Bài viết hướng dẫn cấu hình chỉ cho phép phòng ban IT SSH tới web server và remote desktop vào windows server, không cho người dùng phòng ban Sale thực hiện tương tự như phòng ban IT,bằng 2 phương pháp .

Sơ đồ mạng:

Các cấu hình chuẩn bị trước:

-Windows srv được cài AD,các PC phòng IT và Sale ping được lớp mạng windows srv,web srv

-Ubuntu cài đặt Web srv,cấu hình SSH

Cài web link tham khảo: https://www.thegioifirewall.com/linux-huong-dan-cai-dat-lamp-stack-tren-ubuntu-server/

-Windows srv cấu hình remote desktop

-PC phòng ban IT và Sale tất cả được join domain

Hướng dẫn cấu hình:

Cách 1: Application Control
1.1.Cấu hình Application Control cho remode desktop và SSH

• Ta vào Protect->chọn Applications->tiếp Application Filter->nhấn Add
• Name: Nhập tên tùy ý
• Template: Allow All
• Nhấn Save để tạo

• Tại smart filter ta nhập lần lược SSH và windows remote desktop
• Tại Action chọn deny
• Nhấn save để tạo

1.2 Định danh cho lớp mạng

• Ta vào System->chọn Hosts and services ->nhấn Add
• Name: Nhập tên tùy ý
• Type:Chọn network
• IP address:Nhập ip local

Làm tương tự

1.3 Tạo rule và add block applications vào Identify and control applications (App control)

• Ta vào Protect->chọn rules and policies-> nhấn add firewall rule
• Source zones:ta chọn mạng nội bộ LAN
• Source networks and devices:ta chọn lớp mạng cần đi
• Destination zones:ta chọn lớp mạng của server (có thể LAN hoặc DMZ)
• Destination networks:ta chọn lớp mạng của server
• Identify and control applications:ta add Block_RDP vào

Kết Quả: Dùng máy PC thuộc Sale điều bị block khi SSH vào web server và remote desktop vào windows server
Kết quả không remote desktop được

Kết quả không SSH tới web server được

Cách 2: Cấu hình cấu hình services trong rules and policies

1.Tạo services cho giao thức UDP và TCP có thể join domain

• Ta vào system->chọn Hosts and services -> vào services->gõ như hình

2. Tạo rules cho từng phòng ban đến server
   2.1 Rules cho phòng ban IT đến server

Tạo lớp mạng local cho phòng ban IT

• Tương tự tạo rule ở trên (xem tại mục 1.3)
• Phần services ta add như hình

2.2 Rules cho phòng ban Sale đến server

• Cách tạo rules như trên (xem tại mục 1.3)
• Phần services:ta add DNS,Ping,UDP&TCP-AD

2.3 Tạo rule cho Server đi đến mạng lan
Cách tạo rules như trên (xem mục 1.3)

Kết quả:
U2 thuộc sale không thể SSH tới web server và không remote desktop tới windows server