Quality of Service (QoS) là một khía cạnh quan trọng trong việc quản lý mạng và điều chỉnh việc sử dụng tài nguyên mạng để đảm bảo chất lượng dịch vụ cho các ứng dụng và dịch vụ mạng.

QoS cho phép phân bổ và quản lý băng thông mạng một cách hiệu quả, giúp ngăn chặn quá trình kẹt mạng và đảm bảo rằng các dịch vụ quan trọng có đủ băng thông để hoạt động một cách mượt mà.

II. Mục lục

1. Cấu hình policy QoS

2. Cấu hình giới hạn băng thông

3. Test kết quả

III. Nội dung bài lab

1. Cấu hình policy QoS

Đầu tiên truy cập Policies >> QoS

General : điền tên tho mong muốn

Tab Source

Source Zone : LAN

Source User : abc\hr-browsing

Tab Destination

Tab Application : web-browsing, ssl, mega-base (mình sẽ test download link mega)

Tab Other Settings

Class : 1

2. Cấu hình giới hạn băng thông

Tiếp theo qua tab Network >>Network Profile>> QoS Profile >> Add

Mình đã add thêm Class1 với thông số giới hạng như ảnh

Các bạn truy cập vào Network >> QoS

Egress Max (Mbps): điền băng thông của đường truyền

3. Test kết quả

Dung lượng download link mega khi chưa commit cấu hình QoS

Kết quả áp dụng QoS băng thông download bị giảm xuống

Trong Palo Alto Networks, ECMP (Equal Cost Multi-Path) được sử dụng để cân bằng tải traffic giữa nhiều đường đi có chi phí bằng nhau đến một đích. Tính năng ECMP có thể được sử dụng không chỉ để cân bằng tải mà còn để đảm bảo sự dự phòng (redundancy) và sẵn sàng (resilience) cho đường WAN.

Diagram :

Mục lục :

1. Cấu hình ECMP

2. Cấu hình rule cho mạng Local ra internet

3. Kết quả

Nội dung cấu hình :

1. Cấu hình ECMP

Đầu tiên các bạn vào Network >> Virtual Routers >> Add

Tab Router Settings

General : những interface được tham gia router settings

Chuyển qua tab ECMP

Các bạn nhấn vào Enable

Method : chọn balanced round robin

Tại Tab Static Route

Mạng WAN FPT

Các bạn tiến hành điền thông tin tương thích của mình để mạng LAN có thể qua WAN ra internet

Tương tự mạng WAN Viettel

2. Cấu hình rule cho mạng Local ra internet

General : điền tên theo ý muốn

Source : cho source zone mà mình muốn cho ra internet

Destination : chọn WAN

3. Kết quả

Mình tiến hành lấy PC thuộc mạng LAN ping 8.8.8.8 >> ngắt kết nối 1 đầu WAN >> thì lập tức sẽ chạy ra internet theo đường WAN còn lại (như ảnh)

Trong Palo Alto Networks, tính năng NAT (Network Address Translation) Web đóng một vai trò quan trọng trong việc cung cấp an ninh mạng và kiểm soát truy cập Internet. NAT Web được sử dụng để ẩn địa chỉ IP thực sự của các máy tính trong mạng nội bộ và thay thế nó bằng một địa chỉ IP công cộng, giúp bảo vệ sự riêng tư và tăng cường an ninh mạng.

Diagram :

Mục lục :

1. Cấu hình NAS IP máy chủ Web

2. Cấu hình rule cho web

3. Kiểm tra kết quả

Nội dung cấu hình :

1. Cấu hình NAS IP máy chủ Web

Các bạn vào Policies >> NAT >> Nhấn Add 

Name : điền tên bất kỳ

Tab Original Packet

Destination Zone : chọn WAN

Destination Interface : cổng WAN interface

Service : chọn https

Source Address : tích chọn Any

Destination Address : đây là cổng WAN để web ra vào

Tab Translated Packet

Translation Type : chọn Dynamic IP

Translated Address : IP máy chủ web

Translated Port : 443

2. Cấu hình rule cho web

General : tên bất kỳ

Source Zone : WAN

Destination Zone : chọn DMZ

Destination : IP WAN

Service : chọn HTTPS

3. Kiểm tra kết quả

Trong Palo Alto Networks, ECMP (Equal Cost Multi-Path) được sử dụng để cân bằng tải traffic giữa nhiều đường đi có chi phí bằng nhau đến một đích. Tính năng ECMP có thể được sử dụng không chỉ để cân bằng tải mà còn để đảm bảo sự dự phòng (redundancy) và sẵn sàng (resilience) cho đường WAN.

Diagram :

Mục lục :

1. Cấu hình ECMP

2. Cấu hình rule cho mạng Local ra internet

3. Kết quả

Nội dung cấu hình :

1. Cấu hình ECMP

Đầu tiên các bạn vào Network >> Virtual Routers >> Add

Tab Router Settings

General : những interface được tham gia router settings

Chuyển qua tab ECMP

Các bạn nhấn vào Enable

Method : chọn balanced round robin

Tại Tab Static Route

Mạng WAN FPT

Các bạn tiến hành điền thông tin tương thích của mình để mạng LAN có thể qua WAN ra internet

Tương tự mạng WAN Viettel

2. Cấu hình rule cho mạng Local ra internet

General : điền tên theo ý muốn

Source : cho source zone mà mình muốn cho ra internet

Destination : chọn WAN

3. Kết quả

Mình tiến hành lấy PC thuộc mạng LAN ping 8.8.8.8 >> ngắt kết nối 1 đầu WAN >> thì lập tức sẽ chạy ra internet theo đường WAN còn lại (như ảnh)

VPN Client-to-Site là một loại kết nối mạng ảo (Virtual Private Network – VPN) trong đó người dùng cá nhân hoặc nhóm người dùng có thể kết nối an toàn đến mạng nội bộ của một tổ chức từ xa thông qua Internet.

Sơ đồ :

Mục lục :

• B1. Tạo certificate cho VPN
• B2. Tạo SSL/TLS Service Profile
• B3. Tạo user dùng đăng nhập VPN
• B4. Tạo Authentication Profile
• B5. Tạo Portal
• B6. Tạo tunnel VPN
• B7. Tạo GlobalProtect Gateway
• B8. Tiến hành đăng nhập GlobalProtect Portal
• B9. Kiểm tra kết quả

Nội dung bài viết :

B1. Tạo certificate cho VPN

Đầu tiên các bạn vào Device >> Certificate management >> Generate

Các bạn tiến hành điền thông tin như sau ( danh mục name có thể điền tùy ý )

Nhấn Generate để tạo

Tương tự, tạo thêm Certificate với Common Name là IP WAN

B2. Tạo SSL/TLS Service Profile

Theo đường dẫn Device > Certificate Management > SSL/TLS Service Profile

Các bạn nhấn Add và điền thông tin như ảnh

Riêng ở mục Certificate : chọn Certificate đã tạo ở bước 1

B3. Tạo user dùng đăng nhập VPN

Các bạn theo đường dẫn sau : Device > Local User Database > Users

Nhấn Add để tạo

Các bạn tiến hành nhập Name và Password >> nhấn OK để tạo

B4. Tạo Authentication Profile

Device > Authentication Profile > nhấn Add

Tại Tab Authentication

Name : nhập tùy ý

Type : Local Database

Username Modifier : chọn %USERINPUT%

Tab Advanced :

Tại Allow List tiến hành Add những User mà bạn đã tạo để được cấp quyền VPN

B5. Tạo Portal

Theo đường dẫn Network > GlobalProtect > Portals > Add

Tab General:

Name: gp-portal
Interface: ethernet1/2 (WAN)
IP Address Type: IPv4 Only

Trong bảng Cient Authentication nhấn Add và cấu hình theo các thông số sau:

Name: AU
OS: Any
Authentication Profile: Local_User
Nhấn OK để tạo

Tại SSL/TLS Service Profile : chọn GW_Portal

Tại Tab Agent:

Các bạn làm các bước như trong ảnh

Tab con External

Nhấn Add

Name: tùy chọn
Address: tùy chọn IP hoặc FQDN
IPv4: IP WAN
Source Region > Add và điền thông tin như ảnh
Nhấn OK để lưu

Tiếp theo tại Trusted Root CA > Add CA_Global và đánh dấu tích vào mục kế bên

Nhấn OK để hoàn tất

B6. Tạo tunnel

Các bạn vào Network > Interfaces > Tunnel > nhấn Add

B7. Tạo GlobalProtect Gateway

Theo đường dẫn sau Network > GlobalProtect > Gateways > nhấn Add

Tại Tab General:

Name: GW_GlobalProtect
Interface: cổng WAN
IP Address Type: IPv4 Only
IPv4 Address: None

Tab Authentication

SSL/TLS Service Profile : chọn SSL/TLS mà ta đã tạo ở bước trên

Nhấn Add

Điền thông tin sau

Name: điền tên bất kỳ
OS: Any
Authentication Profile: chọn Local_User đã tạo
Nhấn OK để lưu

Tại Tab Agent

Tab con Tunnel Settings

Đánh dấu tích vào Tunnel Mode

Tunnel Interface : chọn tunnel đã tạo

Trong tab con Client Settings > nhấn Add

Name : điền tên bất kỳ

Tab con IP Pools

Nhập dãy IP mà bạn muốn cấp cho người dùng khi VPN

INCLUDE : Nhập nhóm IP mà bạn muốn connect tới khi VPN

Nhấn OK để tạo ra bảng tổng

B8. Tiến hành đăng nhập GlobalProtect Portal

Nhập IP WAN để vào giao diện

Tiến hành nhập tài khoản user đã tạo

Chọn tải phiên bản thích hợp với máy tính của bạn

Tiến hành cài phần mềm mới download về

Sau khi cài hoàn tất > sẽ xuất hiện giao diện bên dưới góc phải

Các bạn tiến hành nhập IP WAN vào > nhấn Connect

Nhấn Show Certificate

Tiến hành Install

Sau khi cài thành công Certificate

Các bạn tiến hành nhập tài khoảng users vào

Đã kết nối thành công

B9. Kiểm tra kết quả

Ping IP server đã được cấu hình cho phép kết nối thành công

Trong nội dung này, chúng ta sẽ khám phá cách thêm Firewall của Palo Alto Networks vào Panorama. Panorama của Palo Alto Networks mang lại khả năng quản lý tập trung cho các sản phẩm như Firewall, Prisma, và nhiều hơn nữa. Điều này đồng nghĩa rằng, ngay cả khi các firewall của bạn được cấu hình ở các vị trí địa lý khác nhau, bạn vẫn có thể tích hợp chúng với Panorama để quản lý chúng một cách hiệu quả. Palo Alto Networks khuyến nghị sử dụng cùng phiên bản PAN-OS trên cả Panorama và firewall. Tuy nhiên, nếu phiên bản PAN-OS trên Panorama cao hơn so với firewall, điều này cũng được chấp nhận. Bây giờ, hãy bắt đầu quá trình tích hợp firewall với Panorama.

Mục lục :

I. Cách Add Firewall của Palo Alto Networks vào Panorama

1. Add firewall Palo Alto Networks vào Panorama

2. Thêm thông tin Panorama vào Palo Alto Networks

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

4. Import thiết bị vào Panorama

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Nội dung bài lab :

I. Cách thêm Firewall của Palo Alto Networks vào Panorama

Mặc dù có kết nối hai chiều thông qua TCP/3389 giữa Palo Alto Networks Panorama và Firewalls, ở đây tôi có cả Firewall và Panorama đều nằm trong cùng một subnet.

Nếu bạn đang sử dụng firewall VM Series của Palo Alto Networks, hãy đảm bảo rằng bạn có số sê-ri hợp lệ trên Firewall để bắt đầu quá trình tích hợp.

Trong trường hợp của tôi, tôi đang sử dụng PA-VM với địa chỉ IP quản lý là 192.168.31.205 và Panorama với địa chỉ IP quản lý là 192.168.31.250.

1. Add firewall Palo Alto Networks vào Panorama

Đầu tiên các bạn cần vào giao diện Palo Alto lấy số S/N

Tại giao diện Panorama > Panorama > Managed Devices > Summary > click vào Add.

Nhập số S/N của firewall vào

Click vào Generate Auth Key để tạo key > nhấn vào Copy Auth Key

2. Thêm thông tin Panorama vào Palo Alto Networks

Đăng nhập vào Palo Alto Networks Firewall

Ta vào Device > Setup > Management > Panorama Settings

Tiến hành điền thông tin IP của Panorama và key ở bước trên

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

Login vào Panorama

Chúng ta vào Panorama > Managed Devices > Summary

Kiểm tra trạng thái kết nối.

4. Import thiết bị vào Panorama

Truy cập giao diện Panarama

Panorama > Setup > Operations và click vào Import device configuration trong phần configuration management.

Device : chọn thiết bị Firewall Palo Alto mà bạn cần thiết lập

Templade Name : tên

Device Group Name : tên Group

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Tại giao diện Panarama

Các bạn vào Panorama > Setup > Operations và click vào Export or push device config bundle

Chọn thiết bị và xác minh số sê-ri của thiết bị

Tiếp theo chọn Push & Commit under Export hoặc Push Config Bundle 

Lúc này cấu hình sẽ được đẩy xuống Palo Alto

Các bạn có thể vào giao diện Palo Alto để xem

Màu hiển thị

Cuối cùng cần vào giao diện Panorama

click vào commit và chọn Push to devices

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall và Palo Alto với thiết bị Sophos nằm phía sau một thiết bị Sophos Firewall khác.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Head Office:

• Tại head office site chúng ta sẽ có mô hình external và internal firewall với 2 thiết bị Sophos Firewal 1 là external firewall và Sophos Firewall 2 là internal firewall.
• Đường truyền internet được kết nối tại Port 2 của thiết bị Sophos Firewall 1 với IP 192.168.2.111.
• Mạng LAN của thiết bị Sophos Firewall 1 được cấu hình tại Port 1 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.
• Tại Sophos Firewall 2 cổng WAN sẽ là Port 2 và nó sẽ được kết nối đến Port 1 của Sophos Firewall 1, Port 2 trên Sophos Firewall 2 được đặt IP tĩnh là 10.145.41.50/24.
• Mạng LAN của Sophos Firewall 2 được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã được cấu hình DHCP.

Branch office:

• Đường truyền internet được kết nối tại port ethernet1/1 của thiết bị Palo Alto firewall với IP 192.168.2.115.
• Mạng LAN được cấu hình tại port ethernet1/2 với IP 172.16.16.16/24 và đã cấu hình DHCP để cấp phát IP cho các thiết bị kết nối vào.

3.Tình huống cấu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall 2 tại Head Office site và thiết bị Palo Alto Firewall 3 tại Branch Office site để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.

4.Các bước cấu hình

Sophos Firewall 1:

• Tạo profile cho IPSec service.
• Tạo Profile cho IP WAN của Sophos Firewall 2.
• Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra internet.

Sophos Firewall 2:

• Tạo profile cho Local và Remote subnet.
• Tạo IPSec policy.
• Tạo kết nối IPSec connection.
• Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
• Bật dịch vụ PING và HTTPS trên VPN zone.

Palo Alto Firewall:

• Tạo VPN zone.
• Tạo Address Object.
• Tạo tunnel interface.
• Tạo Virtual Routers.
• Tạo IKE Crypto.
• Tạo IPSec Crypto.
• Tạo IKE Gateways.
• Tạo IPSec Tunnels.
• Tạo policy.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình.

5.1.Sophos Firewall 1.

5.1.1.Tạo profile cho IPSec service

Kết nối IPSec VPN Site to site sẽ sử dụng các port là UDP 500 và UDP 4500.

Chúng ta cần tạo profile cho 2 service này.

Để tạo vào SYSTEM > Hosts and services > Services > nhấn Add.

Tạo với các thông số sau:

• Name*: IPSec S2S VPN
• Type*: chọn TCP/UDP.
• Protocol: chọn UDP.
• Source port: 1:65535.
• Destination port: 500
• Nhấn biểu tượng dấu + để thêm 1 hàng.
• Protocol: chọn UDP.
• Source port: 1:65535.
• Destination port: 4500.
• Nhấn Save để lưu.

5.1.2.Tạo profile cho IP WAN của Sophos Firewall 2.

Để tạo vào SYSTEM > Hosts and services > IP Host > Nhấn Add.

Tạo với các thông tin sau:

• Name*: Sophos Firewall 2.
• IP version*: chọn IPv4.
• Type*: chọn IP.
• IP address*: nhập IP WAN của Sophos Firewall 2 là 10.145.41.50.
• Nhấn Save để lưu.

5.1.3.Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra ngoài internet.

Để NAT chúng ta vào PROTECT > Rules and policies > Add firewall rule > Server access assistant [DNAT].

Sau khi nhấn vào Server access assistant [DNAT] một bảng cấu hình hiện lên.

Ở Internal server IP address chúng ta tích chọn Select IP host và chọn Sophos Firewall 2 – 10.145.41.50 từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Public IP address tích chọn Select public ip address or WAN interface và chọn #Port 2 – 192.168.2.111 từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Service nhấn Add new item và chọn profile IPSec S2S VPN.

Nhấn Next để tiếp tục.

Ở External source networks or devices giữ nguyên lựa chọn Any và nhấn Next.

Cuối cùng là bước review các lựa chọn đã chọn trước đó, nếu đã chọn đúng nhấn Save and finish để hoàn thành.

5.2.Sophos Firewall 2

5.2.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

• Name*: SF2_LAN.
• IP version*: IPv4.
• Type*: Network.
• IP address*: 10.146.41.0 Subnet /24[255.255.255.0]
• Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

Name*: PA_LAN.

IP version*: IPv4.

Type*: Network.

IP address*: 172.16.16.0 Subnet /24[255.255.255.0]

Nhấn Save để lưu.

5.2.2.Tạo IPSec policy

Do đây là kết nối IPSec VPN giữa 2 thiết bị khác hãng nên chúng ta cần tạo IPSec policy chung cho cả 2 thiết bị.

Để tạo IPSec policy vào CONFIGURE > VPN > IPSec policies > Nhấn Add.

Tạo IPSec policy với các thông số sau.

General settings:

• Name: VPN_S2S_PaloAlto.
• Key exchange: IKEv2.
• Authentication mode: Main mode
• Tích chọn Re-key connection.

Phrase 1:

• Key life: 5400.
• Re-key margin: 360.
• Randomize re-keying margin by: 50.
• DH group (key group): 2 (DH1024).
• Encryption: AES256.
• Authentication: SHA2 256.

Phrase 2:

• PFS group (DH group): None.
• Key life: 3600.
• Encryption: AES128.
• Authentication: SHA2 256.

Dead Peer Detection:

• Dead Peer Detection: tích chọn.
• Check peer after every: 30.
• Wait for response up to: 120.
• When peer unreachable: Re-initiate.

Nhấn Save để lưu.

5.2.3.Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

• Name: VPN_SOPHOS_TO_PA.
• IP version: IPv4.
• Connection type: Site-to-site.
• Gateway type: Respond only.
• Active on save: bỏ chọn.
• Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

• Policy: chọn VPN_S2S_PaloAlto.
• Authentication type: chọn Preshared key.
• Preshared key: nhập mật khẩu kết nối.
• Repeat preshared key: nhập lại mật khẩu kết nối.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

• Listening interface: chọn Port2 – 10.145.41.50.
• Local ID type: chọn IP address.
• Local ID: nhập 10.145.41.50.
• Local subnet: chọn profile SF2_LAN.

Remote Gateway:

• Gateway address: nhập IP WAN của Palo Alto firewall là 192.168.2.115.
• Remote ID type: chọn IP address.
• Remote ID: nhập 192.168.2.115.
• Remote subnet: chọn profile PA_LAN.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.

Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.

5.2.4.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.2.5.Bật dịch vụ PING và HTTPS trên VPN zone.

Mặc định trên VPN zone sẽ tắt hết các dịch vụ.

Để bật vào SYSTEM > Administration > Device Access.

Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.

5.3.Palo Alto Firewall

5.3.1.Tạo Zone

Chúng ta cần tạo zone cho các kết nối VPN.

Để tạo vào Network > Zones.

Nhấn Add và tạo theo các thông tin sau:

• Name: VPN
• Type: Layer3
• Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.2.Tạo Address Object

Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto và Sophos.

Để tạo vào Object > Addresses.

Nhấn Add và tạo theo các thông số như sau.

Palo Alto LAN:

• Name: PA_LAN
• Type: IP Netmask – 172.16.16.0/24
• Nhấn OK để lưu.

Sophos Firewall 2 LAN:

• Name: SF2_LAN
• Type: IP Netmask – 10.146.41.0/24
• Nhấn OK để lưu

5.3.3.Tạo Interface Tunnel

Để tạo vào Network > Interface > Tunnel.

Nhấn Add và tạo theo các thông tin như sau:

• Interface Name: tunnel – 2
• Virtual Router: None
• Security Zone: VPN
• Nhấn OK để lưu.

5.3.4.Tạo Virtual Routers

Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.

Tab Router Settings:

• Name: VR1
• Tab General: nhấn Add và chọn các cổng ethernet1/2 (cổng LAN), ethernet1/1(cổng internet) và tunnel.2(là tunnel dùng để kết nối VPN).

Tab Static Routes > IPv4:

Nhấn Add để thêm static routes và điền vào các thông tin sau:

• Name: Route-1
• Destination: SF2_LAN
• Interface: tunnel.2
• Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.5.Tạo IKE Crypto

Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.

Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:

• Name: IKE_Crypto_Phrase1
• DH Group: group2
• Encryption: aes-256-cbc
• Authentication: sha256
• Key Lifetime: Seconds – 5400
• Nhấn OK Để lưu

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.6.Tạo IPSec Crypto

Để tạo IPSec Crypto vào Network > IPSec Crypto và nhấn Add.

Cấu hình theo các thông số sau:

• Name: IPSec_Crypto_Phrase2
• IPSec Protocol: ESP
• Encryption: aes-128-cbc
• Authentication: sha256
• DH Group: no-pfs
• Lifetime: Seconds – 3600
• Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.7.Tạo IKE Gateways

Để tao vào Network > IKE Gateways và nhấn Add.

Cấu hình theo các thông số sau

Bảng General:

• Name: IKE_Gateway
• Version: IKEv2 only mode
• Address Type: IPv4
• Interface: ethernet1/1 (cổng WAN của Palo Alto)
• Local IP Address: None
• Peer Address: Nhập IP WAN của Sophos Firewall 1 là 192.168.2.111
• Authentication: Pre-shared Key
• Pre-shared key: nhập mật khẩu kết nối (mật khẩu này phải giống với mật khẩu đã đặt trên Sophos)
• Confirm Pre-shared key: nhập lại mật khẩu kết nối.
• Local Identification: chọn IP address – nhập 192.168.2.115.
• Peer Identification: chọn IP address – nhập IP WAN của Sophos Firewall 2 là 10.145.41.50

Bảng Advanced Options:

• IKE Crypto Profile: chọn IKE_Crypto_Phrase1
• Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.8.Tạo IPSec Tunnels

Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với thiết bị Sophos Firewall.

Để tạo vào Network > IPSec Tunnels và nhấn Add.

Tạo với các thông tin như sau.

Tab General:

• Name: VPN_PA_TO_SOPHOS
• Tunnel Interface: tunnel.2
• Type: Auto Key
• Address Type: IPv4
• IKE Gateways: IKE_Gateway
• IPSec Crypto Profile: IPSec_Crypto_Phrase2

Tab Proxy IDs:

Nhấn Add và cấu hình các thông tin sau:

• Proxy ID: Peer-1
• Local: 172.16.16.0/24
• Remote: 10.146.41.0/24
• Protocol: Any
• Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3.9.Tạo Policy

Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Sophos Firewall và ngược lại.

Để tạo policy vào Policies > Security và nhấn Add.

Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Sophos Firewall với các thông tin như sau:

Tab General:

• Name: LAN_TO_VPN
• Rule Type: universal (default)

Tab Source:

• Source Zone: nhấn Add và chọn Trust-Layer3 (Đây là zone của lớp LAN)
• Source Address: nhấn Add và chọn PA_LAN (PA_LAN là Address Object mà chúng ta đã tạo trước đó)

Tab Destination:

• Destination Zone: VPN
• Destination Address: SF2-LAN (đây là Address Object đã tạo lúc đầu)

Tab Action:

• Action: chọn Allow để cho phép.
• Nhấn OK để lưu.

Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của Sophos Firewall sang lớp mạng LAN của Palo Alto với các thông tin sau:

Tab General:

• Name: VPN_TO_LAN
• Rule Type: universal (default)

Tab Source:

• Source Zone: nhấn Add và chọn VPN
• Source Address: nhấn Add và chọn SF2_LAN (SF2_LAN là Address Object mà chúng ta đã tạo trước đó)

Tab Destination:

• Destination Zone: Trust-Layer3 (Zone của lớp mạng LAN)
• Destination Address: PA-LAN (đây là Address Object đã tạo lúc đầu)

Tab Action:

• Action: chọn Allow để cho phép.
• Nhấn OK để lưu.

5.4.Kiểm tra kết quả.

Trên thiết bị Palo Alto sau khi tạo kết nối IPSec tunnels thì kết nối sẽ được liệt kê ra như hình dưới.

Chúng ta chú ý đến cột Status chúng ta thấy rằng biểu tượng port mạng đang là màu xanh tức kết nối IPSec này đã được Enable.

Để kích hoạt kết nối IPSec giữa 2 thiết bị chúng ta vào thiết bị Sophos Firewall > CONFIGURE > VPN > IPSec connections.

Chúng ta chú ý đến biểu tượng hình tròn tại cột Connection của kết nối IPSec VPN mà chúng ta đã tạo trước đó đang là màu đỏ tức kết nối chưa được kích hoạt đến thiết bị Palo Alto firewall.

Để kích hoạt nhấn chuột trái vào biểu tượng hình tròn tại cột Connection và nhấn Yes.

Biểu tượng hình tròn này sẽ chuyển sang màu xanh lá tức là chúng ta đã kích hoạt thành công kết nối IPSec VPN giữa 2 thiết bị.

Trên thiết bị Palo Alto firewall chúng ta cũng sẽ thây được 2 biểu tượng hình tròn tại 2 cột Status đều chuyển sang màu xanh lá.

Để kiểm tra sự giao tiếp giữa 2 lớp mạng LAN của mỗi site với nhau, thegioifirewall sẽ dùng 1 máy tính tại mỗi site để ping lẫn nhau kiểm tra kết quả.

Ở site Head Office thegioifirewall đã chuẩn bị sẵn máy chủ có IP 10.146.41.10/24 và ở site Branch Office đã chuẩn bị máy Windows 10 có IP 172.16.16.50/24.

Kết quả ping từ máy chủ IP 10.146.41.10/24 đến máy Windows 10.

Kết quả ping thành công.

Kết quả ping từ máy Windows 10 IP 172.16.16.50 đến máy chủ.

Kết quả ping thành công.