Professional Documents
Culture Documents
Hillstonedemo
Hillstonedemo
I. Hillstone Firewall
1. Quản lý hệ thống
1.1. System and signature Database
System and signature: Người quản trị có thể xem thông tin chung của hệ thống trong trang thông
tin hệ thống, bao gồm Số sê-ri, tên server, platform, thời gian, thời gian hoạt động của hệ thống,
trạng thái HA(High Availability), firmware, tệp khởi động, Cơ sở dữ liệu chữ ký, v.v.
Ở đây, người quản trị có thể chỉnh sửa thông tin tên thiết bị, cập nhật thời gian cho hệ thống , …
1.2. Device Management
Chế độ này người quản trị có thể thêm tài khoản đăng nhập và cấp quyền tương ứng cho tài
khoản, người quản trị có thể cấp quyền với roles có sẵn hoặc có thể tự tạo roles để cấp quyền cho
tài khoản. Ngoài ra, người quản trị có thể quản lý interface (management interface):
Người quản trị có chỉnh sửa thời gian out cho quản lý interface WEB GUI, SSH, Telnet khi hệ
thống không hoạt động trong khoảng thời gian nhất định (max 60p, default 10p).
Người quản trị có thể cài đặt thời gian cho hệ thống ở system time.
Định cấu hình NTP:
Thời gian hệ thống có thể ảnh hưởng đến thời gian thiết lập tunnel VPN và lập lịch (ví dụ lập
lịch cấu hình), vì vậy độ chính xác của thời gian hệ thống là rất quan trọng. Để đảm bảo hệ thống
có thể duy trì thời gian chính xác, thiết bị cho phép người quản trị đồng bộ hóa thời gian hệ
thống với server NTP trên mạng thông qua giao thức NTP.
Sau khi bật chức năng Xác thực NTP, người quản trị cần định cấu hình ID và các khóa MD5.
Thiết bị sẽ chỉ đồng bộ hóa với các server được ủy quyền.
Option:
Chỉ định các tùy chọn hệ thống, bao gồm ngôn ngữ, server xác thực quản trị viên, tên server, tiêu
chí mật khẩu,(reboot) khởi động lại và xuất thông tin gỡ lỗi hệ thống.
1.3. Cấu hình file quản lý
Người quản trị có thể tạo ra file dự phòng cho cấu hình hệ thống và có thể export ra tệp để lưu
trữ trên thiết bị khác. Từ File đó người quản trị có thể upload config cho hệ thống. Ở đây có chế
độ Restore Factory Defaults giúp người quản trị khôi phục mặc định cấu hình thiết bị của nhà
cung cấp.
Người quản trị có thể xem, export cấu hình hiện tại của hệ thống từ current Configuration.
1.4. SNMP (Simple Network Management Protocol)
SNMP (Simple Network Management Protocol) là một giao thức Internet dành riêng cho việc
quản lý các thiết bị trên mạng. SNMP hiển thị dữ liệu quản lý dưới dạng các biến trong cơ sở
thông tin quản lý (MIB) mô tả trạng thái và cấu hình hệ thống. Các biến này sau đó có thể được
truy vấn từ xa(và, trong một số trường hợp, có thể được thay đổi).
SNMP là sự kết hợp của các tiêu chuẩn quản lý mạng như là một giao thức cho lớp ứng dụng,
lược đồ cho cơ sở dữ liệu và một bộ sưu tập các đối tượng dữ liệu. SNMP mô tả cấu hình của hệ
thống bằng cách tiết lộ các biến (dữ liệu quản lý) trên các hệ thống được quản lý. Do đó, các ứng
dụng quản lý khác có thể truy vấn các biến này cho mục đích giám sát, và đôi khi có thể thiết lập
các giá trị này.
Thiết bị được thiết lập với SNMP Agent, có thể nhận yêu cầu hoạt động từ hệ thống quản lý
mạng và đưa ra thông tin của mạng, thiết bị.
SNMP Agent
Thiết bị được thiết lập với SNMP Agent, cung cấp khả năng quản lý mạng và giám sát trạng thái
đang hoạt động của mạng và thiết bị bằng cách xem số liệu thống kê và nhận thông báo về các sự
kiện quan trọng của hệ thống.
1.5. Upgrade Management
CoudView: CloudView là một sản phẩm SaaS. Nó được triển khai trên cloud công cộng để cung
cấp cho người quản trị các dịch vụ trực tuyến theo yêu cầu. Các thiết bị Hillstone đăng ký với
nền tảng dịch vụ cloud và tải thông tin thiết bị, dữ liệu lưu lượng truy cập, các sự kiện đe dọa,
nhật ký hệ thống, v.v. lên nền tảng dịch vụ cloud và màn hình trực quan được cung cấp bởi
CloudView. Người quản trị có thể theo dõi tình trạng thiết bị, thu thập các báo cáo và analysis
mối đe dọa thông qua Web hoặc APP trên điện thoại di động.
Cloud Sandbox: Đây là một công nghệ được sử dụng bởi chức năng Sandbox. Sau khi một tệp
đáng ngờ được tải lên nền tảng dịch vụ cloud Hillstone, hộp cloud sẽ thu thập các hành vi của
tệp, analysis dữ liệu thu thập được, xác minh tính hợp pháp của tệp, gửi kết quả analysis đến hệ
thống và xử lý tệp độc hại theo các hành động do hệ thống thiết lập.
CloudVista (Trung tâm phát hiện mối đe dọa): Chức năng Threat Intelligence có thể tải một số
yếu tố trong nhật ký được tạo bởi từng mô-đun lên nền tảng dịch vụ cloud, chẳng hạn như địa chỉ
IP, miền, v.v. Nền tảng dịch vụ cloud sẽ kiểm tra xem các yếu tố đó có thông tin về mối đe dọa
thông.
1.11. PKI
PKI (Public Key Infrastructure) là một hệ thống cung cấp dịch vụ mã hóa khóa công khai và chữ
ký số. PKI được thiết lập để tự động hóa việc quản lý chứng chỉ và khóa bí mật, đồng thời đảm
bảo tính bảo mật, tính toàn vẹn của dữ liệu được truyền qua Internet. Một hệ thống PKI bao gồm
Mật mã khóa công khai, CA (Tổ chức phát hành chứng chỉ), RA (Tổ chức phát hành chứng chỉ),
Chứng chỉ số và thư viện lưu trữ PKI liên quan.
Thuật ngữ PKI:
Mật mã khóa công khai: Một công nghệ được sử dụng để tạo một cặp khóa bao gồm khóa công
khai và khóa riêng tư. Khóa công khai được phân phối rộng rãi, trong khi khóa riêng tư chỉ người
nhận mới biết. Hai khóa trong cặp khóa bổ sung cho nhau và dữ liệu được mã hóa bởi một khóa
chỉ có thể được giải mã bằng khóa khác của cặp khóa.
CA: Một thực thể đáng tin cậy cấp chứng chỉ kỹ thuật số cho các cá nhân, máy tính hoặc bất kỳ
thực thể nào khác. CA nhận yêu cầu cấp chứng chỉ và xác minh thông tin do người đăng ký cung
cấp dựa trên chính sách quản lý chứng chỉ. Nếu thông tin hợp pháp, CA sẽ ký các chứng chỉ
bằng khóa riêng của mình và cấp chúng cho người nộp.
RA: Là phần mở rộng của CA. RA chuyển tiếp các yêu cầu chứng chỉ tới CA, đồng thời cũng
chuyển tiếp chứng chỉ số và CRL(Certificate Revocation List) do CA cấp tới các server thư mục
để cung cấp các dịch vụ truy vấn và duyệt thư mục.
CRL: Mỗi chứng chỉ được thiết lập khi hết hạn. Tuy nhiên, CA có thể thu hồi chứng chỉ trước
ngày hết hạn do rò rỉ khóa, chấm dứt kinh doanh hoặc các lý do khác. Sau khi chứng chỉ bị thu
hồi, CA sẽ cấp CRL để thông báo chứng chỉ không hợp lệ và liệt kê số sê-ri của chứng chỉ không
hợp lệ.
1.12. Công cụ chuẩn đoán
Packet Capture Tool: Bắt các gói tin trong hệ thống. Sau khi nắm bắt các gói, người quản trị có
thể xuất chúng vào đĩa cục bộ của mình và sau đó analysis chúng bằng các công cụ của bên thứ
ba.
Test Tool: Truy vấn DNS, Ping và Traceroute có thể được sử dụng khi khắc phục sự cố mạng.
2. Network
2.1. Zone
Zone security là một thực thể logic. Một hoặc nhiều giao diện có thể được liên kết với một vùng.
Vùng được áp dụng chính sách được gọi là zone security, trong khi vùng được tạo cho một chức
năng cụ thể được gọi là vùng chức năng. Các vùng có các tính năng sau:
Một giao diện phải được liên kết với một khu vực. Vùng Layer 2 sẽ được liên kết với VSwitch,
trong khi vùng Layer 3 sẽ được liên kết với VRouter. Do đó, VSwitch mà vùng Layer 2 bị ràng
buộc sẽ quyết định VSwitch nào mà các giao diện thuộc về vùng Layer 2 đó và VRouter mà
vùng Layer 3 bị ràng buộc sẽ quyết định VRouter mà các giao diện thuộc về vùng Layer 3 đó.
Các giao diện trong Layer 2 và Layer 3 đang hoạt động ở chế độ Layer 2 và chế độ Layer 3
tương ứng.
Hệ thống hỗ trợ các chính sách vùng nội bộ, chẳng hạn như quy tắc chính sách tin cậy.
Có 8 vùng bảo mật được xác định trước trong StoneOS, đó là tin cậy, không tin cậy, dmz, L2-
trust, L2-unsrust, L2-dmz, vpnhub (vùng chức năng VPN) và ha (vùng chức năng HA). Người
quản trị cũng có thể tùy chỉnh các zone security. Vùng bảo mật được xác định trước và vùng
bảo mật do người quản trị xác định không có sự khác biệt về chức năng, vì vậy người quản trị
có thể tự do lựa chọn.
2.2. Interface
Các giao diện cho phép lưu lượng đến và đi đến các zone security. Một giao diện phải được liên
kết với một zone security để lưu lượng truy cập có thể vào và ra khỏi zone security. Hơn nữa,
đối với vùng bảo mật Layer 3, địa chỉ IP phải được định cấu hình cho giao diện và các quy tắc
chính sách tương ứng cũng phải được cấu hình để cho phép truyền lưu lượng giữa các vùng bảo
mật khác nhau. Nhiều giao diện có thể được liên kết với một vùng bảo mật, nhưng một giao
diện không thể bị ràng buộc với nhiều vùng bảo mật.
2.3. Interface Group
Nhóm giao diện liên kết trạng thái của một số giao diện để tạo thành một nhóm logic. Nếu bất
kỳ giao diện nào trong nhóm bị lỗi, trạng thái của các giao diện khác sẽ bị ngừng hoạt động. Sau
khi tất cả các giao diện trở lại bình thường, trạng thái của nhóm giao diện sẽ là Up. Chức năng
nhóm giao diện có thể ràng buộc trạng thái của các giao diện trên các mô-đun mở rộng khác
nhau.
2.4. Giao diện quản lý
Để thuận tiện cho việc quản lý thiết bị và đáp ứng yêu cầu tách biệt lưu lượng quản lý khỏi lưu
lượng dữ liệu, hệ thống có giao diện quản lý độc lập (MGT Interface). Theo mặc định, giao diện
quản lý thuộc về vùng mgt và bộ định tuyến ảo mgt-vr. Vùng mgt thuộc về bộ định tuyến ảo
mgt-vr, thông tin về định tuyến, bảng ARP là độc lập.
2.5. DNS
DNS, viết tắt của Domain Name System được thiết lập cho mạng TCP / IP để truy vấn tên miền
Internet và dịch chúng thành địa chỉ IP (ví dụ: 10.1.1.1) để định vị các máy tính và dịch vụ liên
quan.
DNS của thiết bị bảo mật cung cấp các chức năng sau:
Server: Định cấu hình server DNS và tên miền mặc định cho thiết bị bảo mật.
Proxy: Là một proxy DNS, thiết bị có thể lọc yêu cầu DNS theo các quy tắc DNS proxy do
người quản trị đặt và hệ thống sẽ chuyển tiếp yêu cầu DNS đủ điều kiện tới server DNS được
chỉ định.
Analysis: Đặt thời gian thử lại và thời gian time out cho dịch vụ DNS của thiết bị.
Bộ nhớ cache: Ánh xạ DNS vào bộ nhớ cache có thể tăng tốc độ truy vấn. Người quản trị có thể
tạo, chỉnh sửa và xóa các ánh xạ DNS.
NBT Cache: Hiển thị thông tin NBT cache.
2.6. DHCP
DHCP, viết tắt của Dynamic Host Configuration Protocol, được thiết lập để tự động phân bổ địa
chỉ IP thích hợp và các tham số mạng liên quan cho các mạng con, do đó giảm yêu cầu về quản
trị mạng. Bên cạnh đó, DHCP có thể tránh xung đột địa chỉ để đảm bảo việc phân bổ lại các tài
nguyên không sử dụng.
Hệ thống hỗ trợ máy khách DHCP, server DHCP và proxy chuyển tiếp DHCP.
Máy khách DHCP: Giao diện có thể được cấu hình như một máy khách DHCP và lấy địa chỉ IP
từ server DHCP.
Server DHCP: Giao diện có thể được định cấu hình như một server DHCP và cấp phát các địa
chỉ IP được chọn từ nhóm địa chỉ đã định cấu hình cho các server được kết nối.
DHCP relay proxy: Giao diện có thể được cấu hình như một DHCP relay proxy để lấy thông tin
DHCP từ server DHCP và chuyển tiếp thông tin đến các server được kết nối.
Các thiết bị bảo mật được thiết lập với tất cả ba chức năng DHCP ở trên, nhưng một interface
chỉ được cấu hình với một trong các dịch vụ trên.
2.7. DDNS
DDNS (Dynamic DNS Client) được thiết lập để phân giải tên miền cố định thành địa chỉ IP
động. Người quản trị sẽ được cấp phát địa chỉ IP động từ ISP mỗi khi người quản trị kết nối với
Internet, tức là địa chỉ IP được cấp phát cho các kết nối Internet khác nhau sẽ khác nhau. DDNS
có thể liên kết tên miền với địa chỉ IP động của người quản trị và ràng buộc giữa chúng sẽ được
cập nhật tự động mỗi khi người quản trị kết nối với Internet.
2.8. PPPoE
PPPoE, Giao thức điểm-điểm qua Ethernet, kết hợp giao thức PPP và Ethernet để thực hiện
kiểm soát truy cập, xác thực và tính toán trên máy khách trong quá trình phân bổ địa chỉ IP.
2.9. Virtual Wire
Hệ thống hỗ trợ Dây ảo dựa trên VSwitch. Với chức năng này được bật và cặp giao diện Virtual
Wire được định cấu hình, hai giao diện Virtual Wire tạo thành một dây ảo kết nối hai mạng con
được gắn với cặp giao diện Virtual Wire với nhau. Hai mạng con được kết nối có thể giao tiếp
trực tiếp trên Layer 2 mà không cần bất kỳ yêu cầu nào về việc học địa chỉ MAC hoặc chuyển
tiếp mạng con khác. Hơn nữa, các quyền kiểm soát các quy tắc chính sách hoặc các chức năng
khác vẫn khả dụng khi sử dụng tính năng Virtual Wire.
2.10. Virtual Router, VSwitch
Người quản trị biết được thông tin về các Virtual Router, Vswitch.
2.11. Routing
Đảm bảo giao tiếp bình thường của các ứng dụng đa kênh theo các quy tắc chính sách bảo mật
nghiêm ngặt.
Đảm bảo hoạt động bình thường của các ứng dụng VoIP như SIP và H.323 ở chế độ NAT, đồng
thời thực hiện giám sát và lọc theo các chính sách.
2.15. Global Network Parameters (Tham số mạng toàn cầu)
Cấu hình tham số mạng toàn cầu bao gồm phân mảnh IP, các phương pháp xử lý gói TCP và
các tùy chọn khác.
3. Object
Chương này mô tả khái niệm và cấu hình của các đối tượng sẽ được tham chiếu bởi các mô-đun
khác trong hệ thống, bao gồm:
Address: Chứa thông tin địa chỉ và có thể được sử dụng bởi nhiều mô-đun, chẳng hạn như quy
tắc chính sách, quy tắc NAT, QoS, quy tắc giới hạn phiên, v.v.
Host Book: Tập hợp một tên miền hoặc một số tên miền.
Service Book: Chứa thông tin dịch vụ và có thể được sử dụng bởi nhiều mô-đun, chẳng hạn như
quy tắc chính sách, quy tắc NAT, QoS, v.v.
APP Book: Chứa thông tin ứng dụng và nó có thể được sử dụng bởi nhiều mô-đun, chẳng hạn
như quy tắc chính sách, quy tắc NAT, QoS, v.v.
SLB Server Pool: Mô tả cấu hình server SLB.
Schedule: Chỉ định một phạm vi thời gian hoặc khoảng thời gian. Các chức năng (chẳng hạn như
quy tắc chính sách, quy tắc QoS, danh sách đen server lưu trữ, kết nối giữa giao diện PPPoE và
Internet) sử dụng lịch biểu sẽ có hiệu lực trong phạm vi thời gian hoặc khoảng thời gian được chỉ
định bởi lịch biểu.
Server AAA: Mô tả cách cấu hình server AAA.
Người quản trị: Chứa thông tin về các chức năng và dịch vụ được cung cấp bởi thiết bị Hillstone
và người quản trị được thiết bị xác thực và quản lý.
Role: Chứa thông tin vai trò liên kết người quản trị với các đặc quyền. Trong cấu hình chức
năng, các vai trò khác nhau được chỉ định với các dịch vụ khác nhau. Do đó, người quản trị được
ánh xạ cũng có thể nhận được các dịch vụ tương ứng.
Track Object: Theo dõi nếu đối tượng được chỉ định (địa chỉ IP hoặc server) có thể truy cập được
hoặc nếu giao diện được chỉ định được kết nối. Chức năng này được thiết lập để theo dõi HA và
các giao diện.
Lọc URL: Bộ lọc URL kiểm soát quyền truy cập vào một số trang web nhất định và ghi lại thông
báo nhật ký cho các hành động truy cập.
NetFlow: Thu thập thông tin lưu lượng đến của người quản trị theo hồ sơ NetFlow và gửi đến
server bằng công cụ analysis dữ liệu NetFlow.
4. Chính sách
4.1. Security Policy
Chính sách bảo mật là chức năng cơ bản của các thiết bị được thiết lập để kiểm soát việc chuyển
tiếp lưu lượng giữa các vùng. Nếu không có quy tắc chính sách bảo mật, thiết bị sẽ từ chối tất cả
lưu lượng giữa các vùng theo mặc định. Sau khi định cấu hình quy tắc chính sách bảo mật, thiết
bị có thể xác định lưu lượng truy cập giữa các khu vực hoặc phân đoạn mạng sẽ được phép và
những lưu lượng nào sẽ bị từ chối.
4.2. NAT
NAT, Dịch địa chỉ mạng, dịch địa chỉ IP trong tiêu đề gói IP sang địa chỉ IP khác. Khi các gói
IP đi qua các thiết bị hoặc bộ định tuyến, các thiết bị hoặc bộ định tuyến sẽ dịch địa chỉ IP
nguồn và / hoặc địa chỉ IP đích trong các gói IP. Trong thực tế, NAT chủ yếu được sử dụng để
cho phép mạng riêng truy cập vào mạng công cộng, ngược lại.
4.3. iQoS
Hệ thống cung cấp iQoS (chất lượng dịch vụ ) đảm bảo hiệu suất mạng của khách hàng, quản lý
và tối ưu hóa băng thông quan trọng cho lưu lượng kinh doanh quan trọng và giúp khách hàng sử
dụng đầy đủ tài nguyên băng thông của họ.
iQoS được sử dụng để cung cấp các ưu tiên khác nhau cho các lưu lượng khác nhau, nhằm kiểm
soát độ trễ và hiện tượng vỗ, cũng như giảm tỷ lệ mất gói. iQoS có thể đảm bảo việc truyền tải
bình thường lưu lượng kinh doanh quan trọng khi mạng bị quá tải hoặc tắc nghẽn. iQoS được
kiểm soát bởi giấy phép. Để sử dụng iQoS, hãy áp dụng và cài đặt giấy phép iQoS.
4.4. Giới hạn Phiên và chia sẻ truy cập
Các thiết bị hỗ trợ chức năng giới hạn phiên dựa trên vùng. Người quản trị có thể giới hạn số
lượng phiên và kiểm soát tốc độ phiên đối với địa chỉ IP nguồn, địa chỉ IP đích, địa chỉ IP được
chỉ định, các ứng dụng hoặc vai trò / người quản trị / nhóm người quản trị, do đó bảo vệ khỏi
các cuộc tấn công DoS và kiểm soát băng thông của các ứng dụng, chẳng hạn như IM hoặc P2P.
Chia sẻ quyền truy cập có nghĩa là nhiều thiết bị đầu cuối truy cập mạng với cùng một IP. Chức
năng chia sẻ quyền truy cập có thể chặn truy cập từ thiết bị không xác định và phân bổ băng
thông cho người quản trị, để ngăn ngừa rủi ro có thể xảy ra và đảm bảo trải nghiệm trực tuyến
tốt.
4.5. ARP Defense
StoneOS cung cấp một loạt các chức năng bảo vệ ARP để bảo vệ mạng của người quản trị
chống lại các cuộc tấn công ARP khác nhau, bao gồm:
Learing ARP: Các thiết bị có thể lấy các ràng buộc IP-MAC trong Mạng nội bộ từ việc Learing
ARP và thêm chúng vào danh sách ARP. Theo mặc định, chức năng này được bật. Các thiết bị
sẽ luôn bật ARP học và thêm các liên kết IP-MAC đã học vào danh sách ARP. Nếu bất kỳ địa
chỉ IP hoặc MAC nào thay đổi trong quá trình học, thiết bị sẽ thêm liên kết IP-MAC cập nhật
vào danh sách ARP. Nếu chức năng này bị tắt, chỉ các địa chỉ IP trong danh sách ARP mới có
thể truy cập Internet.
MAC Learning: Các thiết bị có thể lấy các ràng buộc MAC-Port trong Intranet từ MAC learning
và thêm chúng vào danh sách MAC. Theo mặc định, chức năng này được bật. Các thiết bị sẽ
luôn bật MAC học và thêm các ràng buộc MAC-Port đã học vào danh sách MAC. Nếu bất kỳ
địa chỉ MAC hoặc port nào thay đổi trong quá trình học, thiết bị sẽ thêm ràng buộc Port MAC
cập nhật vào danh sách MAC.
Liên kết IP-MAC-Port: Nếu liên kết IP-MAC, MAC-Port hoặc IP-MAC-Port được bật, các gói
không phù hợp với liên kết sẽ bị loại bỏ để bảo vệ chống lại các cuộc tấn công giả mạo ARP
hoặc danh sách địa chỉ MAC. Sự kết hợp giữa ARP và MAC learning có thể đạt được hiệu quả
"quét thời gian thực ", đồng thời làm cho cấu hình bảo vệ đơn giản và hiệu quả hơn.
ARP đã xác thực: ARP đã xác thực được triển khai trên ứng dụng ARP Hillstone Secure
Defender. Khi PC được cài đặt Hillstone Secure Defender truy cập Internet qua giao diện cho
phép ARP được xác thực, nó sẽ thực hiện xác thực ARP với thiết bị nhằm mục đích là địa chỉ
MAC của thiết bị được kết nối với PC được tin cậy.
Kiểm tra ARP: Thiết bị hỗ trợ Kiểm tra ARP cho các giao diện. Với chức năng này được bật,
StoneOS sẽ kiểm tra tất cả các gói ARP đi qua các giao diện được chỉ định và so sánh địa chỉ IP
của các gói ARP với các liên kết IP-MAC tĩnh trong danh sách ARP và các liên kết IP-MAC
trong danh sách DHCP Snooping.
DHCP Snooping: Với chức năng này được kích hoạt, hệ thống có thể tạo mối quan hệ ràng buộc
giữa địa chỉ MAC của máy khách DHCP và địa chỉ IP được cấp phát bằng cách analysis các gói
giữa máy khách và server DHCP.
Bảo vệ server: Với chức năng này được kích hoạt, hệ thống có thể gửi các gói ARP vô cớ cho
các server khác nhau để bảo vệ chúng trước các cuộc tấn công ARP.
5. Monitor
Hệ thống có thể giám sát các đối tượng sau:
Giám sát người quản trị: Hiển thị thống kê ứng dụng trong khoảng thời gian được chỉ định (Thời
gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất, khoảng thời gian
tùy chỉnh) Thống kê bao gồm số lượng ứng dụng cho giao diện / khu vực cụ thể, lưu lượng ứng
dụng, phiên mới và phiên đồng thời của ứng dụng.
Giám sát ứng dụng: Hiển thị thống kê các ứng dụng, danh mục ứng dụng, danh mục con ứng
dụng, mức độ rủi ro ứng dụng, công nghệ ứng dụng, đặc điểm ứng dụng trong khoảng thời gian
xác định (Thời gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất,
khoảng thời gian tùy chỉnh) . Số liệu thống kê bao gồm số lượng người quản trị cho giao diện /
khu vực cụ thể, lưu lượng truy cập ứng dụng và các phiên đồng thời của ứng dụng.
Trình giám sát ứng dụng cloud: Hiển thị thống kê của các ứng dụng dựa trên cloud, bao gồm lưu
lượng truy cập, xu hướng, phiên mới và phiên đồng thời.
Share Access Monitor: Hiển thị thống kê thiết bị đầu cuối truy cập của điều kiện bộ lọc được chỉ
định (Bộ định tuyến ảo, IP, số server), bao gồm hệ thống hoạt động, thời gian trực tuyến, thời
gian đăng nhập và thời gian trực tuyến cuối cùng của người quản trị.
Phát hiện điểm cuối: Hiển thị danh sách thông tin dữ liệu điểm cuối được đồng bộ hóa với trung
tâm kiểm soát an ninh điểm cuối.
Phát hiện hạn ngạch người quản trị: Hiển thị danh sách thống kê hạn ngạch lưu lượng truy cập
của người quản trị.
Màn hình máy tính: Hiển thị tất cả các máy tính có nguy cơ của toàn mạng.
iQoS Monitor: Hiển thị thống kê lưu lượng đường ống trong khoảng thời gian được chỉ định
(Thời gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất, khoảng thời
gian tùy chỉnh).
Service / Network Monitor: Hiển thị thống kê tỷ lệ mất gói và độ trễ của các nút dịch vụ / mạng.
Màn hình thiết bị: Hiển thị thống kê thiết bị trong khoảng thời gian được chỉ định (Thời gian
thực, 5 phút gần nhất, 15 phút gần nhất, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng
gần nhất, khoảng thời gian tùy chỉnh), bao gồm tổng lưu lượng truy cập, CPU / bộ nhớ trạng thái,
phiên và trạng thái phần cứng.
Lần truy cập URL: Nếu hệ thống được định cấu hình bằng Lọc URL, bộ thống kê xác định trước
của Lần truy cập URL có thể thu thập thống kê về người quản trị / IP, URL và danh mục URL.
Link Status Monitor: Hiển thị thống kê lưu lượng của các giao diện đã bị ràng buộc trong khoảng
thời gian được chỉ định.
User Defined Monitor: Nếu hệ thống được định cấu hình với Xác thực mạng, Đăng nhập một
lần, SSL VPN, L2TP VPN thì người quản trị xác thực có thể thu thập số liệu thống kê về người
quản trị đã xác thực.
6. iCenter
Các tính năng đa chiều hiển thị sâu tất cả các tài nguyên quan trọng, máy tính rủi ro và các mối
đe dọa đối với toàn mạng. các mối đe dọa của toàn mạng.
Tài nguyên quan trọng
Trang Tài nguyên quan trọng hiển thị thông tin chi tiết của các tài nguyên quan trọng và thông
tin về mối đe dọa liên quan. Nhấp vào iCenter và trang Tài nguyên quan trọng sẽ hiển thị sau đó.
Trang Tài nguyên quan trọng hiển thị thông tin chi tiết của các tài nguyên quan trọng và thông
tin về mối đe dọa liên quan. Nhấp vào iCenter và trang Tài nguyên quan trọng sẽ hiển thị sau đó.
Nhấp vào liên kết của tên quan trọng trong danh sách để xem thông tin sau của nội dung quan
trọng này:
Thông tin chi tiết: Hiển thị tên của tài nguyên quan trọng, Tên máy tính / IP (Nếu không xác định
được tên máy tính, IP sẽ được hiển thị), hệ điều hành, trạng thái, khu vực, mức độ rủi ro (đường
màu trắng chỉ mức độ rủi ro của tài nguyên quan trọng này tài nguyên), và tính chắc chắn.
Thông tin về mối đe dọa: Hiển thị chuỗi tiêu diệt, các mối đe dọa và giảm thiểu.
Trong tab Kill Chain, hãy xem các cuộc tấn công và mối đe dọa đối với tài nguyên quan trọng
này tồn tại trong từng giai đoạn của chuỗi tiêu diệt. Giai đoạn được đánh dấu có nghĩa là có các
cuộc tấn công và các mối đe dọa trong giai đoạn này. Nhấp vào giai đoạn này để hiển thị tất cả
thông tin về mối đe dọa trong giai đoạn này. Nhấp vào tên mối đe dọa trong danh sách để xem
thông tin về mối đe dọa.
7. Bảng điều khiển (Dashboard)
Tính năng này có thể thay đổi một chút trên các nền tảng khác nhau. Nếu có mâu thuẫn giữa
hướng dẫn này và trang thực tế, hướng dẫn sau sẽ được ưu tiên.
Bảng điều khiển hiển thị hệ thống và thông tin về mối đe dọa. Bố cục của trang tổng quan được
hiển thị bên dưới:
Hiển thị tất cả phân bố địa lý của những kẻ tấn công bên ngoài trong bản đồ.
Các mối đe dọa
Hiển thị thông tin về 10 mối đe dọa hàng đầu trong khoảng thời gian được chỉ định.
Nhấp vào tên của tài nguyên quan trọng để xem thông tin tương ứng trong trang Tài nguyên quan
trọng trong iCenter.
Mối đe dọa
Hiển thị thông tin mối đe dọa liên quan.
Ứng dụng
Hiển thị thông tin 10 ứng dụng hàng đầu trong khoảng thời gian được chỉ định.
Chỉ định loại hiển thị: theo Lưu lượng truy cập hoặc theo phiên mới từ menu thả xuống.
Nhấp và chuyển đổi giữa bảng và biểu đồ thanh.
Di chuột qua thanh để xem tổng lưu lượng truy cập của người quản trị hoặc các phiên mới.
Tổng lưu lượng truy cập / Phiên đồng thời / Phiên mới
có Tổng lưu lượng truy cập / Phiên đồng thời / Phiên mới trong khoảng thời gian được chỉ định.
TEST SETUP
Mục đích Cấu hình quản lý Firewall qua port Console, SSH, GUI WEB và kiểm tra
version của hệ thống.
Mô hình :
Mô tả:
- Sử dụng dây cáp để kết nối console từ máy tính đến Firewall
Mô tả Chuẩn bị:
- 1 Firewall Hillstone
- 1 cáp console của hãng
Bật chế độ SSH trên port e0/0 để cấu hình ssh,https cho firewall hillstone
Cấu hình SSH quản lý thiết bị:
SG-6000#config
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage ssh
Bật chế độ quản lý qua GUI Web bằng https:
SG-6000(config-if-eth0/0)# manage https
Kiểm tra version của hệ thống: SG-6000(config)# show version
Kiểm tra Giao diện đăng nhập console khi đăng nhập thành công
Kiểm tra version của firewall, kiểm tra được thông tin như: StoneOS version,
Tên sản phẩm, Licenses, … của hệ thống.
Kiểm tra version qua WEB:
Vào mục system sytem information để kiểm tra thông tin firewall.
2. Cấu hình timezone, hostname, interface trên Web GUI
TEST SETUP
Mục đích Cấu hình timezone, đổi hostname, đặt interface trên firewall hillstone
Mô hình :
Mô tả:
Mô tả Mặc định trên thiết bị có timezone là GMT+8 thay đổi sang GMT +7 của Việt
Nam.
- Cấu hình Timezone
- Cấu hình hostname
- Cấu hình Interface
Các bước thực hiện:
- Cấu hình timezone: kiểm tra GMT +7 trong danh sách có key cấu hình là gì
Cấu hình thiết bị:
Gõ câu lệnh: clock zone ? để xem list time GMT. Cấu hình time GMT +7.
SG-6000(config)# clock zone outheast-asia.
Kiểm tra timezone: SG-6000# show clock
Thay đổi timezone trên giao diện GUI WEB vào
Ấn vào system system and signature database biểu tượng sửa System
Time chọn timezone mong muốn OK
Kiểm tra
Kiểm tra list clock zone GMT:
3. Cấu hình Adminstrators, Admin Roles, Management interface trên GUI WEB
TEST SETUP
Mục đích Cấu hình timezone, đổi hostname, đặt interface trên firewall hillstone
Mô hình :
Mô tả:
Mô tả - Tạo tài khoản quản lý
- Cấp quyền giới hạn quản lý cho tài khoản
- Cấu hình thay đổi thông sô qua quản lý interface: Timeout: 20 phút, …
Các bước thực hiện:
- Quản lý firewall thông qua giao diện web
- Đăng nhập hệ thống bằng tài khoản mặc định có user: hillstone
- Sau khi đăng nhập chọn System Device Management Adminitrators.
- Giao diện hiện ra chọn New
- Nhập cấu hình và quyền hạn của tài khoản tạo ( chọn role, có thể tự tạo 1
role)
Chỉnh thông số mong muốn như timeout = 20 cho cấu hình quản lý qua web,ssh.
Nhấn OK
Kiểm tra
Tài khoản tại thành công:
Thay đổi timeout thành công trên cấu hình quản lý interface:
4. Cấu hình File Management: backup/restore,factory defaults trên giao diện WEB
TEST SETUP
Mục đích Backup/Restore. Factory defaults, Cấu hình hiện tại của thiết bị.
Mô hình :
Mô tả:
Mô tả - Tạo backup cho hệ thống.
- Export file backup.
- Cấu hình factory defaults
Các bước thực hiện:
- Quản lý firewall thông qua giao diện web.
- Sau khi đăng nhập chọn System Configuration File Management
Configuration File List
- Giao diện hiện ra chọn Backup Restore
Điềm thông tin miêu tả backup nhấn start để backup file hệ thống.
- Có thể export file ra file máy tính.
- Có thể restore lại thiết bị theo list được lưu trên hệ thống hoặc có restore
bằng file export.
- Có thể tùy chọn factory defaults hệ thống. sau khi factory default thiết bị sẽ
trở lại thiết bị mặc định ban đầu của hãng.
- Export file cấu hình hiện tại thiết bị:System Curent Configuration
Export
Kiểm tra
5. Trasparent mode
TEST SETUP
Mục đích Cấu hình quản trị, cấu hình Transparent mode trên firewall.
Mô hình:
Mô tả:
- Một PC kết nối với Hillstone Firewall.
Mô tả - Cấu hình quản trị trên thiết bị.
- Cấu hình Trasparent mode trên firewall và kiểm tra kết nối từ PC ra ngoài internet.
- Port e0/1 cấu hình L2-trust, e0/2 cấu hình vùng L2-untrust. Thêm chính sách.
- Kiểm tra kết nối từ PC ra ngoài Internet khi policy chế độ permit và deny.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus ở hệ thống Lab tại công ty.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.
- 1 máy tình cài Putty
Các bước thực hiện:
- Kết nối Firewall Hillstone với máy tính bằng dây console
- Cấu hình quản trị Firewall Hillstone
- Sử dụng https để truy cập quản lý thiết bị qua GUI WEB
- Cấu hình transparent mode.
Cấu hình thiết bị:
- Kết nối firewall với PC bằng dây console. Đăng nhập Firewall lần đầu bằng mật
khẩu mặc định của hãng user/pass: hillstone. Mặc định IP trên port
mgt0 :192.168.1.1/24. Cấu hình quản trị cho dải quản trị tại công ty 192.168.99.49.
Bật SSH, https trên port mgt0.
- Kết nối port mgt0 với e1/1/9 của ruckus switch. SSH vào switch để access port
VLAN 99 quản trị tại công ty cho firewall.
Trên Ruckus thực hiện cấu hình VLAN quản trị cho port e1/1/9:
SSH@ICX7150-24 Switch#conf t
SSH@ICX7150-24 Switch(config)#vlan 99
SSH@ICX7150-24 Switch(config-vlan-99)#untagged e1/1/9
- Đăng nhập giao diện Web kiểm tra. Trên trình duyệt nhập: 192.168.99.49 nhập
user/pass: hillstone đăng nhập quản trị firewall.
- Cấu hình transparent mode thực hiện kết nối PC ra internet được quản trị bởi
firewall.
- Network interface. Chọn port e0/1 cần cấu hình chọn edit để cấu hình cho e0/1:
Bật chế độ giám sát trên port:
Kiểm tra interface sau khi cấu hình quản trị: show interface
TEST SETUP
Mục đích Kiểm tra tính năng Route mode trên firewall.
Mô hình:
Mô tả Mô tả:
- E0/2, e0/3 là 2 kết nối ra ngoài internet e0/2 thuộc VLAN 30, e0/3 thuộc
e0/2.
- Cấu hình router mode và policy các PC dải mạng 10.1.1.0/24 kết nối Internet
qua VLAN 30.
- Các kết nối PC khác kết nối Internet qua VLAN 20.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus ở hệ thống Lab tại công ty.
- Các PC đặt IP tĩnh.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.
Cấu hình định tuyến theo source cho trust-vr dải 10.1.1.0/24 ra ngoài internet
qua port e0/2.
Cấu hình policy cho firewall:
Kiểm tra
7. TAP mode
TEST SETUP
Mục đích Kiểm tra tính năng TAP mode trên firewall.
Mô hình:
Mô tả
Mô tả:
- Câu hình theo dõi traffic cho switch bằng hillstone firewall.
- Cấu hình mirror port trên switch.
- Cấu hình TAP mode để giám sát lưu lượng kết nối từ PC đến Internet.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.
Kiểm tra
TEST SETUP
Mục đích Cấu hình iQoS cho hillstone firewall
Mô tả:
- Cấu hình iQoS để ưu tiên traffic qua trọng khi xẩy ra tắc nghẽn trong hệ
thông.
Kịch bản:
Yêu cầu 1:
Tổng băng thông liên kết là 100Mb, băng thông cho các phòng lần lượt là:
phòng R & D 30Mb, phòng sản xuất 30 Mb, 40Mb là băng thông chia sẻ. Tạo IP
book cho từng phòng ban.
Yêu cầu 2:
Kiểm soát các ứng dụng trên toàn cầu:
Mô tả - Giới hạn traffic 10Mb (giới hạn download p2p 2Mb, download p2p video
giới hạn 8Mb)
- Thông số dịch vụ http và Email, băng thông cho mỗi người quản trị là
500kb.
Các bước thực hiện:
Cấu hình thiết bị:
- Cấu hình Interface trên WEB.
Sau khi đăng nhập được vào giao diện quản lý chọn Policy iQoS
configuration. Để bật mode L1-control, L2-control.
Yêu cầu 1:
Policy iQoS policy để tạo iQoS.
Tạo root pipe có tổng là 100Mb
Tạo sub – root pipe phòng R&D min bandwidth 30Mb pipe: addressA
Tạo sub – root pipe phòng sản xuất min bandwidth 30Mb pipe: addressB.
addressA-30:
Yêu cầu 2: kiểm soát traffic cho các ứng dụng global ở L2-control
TEST SETUP
Mục đích Thực hiện tính năng VPN bằng giao thức IPSec VPN.
Mô hình đấu
nối
Mô tả Chuẩn bị:
- 2 hillstone firewall
- 2 PC
Kịch bản:
Sau khi đăng nhập vào giao diện WEB cấu hình IP, zone trên các giao diện interface
tương ứng.
Trên SDWAN_FW01 :
Trên SDWAN_FW02 :
- Cấu hình IPSec VPN
Trên SDWAN_FW01:
Network VPN IPSec VPN chọn New
Chọn Peer Name. Nếu chưa có nhấn dấu cộng để tạo peer name.
Chú ý Proposal 1 : các thuật toán sử dụng trong VPN tại FW01 giống FW 02 như
xác thực, hash, mã hóa.
Trong VPN có 2 phase là phase 1, phase 2. Phase 1 là phase xác thức người dùng,
kết nối, Phase 2 là phase truyền data.
Note : Pre-shared Key trên 2 thiết bị Firewall phải giống nhau mới thực hiện kết
nối được. (mật khẩu).
Trong cấu hình IP Sec VPN chọn tunnel : Name (tên tunnel), mode tunnel (thực hiện
chế độ đường hầm), mode Transport (định tuyến trong đường hầm).
P2 Proposal : là phase 2 của VPN sử dụng việc truyền dữ liệu. Cấu hình P2 Proposal
đảm bảo 2 bên thiết lập phải sử dụng Proposal giống nhau. ( Việc truyền dữ liệu đòi
hỏi việc mã hóa dữ liệu tốt).
Trên SDWAN_FW02 :
Trên SDWAN_FW01 :
Trên SDWAN_FW02 :
Cấu hình routing :
SDWAN_FW01 :
Tunnel Binding đúng type và chọn tunnel được tại trong cấu hình IPSec.
SDWAN_FW02 :
Cấu hình routing theo tunnel :
SDWAN_FW01 :
SDWAN_FW02 :
Ping kết nối từ PC 1 192.168.12.10 đến PC 2 có 192.168.14.10
Kết quả
Thực hiện kiểm tra monitor IPSec VPN.
mong muốn
Ghi chú: