn
• Search engine: Thống kê hành vi tìm kiếm của người dùn
• Web content: Các kết quả khớp của bộ lọc nội dung và các thông tin liên quan.
• Web server usage: Lưu lượng Application, Web, Internet và FTP.
• Web server protection: Trạng thái bảo mật của các Web Server, bao gồm các cuộc tấn công và nguồn tấn công.
• User data transfer: User traffic
• FTP usage: FTP activity
• FTP protection: Malicious FTP activity

Xem thông tin về việc sử dụng mạng và các mối đe dọa liên quan.

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Intrusion attacks: Các lượt tấn công
• Active threat response: Threat events và các máy bị xâm nhập được phát hiện bởi MDR (Managed Detection and Response) và Sophos X-Ops
• Wireless: Access point và SSID được sử dụng
• Security Heartbeat: Tình trạng sức khỏe của máy trạm trong mạng dựa trên kết nối giữa máy trạm và Firewall.
• Zero-day protection: Bảo vệ nâng cao trước các cuộc tấn công mới.

Xem thông tin về remote user (người dùng kết nối từ xa) vào hệ thống mạng của bạn thông qua IPSEC VPN, SSL VPN và Clientless access

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• VPN: Lưu lượng phát sinh từ remote users qua IPsec, L2TP hoặc PPTP
• SSL VPN: Lưu lượng phát sinh từ remote users thông qua SSL VPN Client.
• Clientless Access: Lưu lượng phát sinh từ remote users thông qua trình duyệt web.

Xem thông tin về email traffic (lưu lượng email) trong hệ thống mạng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Email Usage: Email traffic trong hệ thống mạng của mình
• Email Protection: Email Traffic bị Virus và Spam trong hệ thống mạng của mình

Xem thông tin về việc tuân thủ các quy định/quy chuẩn:

Các nhóm Quy chuẩn có thể theo dõi trong phần này, bao gồm:

• HIPAA: Security Report tuân thủ chuẩn HIPAA
• GLBA: Security Report tuân thủ chuẩn GLBA
• SOX: Security Report tuân thủ chuẩn SOX
• FISMA: Security Report tuân thủ chuẩn FISMA
• PCI: Security Report tuân thủ chuẩn PCI
• NERC CIP v3: Security Report tuân thủ chuẩn NERC CIP v3
• CIPA: Security Report tuân thủ chuẩn CIPA
• Events: Network Event và các mức độ nghiêm trọng tương ứng

Tạo báo cáo bao gồm các tiêu chí được chỉ định.

Các loại Report có thể tạo trong phần này, bao gồm:

• Web Report: Tìm kiếm hoạt động duyệt web hoặc virus. Có thể lọc theo user, domain và các tiêu chí khác
• Mail Report: Tìm kiếm lưu lượng Email, Spam và Virus. Có thể lọc theo protocol, user và các tiêu chí khác.
• FTP Report: Tìm kiếm hoạt động FTP và Virus. Có thể lọc theo kiểu truyền, user, file hoặc source IP
• User Report: Thống kê mức độ sử dụng: ứng dụng rủi ro cao, website không hiệu quả, virus phát hiện. Có thể lọc theo username, source host.
• Web Server Report: Tìm kiếm hoạt động Web Server (time, user, URI) và cả các sự kiện bảo vệ Web Server.

Log Viewer hiển thị event logs và được tự động cập nhật khi có event mới (Real-time).

Để truy cập, ở góc phải phía trên Sophos Firewall, nhấn Log viewer

Cửa sổ Log Viewer mới sẽ xuất hiện, và quản trị viên có thể xem log Realtime ở đây

Quản trị viên có thể tùy chọn các loại log cụ thể để giám sát như sau:

• Admin
• Active Threat Response
• Application filter
• Authentication
• Email
• Firewall
• IPS
• Malware
• Security Heartbeat
• SSL/TLS inspection
• SD-WAN
• System
• VPN
• Web content policy
• Web filter
• Web server protection
• Zero-day protection

Trong quá trình quản trị hệ thống, người quản trị cần các file báo cáo tổng hợp phản ánh tình trạng sử dụng hệ thống và các mối đe dọa tiêu biểu. Vì vậy, trong bài hướng dẫn này sẽ lựa chọn Executive report để thực hiện việc xuất báo cáo.

 Để xuất Report báo cáo theo lịch trình, chọn Show Reports Settings

Chọn Report Scheduling, nhấn Add

Nhập thông tin sau:

• Name: Đặt tên lịch report.
• Description: Mô tả (không bắt buộc).
• To email address: Địa chỉ email nhận report (có thể nhập nhiều email)
• Report type: Chọn loại report (VD: Report group)
• Report group: Chọn nhóm report phù hợp (VD: Executive Report)
• Email frequency: Chọn Daily hoặc Weekly và mốc thời gian gửi report qua email.

Sau khi nhập hoàn tất, nhấn Save.

Đúng lịch trình cấu hình, Sophos sẽ gửi email bảng báo cáo report về email.

Nếu chưa có tài khoản Sophos Central, tham khảo: https://thegioifirewall.com/sophos-central-huong-dan-tao-tai-khoan-sophos-central-trial/

Đăng nhập Sophos Central bằng tài khoản Super Admin.

– Vào Account → Licensing Firewall licenses

– Chọn Firewall licenses 

– Chọn Claim firewall 

– Nhập Serial Number thiết bị 

Sau khi claim thành công, thiết bị sẽ hiển thị trong danh sách quản lý.

– Chọn thiết bị → Apply subscriptions

– Nhập License Key

– Preview subscription → Apply license

Đối với các lần gia hạn (renew) license trong tương lai, cần lưu ý

– License Number: chỉ dùng để tracking và support, không dùng để activate.

– License Key: bắt buộc để kích hoạt hoặc renew license.

• Trong hầu hết các trường hợp, nếu Sophos Firewall đã được liên kết đúng Sophos Central account, license sau khi renew sẽ tự động đồng bộ xuống thiết bị mà không cần thao tác thủ công.
• Tuy nhiên, nếu license không tự đồng bộ và vẫn hiển thị trạng thái Expired, bạn có thể thực hiện các bước sau:
  • Kiểm tra license trong Sophos Central hoặc Sophos Partner Portal để xác định License Key tương ứng
  • Thực hiện apply License Key thủ công cho thiết bị Firewall (theo hướng dẫn ở Mục II.3)

• Nếu email gia hạn không chứa License Key, khuyến nghị:
  • Kiểm tra lại thông tin license trong Sophos Portal
  • Hoặc liên hệ Sophos Support / Partner để xác nhận chính xác License Key trước khi apply

Trong môi trường thực tế, đôi khi chúng ta không muốn (hoặc không thể) mở đúng port gốc của một dịch vụ ra ngoài Internet. Thay vào đó, chúng ta sẽ chuyển hướng port ngoài sang port nội bộ để:

• Tăng bảo mật: tránh sử dụng những port phổ biến dễ bị quét (ví dụ: 3389 – RDP, 21 – FTP…)
• Giải quyết xung đột port: khi có nhiều dịch vụ trong mạng nội bộ cùng sử dụng một port giống nhau, nhưng cần ánh xạ ra ngoài bằng port khác nhau
• Giảm rủi ro tấn công tự động, đặc biệt là các loại botnet hay brute force

Kỹ thuật này gọi là NAT Forwarding, hay còn gọi là Port Forwarding hoặc PAT – Port Address Translation. Trên Sophos Firewall, việc cấu hình NAT Forwarding cực kỳ linh hoạt, dễ dàng thông qua giao diện đồ họa.

Doanh nghiệp có một máy chủ nội bộ sử dụng Remote Desktop Protocol (RDP) với port mặc định là 3389, nhưng vì lý do bảo mật, muốn người dùng bên ngoài truy cập bằng port 1606 thay vì 3389.

• IP WAN của doanh nghiệp: 123.20.40.173
• Máy chủ nội bộ cần truy cập: 192.168.206.104
• Port dịch vụ nội bộ (gốc): 3389 (Remote Desktop)
• Port truy cập từ ngoài Internet: 1606

Để NAT port dịch vụ ra bên ngoài, trước hết các bạn cần định nghĩa IP của máy chủ nội bộ và dịch vụ cần mở. Các bạn click vào menu Host and services trên Dashboard, tại mục IP host các bạn click chọn Add.

Trong bảng thông tin này, các bạn cần điền:

• Name: Đặt tên cho host cần mở port
• Type: chọn IP
• IP address: Nhập IP nội bộ của host

Tiếp theo, bạn cần định nghĩa các dịch vụ sẽ sử dụng

Vào Services và click chọn Add

• Name: Remote_Desktop
• Type: TCP/UDP
• Destination Port: 3389
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Vào Services và click chọn Add

• Name: Forwarding_1606
• Type: TCP/UDP
• Destination Port: 1606
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Tiến hành tạo NAT Policy để ánh xạ port từ IP WAN về máy chủ nội bộ.

Để tạo vào PROTECT > Rules and policies > NAT rules > Add NAT rule > New NAT rule.

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Mặc định, Sophos Firewall sẽ chặn các lưu lượng truy cập từ Internet vào mạng nội bộ (LAN).
Vì vậy, sau khi cấu hình NAT policy, bạn cần tạo thêm một Firewall Rule để cho phép lưu lượng sử dụng dịch vụ (VD: Remote Desktop) được đi vào.

Để tạo vào PROTECT > Rules and policies > Add firewall rule > New firewall rule

Cấu hình các thông số như sau

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Sau khi cấu hình xong, bạn có thể kiểm tra xem port đã mở thành công chưa bằng cách:

• Truy cập trang:
  https://www.yougetsignal.com/tools/open-ports/
• Nhập port 1606, nhấn Check.
  Nếu hiển thị “Port is open”, nghĩa là NAT thành công.

Microsoft Teams hiện đang là nền tảng phổ biến cho các cuộc họp trực tuyến (Meeting) và làm việc từ xa. Để đảm bảo chất lượng đường truyền cho các cuộc họp Teams, việc thiết lập QoS (Quality of Service) trên firewall là rất cần thiết.

Trong bài viết này, chúng ta sẽ thực hiện cấu hình QoS ưu tiên lưu lượng Microsoft Teams trên thiết bị Sophos Firewall.

• Thiết bị Sophos Firewall đã hoạt động bình thường.
• Quyền truy cập quản trị Sophos Central hoặc trực tiếp trên Firewall.
• Đường truyền internet ổn định.

• Đăng nhập vào Firewall Sophos.

• Tiếp theo chọn Application->Application Filter -> Add để tạo Microsoft Teams .

• Nhập name là: Mircrosoft Teams

Nhấn add để vào Application filter policy rules

• Ở chỗ Category chọn: Conferencing -> Select individual application -> Mircrosoft Teams -> Action chọn: Allow -> Schedule chọn: All the time -> Save.

• Xong phần thì nó sẽ hiện ra như thế này rồi mình nhấn Save.

• Chọn vào System service->Traffic Shaping-> Add

          Sau khi nhấn add->nhập những thông tin như này theo thứ tự ở trên hình ảnh

• Name : Team_QoS
• Policy association: Rules
• Rule Type: Guarantee
• Limit upload/download separately: Enable
• Priority: 0 – [ Real Time – e.g. VoIP] (highest)
• Guarantee – limit upload: ( 400-500) KBps
• Guarantee – limit download: (400-500) KBps
• Bandwidth usage type: Individual
• Save

 Sau khi nhập những bước trên xong thì chúng ta sẽ tạo 1 cái rule để Bước 1 và Bước 2 có thể chạy

Muốn tạo được Rule Policy thì ta vào phần Protect->Rule and policies->Firewall rules-> Add firewall rule->New firewall rules

          Sau khi nhấn New firewall rule thì firewall sẽ hiện ra trang edit firewall rule để mình điền thông rule

• Rule name: Allow_Teams_Meeting
• Action: Accept
• Tích vào Log firewall traffic
• Rule group: None

• Source Zone: LAN
• Source networks and devices: Khuyến khích chọn IP và subnet cố định, không nên để any ở mục này. Ở đây tôi sẽ để IP của máy mình.
• Destination Zones: WAN
• Destination networks: Any
• Service: Any

Kéo xuống dưới sẽ thấy phần Other security features trong phần này thì điền như sau:

• Identify and control applications (App control): Chọn Mircrosoft Teams mà nãy mình đã tạo ở Application (Bước 1).
• Shape traffic: Chọn Teams-Qos mà nãy mình đã tạo ở Traffic Shaping Policy (Bước 2).
• Tích vào Apply application-base traffic shaping policy
• Cuối cùng là chọn Save.

Khi xong hết những cấu hình ở trên thì tiếp theo mình sẽ vào bước test xem cấu hình của mình đã chạy hay chưa.

Ở đây em sẽ test với mức băng thông mình đã quy định là 400KBps ở trên bước 2, mình sẽ vào Teams để download 1 file mà mình đã tạo.

Tiếp theo sẽ tang băng thông lên thành 4000KBps tức là 4MBps để xem băng thông.

Nếu mà kết quả như trên mình đã làm thành công với QoS rồi nhé. Chúc các bạn thành công nhé.