Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này nhằm:

• Hướng dẫn cách theo dõi và lọc log Sophos Firewall trên Sophos Central.
• Hướng dẫn xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Sophos Central giúp quản trị viên theo dõi và quản lý toàn bộ Sophos Firewall ttrên một giao diện web duy nhất, không cần đăng nhập từng thiết bị. Để giám sát, theo dõi, xuất Report tổng quan các thiệt bị Firewall, làm như sau:

Trên Sophos Central, chọn My Products -> Firewall Management -> Report Generator

Report Generator là công cụ để quản trị viên giám sát, theo dõi và tạo báo cáo (report) tùy chỉnh cho Sophos Firewall.

• Firewalls: chọn Firewall cần xuất report.
• Report Template: Chọn Template có sẵn phù hợp với nhu cầu xem, chi tiết:
  • Antivirus: Các mã độc hoặc đối tượng nghi ngờ đã bị chặn.
  • Bandwidth usage: Mức sử dụng băng thông theo từng ứng dụng.
  • Cloud app risks and usage: Các ứng dụng Cloud được sử dụng và rủi ro liên quan.
  • Firewall: Số lượng kết nối giữa các địa chỉ IP cụ thể.
  • IPS: Các cuộc tấn công bị phát hiện/chặn bởi hệ thống IPS.
  • Log viewer and search: Log chi tiết của firewall (chỉ có biểu đồ dạng bảng).
  • SD-WAN: Tóm tắt mức độ đáp ứng SLA theo từng profile SD-WAN, kèm biểu đồ xu hướng.
  • SD-WAN SLA trend: Xu hướng SLA theo gateway (jitter, latency, packet loss).
  • SD-WAN Bandwidth usage: Thống kê băng thông theo gateway và theo thời gian.
  • Security posture assessment (SPA): Đánh giá tổng thể mức độ an toàn của hệ thống. (Có thể chọn tối đa 10 thành phần như: Bandwidth, Web usage, Threat geo activity…) (Recommend sử dụng)
  • Synchronized app: Thống kê ứng dụng được nhận diện bởi Synchronized App Control.
  • Threat geo activity: Các mối đe dọa bị chặn theo quốc gia.
  • Threats and events blocked: Toàn bộ các mối đe dọa/sự kiện đã bị chặn.
  • VPN usage: Mức độ sử dụng các kết nối VPN.
  • Web usage: Thống kê truy cập website.
  • Web user risk: Hoạt động web của người dùng truy cập website rủi ro cao.
  • X-Ops: Hoạt động tấn công nâng cao (Advanced Threat activities) do firewall phát hiện/chặn. Bao gồm traffic trong MDR.
  • Zero-day protection: File/email nghi ngờ được gửi đến module phân tích Sandstorm

• Time Frame: Chọn mốc thời gian phù hợp với nhu cầu xem
• Query: Tùy chọn query phù hợp với nhu cầu lọc.

Sau đó, nhấn Schedule để lên lịch gửi report:

• Template Name: Đặt tên của mẫu báo cáo.
• Export scheduling: Bật/Tắt việc xuất report tự động theo lịch.
• Time frame: Chọn khoảng thời gian dữ liệu trong mỗi report
• Export frequency: Chọn chu kỳ xuất báo cáo
• Export format: Chọn định xạng file xuất (PDF, CSV, HTML)
• Export notification / delivery: Chọn cách gửi email
• Send this export to other Sophos admins?: Chọn chia sẻ report cho các admin khác

Sau khi hoàn tất, Nhấn Save.

Thông báo hiển thị đã tạo Template và Schedule thành công

Đúng Schedule, Sophos sẽ tự động xuất file Export dựa trên cấu hình đã setup