Chào mừng Bạn tham gia Diễn Đàn VNKienThuc.com - Định hướng Forum Kiến Thức
- HÃY TẠO CHỦ ĐỀ KIẾN THỨC HỮU ÍCH VÀ CÙNG NHAU THẢO LUẬN
Kết nối: VNK X - VNK groups | Nhà Tài Trợ: BhnongFood X - Bhnong groups - Đặt mua Bánh Bhnong

Trả lời chủ đề

Nội dung: <blockquote data-quote="breathless" data-source="post: 27974" data-attributes="member: 13332"> Content filtering và QoS trên Sifoworks  U100 Đối với bất kỳ doanh nghiệp  nào, Hệ thống mạng của công ty là phần rất quan trọng, góp phần vào sự  ổn định, phát triển và nâng cao tính cạnh tranh cho doanh nghiệp với các  đối thủ. Một hệ thống đạt hiệu quả là hệ thống phải đảm bảo dữ liệu ra,  vào một cách xuyên suốt, tạo sự dễ dàng cho người sử dụng,và đồng thời  bảo vệ, ngăn chặn những nguy cơ tìm ẩn từ bên ngoài cũng như bên trong.  Sự phát triển của một hệ  thống mạng  phải đi cùng với nhu cầu của người sử dụng để có thể kiệp  thời bảo vệ, ngăn chặn và kiểm soát tránh những nguy cơ vô tình hay cố  ý. Để đạt được những mục tiêu trên hệ thống cần một giải pháp tốt và “vệ  sĩ” mạnh mẽ giúp nhà quản trị thực hiện các chính sách phù hợp.  O2Security SifoWorks UTM là thiết bị hoàn toàn có khả năng  đáp ứng những nhu cầu trên.  Case study sau đây sẽ giới thiệu cách cấu hình trên  SifoWorks U100 thực hiện 2 chức năng Content  filtering và QoS để thực hiện chính sách bảo mật,  kiểm soát hệ thống, giúp hệ thống đáp ứng tốt hơn cho người sử dụng. Mô hình của một hệ thống mạng doanh nghiệp.<img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/1.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" />Yêu cầu và  thực trạng của hệ thống: ·    Hệ thống mạng của doanh nghiệp như hình vẽ: [FONT=&amp] o  [/FONT] Mạng LAN gồm 2 phòng Sale và Technical, hệ thống server farm  cung cấp các dịch vụ mail, web, file, database….[FONT=&amp] o  [/FONT] Hệ thống mạng có đường WAN kết nối ra internet. ·    Vì yêu cầu bảo mật cho hệ  thống mạng, Người quản trị không cho phép các nhân viên ở phòng Sale vào  những trang web không an toàn, upload hay download file có nguy cơ lây  nhiễm virus như .exe ….. Phòng Technical có thể truy cập ra internet mà  không bị giới hạn nhưng chịu sự quản lý về băng thông. ·    Các nhân viên phòng Sale  thường dùng các chương trình nhắn tin, tán gẫu trong giờ làm việc hay  các chương trình chia sẻ P2P, các chương trình xem video/audio tốn băng  thông đường truyền và làm chậm hệ thống mạng. ·    Yêu cầu hệ thống mạng đảm  bảo băng thông ra internet đảm bảo cho từng phòng ban. Phòng Technical  được cấp băng thông đảm bảo khi download 500kbps và tối đa 1000kbps, và  khi upload đảm bảo 200kbps và tối đa 500kbps.Phòng Sale không bị kiểm  soát băng thông.  Giải pháp: ·    Triển khai SifoWorks UTM U100 có khả năng đáp  ứng các nhu cầu của hệ thống mạng. ·    Chức năng Content blocking và application  blocking hỗ trợ nhà quản trị thực hiện chính sách bảo mật, kiểm  soát user truy cập vào các trang web cũng như các ứng dụng một cách hiệu  quả. ·    Chức  năng QoS giúp hệ thống được đảm bảo về lưu lượng traffic  ra ngoài internet cho phòng Technical, quản lý tốt và có hiệu quả trong  việc kiểm soát dung lượng đường truyền trên mỗi phòng ban. Các bước cấu  hình: Bước  1: Cấu hình cơ bản (Basic Configuration) cho  U100: Thiết lập các interface:Interface LAN: vào System  > Multiple Subnet: để chia interface LAN thành 2 subnet cho 2  mạng : 192.168.1.0/24 và 172.16.1.0/24 như sau: Subnet 1: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/2.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Subnet 2: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/3.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Tất  cả các user bên trong mỗi subnet nếu muốn ra ngoài internet đều bị NAT  qua interface WAN 1. Interface WAN: tạo kết nối với ISP qua  PPPoE line. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/4.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Chú  ý: để UTM có thể kết nối với ISP thành công cần thiết lập policy  cho phép tất cả traffic tại 2 chiều incoming và outgoing Interface  DMZ: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/5.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> DMZ interface đặt ở chế độ NAT mode nghĩa là các traffic từ server  farm đi ra ngoài internet sẽ bị NAT tại interface WAN tương tự như  interface LAN. Bước 2 : Thiết lập Content  Blocking: Policy Object > Content Blocking >  URL : thiết lập các URL sẽ bi cấm bởi UTM <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/6.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Danh  sách các địa chỉ URL sẽ bị U100 cấm truy cập. UTM hỗ trợ những ký tự  meta-character trong chuỗi URL: “~” : trước URL thể hiện URL đó sẽ bị  không bị cấm; “*”: thay thế cho chuỗi ký tự. Như trên: yahoo.com có thể  truy cập, google.com sẽ bị cấm truy cập và tất cả các URL có “.com” đều  bị cấm truy cập từ các user bên trong mạng nội bộ. Policy  Object > Content Blocking > URL : tùy chọn các Script nào  sẽ bị cấm thực hiện trên web browser. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/7.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Policy Object >  Content Blocking > Download: Chỉ định các loại file nào sẽ bị  cấm download. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/8.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" />      * All Types Blocking: cấm tất cả các file khi download      * Audio and Video Types Blocking: cấm các file dạng audio  và video khi download bằng HTTP.     * Extension  Blocking: lựa chọn các dạng file có phần mở rộng tương ứng nếu  muốn UTM cấm download. Policy Object > Content Blocking  > Upload: lựa chọn cấm tất cả các file hay từng file cụ thể  dựa vào phần mở rộng bởi UTM khi các user thực hiện upload. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/9.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Bước  3: Thiết lập IP/P2P Blocking: Policy Object  > IM / P2P Blocking > Setting : Thiết lập tùy chọn các ứng  dụng nhà quản trị muốn UTM cấm truy cập. Danh sách các ứng dụng có thể  bị cấm. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/10.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Tự  động cập nhật các dấu hiệu nhận biết ứng dụng: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/11.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Các  ứng dụng sau một khoảng thời gian nhất định sẽ nâng cấp lên phiên bản  mới vì thế có những thay đổi bên trong ứng dụng. UTM được trang bị khả  năng tự động cập nhật các dấu hiệu nhận biết ứng dụng mới trên server  của O2Security hàng giờ hay cập nhật bằng tay ngay lập tức. Bước 4:  Thiết lập QoS Policy Object > QoS >  Setting: có tác dụng cho đường WAN ra ngoài internet. <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/12.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" />      * Name: Tên của QoS để dễ dàng quản lý khi thiết lập trong  policy.     * WAN: chọn đường WAN ra ngoài internet muốn áp  đặt QoS.     * Downtream Bandwidth: Thiết lập dung lượng  đảm  bảo ( tối thiểu) và tối đa cho chiều download.     * Uptream  Bandwidth: Thiết lập dung lượng  đảm bảo ( tối thiểu) và tối đa cho  chiều upload.     * Priority: xác định độ ưu tiên cho thiết  lập QoS, độ ưu tiên cao sẽ ưu tiên thực hiện trước. Bước 4: Sau  khi hoàn tất thiết lập cho các yêu cầu cần thiết cho hệ thống mạng, bước  cuối dùng là thực hiện apply các thiết lập đó lên policy. Bước  4.1: Tạo các object định nghĩa phòng Sale và Technical: Policy  Object > Address > LAN: Định nghĩa range IP cho phòng  Sale: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/13.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Định  nghĩa range IP cho phòng Technical: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/14.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" />      * Name: Tên của object.     * IP/Subnetmask: IP và  Subnetmask của range IP, có thể chỉ định cho 1 PC cụ thể.     *  Mac Address: Nếu định nghĩa cho 1 PC cụ thể. Tạo Policy  cho từng phòng: Policy cho traffic từ phòng Sale đi ra ngoài bị áp  đặt Content và Application Blocking nhưng không bị áp đặt QoS như hình  bên dưới: Policy > Outgoing : <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/15.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Tạo  Policy cho traffic phòng Technical đi ra ngoài chỉ bị áp đặt QoS như  hình bên dưới: Policy > Outgoing: <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/16.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Nếu  muốn tạo thêm policy để kiểm soát dung lượng vào bên trong cho các IP  phòng Technical, thiết lập policy incoming như hình sau: Policy  > Incomming : <img src="https://www.pnet.vn/App_Upload/FCKEditor_Upload/Image/baiviet/UTM-QoS/17.png" alt="" class="fr-fic fr-dii fr-draggable " data-size="" style="" /> Ngoài  ra UTM còn cho phép kiểm soát QoS dựa vào từng IP nguồn (chú ý  rằng: thiết lập dung lượng cấp cho từng IP nguồn phải nhỏ hơn tổng dung  lượng được cấp cho cả phòng Technical) Như vậy: Sau khi cấu hình  hoàn tất, hệ thống mạng của doanh nghiệp được đảm bảo và hoạt động theo  như chủ ý của nhà quản trị . UTM hỗ trợ tốt kiểm soát các trang web truy  cập, kiểm soát các ứng dụng, kiểm soát các file được phép upload hay  download và kiểm soát dung lượng ra vào hệ thống mạng được áp đặt trên  từng phòng ban và cả từng IP cụ thể.</blockquote>

Tên

Mã xác nhận