1.Mục đích bài viết
Bài viết này sẽ hướng dẫn các bạn cách xử lý lỗi không thể hiển thị hết nội dung trang web khi truy cập trong môi trường mạng có sử dụng thiết bị tường lửa.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
Như các bạn thấy đây chính là mô hình mạng mà doanh nghiệp thường sử dụng với:
- Thiết bị tường lửa được kết nối với 1 hoặc nhiều đường truyền internet khác nhau với cơ chế Load Balacing.
- Tiếp theo thiết bị tường lửa thường sẽ là nơi cấp phát địa chỉ IP của các thiết bị trong mạng LAN.
3.Tình huống cấu hình
Thegioifirewall sẽ truy cập thử vào trang canhan.gdt.gov.vn và kết quả các bạn có thể thấy được là chúng ta vẫn có thể truy cập trang web này tuy nhiên trang web không hiển thị được đầy đủ hình ảnh.
Vậy nguyên nhân do đâu?
Nguyên nhân của việc này là do các tính năng bảo mật của trang web này. Cụ thể là trang web này sẽ gặp tình trạng không thể hiển thị đầy đủ nội dung nếu như các request đến nó là các traffic sử dụng cơ chế cân bằng tải (Load Balacing).
Vậy hướng giải quyết là gì?
Để giải quyết được vấn đề này chúng ta cần phải thực hiện cấu hình routing các traffic đi đến các trang web kiểu này theo 1 đường internet duy nhất.
Trong bài viết này Thegioifirewall sẽ hướng dẫn các bạn làm điều này trên các thiết bị tường lửa Sophos và Palo Alto.
4.Hướng dẫn cấu hình
4.1.Tường lửa Palo Alto.
Để routing các traffic của một trang web nào đó đi theo một đường truyền internet cốs định, thiết bị tường lửa Palo Alto sẽ hỗ trợ chúng ta làm việc này thông qua tính năng Policy Based Forwarding.
Đầu tiên chúng ta cần tạo một FQDN cho trang web mà chúng ta cần routing, ở đây Thegioifirewall sẽ tạo FQDN cho trang canhan.gdt.gov.vn.
Để tạo FQDN vào Objects > Address > nhấn Add và tạo theo các thông số sau:
- Name: canhan.gdt.gov.vn.
- Type: FQDN – canhan.gdt.gov.vn.
- Nhấn OK.
Bước tiếp theo chúng ta sẽ tạo Policy Based Forwarding để routing FQDN vừa tạo.
Để tạo vào Policies > Policy Based Forwarding > nhấn Add và tạo theo các thông tin sau:
General tab:
- Name: Route_canhan.gdt.gov.vn.
Source tab:
- Zone: chọn LAN.
- Source Address: chọn Any.
- Source User: chọn Any.
Destination/Application/Service tab:
- Destination Address: chọn FQDN canhan.gdt.gov.vn.
Forwarding:
- Action: chọn Forwarding.
- Egress Interface: chọn cổng internet mà chúng ta muốn route.
- Next hop: chọn None.
- Nhấn OK.
Nhấn Commit và OK để lưu thay đổi cấu hình.
Sau đó chúng ta thử truy cập lại vào trang canhan.gdt.gov.vn và chúng ta sẽ thấy trang web sẽ được hiện thị đầy đủ.
4.2.Tường lửa Sophos.
Đối tường lửa Sophos để thực hiện việc routing traffic của trang web đi theo đường truyền internet cố định Sophos hỗ trợ tính năng SD WAN để làm chuyện này.
Bước đầu tiên chúng ta cũng cần tạo FQDN cho trang canhan.gdt.gov.vn.
Để tạo vào Hosts and services > FQDN host > nhấn Add và tạo theo các thông tin sau:
- Name: canhan.gdt.gov.vn.
- FQDN: canhan.gdt.gov.vn.
- Nhấn Save.
Tiếp theo chúng ta cần tạo SD-WAN policy routing để routing FQDN host vừa tạo.
Để tạo vào Routing > SD-WAN policy routing > nhấn Add và cấu hình theo thông số sau.
- Name: Route_canhan_to_FPT.
- Source networks: Any.
- Destination networks: chọn FQDN host vừa tạo là canhan.gdt.gov.vn.
- Service: Any.
- Application Objects: Any.
- Users or gourps: Any.
- Primary gateway: chọn đường internet mà bạn muốn route.
Nhấn Save.