Hillstone

I. Hillstone Firewall
1. Quản lý hệ thống
1.1. System and signature Database

System and signature: Người quản trị có thể xem thông tin chung của hệ thống trong trang thông
tin hệ thống, bao gồm Số sê-ri, tên server, platform, thời gian, thời gian hoạt động của hệ thống,
trạng thái HA(High Availability), firmware, tệp khởi động, Cơ sở dữ liệu chữ ký, v.v.
Ở đây, người quản trị có thể chỉnh sửa thông tin tên thiết bị, cập nhật thời gian cho hệ thống , …
1.2. Device Management
Chế độ này người quản trị có thể thêm tài khoản đăng nhập và cấp quyền tương ứng cho tài
khoản, người quản trị có thể cấp quyền với roles có sẵn hoặc có thể tự tạo roles để cấp quyền cho
tài khoản. Ngoài ra, người quản trị có thể quản lý interface (management interface):

Người quản trị có chỉnh sửa thời gian out cho quản lý interface WEB GUI, SSH, Telnet khi hệ
thống không hoạt động trong khoảng thời gian nhất định (max 60p, default 10p).
Người quản trị có thể cài đặt thời gian cho hệ thống ở system time.
Định cấu hình NTP:
Thời gian hệ thống có thể ảnh hưởng đến thời gian thiết lập tunnel VPN và lập lịch (ví dụ lập
lịch cấu hình), vì vậy độ chính xác của thời gian hệ thống là rất quan trọng. Để đảm bảo hệ thống
có thể duy trì thời gian chính xác, thiết bị cho phép người quản trị đồng bộ hóa thời gian hệ
thống với server NTP trên mạng thông qua giao thức NTP.
Sau khi bật chức năng Xác thực NTP, người quản trị cần định cấu hình ID và các khóa MD5.
Thiết bị sẽ chỉ đồng bộ hóa với các server được ủy quyền.
Option:
Chỉ định các tùy chọn hệ thống, bao gồm ngôn ngữ, server xác thực quản trị viên, tên server, tiêu
chí mật khẩu,(reboot) khởi động lại và xuất thông tin gỡ lỗi hệ thống.
1.3. Cấu hình file quản lý

Người quản trị có thể tạo ra file dự phòng cho cấu hình hệ thống và có thể export ra tệp để lưu
trữ trên thiết bị khác. Từ File đó người quản trị có thể upload config cho hệ thống. Ở đây có chế
độ Restore Factory Defaults giúp người quản trị khôi phục mặc định cấu hình thiết bị của nhà
cung cấp.
Người quản trị có thể xem, export cấu hình hiện tại của hệ thống từ current Configuration.
1.4. SNMP (Simple Network Management Protocol)
SNMP (Simple Network Management Protocol) là một giao thức Internet dành riêng cho việc
quản lý các thiết bị trên mạng. SNMP hiển thị dữ liệu quản lý dưới dạng các biến trong cơ sở
thông tin quản lý (MIB) mô tả trạng thái và cấu hình hệ thống. Các biến này sau đó có thể được
truy vấn từ xa(và, trong một số trường hợp, có thể được thay đổi).
SNMP là sự kết hợp của các tiêu chuẩn quản lý mạng như là một giao thức cho lớp ứng dụng,
lược đồ cho cơ sở dữ liệu và một bộ sưu tập các đối tượng dữ liệu. SNMP mô tả cấu hình của hệ
thống bằng cách tiết lộ các biến (dữ liệu quản lý) trên các hệ thống được quản lý. Do đó, các ứng
dụng quản lý khác có thể truy vấn các biến này cho mục đích giám sát, và đôi khi có thể thiết lập
các giá trị này.
Thiết bị được thiết lập với SNMP Agent, có thể nhận yêu cầu hoạt động từ hệ thống quản lý
mạng và đưa ra thông tin của mạng, thiết bị.
SNMP Agent
Thiết bị được thiết lập với SNMP Agent, cung cấp khả năng quản lý mạng và giám sát trạng thái
đang hoạt động của mạng và thiết bị bằng cách xem số liệu thống kê và nhận thông báo về các sự
kiện quan trọng của hệ thống.
1.5. Upgrade Management

Nâng cấp hệ thống

Trình hướng dẫn nâng cấp chương trình cơ sở sẽ giúp người quản trị:
 Nâng cấp hệ thống lên phiên bản mới hoặc khôi phục hệ thống về phiên bản trước.
 Cập nhật Cơ sở dữ liệu Chữ ký.
 Cập nhật cơ sở dữ liệu chứng chỉ gốc đáng tin cậy.
Để đảm bảo rằng chứng chỉ gốc được lưu trữ trên thiết bị của người quản trị cập nhật firmware,
signature database đồng thời để giảm lỗi xảy ra trong quá trình xác minh chứng chỉ server, người
quản trị cần cập nhật cơ sở dữ liệu chứng chỉ gốc đáng tin cậy kịp thời. Hệ thống hỗ trợ cả nâng
cấp từ xa và nâng cấp cục bộ. Khi cập nhật cơ sở dữ liệu chứng chỉ gốc đáng tin cậy, hệ thống sẽ
xóa các chứng chỉ đã thu hồi và chứng chỉ hết hạn, đồng thời thêm các chứng chỉ mới.
1.6. License
Giấy phép được sử dụng để cấp phép các tính năng của người quản trị, cấp phép các dịch vụ của
người quản trị hoặc mở rộng hiệu suất. Nếu người quản trị không mua và cài đặt giấy phép tương
ứng, các tính năng, dịch vụ và hiệu suất dựa trên giấy phép sẽ không kích hoạt.
1.7. Mail Server và SMS Paraments
Hệ thống có thể gửi thông báo nhật ký, báo cáo hoặc thông tin cảnh báo đến địa chỉ email, được
chỉ định.
1.8. HA (High available)
 HA, viết tắt của High available, cung cấp giải pháp khắc phục sự cố cho các đường truyền thông
tin liên lạc hoặc lỗi thiết bị để đảm bảo thông tin liên lạc thông suốt và cải thiện hiệu quả độ tin
cậy của mạng.
1.9. HSM
Hillstone Security Management, viết tắt là HSM, là một công cụ sáng tạo cung cấp nền tảng
quản lý tập trung để quản lý và kiểm soát nhiều thiết bị Hillstone. Hệ thống HSM bao gồm 3
phân hệ: HSM Agent, HSM Server và HSM Client. Sau khi triển khai các mô-đun này và thiết
lập kết nối bảo mật, bạn có thể sử dụng HSM Client để xem nhật ký, thống kê và thuộc tính của
các thiết bị bảo mật được quản lý, cũng như theo dõi trạng thái hệ thống và thông tin lưu lượng.
Hillstone Security Management (HSM) là một nền tảng quản lý tập trung để quản lý và kiểm
soát nhiều thiết bị Hillstone. Sử dụng công nghệ WEB2.0 và RIA (Ứng dụng Internet phong
phú), HSM hỗ trợ giao diện trực quan để quản lý tập trung các chính sách, giám sát thiết bị và
tạo báo cáo.
Mỗi hệ thống tường lửa có một mô-đun HSM bên trong nó. Khi tường lửa được cấu hình với các
thông số HSM chính xác, nó có thể kết nối với HSM và được quản lý bởi HSM.
1.10. Hillstone CloudView
Hillstone Cloud Service Platform là một nền tảng dịch vụ bảo mật cloud, cung cấp các dịch vụ
cloud bao gồm CloudView, Cloud Sandbox và CloudVista (Threat Intelligence Center).
Hillstone Cloud Service là trung tâm cloud của Hillstone và là đầu não của việc tích hợp mạng
cloud. Sau khi dịch vụ được kích hoạt, thiết bị của người quản trị sẽ được kết nối với cloud
Hillstone, cloud này sẽ cung cấp cho người quản trị thông tin rộng hơn về các mối đe dọa, cải
thiện khả năng bảo vệ của thiết bị và cho phép người quản trị thực hiện giám sát, kiểm tra và báo
cáo theo thời gian thực. Các ứng dụng cloud Hillstone này có thể nâng cao tính bảo mật, khả
năng hiển thị và khả năng sử dụng của mạng.

CoudView: CloudView là một sản phẩm SaaS. Nó được triển khai trên cloud công cộng để cung
cấp cho người quản trị các dịch vụ trực tuyến theo yêu cầu. Các thiết bị Hillstone đăng ký với
nền tảng dịch vụ cloud và tải thông tin thiết bị, dữ liệu lưu lượng truy cập, các sự kiện đe dọa,
nhật ký hệ thống, v.v. lên nền tảng dịch vụ cloud và màn hình trực quan được cung cấp bởi
CloudView. Người quản trị có thể theo dõi tình trạng thiết bị, thu thập các báo cáo và analysis
mối đe dọa thông qua Web hoặc APP trên điện thoại di động.
Cloud Sandbox: Đây là một công nghệ được sử dụng bởi chức năng Sandbox. Sau khi một tệp
đáng ngờ được tải lên nền tảng dịch vụ cloud Hillstone, hộp cloud sẽ thu thập các hành vi của
tệp, analysis dữ liệu thu thập được, xác minh tính hợp pháp của tệp, gửi kết quả analysis đến hệ
thống và xử lý tệp độc hại theo các hành động do hệ thống thiết lập.
CloudVista (Trung tâm phát hiện mối đe dọa): Chức năng Threat Intelligence có thể tải một số
yếu tố trong nhật ký được tạo bởi từng mô-đun lên nền tảng dịch vụ cloud, chẳng hạn như địa chỉ
IP, miền, v.v. Nền tảng dịch vụ cloud sẽ kiểm tra xem các yếu tố đó có thông tin về mối đe dọa
thông.
1.11. PKI
PKI (Public Key Infrastructure) là một hệ thống cung cấp dịch vụ mã hóa khóa công khai và chữ
ký số. PKI được thiết lập để tự động hóa việc quản lý chứng chỉ và khóa bí mật, đồng thời đảm
bảo tính bảo mật, tính toàn vẹn của dữ liệu được truyền qua Internet. Một hệ thống PKI bao gồm
Mật mã khóa công khai, CA (Tổ chức phát hành chứng chỉ), RA (Tổ chức phát hành chứng chỉ),
Chứng chỉ số và thư viện lưu trữ PKI liên quan.
Thuật ngữ PKI:
Mật mã khóa công khai: Một công nghệ được sử dụng để tạo một cặp khóa bao gồm khóa công
khai và khóa riêng tư. Khóa công khai được phân phối rộng rãi, trong khi khóa riêng tư chỉ người
nhận mới biết. Hai khóa trong cặp khóa bổ sung cho nhau và dữ liệu được mã hóa bởi một khóa
chỉ có thể được giải mã bằng khóa khác của cặp khóa.
CA: Một thực thể đáng tin cậy cấp chứng chỉ kỹ thuật số cho các cá nhân, máy tính hoặc bất kỳ
thực thể nào khác. CA nhận yêu cầu cấp chứng chỉ và xác minh thông tin do người đăng ký cung
cấp dựa trên chính sách quản lý chứng chỉ. Nếu thông tin hợp pháp, CA sẽ ký các chứng chỉ
bằng khóa riêng của mình và cấp chúng cho người nộp.
RA: Là phần mở rộng của CA. RA chuyển tiếp các yêu cầu chứng chỉ tới CA, đồng thời cũng
chuyển tiếp chứng chỉ số và CRL(Certificate Revocation List) do CA cấp tới các server thư mục
để cung cấp các dịch vụ truy vấn và duyệt thư mục.
CRL: Mỗi chứng chỉ được thiết lập khi hết hạn. Tuy nhiên, CA có thể thu hồi chứng chỉ trước
ngày hết hạn do rò rỉ khóa, chấm dứt kinh doanh hoặc các lý do khác. Sau khi chứng chỉ bị thu
hồi, CA sẽ cấp CRL để thông báo chứng chỉ không hợp lệ và liệt kê số sê-ri của chứng chỉ không
hợp lệ.
1.12. Công cụ chuẩn đoán
Packet Capture Tool: Bắt các gói tin trong hệ thống. Sau khi nắm bắt các gói, người quản trị có
thể xuất chúng vào đĩa cục bộ của mình và sau đó analysis chúng bằng các công cụ của bên thứ
ba.
Test Tool: Truy vấn DNS, Ping và Traceroute có thể được sử dụng khi khắc phục sự cố mạng.
2. Network
2.1. Zone

Zone security là một thực thể logic. Một hoặc nhiều giao diện có thể được liên kết với một vùng.
Vùng được áp dụng chính sách được gọi là zone security, trong khi vùng được tạo cho một chức
năng cụ thể được gọi là vùng chức năng. Các vùng có các tính năng sau:
Một giao diện phải được liên kết với một khu vực. Vùng Layer 2 sẽ được liên kết với VSwitch,
trong khi vùng Layer 3 sẽ được liên kết với VRouter. Do đó, VSwitch mà vùng Layer 2 bị ràng
buộc sẽ quyết định VSwitch nào mà các giao diện thuộc về vùng Layer 2 đó và VRouter mà
vùng Layer 3 bị ràng buộc sẽ quyết định VRouter mà các giao diện thuộc về vùng Layer 3 đó.
Các giao diện trong Layer 2 và Layer 3 đang hoạt động ở chế độ Layer 2 và chế độ Layer 3
tương ứng.
Hệ thống hỗ trợ các chính sách vùng nội bộ, chẳng hạn như quy tắc chính sách tin cậy.
Có 8 vùng bảo mật được xác định trước trong StoneOS, đó là tin cậy, không tin cậy, dmz, L2-
trust, L2-unsrust, L2-dmz, vpnhub (vùng chức năng VPN) và ha (vùng chức năng HA). Người
quản trị cũng có thể tùy chỉnh các zone security. Vùng bảo mật được xác định trước và vùng
bảo mật do người quản trị xác định không có sự khác biệt về chức năng, vì vậy người quản trị
có thể tự do lựa chọn.
2.2. Interface
Các giao diện cho phép lưu lượng đến và đi đến các zone security. Một giao diện phải được liên
kết với một zone security để lưu lượng truy cập có thể vào và ra khỏi zone security. Hơn nữa,
đối với vùng bảo mật Layer 3, địa chỉ IP phải được định cấu hình cho giao diện và các quy tắc
chính sách tương ứng cũng phải được cấu hình để cho phép truyền lưu lượng giữa các vùng bảo
mật khác nhau. Nhiều giao diện có thể được liên kết với một vùng bảo mật, nhưng một giao
diện không thể bị ràng buộc với nhiều vùng bảo mật.
2.3. Interface Group
Nhóm giao diện liên kết trạng thái của một số giao diện để tạo thành một nhóm logic. Nếu bất
kỳ giao diện nào trong nhóm bị lỗi, trạng thái của các giao diện khác sẽ bị ngừng hoạt động. Sau
khi tất cả các giao diện trở lại bình thường, trạng thái của nhóm giao diện sẽ là Up. Chức năng
nhóm giao diện có thể ràng buộc trạng thái của các giao diện trên các mô-đun mở rộng khác
nhau.
2.4. Giao diện quản lý
Để thuận tiện cho việc quản lý thiết bị và đáp ứng yêu cầu tách biệt lưu lượng quản lý khỏi lưu
lượng dữ liệu, hệ thống có giao diện quản lý độc lập (MGT Interface). Theo mặc định, giao diện
quản lý thuộc về vùng mgt và bộ định tuyến ảo mgt-vr. Vùng mgt thuộc về bộ định tuyến ảo
mgt-vr, thông tin về định tuyến, bảng ARP là độc lập.
2.5. DNS
DNS, viết tắt của Domain Name System được thiết lập cho mạng TCP / IP để truy vấn tên miền
Internet và dịch chúng thành địa chỉ IP (ví dụ: 10.1.1.1) để định vị các máy tính và dịch vụ liên
quan.
DNS của thiết bị bảo mật cung cấp các chức năng sau:
Server: Định cấu hình server DNS và tên miền mặc định cho thiết bị bảo mật.
Proxy: Là một proxy DNS, thiết bị có thể lọc yêu cầu DNS theo các quy tắc DNS proxy do
người quản trị đặt và hệ thống sẽ chuyển tiếp yêu cầu DNS đủ điều kiện tới server DNS được
chỉ định.
Analysis: Đặt thời gian thử lại và thời gian time out cho dịch vụ DNS của thiết bị.
Bộ nhớ cache: Ánh xạ DNS vào bộ nhớ cache có thể tăng tốc độ truy vấn. Người quản trị có thể
tạo, chỉnh sửa và xóa các ánh xạ DNS.
NBT Cache: Hiển thị thông tin NBT cache.
2.6. DHCP
 DHCP, viết tắt của Dynamic Host Configuration Protocol, được thiết lập để tự động phân bổ địa
chỉ IP thích hợp và các tham số mạng liên quan cho các mạng con, do đó giảm yêu cầu về quản
trị mạng. Bên cạnh đó, DHCP có thể tránh xung đột địa chỉ để đảm bảo việc phân bổ lại các tài
nguyên không sử dụng.

DHCP hỗ trợ cấp phát địa chỉ IPv4 và IPv6.

Hệ thống hỗ trợ máy khách DHCP, server DHCP và proxy chuyển tiếp DHCP.

Máy khách DHCP: Giao diện có thể được cấu hình như một máy khách DHCP và lấy địa chỉ IP
từ server DHCP.
Server DHCP: Giao diện có thể được định cấu hình như một server DHCP và cấp phát các địa
chỉ IP được chọn từ nhóm địa chỉ đã định cấu hình cho các server được kết nối.
DHCP relay proxy: Giao diện có thể được cấu hình như một DHCP relay proxy để lấy thông tin
DHCP từ server DHCP và chuyển tiếp thông tin đến các server được kết nối.
Các thiết bị bảo mật được thiết lập với tất cả ba chức năng DHCP ở trên, nhưng một interface
chỉ được cấu hình với một trong các dịch vụ trên.
2.7. DDNS
DDNS (Dynamic DNS Client) được thiết lập để phân giải tên miền cố định thành địa chỉ IP
động. Người quản trị sẽ được cấp phát địa chỉ IP động từ ISP mỗi khi người quản trị kết nối với
Internet, tức là địa chỉ IP được cấp phát cho các kết nối Internet khác nhau sẽ khác nhau. DDNS
có thể liên kết tên miền với địa chỉ IP động của người quản trị và ràng buộc giữa chúng sẽ được
cập nhật tự động mỗi khi người quản trị kết nối với Internet.
2.8. PPPoE
PPPoE, Giao thức điểm-điểm qua Ethernet, kết hợp giao thức PPP và Ethernet để thực hiện
kiểm soát truy cập, xác thực và tính toán trên máy khách trong quá trình phân bổ địa chỉ IP.
2.9. Virtual Wire
Hệ thống hỗ trợ Dây ảo dựa trên VSwitch. Với chức năng này được bật và cặp giao diện Virtual
Wire được định cấu hình, hai giao diện Virtual Wire tạo thành một dây ảo kết nối hai mạng con
được gắn với cặp giao diện Virtual Wire với nhau. Hai mạng con được kết nối có thể giao tiếp
trực tiếp trên Layer 2 mà không cần bất kỳ yêu cầu nào về việc học địa chỉ MAC hoặc chuyển
tiếp mạng con khác. Hơn nữa, các quyền kiểm soát các quy tắc chính sách hoặc các chức năng
khác vẫn khả dụng khi sử dụng tính năng Virtual Wire.
2.10. Virtual Router, VSwitch
Người quản trị biết được thông tin về các Virtual Router, Vswitch.
2.11. Routing

Người quản trị cấu hình định tuyến ở chế độ này.

2.12. OutBound và Inbound
Đối với Outbound LLB, hệ thống có thể tự động điều chỉnh tải lưu lượng của mỗi liên kết bằng
cách theo dõi độ trễ, jitter, tỷ lệ mất gói và sử dụng băng thông của mỗi liên kết trong thời gian
thực(hệ thống hiện tại chỉ hỗ trợ DBR và PBR) và hình thành các quy tắc LLB để thực hiện cân
bằng tải liên kết động bên ngoài và do đó sử dụng hiệu quả băng thông mạng.
2.13. VPN
Hillstone hỗ trợ triển khai VPN, IPSec VPN, SSL VPN, L2TP over IPSec VPN, …
2.14. Application Layer Gateway
Một số ứng dụng sử dụng đa kênh để truyền dữ liệu, chẳng hạn như FTP thường được sử dụng.
Trong điều kiện như vậy kênh điều khiển và kênh dữ liệu được tách biệt. Các thiết bị được kiểm
soát chính sách bảo mật nghiêm ngặt có thể đặt giới hạn nghiêm ngặt trên từng kênh dữ liệu,
chẳng hạn như chỉ cho phép dữ liệu FTP từ mạng nội bộ ra mạng bên ngoài để truyền trên port
TCP 21. Sau khi ở chế độ hoạt động FTP, nếu server FTP trong mạng công cộng cố gắng khởi
tạo kết nối đến một port ngẫu nhiên của server trong mạng nội bộ, các thiết bị sẽ từ chối kết nối
và server FTP sẽ không hoạt động bình thường trong điều kiện như vậy.Trong các trường hợp
FTP, bằng cách phân tích thông tin truyền của kênh điều khiển FTP, các thiết bị sẽ biết rằng
server và máy khách đã đạt được thỏa thuận và mở ra một kênh giao tiếp tạm thời khi server chủ
động kết nối với một port của máy khách. , do đó đảm bảo hoạt động thích hợp của FTP.
Hệ thống áp dụng chế độ NAT nghiêm ngặt nhất. Một số ứng dụng VoIP có thể hoạt động
không đúng cách sau khi NAT do thay đổi địa chỉ IP và số port. Cơ chế ALG có thể đảm bảo
giao tiếp bình thường của các ứng dụng VoIP sau NAT. Do đó, ALG hỗ trợ các chức năng sau:

Đảm bảo giao tiếp bình thường của các ứng dụng đa kênh theo các quy tắc chính sách bảo mật
nghiêm ngặt.
Đảm bảo hoạt động bình thường của các ứng dụng VoIP như SIP và H.323 ở chế độ NAT, đồng
thời thực hiện giám sát và lọc theo các chính sách.
2.15. Global Network Parameters (Tham số mạng toàn cầu)
Cấu hình tham số mạng toàn cầu bao gồm phân mảnh IP, các phương pháp xử lý gói TCP và
các tùy chọn khác.
3. Object
Chương này mô tả khái niệm và cấu hình của các đối tượng sẽ được tham chiếu bởi các mô-đun
khác trong hệ thống, bao gồm:
Address: Chứa thông tin địa chỉ và có thể được sử dụng bởi nhiều mô-đun, chẳng hạn như quy
tắc chính sách, quy tắc NAT, QoS, quy tắc giới hạn phiên, v.v.
Host Book: Tập hợp một tên miền hoặc một số tên miền.
Service Book: Chứa thông tin dịch vụ và có thể được sử dụng bởi nhiều mô-đun, chẳng hạn như
quy tắc chính sách, quy tắc NAT, QoS, v.v.
APP Book: Chứa thông tin ứng dụng và nó có thể được sử dụng bởi nhiều mô-đun, chẳng hạn
như quy tắc chính sách, quy tắc NAT, QoS, v.v.
SLB Server Pool: Mô tả cấu hình server SLB.
Schedule: Chỉ định một phạm vi thời gian hoặc khoảng thời gian. Các chức năng (chẳng hạn như
quy tắc chính sách, quy tắc QoS, danh sách đen server lưu trữ, kết nối giữa giao diện PPPoE và
Internet) sử dụng lịch biểu sẽ có hiệu lực trong phạm vi thời gian hoặc khoảng thời gian được chỉ
định bởi lịch biểu.
Server AAA: Mô tả cách cấu hình server AAA.
Người quản trị: Chứa thông tin về các chức năng và dịch vụ được cung cấp bởi thiết bị Hillstone
và người quản trị được thiết bị xác thực và quản lý.
Role: Chứa thông tin vai trò liên kết người quản trị với các đặc quyền. Trong cấu hình chức
năng, các vai trò khác nhau được chỉ định với các dịch vụ khác nhau. Do đó, người quản trị được
ánh xạ cũng có thể nhận được các dịch vụ tương ứng.
Track Object: Theo dõi nếu đối tượng được chỉ định (địa chỉ IP hoặc server) có thể truy cập được
hoặc nếu giao diện được chỉ định được kết nối. Chức năng này được thiết lập để theo dõi HA và
các giao diện.
Lọc URL: Bộ lọc URL kiểm soát quyền truy cập vào một số trang web nhất định và ghi lại thông
báo nhật ký cho các hành động truy cập.
NetFlow: Thu thập thông tin lưu lượng đến của người quản trị theo hồ sơ NetFlow và gửi đến
server bằng công cụ analysis dữ liệu NetFlow.
4. Chính sách
4.1. Security Policy
Chính sách bảo mật là chức năng cơ bản của các thiết bị được thiết lập để kiểm soát việc chuyển
tiếp lưu lượng giữa các vùng. Nếu không có quy tắc chính sách bảo mật, thiết bị sẽ từ chối tất cả
lưu lượng giữa các vùng theo mặc định. Sau khi định cấu hình quy tắc chính sách bảo mật, thiết
bị có thể xác định lưu lượng truy cập giữa các khu vực hoặc phân đoạn mạng sẽ được phép và
những lưu lượng nào sẽ bị từ chối.
4.2. NAT
NAT, Dịch địa chỉ mạng, dịch địa chỉ IP trong tiêu đề gói IP sang địa chỉ IP khác. Khi các gói
IP đi qua các thiết bị hoặc bộ định tuyến, các thiết bị hoặc bộ định tuyến sẽ dịch địa chỉ IP
nguồn và / hoặc địa chỉ IP đích trong các gói IP. Trong thực tế, NAT chủ yếu được sử dụng để
cho phép mạng riêng truy cập vào mạng công cộng, ngược lại.
4.3. iQoS
Hệ thống cung cấp iQoS (chất lượng dịch vụ ) đảm bảo hiệu suất mạng của khách hàng, quản lý
và tối ưu hóa băng thông quan trọng cho lưu lượng kinh doanh quan trọng và giúp khách hàng sử
dụng đầy đủ tài nguyên băng thông của họ.
iQoS được sử dụng để cung cấp các ưu tiên khác nhau cho các lưu lượng khác nhau, nhằm kiểm
soát độ trễ và hiện tượng vỗ, cũng như giảm tỷ lệ mất gói. iQoS có thể đảm bảo việc truyền tải
bình thường lưu lượng kinh doanh quan trọng khi mạng bị quá tải hoặc tắc nghẽn. iQoS được
kiểm soát bởi giấy phép. Để sử dụng iQoS, hãy áp dụng và cài đặt giấy phép iQoS.
4.4. Giới hạn Phiên và chia sẻ truy cập
Các thiết bị hỗ trợ chức năng giới hạn phiên dựa trên vùng. Người quản trị có thể giới hạn số
lượng phiên và kiểm soát tốc độ phiên đối với địa chỉ IP nguồn, địa chỉ IP đích, địa chỉ IP được
chỉ định, các ứng dụng hoặc vai trò / người quản trị / nhóm người quản trị, do đó bảo vệ khỏi
các cuộc tấn công DoS và kiểm soát băng thông của các ứng dụng, chẳng hạn như IM hoặc P2P.
Chia sẻ quyền truy cập có nghĩa là nhiều thiết bị đầu cuối truy cập mạng với cùng một IP. Chức
năng chia sẻ quyền truy cập có thể chặn truy cập từ thiết bị không xác định và phân bổ băng
thông cho người quản trị, để ngăn ngừa rủi ro có thể xảy ra và đảm bảo trải nghiệm trực tuyến
tốt.
4.5. ARP Defense
StoneOS cung cấp một loạt các chức năng bảo vệ ARP để bảo vệ mạng của người quản trị
chống lại các cuộc tấn công ARP khác nhau, bao gồm:

Learing ARP: Các thiết bị có thể lấy các ràng buộc IP-MAC trong Mạng nội bộ từ việc Learing
ARP và thêm chúng vào danh sách ARP. Theo mặc định, chức năng này được bật. Các thiết bị
sẽ luôn bật ARP học và thêm các liên kết IP-MAC đã học vào danh sách ARP. Nếu bất kỳ địa
chỉ IP hoặc MAC nào thay đổi trong quá trình học, thiết bị sẽ thêm liên kết IP-MAC cập nhật
vào danh sách ARP. Nếu chức năng này bị tắt, chỉ các địa chỉ IP trong danh sách ARP mới có
thể truy cập Internet.
MAC Learning: Các thiết bị có thể lấy các ràng buộc MAC-Port trong Intranet từ MAC learning
và thêm chúng vào danh sách MAC. Theo mặc định, chức năng này được bật. Các thiết bị sẽ
luôn bật MAC học và thêm các ràng buộc MAC-Port đã học vào danh sách MAC. Nếu bất kỳ
địa chỉ MAC hoặc port nào thay đổi trong quá trình học, thiết bị sẽ thêm ràng buộc Port MAC
cập nhật vào danh sách MAC.
Liên kết IP-MAC-Port: Nếu liên kết IP-MAC, MAC-Port hoặc IP-MAC-Port được bật, các gói
không phù hợp với liên kết sẽ bị loại bỏ để bảo vệ chống lại các cuộc tấn công giả mạo ARP
hoặc danh sách địa chỉ MAC. Sự kết hợp giữa ARP và MAC learning có thể đạt được hiệu quả
"quét thời gian thực ", đồng thời làm cho cấu hình bảo vệ đơn giản và hiệu quả hơn.
ARP đã xác thực: ARP đã xác thực được triển khai trên ứng dụng ARP Hillstone Secure
Defender. Khi PC được cài đặt Hillstone Secure Defender truy cập Internet qua giao diện cho
phép ARP được xác thực, nó sẽ thực hiện xác thực ARP với thiết bị nhằm mục đích là địa chỉ
MAC của thiết bị được kết nối với PC được tin cậy.
Kiểm tra ARP: Thiết bị hỗ trợ Kiểm tra ARP cho các giao diện. Với chức năng này được bật,
StoneOS sẽ kiểm tra tất cả các gói ARP đi qua các giao diện được chỉ định và so sánh địa chỉ IP
của các gói ARP với các liên kết IP-MAC tĩnh trong danh sách ARP và các liên kết IP-MAC
trong danh sách DHCP Snooping.
DHCP Snooping: Với chức năng này được kích hoạt, hệ thống có thể tạo mối quan hệ ràng buộc
giữa địa chỉ MAC của máy khách DHCP và địa chỉ IP được cấp phát bằng cách analysis các gói
giữa máy khách và server DHCP.
Bảo vệ server: Với chức năng này được kích hoạt, hệ thống có thể gửi các gói ARP vô cớ cho
các server khác nhau để bảo vệ chúng trước các cuộc tấn công ARP.
5. Monitor
Hệ thống có thể giám sát các đối tượng sau:

Giám sát người quản trị: Hiển thị thống kê ứng dụng trong khoảng thời gian được chỉ định (Thời
gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất, khoảng thời gian
tùy chỉnh) Thống kê bao gồm số lượng ứng dụng cho giao diện / khu vực cụ thể, lưu lượng ứng
dụng, phiên mới và phiên đồng thời của ứng dụng.
Giám sát ứng dụng: Hiển thị thống kê các ứng dụng, danh mục ứng dụng, danh mục con ứng
dụng, mức độ rủi ro ứng dụng, công nghệ ứng dụng, đặc điểm ứng dụng trong khoảng thời gian
xác định (Thời gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất,
khoảng thời gian tùy chỉnh) . Số liệu thống kê bao gồm số lượng người quản trị cho giao diện /
khu vực cụ thể, lưu lượng truy cập ứng dụng và các phiên đồng thời của ứng dụng.
Trình giám sát ứng dụng cloud: Hiển thị thống kê của các ứng dụng dựa trên cloud, bao gồm lưu
lượng truy cập, xu hướng, phiên mới và phiên đồng thời.
Share Access Monitor: Hiển thị thống kê thiết bị đầu cuối truy cập của điều kiện bộ lọc được chỉ
định (Bộ định tuyến ảo, IP, số server), bao gồm hệ thống hoạt động, thời gian trực tuyến, thời
gian đăng nhập và thời gian trực tuyến cuối cùng của người quản trị.
Phát hiện điểm cuối: Hiển thị danh sách thông tin dữ liệu điểm cuối được đồng bộ hóa với trung
tâm kiểm soát an ninh điểm cuối.
Phát hiện hạn ngạch người quản trị: Hiển thị danh sách thống kê hạn ngạch lưu lượng truy cập
của người quản trị.
Màn hình máy tính: Hiển thị tất cả các máy tính có nguy cơ của toàn mạng.
iQoS Monitor: Hiển thị thống kê lưu lượng đường ống trong khoảng thời gian được chỉ định
(Thời gian thực, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng gần nhất, khoảng thời
gian tùy chỉnh).
Service / Network Monitor: Hiển thị thống kê tỷ lệ mất gói và độ trễ của các nút dịch vụ / mạng.
Màn hình thiết bị: Hiển thị thống kê thiết bị trong khoảng thời gian được chỉ định (Thời gian
thực, 5 phút gần nhất, 15 phút gần nhất, 1 giờ gần nhất, 1 ngày gần nhất, 1 tuần gần nhất, 1 tháng
gần nhất, khoảng thời gian tùy chỉnh), bao gồm tổng lưu lượng truy cập, CPU / bộ nhớ trạng thái,
phiên và trạng thái phần cứng.
Lần truy cập URL: Nếu hệ thống được định cấu hình bằng Lọc URL, bộ thống kê xác định trước
của Lần truy cập URL có thể thu thập thống kê về người quản trị / IP, URL và danh mục URL.
Link Status Monitor: Hiển thị thống kê lưu lượng của các giao diện đã bị ràng buộc trong khoảng
thời gian được chỉ định.
User Defined Monitor: Nếu hệ thống được định cấu hình với Xác thực mạng, Đăng nhập một
lần, SSL VPN, L2TP VPN thì người quản trị xác thực có thể thu thập số liệu thống kê về người
quản trị đã xác thực.
6. iCenter
Các tính năng đa chiều hiển thị sâu tất cả các tài nguyên quan trọng, máy tính rủi ro và các mối
đe dọa đối với toàn mạng. các mối đe dọa của toàn mạng.
Tài nguyên quan trọng
Trang Tài nguyên quan trọng hiển thị thông tin chi tiết của các tài nguyên quan trọng và thông
tin về mối đe dọa liên quan. Nhấp vào iCenter và trang Tài nguyên quan trọng sẽ hiển thị sau đó.

Trang Tài nguyên quan trọng hiển thị thông tin chi tiết của các tài nguyên quan trọng và thông
tin về mối đe dọa liên quan. Nhấp vào iCenter và trang Tài nguyên quan trọng sẽ hiển thị sau đó.
Nhấp vào liên kết của tên quan trọng trong danh sách để xem thông tin sau của nội dung quan
trọng này:

Thông tin chi tiết: Hiển thị tên của tài nguyên quan trọng, Tên máy tính / IP (Nếu không xác định
được tên máy tính, IP sẽ được hiển thị), hệ điều hành, trạng thái, khu vực, mức độ rủi ro (đường
màu trắng chỉ mức độ rủi ro của tài nguyên quan trọng này tài nguyên), và tính chắc chắn.

Thông tin về mối đe dọa: Hiển thị chuỗi tiêu diệt, các mối đe dọa và giảm thiểu.
Trong tab Kill Chain, hãy xem các cuộc tấn công và mối đe dọa đối với tài nguyên quan trọng
này tồn tại trong từng giai đoạn của chuỗi tiêu diệt. Giai đoạn được đánh dấu có nghĩa là có các
cuộc tấn công và các mối đe dọa trong giai đoạn này. Nhấp vào giai đoạn này để hiển thị tất cả
thông tin về mối đe dọa trong giai đoạn này. Nhấp vào tên mối đe dọa trong danh sách để xem
thông tin về mối đe dọa.
7. Bảng điều khiển (Dashboard)
Tính năng này có thể thay đổi một chút trên các nền tảng khác nhau. Nếu có mâu thuẫn giữa
hướng dẫn này và trang thực tế, hướng dẫn sau sẽ được ưu tiên.

Bảng điều khiển hiển thị hệ thống và thông tin về mối đe dọa. Bố cục của trang tổng quan được
hiển thị bên dưới:

Trạng thái rủi ro mạng

Chỉ số rủi ro: Hiển thị chỉ số rủi ro của hệ thống, Chỉ số rủi ro được hệ thống tính toán dựa trên
dữ liệu phát hiện chủ động. Điểm số được chia thành năm cấp độ. Thấp [0-25), Trung bình [25-
50), Cao [50-75), Critical [75-100).
Trạng thái Đe doạ Server: Hiển thị số lượng server cho bốn mức độ nghiêm trọng và tổng số
server.
Cảnh quan đe dọa

Bấm để chỉ định kiểu hiển thị của biểu đồ.

Di chuột qua biểu đồ để xem số lần tấn công.
Nhấp vào Chi tiết để chuyển đến trang iCenter và danh sách sẽ hiển thị với trạng thái mối đe dọa,
loại mối đe dọa hoặc mức độ đe dọa tương ứng.
Nhấp vào để chuyển đổi giữa biểu đồ hình tròn và biểu đồ xu hướng.
Phân bố địa lý

Hiển thị tất cả phân bố địa lý của những kẻ tấn công bên ngoài trong bản đồ.
Các mối đe dọa
Hiển thị thông tin về 10 mối đe dọa hàng đầu trong khoảng thời gian được chỉ định.

Tài nguyên quan trọng

Hiển thị mức độ rủi ro, độ chắc chắn và hệ thống vận hành của 10 tài nguyên quan trọng hàng
đầu.

Nhấp vào tên của tài nguyên quan trọng để xem thông tin tương ứng trong trang Tài nguyên quan
trọng trong iCenter.
Mối đe dọa
Hiển thị thông tin mối đe dọa liên quan.

Ứng dụng
Hiển thị thông tin 10 ứng dụng hàng đầu trong khoảng thời gian được chỉ định.

Chỉ định loại hiển thị: theo Lưu lượng truy cập hoặc theo phiên mới từ menu thả xuống.
Nhấp và chuyển đổi giữa bảng và biểu đồ thanh.
Di chuột qua thanh để xem tổng lưu lượng truy cập của người quản trị hoặc các phiên mới.
Tổng lưu lượng truy cập / Phiên đồng thời / Phiên mới
có Tổng lưu lượng truy cập / Phiên đồng thời / Phiên mới trong khoảng thời gian được chỉ định.

Báo động hệ thống

Hiển thị thông tin chi tiết của các sự kiện cảnh báo thống kê chưa được xử lý trong khoảng thời
gian được chỉ định trong bảng.

Giao diện vật lý

Hiển thị thông tin thống kê của các giao diện, bao gồm tên giao diện, địa chỉ IP, tốc độ ngược
dòng, tốc độ xuống và tổng tốc độ.
II. Triển khai thiết bị Hillstone Firewall
1. Triển khai Trasparent mode
Trasparent mode được triển khai khi quan trị CNTT không muốn thay đổi bố cục mạng hiện
có. Thông thường, kết nối mạng đã được thiết lập giữa bộ định tuyến và bộ chuyển mạch.
Tường lửa trong chế độ này như một thiết bị bảo mật.
Ưu điểm transparent mode:
Không cần thay đổi IP
Không cần thiết lập quy tắc NAT
Chế độ transparent mode thường được triển khai giữa router và switch hoặc giữa Internet và
router của công ty. Mạng LAN truy cập Internet, tường lửa cung cấp khả năng kiểm soát bảo
mật.
2. Triển khai Routing Mode
Triển khai Routing Mode thường sử dụng cho chức năng NAT mode. Trong Routing mode
mỗi interface co 1 IP. ( interface phải thuộc zone layer 3). Firewall ở chế dộ này hoạt động
như một router. Routing mode thường được triển khai giữa mạng LAN và mạng Internet.

3. Triển khai Mix mode

Firewall triển khai cả trasparent mode và routing mode gọi là chế độ mix mode.

4. Triển khai Tap mode

Firewall chức năng giám sát traffic các port trên thiết bị khác.
III. LAB cấu hình
1. Cấu hình quản trị

TEST SETUP
Mục đích Cấu hình quản lý Firewall qua port Console, SSH, GUI WEB và kiểm tra
version của hệ thống.

Mô hình :

Mô tả:
- Sử dụng dây cáp để kết nối console từ máy tính đến Firewall
Mô tả Chuẩn bị:
- 1 Firewall Hillstone
- 1 cáp console của hãng

- 1 dây chuyển đổi convert RS-232 to USB

 - 1 máy tình cài Putty
Các bước thực hiện:
- Kết nối Firewall Hillstone với máy tính bằng dây console
- Cấu hình bật chế độ SSH, GUI WEB trên Firewall Hillstone
- Sử dụng SSH để truy cập cấu hình thiết bị
- Sử dụng https để truy cập quản lý thiết bị qua GUI WEB
- Kiểm tra version của hệ thống.
Cấu hình thiết bị:
Kết nối firewall với PC bằng dây console. Đăng nhập Firewall lần đầu bằng mật
khẩu mặc định của hãng user/pass : hillstone. Khi đăng nhập lần đầu xong
firewall sẽ bắt người quản trị đổi mật khẩu mới. mật khẩu mới phù hợp các quy
tăc đặt mật khẩu an toàn theo quy định như: phải có một chữ số, một kĩ tự đặc
biệt, một chữ cái viết hoa, …
Kiển tra interface bằng câu lệnh : show interface để kiển tra địa chỉ port kết nối
e0/0 trust của thiết bị.

Bật chế độ SSH trên port e0/0 để cấu hình ssh,https cho firewall hillstone
Cấu hình SSH quản lý thiết bị:
SG-6000#config
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage ssh
 Bật chế độ quản lý qua GUI Web bằng https:
SG-6000(config-if-eth0/0)# manage https
Kiểm tra version của hệ thống: SG-6000(config)# show version

Kiểm tra Giao diện đăng nhập console khi đăng nhập thành công

Kiểm tra interface:

Kiển tra kết nối SSH:

Mở Putty nhập địa chỉ ip port e0/0 vừa cấu hình quản lý SSH.
Nhập User/Pass mới được kết quả:

Kiểm tra quản lý GUI WEB qua https:

Vào trình duyệt gõ địa chỉ e0/0: https://192.168.33.128. Sau khi đăng nhập bằng
user/pass ta được kết quả:
Version hệ thống qua giao diện CLI:

Kiểm tra version của firewall, kiểm tra được thông tin như: StoneOS version,
Tên sản phẩm, Licenses, … của hệ thống.
Kiểm tra version qua WEB:
Vào mục system  sytem information để kiểm tra thông tin firewall.
2. Cấu hình timezone, hostname, interface trên Web GUI

TEST SETUP
Mục đích Cấu hình timezone, đổi hostname, đặt interface trên firewall hillstone

Mô hình :

Mô tả:
Mô tả Mặc định trên thiết bị có timezone là GMT+8 thay đổi sang GMT +7 của Việt
Nam.
- Cấu hình Timezone
- Cấu hình hostname
- Cấu hình Interface
Các bước thực hiện:
- Cấu hình timezone: kiểm tra GMT +7 trong danh sách có key cấu hình là gì
Cấu hình thiết bị:
Gõ câu lệnh: clock zone ? để xem list time GMT. Cấu hình time GMT +7.
SG-6000(config)# clock zone outheast-asia.
Kiểm tra timezone: SG-6000# show clock
Thay đổi timezone trên giao diện GUI WEB vào
Ấn vào system  system and signature database  biểu tượng sửa System
Time  chọn timezone mong muốn  OK
Kiểm tra
Kiểm tra list clock zone GMT:

Kiểm tra clock: show clock

 Timezone qua WEB

Thay đổi time zone GMT +7

3. Cấu hình Adminstrators, Admin Roles, Management interface trên GUI WEB

TEST SETUP
Mục đích Cấu hình timezone, đổi hostname, đặt interface trên firewall hillstone

Mô hình :

Mô tả:
Mô tả - Tạo tài khoản quản lý
- Cấp quyền giới hạn quản lý cho tài khoản
- Cấu hình thay đổi thông sô qua quản lý interface: Timeout: 20 phút, …
Các bước thực hiện:
- Quản lý firewall thông qua giao diện web
- Đăng nhập hệ thống bằng tài khoản mặc định có user: hillstone
 - Sau khi đăng nhập chọn System Device Management Adminitrators.
- Giao diện hiện ra chọn New

- Nhập cấu hình và quyền hạn của tài khoản tạo ( chọn role, có thể tự tạo 1
role)

- Cấu hình quản lý interface chỉnh time out =20p:

Tại giao diện chính chọn System  Device Management  Management
Interface.
Giao diện:

Chỉnh thông số mong muốn như timeout = 20 cho cấu hình quản lý qua web,ssh.
Nhấn OK

Kiểm tra
Tài khoản tại thành công:
 Thay đổi timeout thành công trên cấu hình quản lý interface:

4. Cấu hình File Management: backup/restore,factory defaults trên giao diện WEB

TEST SETUP
Mục đích Backup/Restore. Factory defaults, Cấu hình hiện tại của thiết bị.

Mô hình :

Mô tả:
Mô tả - Tạo backup cho hệ thống.
- Export file backup.
- Cấu hình factory defaults
Các bước thực hiện:
- Quản lý firewall thông qua giao diện web.
- Sau khi đăng nhập chọn System Configuration File Management 
Configuration File List
- Giao diện hiện ra chọn Backup Restore

Điềm thông tin miêu tả backup nhấn start để backup file hệ thống.
 - Có thể export file ra file máy tính.
- Có thể restore lại thiết bị theo list được lưu trên hệ thống hoặc có restore
bằng file export.
- Có thể tùy chọn factory defaults hệ thống. sau khi factory default thiết bị sẽ
trở lại thiết bị mặc định ban đầu của hãng.
- Export file cấu hình hiện tại thiết bị:System Curent Configuration
Export
Kiểm tra

5. Trasparent mode

TEST SETUP
Mục đích Cấu hình quản trị, cấu hình Transparent mode trên firewall.

Mô hình:

Mô tả:
- Một PC kết nối với Hillstone Firewall.
Mô tả - Cấu hình quản trị trên thiết bị.
- Cấu hình Trasparent mode trên firewall và kiểm tra kết nối từ PC ra ngoài internet.
- Port e0/1 cấu hình L2-trust, e0/2 cấu hình vùng L2-untrust. Thêm chính sách.
- Kiểm tra kết nối từ PC ra ngoài Internet khi policy chế độ permit và deny.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus ở hệ thống Lab tại công ty.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.
- 1 máy tình cài Putty
Các bước thực hiện:
- Kết nối Firewall Hillstone với máy tính bằng dây console
- Cấu hình quản trị Firewall Hillstone
- Sử dụng https để truy cập quản lý thiết bị qua GUI WEB
- Cấu hình transparent mode.
Cấu hình thiết bị:
- Kết nối firewall với PC bằng dây console. Đăng nhập Firewall lần đầu bằng mật
khẩu mặc định của hãng user/pass: hillstone. Mặc định IP trên port
mgt0 :192.168.1.1/24. Cấu hình quản trị cho dải quản trị tại công ty 192.168.99.49.
Bật SSH, https trên port mgt0.
- Kết nối port mgt0 với e1/1/9 của ruckus switch. SSH vào switch để access port
VLAN 99 quản trị tại công ty cho firewall.
Trên Ruckus thực hiện cấu hình VLAN quản trị cho port e1/1/9:
SSH@ICX7150-24 Switch#conf t
SSH@ICX7150-24 Switch(config)#vlan 99
SSH@ICX7150-24 Switch(config-vlan-99)#untagged e1/1/9
- Đăng nhập giao diện Web kiểm tra. Trên trình duyệt nhập: 192.168.99.49 nhập
user/pass: hillstone đăng nhập quản trị firewall.
- Cấu hình transparent mode thực hiện kết nối PC ra internet được quản trị bởi
firewall.
- Network  interface. Chọn port e0/1 cần cấu hình chọn edit để cấu hình cho e0/1:
Bật chế độ giám sát trên port:

Tương tự cấu hình e0/2:

 Cấu hình policy cho firewall: Chọn Policy  Security Policy  Policy chọn New để
thêm chính sách mới cho firewall:

Kiểm tra interface sau khi cấu hình quản trị: show interface

Kiểm tra e1/1/9 access vào VLAN 99 trên Ruckus:

Kiểm tra
Kiểm tra quản trị qua giao diện web:

Đăng nhập thành công:

Kiểm tra kết nối PC  Internet cấu hình transparent mode trên firewall chế độ permit:

Chế độ deny trên policy firewall, kết nối PC  internet

Monitor trên firewall máy tính có địa chỉ IP: 192.168.30.124/24

6. Route mode

TEST SETUP
Mục đích Kiểm tra tính năng Route mode trên firewall.

Mô hình:

Mô tả Mô tả:
- E0/2, e0/3 là 2 kết nối ra ngoài internet e0/2 thuộc VLAN 30, e0/3 thuộc
e0/2.
- Cấu hình router mode và policy các PC dải mạng 10.1.1.0/24 kết nối Internet
qua VLAN 30.
- Các kết nối PC khác kết nối Internet qua VLAN 20.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus ở hệ thống Lab tại công ty.
- Các PC đặt IP tĩnh.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.

- 1 máy tình thực hiện quản trị quản trị.

Các bước thực hiện:
- Thực hiện cấu hình quản trị trên WEB GUI.
- Cấu hình default route theo source trên trust-vs.
- Cấu hình policy cho firewall.
Cấu hình thiết bị:
- Đăng nhập vào giao diện WEB GUI của firewall để thực hiện cấu hình.
- Đặt IP và zone cho các interface. E0/1 thuộc dải mạng 10.1.1.0/24, e0/0
thuộc dải mạng 10.1.2.0/24 zone trust được rằng buộc với trust-vr.
PC1: 10.1.1.1/24 e0/1: 10.1.1.2/24
PC2: 10.1.2.1/24 e0/0: 10.1.2.2/24
E0/2 được kết nối với VLAN 20 của Ruckus: 192.168.20.0/24
E0/3 được kết nối với VLAN 30 của Ruckus: 192.168.30.0/24
E0/2: 192.168.20.10/24
E0/3: 192.168.30.10/24
Cấu hình routing cho trust-vr
Cấu hình defaults route trên trust-vr các kết nối ra Internet qua port e0/3.
Chọn network  routing  source route

Cấu hình định tuyến theo source cho trust-vr dải 10.1.1.0/24 ra ngoài internet
qua port e0/2.
 Cấu hình policy cho firewall:

Kiểm tra

7. TAP mode

TEST SETUP
Mục đích Kiểm tra tính năng TAP mode trên firewall.

Mô hình:
 Mô tả

Mô tả:
- Câu hình theo dõi traffic cho switch bằng hillstone firewall.
- Cấu hình mirror port trên switch.
- Cấu hình TAP mode để giám sát lưu lượng kết nối từ PC đến Internet.
Chuẩn bị:
- 1 Firewall Hillstone.
- 1 Switch Ruckus.
- 1 cáp console của hãng và dây chuyển đổi convert RS-232 to USB.

- 1 máy tình thực hiện quản trị quản trị.

Các bước thực hiện:
- Cấu hình moirror port cho switch ruckus
- Cấu hình tap mode
Cấu hình thiết bị:
- Cấu hình moiror port cho switch ruckus.
SSH vào ruckus switch cấu hình moiror port e1/1/10 và e1/1/12.

Kiểm tra

8. Cấu hình iQoS

TEST SETUP
Mục đích Cấu hình iQoS cho hillstone firewall
 Mô tả:
- Cấu hình iQoS để ưu tiên traffic qua trọng khi xẩy ra tắc nghẽn trong hệ
thông.
Kịch bản:
Yêu cầu 1:
Tổng băng thông liên kết là 100Mb, băng thông cho các phòng lần lượt là:
phòng R & D 30Mb, phòng sản xuất 30 Mb, 40Mb là băng thông chia sẻ. Tạo IP
book cho từng phòng ban.
Yêu cầu 2:
Kiểm soát các ứng dụng trên toàn cầu:
Mô tả - Giới hạn traffic 10Mb (giới hạn download p2p 2Mb, download p2p video
giới hạn 8Mb)
- Thông số dịch vụ http và Email, băng thông cho mỗi người quản trị là
500kb.
Các bước thực hiện:
Cấu hình thiết bị:
- Cấu hình Interface trên WEB.
Sau khi đăng nhập được vào giao diện quản lý chọn Policy  iQoS 
configuration. Để bật mode L1-control, L2-control.
Yêu cầu 1:
Policy  iQoS  policy để tạo iQoS.
Tạo root pipe có tổng là 100Mb

Tạo sub – root pipe phòng R&D min bandwidth 30Mb pipe: addressA
Tạo sub – root pipe phòng sản xuất min bandwidth 30Mb pipe: addressB.
addressA-30:

Yêu cầu 2: kiểm soát traffic cho các ứng dụng global ở L2-control

Tạo shape L2-control.

Giới hạn traffic 10Mb

Tạo sub shape:

Giới hạn download p2p 2Mb, giới hạn download video 8Mb.
- Tạo shape L2 root pipe điều khiển dịch vụ HTTP và email băng thông
cho mỗi user là 500 Kb.
 Kiểm tra
Kiểm tra iQoS:

9. Cấu hình IP Sec VPN

TEST SETUP

Mục đích Thực hiện tính năng VPN bằng giao thức IPSec VPN.

Mô hình đấu
nối
Mô tả Chuẩn bị:

- 2 hillstone firewall
- 2 PC

Kịch bản:

- Cấu hình IPSec VPN

- Cấu hình route mode qua tunnel
- Thực hiện kiểm tra kết nối giữa 2 PC ở 2 vùng VLAN.

Các bước thực hiện:

Sau khi đăng nhập vào giao diện WEB cấu hình IP, zone trên các giao diện interface
tương ứng.

Trên SDWAN_FW01 :
Trên SDWAN_FW02 :
- Cấu hình IPSec VPN

Trên SDWAN_FW01:
Network  VPN  IPSec VPN chọn New

Chọn Peer Name. Nếu chưa có nhấn dấu cộng để tạo peer name.

Ví dụ tạo Peer name : A_to_B

Name : Tên của Peer ; interface : giao diện được sử dụng VPN ;Protocol
standard : giao thức thiết lập liên kết bảo mật. Peer address : địa chỉ giao diện
VPN.

Chú ý Proposal 1 : các thuật toán sử dụng trong VPN tại FW01 giống FW 02 như
xác thực, hash, mã hóa.

Trong VPN có 2 phase là phase 1, phase 2. Phase 1 là phase xác thức người dùng,
 kết nối, Phase 2 là phase truyền data.

Note : Pre-shared Key trên 2 thiết bị Firewall phải giống nhau mới thực hiện kết
nối được. (mật khẩu).

Nhấn OK để tạo tạo Peer Name A_to_B

Trong cấu hình IP Sec VPN chọn tunnel : Name (tên tunnel), mode tunnel (thực hiện
chế độ đường hầm), mode Transport (định tuyến trong đường hầm).

P2 Proposal : là phase 2 của VPN sử dụng việc truyền dữ liệu. Cấu hình P2 Proposal
đảm bảo 2 bên thiết lập phải sử dụng Proposal giống nhau. ( Việc truyền dữ liệu đòi
hỏi việc mã hóa dữ liệu tốt).

Trên SDWAN_FW02 :

Tương tự thiết lập giống trên SDWAN FW01 :

 Cấu hình Policy :

Trên SDWAN_FW01 :

Trên SDWAN_FW02 :
Cấu hình routing :

SDWAN_FW01 :

Tạo interface tunnel : Network  interface chọn New  Interface Tunnel.

Tunnel Binding đúng type và chọn tunnel được tại trong cấu hình IPSec.

SDWAN_FW02 :
Cấu hình routing theo tunnel :

SDWAN_FW01 :

SDWAN_FW02 :
 Ping kết nối từ PC 1 192.168.12.10 đến PC 2 có 192.168.14.10
Kết quả
Thực hiện kiểm tra monitor IPSec VPN.
mong muốn

Kết quả Kiểm tra IPSec VPN

Trên SDWAN_FW01:

Chọn IPSec VPN Monitor để xem trạng thái các phase.

Trên SDWAN_FW02
 Kiểm tra ping kết nối giữa PC 1 và PC 2:

Đánh giá  Đạt  Không đạt  Đạt 1 phần  Không test

Ghi chú: