Nếu bạn đã quen với việc triển khai Sophos Firewall trên các nền tảng ảo hóa như VMware Workstation hoặc ESXi, thì Proxmox VE là một lựa chọn đáng để thử khi xây dựng hệ thống lab hoặc hạ tầng ảo hóa chi phí thấp.

Proxmox VE là nền tảng ảo hóa mã nguồn mở hỗ trợ hai công nghệ chính:

• KVM (Kernel-based Virtual Machine) để chạy máy ảo
• LXC (Linux Containers) để chạy container

Với các ưu điểm như:

• Miễn phí và mã nguồn mở
• Cộng đồng sử dụng lớn
• Quản lý VM thông qua Web GUI
• Hỗ trợ snapshot, backup và clustering

Proxmox ngày càng được nhiều doanh nghiệp vừa và nhỏ lựa chọn. Trong bài viết này, chúng ta sẽ thực hiện:

• Triển khai Sophos Firewall Virtual trên Proxmox VE
• Sử dụng file KVM image của Sophos
• Tạo máy ảo bằng lệnh CLI trên Proxmox
• Import disk image vào VM
• Khởi động Sophos Firewall và thực hiện cấu hình ban đầu

Sau khi hoàn thành bài lab, Sophos Firewall sẽ hoạt động như một tường lửa ảo trong hệ thống Proxmox.

Trong mô hình này:

• Proxmox VE đóng vai trò là hypervisor để chạy máy ảo.
• Sophos Firewall được cài đặt dưới dạng Virtual Machine.
• Máy Windows Client dùng để:
  • Truy cập giao diện quản trị firewall
  • Kiểm tra trạng thái hoạt động của hệ thống.

Quản trị viên truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web với địa chỉ: https://10.10.10.200:4444

Trong bài lab này, chúng ta thực hiện triển khai Sophos Firewall dưới dạng máy ảo trên Proxmox VE với mục đích xây dựng môi trường thử nghiệm.

Các yêu cầu của hệ thống như sau:

• Cài đặt Sophos Firewall Virtual trên Proxmox.
• Cấu hình địa chỉ IP cho firewall là 10.10.10.200/24.
• Máy Windows Client có địa chỉ 10.10.10.116/24.
• Máy Windows có thể truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web.

Sau khi hoàn thành cấu hình:

• Quản trị viên có thể đăng nhập vào giao diện Web Admin
• Thực hiện các cấu hình bảo mật, firewall rule và quản lý hệ thống.

Quá trình triển khai Sophos Firewall Virtual trên Proxmox gồm các bước chính sau:

1. Tải file “Sophos Firewall KVM Image”
2. Upload file image lên server Proxmox
3. Tạo máy ảo Sophos Firewall bằng CLI
4. Import disk image vào máy ảo
5. Cấu hình boot disk
6. Khởi động Sophos Firewall
7. Truy cập giao diện Web Admin

Trước khi bắt tay vào dựng Sophos Firewall trên Proxmox, bạn cần chuẩn bị:

• Máy chủ/PC đã cài Proxmox VE (khuyến nghị bản 7.x hoặc mới hơn).
• File KVM Sophos Firewall (SFOS): tải từ trang chủ Sophos (bản Home hoặc Trial).
• Tài nguyên tối thiểu cho VM: CPU: 2, coreRAM: 4 GB

Trước tiên, chúng ta cần chuẩn bị file KVM cài đặt Sophos Firewall. Truy cập trang chính thức của Sophos tại: https://www.sophos.com/en-us/support/downloads/firewall-installers. Tại đây, chọn và tải về phiên bản dành cho KVM (tương thích với Proxmox).

Sau khi tải và giải nén ta được 2 file như sau:

Tạo máy ảo Sophos Firewall trên Proxmox -> Đăng nhập vào Proxmox Web UI -> chọn Create VM để bắt đầu tạo máy ảo mới -> Nhập VM ID và Tên máy ảo (Name).

Tick chọn Do not use any media ->Type: linux ->Version: 6.x – 2.6 Kernel

Sockets: 2

Cores: 2

Type: host

Memory(MB): 4096 và click next

Chọn card mạng bridge và clicknext -> chắc chắn ràng không có gì sai xót sau khi tạo xong, nhấn finish.

Sử dụng công cụ WinSCP để tiến hành copy file KVM Sophos đã tải về vào thư mục của VM theo đường dẫn: /mnt/pve/disk-pve1/images/2027/

Trong đó:

• disk-pve1 là tên storage trên Proxmox.
• 2027 là VM ID mà bạn đã tạo ở bước trước.

** Lưu ý: Thư mục có dạng/mnt/pve/<storage-name>/images/<VMID>/. Bạn cần thay đúng <storage-name> và <VMID> theo môi trường của mình.

Mở Shell trong giao diện Proxmox.

Truy cập thư mục lưu trữ:

• cd /mnt/pve
• ls

→ Lệnh ls sẽ liệt kê tất cả các storage có trong Proxmox.

Di chuyển vào storage bạn đã dùng để lưu file KVM, ví dụ:

• cd /mnt/pve/disk1-pve1/images/
• Ls

Tại đây sẽ hiển thị danh sách các thư mục tương ứng với VM ID. Trong ví dụ này, máy Sophos Firewall được gán VM ID = 1027:

• cd 1027
• ls

→ Bạn sẽ thấy toàn bộ các file (bao gồm ISO và disk image) của VM Sophos Firewall.

Mở file cấu hình của VM bằng trình soạn thảo nano:

•  nano /etc/pve/qemu-server/1027.conf

Thêm hoặc chỉnh sửa 2 dòng sau để khai báo ổ đĩa cho Sophos Firewall:

• scsi0: disk1-pve1:1027/PRIMARY-DISK.qcow2,size=32G
• scsi1: disk1-pve1:1027/AUXILIARY-DISK.qcow2,size=80G

→ scsi0: Ổ cứng chính (32GB).

→ scsi1: Ổ phụ (80GB).

Lưu file cấu hình:

• Nhấn Ctrl + O → Enter để lưu.
• Nhấn Ctrl + X để thoát khỏi nano.

Tick chọn như hình bên dưới

Sau khi hoàn tất, nhấn Start để khởi động node Sophos Firewall.

Truy cập Console của VM để theo dõi quá trình boot. Nếu thấy giao diện cài đặt của Sophos xuất hiện và hệ thống chạy ổn định, nghĩa là bạn đã triển khai thành công.

Như vậy, chúng ta đã chạy Sophos Firewall ảo trong Proxmox thành công. Từ đây, bạn có thể tiếp tục:

• Truy cập WebAdmin
• Thực hiện các bước cấu hình cơ bản (IP LAN/WAN, NAT, Firewall Rule).
• Mở rộng lab với VPN, IPS, WAF, hoặc thử nghiệm các tính năng bảo mật khác.

Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này nhằm:

• Hướng dẫn cách theo dõi và lọc log Sophos Firewall trên Sophos Central.
• Hướng dẫn xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Sophos Central giúp quản trị viên theo dõi và quản lý toàn bộ Sophos Firewall ttrên một giao diện web duy nhất, không cần đăng nhập từng thiết bị. Để giám sát, theo dõi, xuất Report tổng quan các thiệt bị Firewall, làm như sau:

Trên Sophos Central, chọn My Products -> Firewall Management -> Report Generator

Report Generator là công cụ để quản trị viên giám sát, theo dõi và tạo báo cáo (report) tùy chỉnh cho Sophos Firewall.

• Firewalls: chọn Firewall cần xuất report.
• Report Template: Chọn Template có sẵn phù hợp với nhu cầu xem, chi tiết:
  • Antivirus: Các mã độc hoặc đối tượng nghi ngờ đã bị chặn.
  • Bandwidth usage: Mức sử dụng băng thông theo từng ứng dụng.
  • Cloud app risks and usage: Các ứng dụng Cloud được sử dụng và rủi ro liên quan.
  • Firewall: Số lượng kết nối giữa các địa chỉ IP cụ thể.
  • IPS: Các cuộc tấn công bị phát hiện/chặn bởi hệ thống IPS.
  • Log viewer and search: Log chi tiết của firewall (chỉ có biểu đồ dạng bảng).
  • SD-WAN: Tóm tắt mức độ đáp ứng SLA theo từng profile SD-WAN, kèm biểu đồ xu hướng.
  • SD-WAN SLA trend: Xu hướng SLA theo gateway (jitter, latency, packet loss).
  • SD-WAN Bandwidth usage: Thống kê băng thông theo gateway và theo thời gian.
  • Security posture assessment (SPA): Đánh giá tổng thể mức độ an toàn của hệ thống. (Có thể chọn tối đa 10 thành phần như: Bandwidth, Web usage, Threat geo activity…) (Recommend sử dụng)
  • Synchronized app: Thống kê ứng dụng được nhận diện bởi Synchronized App Control.
  • Threat geo activity: Các mối đe dọa bị chặn theo quốc gia.
  • Threats and events blocked: Toàn bộ các mối đe dọa/sự kiện đã bị chặn.
  • VPN usage: Mức độ sử dụng các kết nối VPN.
  • Web usage: Thống kê truy cập website.
  • Web user risk: Hoạt động web của người dùng truy cập website rủi ro cao.
  • X-Ops: Hoạt động tấn công nâng cao (Advanced Threat activities) do firewall phát hiện/chặn. Bao gồm traffic trong MDR.
  • Zero-day protection: File/email nghi ngờ được gửi đến module phân tích Sandstorm

• Time Frame: Chọn mốc thời gian phù hợp với nhu cầu xem
• Query: Tùy chọn query phù hợp với nhu cầu lọc.

Sau đó, nhấn Schedule để lên lịch gửi report:

• Template Name: Đặt tên của mẫu báo cáo.
• Export scheduling: Bật/Tắt việc xuất report tự động theo lịch.
• Time frame: Chọn khoảng thời gian dữ liệu trong mỗi report
• Export frequency: Chọn chu kỳ xuất báo cáo
• Export format: Chọn định xạng file xuất (PDF, CSV, HTML)
• Export notification / delivery: Chọn cách gửi email
• Send this export to other Sophos admins?: Chọn chia sẻ report cho các admin khác

Sau khi hoàn tất, Nhấn Save.

Thông báo hiển thị đã tạo Template và Schedule thành công

Đúng Schedule, Sophos sẽ tự động xuất file Export dựa trên cấu hình đã setup

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Bài viết này nhằm:

• Hướng dẫn cách xem và lọc log trên Sophos Firewall.
• Hướng dẫn đọc và xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Xem thông tin về lưu lượng mạng đi qua firewall và các mối đe dọa bảo mật

Các loại Dashboard chính:

• Traffic dashboard: Phân loại theo lưu lượng mạng
• Security dashboard:  Hoạt động bị chặn và các mối đe dọa: Malware, IPS, Spam, nguồn tấn công.
• Executive report: Thông tin tổng hợp cho người quản lý: Traffic & Threat nổi bật.
• User threat quotient (UTQ): Xếp hạng người dùng dựa trên điểm rủi ro bảo mật.

Xem thông tin về việc sử dụng ứng dụng và Internet trên hệ thống mạng của bạn.

Application risk meter là cách thức mà Firewall sẽ tính điểm dựa trên mức độ rủi ro và số lần truy cập (hits) của từng ứng dụng. Chỉ số rủi ro ứng dụng được xác định dựa trên điểm trung bình của toàn bộ lưu lượng ứng dụng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• User app risks & usage: Thống kê việc sử dụng các ứng dụng và mức độ rủi ro tương ứng.
• Cloud applications usage: Thống kê việc sử dụng các ứng dụng đám mây
• Blocked user apps: Các lần truy cập ứng dụng bị chặn.
• Synchronized applications: Các ứng dụng được phân loại và đồng bộ từ endpoint lên firewall.
• Web risks & usage: Hoạt động truy cập web trong mạng và các rủi ro liên quan.
• Blocked web attempts: Các lần truy cập web bị chặn
• Search engine: Thống kê hành vi tìm kiếm của người dùn
• Web content: Các kết quả khớp của bộ lọc nội dung và các thông tin liên quan.
• Web server usage: Lưu lượng Application, Web, Internet và FTP.
• Web server protection: Trạng thái bảo mật của các Web Server, bao gồm các cuộc tấn công và nguồn tấn công.
• User data transfer: User traffic
• FTP usage: FTP activity
• FTP protection: Malicious FTP activity

Xem thông tin về việc sử dụng mạng và các mối đe dọa liên quan.

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Intrusion attacks: Các lượt tấn công
• Active threat response: Threat events và các máy bị xâm nhập được phát hiện bởi MDR (Managed Detection and Response) và Sophos X-Ops
• Wireless: Access point và SSID được sử dụng
• Security Heartbeat: Tình trạng sức khỏe của máy trạm trong mạng dựa trên kết nối giữa máy trạm và Firewall.
• Zero-day protection: Bảo vệ nâng cao trước các cuộc tấn công mới.

Xem thông tin về remote user (người dùng kết nối từ xa) vào hệ thống mạng của bạn thông qua IPSEC VPN, SSL VPN và Clientless access

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• VPN: Lưu lượng phát sinh từ remote users qua IPsec, L2TP hoặc PPTP
• SSL VPN: Lưu lượng phát sinh từ remote users thông qua SSL VPN Client.
• Clientless Access: Lưu lượng phát sinh từ remote users thông qua trình duyệt web.

Xem thông tin về email traffic (lưu lượng email) trong hệ thống mạng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Email Usage: Email traffic trong hệ thống mạng của mình
• Email Protection: Email Traffic bị Virus và Spam trong hệ thống mạng của mình

Xem thông tin về việc tuân thủ các quy định/quy chuẩn:

Các nhóm Quy chuẩn có thể theo dõi trong phần này, bao gồm:

• HIPAA: Security Report tuân thủ chuẩn HIPAA
• GLBA: Security Report tuân thủ chuẩn GLBA
• SOX: Security Report tuân thủ chuẩn SOX
• FISMA: Security Report tuân thủ chuẩn FISMA
• PCI: Security Report tuân thủ chuẩn PCI
• NERC CIP v3: Security Report tuân thủ chuẩn NERC CIP v3
• CIPA: Security Report tuân thủ chuẩn CIPA
• Events: Network Event và các mức độ nghiêm trọng tương ứng

Tạo báo cáo bao gồm các tiêu chí được chỉ định.

Các loại Report có thể tạo trong phần này, bao gồm:

• Web Report: Tìm kiếm hoạt động duyệt web hoặc virus. Có thể lọc theo user, domain và các tiêu chí khác
• Mail Report: Tìm kiếm lưu lượng Email, Spam và Virus. Có thể lọc theo protocol, user và các tiêu chí khác.
• FTP Report: Tìm kiếm hoạt động FTP và Virus. Có thể lọc theo kiểu truyền, user, file hoặc source IP
• User Report: Thống kê mức độ sử dụng: ứng dụng rủi ro cao, website không hiệu quả, virus phát hiện. Có thể lọc theo username, source host.
• Web Server Report: Tìm kiếm hoạt động Web Server (time, user, URI) và cả các sự kiện bảo vệ Web Server.

Log Viewer hiển thị event logs và được tự động cập nhật khi có event mới (Real-time).

Để truy cập, ở góc phải phía trên Sophos Firewall, nhấn Log viewer

Cửa sổ Log Viewer mới sẽ xuất hiện, và quản trị viên có thể xem log Realtime ở đây

Quản trị viên có thể tùy chọn các loại log cụ thể để giám sát như sau:

• Admin
• Active Threat Response
• Application filter
• Authentication
• Email
• Firewall
• IPS
• Malware
• Security Heartbeat
• SSL/TLS inspection
• SD-WAN
• System
• VPN
• Web content policy
• Web filter
• Web server protection
• Zero-day protection

Trong quá trình quản trị hệ thống, người quản trị cần các file báo cáo tổng hợp phản ánh tình trạng sử dụng hệ thống và các mối đe dọa tiêu biểu. Vì vậy, trong bài hướng dẫn này sẽ lựa chọn Executive report để thực hiện việc xuất báo cáo.

 Để xuất Report báo cáo theo lịch trình, chọn Show Reports Settings

Chọn Report Scheduling, nhấn Add

Nhập thông tin sau:

• Name: Đặt tên lịch report.
• Description: Mô tả (không bắt buộc).
• To email address: Địa chỉ email nhận report (có thể nhập nhiều email)
• Report type: Chọn loại report (VD: Report group)
• Report group: Chọn nhóm report phù hợp (VD: Executive Report)
• Email frequency: Chọn Daily hoặc Weekly và mốc thời gian gửi report qua email.

Sau khi nhập hoàn tất, nhấn Save.

Đúng lịch trình cấu hình, Sophos sẽ gửi email bảng báo cáo report về email.

Nếu chưa có tài khoản Sophos Central, tham khảo: https://thegioifirewall.com/sophos-central-huong-dan-tao-tai-khoan-sophos-central-trial/

Đăng nhập Sophos Central bằng tài khoản Super Admin.

– Vào Account → Licensing Firewall licenses

– Chọn Firewall licenses 

– Chọn Claim firewall 

– Nhập Serial Number thiết bị 

Sau khi claim thành công, thiết bị sẽ hiển thị trong danh sách quản lý.

– Chọn thiết bị → Apply subscriptions

– Nhập License Key

– Preview subscription → Apply license

Đối với các lần gia hạn (renew) license trong tương lai, cần lưu ý

– License Number: chỉ dùng để tracking và support, không dùng để activate.

– License Key: bắt buộc để kích hoạt hoặc renew license.

• Trong hầu hết các trường hợp, nếu Sophos Firewall đã được liên kết đúng Sophos Central account, license sau khi renew sẽ tự động đồng bộ xuống thiết bị mà không cần thao tác thủ công.
• Tuy nhiên, nếu license không tự đồng bộ và vẫn hiển thị trạng thái Expired, bạn có thể thực hiện các bước sau:
  • Kiểm tra license trong Sophos Central hoặc Sophos Partner Portal để xác định License Key tương ứng
  • Thực hiện apply License Key thủ công cho thiết bị Firewall (theo hướng dẫn ở Mục II.3)

• Nếu email gia hạn không chứa License Key, khuyến nghị:
  • Kiểm tra lại thông tin license trong Sophos Portal
  • Hoặc liên hệ Sophos Support / Partner để xác nhận chính xác License Key trước khi apply

Trong môi trường thực tế, đôi khi chúng ta không muốn (hoặc không thể) mở đúng port gốc của một dịch vụ ra ngoài Internet. Thay vào đó, chúng ta sẽ chuyển hướng port ngoài sang port nội bộ để:

• Tăng bảo mật: tránh sử dụng những port phổ biến dễ bị quét (ví dụ: 3389 – RDP, 21 – FTP…)
• Giải quyết xung đột port: khi có nhiều dịch vụ trong mạng nội bộ cùng sử dụng một port giống nhau, nhưng cần ánh xạ ra ngoài bằng port khác nhau
• Giảm rủi ro tấn công tự động, đặc biệt là các loại botnet hay brute force

Kỹ thuật này gọi là NAT Forwarding, hay còn gọi là Port Forwarding hoặc PAT – Port Address Translation. Trên Sophos Firewall, việc cấu hình NAT Forwarding cực kỳ linh hoạt, dễ dàng thông qua giao diện đồ họa.

Doanh nghiệp có một máy chủ nội bộ sử dụng Remote Desktop Protocol (RDP) với port mặc định là 3389, nhưng vì lý do bảo mật, muốn người dùng bên ngoài truy cập bằng port 1606 thay vì 3389.

• IP WAN của doanh nghiệp: 123.20.40.173
• Máy chủ nội bộ cần truy cập: 192.168.206.104
• Port dịch vụ nội bộ (gốc): 3389 (Remote Desktop)
• Port truy cập từ ngoài Internet: 1606

Để NAT port dịch vụ ra bên ngoài, trước hết các bạn cần định nghĩa IP của máy chủ nội bộ và dịch vụ cần mở. Các bạn click vào menu Host and services trên Dashboard, tại mục IP host các bạn click chọn Add.

Trong bảng thông tin này, các bạn cần điền:

• Name: Đặt tên cho host cần mở port
• Type: chọn IP
• IP address: Nhập IP nội bộ của host

Tiếp theo, bạn cần định nghĩa các dịch vụ sẽ sử dụng

Vào Services và click chọn Add

• Name: Remote_Desktop
• Type: TCP/UDP
• Destination Port: 3389
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Vào Services và click chọn Add

• Name: Forwarding_1606
• Type: TCP/UDP
• Destination Port: 1606
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Tiến hành tạo NAT Policy để ánh xạ port từ IP WAN về máy chủ nội bộ.

Để tạo vào PROTECT > Rules and policies > NAT rules > Add NAT rule > New NAT rule.

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Mặc định, Sophos Firewall sẽ chặn các lưu lượng truy cập từ Internet vào mạng nội bộ (LAN).
Vì vậy, sau khi cấu hình NAT policy, bạn cần tạo thêm một Firewall Rule để cho phép lưu lượng sử dụng dịch vụ (VD: Remote Desktop) được đi vào.

Để tạo vào PROTECT > Rules and policies > Add firewall rule > New firewall rule

Cấu hình các thông số như sau

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Sau khi cấu hình xong, bạn có thể kiểm tra xem port đã mở thành công chưa bằng cách:

• Truy cập trang:
  https://www.yougetsignal.com/tools/open-ports/
• Nhập port 1606, nhấn Check.
  Nếu hiển thị “Port is open”, nghĩa là NAT thành công.

Sophos Firewall Home Edition là một thiết bị bảo mật đầy đủ chức năng, được thiết kế dành riêng cho người dùng cá nhân. Tuy nhiên, nó cũng là một lựa chọn tuyệt vời để làm router/tường lửa cho môi trường home lab.

Bên cạnh chức năng định tuyến và kiểm soát lưu lượng, Sophos còn tích hợp nhiều công cụ bảo vệ mạng, giúp bảo vệ hệ thống home lab. Điều này có nghĩa là ngoài việc học tập, thử nghiệm kỹ thuật, người dùng còn có thể yên tâm rằng hệ thống mô phỏng của mình không dễ dàng bị tấn công từ bên ngoài.

Nhiều hãng tường lửa và bảo mật lớn thường tung ra phiên bản gọi là “home edition”. Đây là một chiến lược thông minh, bởi vì nhiều chuyên gia IT trong doanh nghiệp thường sẽ cài đặt thử nghiệm những sản phẩm này tại nhà. Khi đã quen thuộc và đánh giá cao tính năng, họ có xu hướng đề xuất cùng giải pháp đó cho doanh nghiệp trong công việc hàng ngày.

Sophos Firewall Home Edition chính là một giải pháp bảo mật như vậy. Người dùng có thể lựa chọn chạy trực tiếp trên phần cứng riêng (bare metal) hoặc chạy trong máy ảo (VM). Sản phẩm được thiết kế chuyên biệt cho người dùng cá nhân nhưng vẫn kế thừa công nghệ và danh tiếng của Sophos trong mảng bảo mật doanh nghiệp, giúp mang lại trải nghiệm chuyên nghiệp ngay trong môi trường gia đình.

Không chỉ dừng lại ở việc chặn hay cho phép gói tin dựa trên các rule định sẵn, Sophos Firewall Home Edition còn mang đến một bộ tính năng bảo mật nâng cao giúp bảo vệ toàn diện cho mạng gia đình.

Các khả năng nổi bật bao gồm:

• Web Security: giám sát và ngăn chặn truy cập đến các website nguy hiểm hoặc chứa mã độc.
• Application Control: kiểm soát ứng dụng nào được phép chạy trong mạng, hạn chế rủi ro từ phần mềm không mong muốn.
• URL Filtering: lọc truy cập theo danh mục trang web (ví dụ: chặn nội dung người lớn, mạng xã hội, hoặc trang tiêu tốn băng thông).
• Anti-malware: tích hợp công cụ chống mã độc, giúp ngăn chặn virus, trojan, và các mối đe dọa khác.

Bạn có thể tải xuống tại đây: Free Home Firewall | Sophos Home Edition Firewall.

Sophos Firewall Home Edition được xây dựng dựa trên Sophos XGS Firewall, mang lại khả năng bảo mật nâng cao thông qua tính năng Synchronized Security. Với cơ chế này, các thiết bị kết nối trong mạng có thể trao đổi thông tin với nhau, từ đó tăng cường khả năng phản ứng tập thể trước các mối đe dọa tiềm ẩn.

Một điểm nổi bật khác khiến giải pháp này hấp dẫn chính là sự thân thiện với người dùng. Firewall có thể được cài đặt trên một máy tính chuyên dụng hoặc chạy dưới dạng máy ảo (VM), đồng thời hoạt động trên hệ điều hành riêng biệt của Sophos, giúp đảm bảo tính ổn định và tối ưu cho bảo mật.

Một tính năng được nhiều người dùng đánh giá cao chính là traffic shaping. Cơ chế này cho phép ưu tiên loại lưu lượng quan trọng, chẳng hạn như gaming traffic, giúp đảm bảo hiệu năng ổn định ngay cả khi mạng đang chịu tải nặng.

Traffic shaping đặc biệt hữu ích với các nhu cầu dịch vụ streaming, cuộc gọi video (video calls), hoặc những người đam mê chơi game online. Nhờ khả năng phân bổ băng thông hợp lý, người dùng sẽ có trải nghiệm mượt mà hơn, không bị giật lag hay suy giảm chất lượng kết nối khi nhiều thiết bị cùng sử dụng mạng.

Sophos Firewall cung cấp đầy đủ các tính năng mạng cơ bản mà người dùng và quản trị viên mong đợi, bao gồm:

• Layer 2 VLANs: hỗ trợ phân chia mạng ảo ở tầng 2, giúp tách biệt và quản lý lưu lượng hiệu quả.
• Layer 3 Routing: định tuyến ở tầng 3, cho phép kết nối và điều phối lưu lượng giữa các mạng con.
• Source & Destination NAT: dịch địa chỉ mạng nguồn và đích, hỗ trợ ẩn địa chỉ IP nội bộ và quản lý truy cập từ bên ngoài.
• Port Forwarding: chuyển tiếp cổng, cho phép truy cập dịch vụ nội bộ từ Internet (ví dụ: web server, game server).
• Network Firewall Filtering: lọc lưu lượng mạng theo rule để tăng cường kiểm soát và bảo mật.
• Application Control: kiểm soát và quản lý việc sử dụng ứng dụng trong mạng.
• IDS/IPS (Intrusion Detection & Prevention System): hệ thống phát hiện và ngăn chặn xâm nhập, bảo vệ trước các tấn công khai thác lỗ hổng.

Sophos Firewall Home Edition được cung cấp hoàn toàn miễn phí cho mục đích sử dụng tại gia. Mặc dù tích hợp nhiều tính năng cao cấp và khả năng bảo mật tiên tiến vốn thường chỉ thấy trong các giải pháp doanh nghiệp (business-grade), Sophos vẫn mang đến cho người dùng cá nhân mà không thu phí.

Điều này thực sự ấn tượng, bởi nó cho phép bạn vừa trải nghiệm trực tiếp các tính năng enterprise vốn có trên thiết bị Sophos XGS trong môi trường data center, vừa rèn luyện kỹ năng quản trị – bảo mật, đồng thời vẫn bảo vệ tốt cho mạng gia đình.

Khác với nhiều bản “home edition” khác thường cắt giảm tính năng hoặc giới hạn số lượng client được phép kết nối sau firewall, Sophos Firewall Home Edition không áp dụng những giới hạn này. Nhờ đó, bạn có thể sử dụng trong home lab với quy mô gần sát thực tế doanh nghiệp, thay vì bị bó hẹp ở mức độ thử nghiệm nhỏ lẻ.

Việc cài đặt Sophos XGS Firewall Home Edition yêu cầu một máy tính chuyên dụng, và được thực hiện khá đơn giản thông qua tập tin ISO. Người dùng có thể cài đặt phần mềm này trực tiếp trên máy vật lý (bare metal) hoặc trên máy ảo (VM).

• Khởi động từ ISO.
• Thực hiện quá trình cài đặt dạng text-based (giao diện dòng lệnh hướng dẫn từng bước).
• Cấu hình mạng cho các card mạng (interfaces).
• Kết nối đến giao diện quản trị web (Web UI).
• Hoàn tất và tùy chỉnh cấu hình theo nhu cầu.

Dưới đây là ví dụ về một phần giao diện cài đặt dạng text-based.

Ở đây, bạn sẽ thiết lập địa chỉ IP cho interface, từ đó có thể sử dụng địa chỉ này để kết nối vào giao diện quản trị web (Web UI) và tiếp tục tinh chỉnh hệ thống bằng GUI trực quan.

Khi đã cấu hình địa chỉ mạng xong, bạn có thể truy cập vào https://<IP hoặc hostname>:4444 để bắt đầu trình hướng dẫn thiết lập ban đầu (initial setup wizard).

Trong wizard này, bạn sẽ tiến hành các bước cấu hình cơ bản như:

• Thiết lập mật khẩu quản trị.
• Tinh chỉnh một số thông số cấu hình quan trọng khác để firewall sẵn sàng

Cuối cùng, bạn sẽ truy cập được vào giao diện quản trị đầy đủ của Sophos Firewall, nơi cho phép tiếp tục tùy chỉnh cấu hình trong môi trường đồ họa (GUI).

Tại đây, quản trị viên có thể dễ dàng thực hiện các thao tác như: tạo rule firewall, thiết lập NAT, quản lý VLAN, cấu hình IDS/IPS, áp dụng chính sách lọc web hoặc kiểm soát ứng dụng… tất cả đều thông qua giao diện trực quan thay vì thao tác dòng lệnh.

Việc chạy Sophos Firewall không đòi hỏi một cấu hình quá mạnh. Chỉ cần một máy tính chuyên dụng với tối thiểu 2GB RAM là có thể hoạt động, mặc dù để đạt hiệu năng tối ưu, khuyến nghị nên có nhiều RAM hơn và bộ xử lý đa nhân (multicore CPU). Nhờ sự linh hoạt này, Sophos Firewall trở nên dễ tiếp cận với hầu hết người dùng gia đình.

Tuy nhiên, cần lưu ý rằng Sophos Firewall Home Edition có giới hạn phần cứng tối đa như sau:

• 4 nhân CPU
• 6GB RAM

Mặc dù những giới hạn này có thể hơi “hụt hẫng” với một số người muốn build lab lớn, nhưng với phần lớn nhu cầu kết nối Internet gia đình, cấu hình này hoàn toàn đáp ứng tốt.

Sophos Firewall Home Edition được Sophos phát hành các bản cập nhật thường xuyên, đảm bảo hệ thống luôn được bảo vệ trước những mối đe dọa mới nhất. Điểm đáng chú ý là dịch vụ cập nhật này hoàn toàn không yêu cầu phí thuê bao.

Ngoài việc tăng cường khả năng bảo mật cho kết nối Internet, Sophos Firewall còn cho phép quản lý và phân bổ tài nguyên mạng hiệu quả, biến nó trở thành lựa chọn lý tưởng cho một home lab an toàn và ổn định.

Tôi đã bắt đầu sử dụng Sophos Firewall Home Edition trong home lab của mình và phải nói rằng đây là một giải pháp tuyệt vời. Với tôi, nó hoạt động khá trực quan, dễ làm quen, và tôi có thể triển khai hầu hết những gì mình mong muốn.

Việc ngừng sử dụng Sophos không phải vì gặp vấn đề hay hạn chế nào đặc biệt, mà đơn giản chỉ vì tôi muốn thử nghiệm một giải pháp khác để so sánh và mở rộng trải nghiệm.

Microsoft Teams hiện đang là nền tảng phổ biến cho các cuộc họp trực tuyến (Meeting) và làm việc từ xa. Để đảm bảo chất lượng đường truyền cho các cuộc họp Teams, việc thiết lập QoS (Quality of Service) trên firewall là rất cần thiết.

Trong bài viết này, chúng ta sẽ thực hiện cấu hình QoS ưu tiên lưu lượng Microsoft Teams trên thiết bị Sophos Firewall.

• Thiết bị Sophos Firewall đã hoạt động bình thường.
• Quyền truy cập quản trị Sophos Central hoặc trực tiếp trên Firewall.
• Đường truyền internet ổn định.

• Đăng nhập vào Firewall Sophos.

• Tiếp theo chọn Application->Application Filter -> Add để tạo Microsoft Teams .

• Nhập name là: Mircrosoft Teams

Nhấn add để vào Application filter policy rules

• Ở chỗ Category chọn: Conferencing -> Select individual application -> Mircrosoft Teams -> Action chọn: Allow -> Schedule chọn: All the time -> Save.

• Xong phần thì nó sẽ hiện ra như thế này rồi mình nhấn Save.

• Chọn vào System service->Traffic Shaping-> Add

          Sau khi nhấn add->nhập những thông tin như này theo thứ tự ở trên hình ảnh

• Name : Team_QoS
• Policy association: Rules
• Rule Type: Guarantee
• Limit upload/download separately: Enable
• Priority: 0 – [ Real Time – e.g. VoIP] (highest)
• Guarantee – limit upload: ( 400-500) KBps
• Guarantee – limit download: (400-500) KBps
• Bandwidth usage type: Individual
• Save

 Sau khi nhập những bước trên xong thì chúng ta sẽ tạo 1 cái rule để Bước 1 và Bước 2 có thể chạy

Muốn tạo được Rule Policy thì ta vào phần Protect->Rule and policies->Firewall rules-> Add firewall rule->New firewall rules

          Sau khi nhấn New firewall rule thì firewall sẽ hiện ra trang edit firewall rule để mình điền thông rule

• Rule name: Allow_Teams_Meeting
• Action: Accept
• Tích vào Log firewall traffic
• Rule group: None

• Source Zone: LAN
• Source networks and devices: Khuyến khích chọn IP và subnet cố định, không nên để any ở mục này. Ở đây tôi sẽ để IP của máy mình.
• Destination Zones: WAN
• Destination networks: Any
• Service: Any

Kéo xuống dưới sẽ thấy phần Other security features trong phần này thì điền như sau:

• Identify and control applications (App control): Chọn Mircrosoft Teams mà nãy mình đã tạo ở Application (Bước 1).
• Shape traffic: Chọn Teams-Qos mà nãy mình đã tạo ở Traffic Shaping Policy (Bước 2).
• Tích vào Apply application-base traffic shaping policy
• Cuối cùng là chọn Save.

Khi xong hết những cấu hình ở trên thì tiếp theo mình sẽ vào bước test xem cấu hình của mình đã chạy hay chưa.

Ở đây em sẽ test với mức băng thông mình đã quy định là 400KBps ở trên bước 2, mình sẽ vào Teams để download 1 file mà mình đã tạo.

Tiếp theo sẽ tang băng thông lên thành 4000KBps tức là 4MBps để xem băng thông.

Nếu mà kết quả như trên mình đã làm thành công với QoS rồi nhé. Chúc các bạn thành công nhé.

Bài viết này sẽ giúp bạn cấu hình IPSec site-to-site giữa Head office và Branch office trên Sophos Firewall. Ví dụ như mô hình mạng ở trên mô tả kết nối giữa trụ sở chính(HQ-Site) và chi nhánh văn phòng(Branch-Site).

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đặt tên cho kết nối VPN và chọn Connection type là Site-to-Site đối với Policy-Based VPN. Tích chọn Active on save, tạo firewall rule sau. Chọn Gateway type là Respond only bởi vì khởi tạo từ chi nhánh sẽ được phản hồi từ trụ sở chính.

Chọn Profile, có thể tạo Profile ở Profiles -> IPSec Pprofiles hoặc có thể chọn những Profiles được định nghĩa sẵn trên Sophos Firewall.

Chọn Authentication type là Preshared key và nhập cùng preshared key trên cả 2 firewall.

Chọn Listening interface là PortB và Gateway address là WAN IP address của Firewall phía Branch-Site. Tương tự chọn Local subnet là local_network_192.168.100.0 và Remote subnet là remote_network_192.168.200.0

** Chú ý: Listening interface phải ở trong WAN zone để tạo kết nối VPN.

Nhấn save, theo dõi trạng thái kết nối.

Đến phần Rules and Policies -> Firewall rules chọn New firewall rule.

Nhấn save.

Đến phần Site-to-Site VPN > IPsec Connections và chọn Add. Tạo kết nối với thông số bên dưới.

          Nhấn save, theo dõi trạng thái kết nối.

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

          Nhấn save.

          Đến phần Site-to-Site VPN > IPsec Connections, kiểm tra trạng thái kết nối.

 Lấy 1 máy tính trong LAN ở HQ_Site ping đến máy tính trong LAN ở Branch_Site.

Và ngược lại, Lấy 1 máy tính trong LAN ở Branch_Site ping đến máy tính trong LAN ở HQ_Site.