<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Sophos XG Firewall: Giới thiệu về Local Service ACL (Access Control List) và cách thức hoạt động của nó &#8211; Thegioifirewall</title>
	<atom:link href="https://thegioifirewall.com/tag/sophos-xg-firewall-gioi-thieu-ve-local-service-acl-access-control-list-va-cach-thuc-hoat-dong-cua-no/feed/" rel="self" type="application/rss+xml" />
	<link>https://thegioifirewall.com</link>
	<description>Tường lửa bảo vệ doanh nghiệp, trung tâm thông tin và giá cả</description>
	<lastBuildDate>Wed, 17 Apr 2019 01:42:06 +0000</lastBuildDate>
	<language>vi</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://thegioifirewall.com/wp-content/uploads/vacif_icon-150x150.png</url>
	<title>Sophos XG Firewall: Giới thiệu về Local Service ACL (Access Control List) và cách thức hoạt động của nó &#8211; Thegioifirewall</title>
	<link>https://thegioifirewall.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Sophos XG Firewall: Giới thiệu về Local Service ACL (Access Control List) và cách thức hoạt động</title>
		<link>https://thegioifirewall.com/sophos-xg-firewall-gioi-thieu-ve-local-service-acl-access-control-list-va-cach-thuc-hoat-dong-cua-no/</link>
					<comments>https://thegioifirewall.com/sophos-xg-firewall-gioi-thieu-ve-local-service-acl-access-control-list-va-cach-thuc-hoat-dong-cua-no/#respond</comments>
		
		<dc:creator><![CDATA[TrungNghia]]></dc:creator>
		<pubDate>Tue, 16 Apr 2019 01:51:48 +0000</pubDate>
				<category><![CDATA[Hướng dẫn chung]]></category>
		<category><![CDATA[Sophos XG Firewall: Giới thiệu về Local Service ACL (Access Control List) và cách thức hoạt động của nó]]></category>
		<guid isPermaLink="false">http://www.thegioifirewall.com/?p=2690</guid>

					<description><![CDATA[Mục tiệu của bài viết Bài viết sẽ cung cấp thông tin về Local Service ACL (Access Control List và cách nó hoạt động trên thiết bị tường lửa Sophos XG). Giới thiệu Local Service ACL Local Service ACL nằm ở Administrator &#62; Device Acces. Thiết bị mang 1 ACL mặc định khi được kết [&#8230;]]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading">Mục tiệu của bài viết</h2>



<ul class="wp-block-list"><li>Bài viết sẽ cung cấp thông tin về <strong>Local Service ACL</strong> (Access Control List và cách nó hoạt động trên thiết bị tường lửa Sophos XG).</li></ul>



<h2 class="wp-block-heading">Giới thiệu Local Service ACL</h2>



<ul class="wp-block-list"><li><strong>Local Service ACL</strong> nằm ở <strong>Administrator &gt; Device Acces.</strong> Thiết bị mang 1 ACL mặc định khi được kết nối và bật nguồn lần đầu tiên.Chi tiết về các dịch vụ và cổng mặc định được đưa ra dưới đây. Bấm để bật hoặc tắt quyền truy cập vào các dịch vụ từ các vùng được chỉ định và sau đó bấm <strong>Apply</strong>.</li></ul>



<table class="wp-block-table is-style-regular"><tbody><tr><td><strong>Zone </strong></td><td><strong>Service</strong></td></tr><tr><td><strong>Admin Services</strong></td><td></td></tr><tr><td>LAN<br>WiFi</td><td>HTTPS (TCP Port 4444)<br>Telnet (TCP port 23)<br>SSH (TCP port 22)</td></tr><tr><td>WAN</td><td>HTTPS (TCP port 443)<br>Telnet (TCP port 23)<br>SSH (TCP port 22)</td></tr><tr><td><strong>Authentication Services</strong></td><td></td></tr><tr><td>LAN<br>WiFi</td><td>Client Authentication (UDP port 6060)<br>Captive Portal Authentication (TCP port 8090)<br>RADIUS SSO</td></tr><tr><td><strong>Network Services</strong></td><td></td></tr><tr><td>LAN<br>WAN<br>WiFi</td><td>Ping/Ping6<br>DNS</td></tr><tr><td><strong>Other Services</strong></td><td></td></tr><tr><td>LAN<br>WiFi</td><td>Wireless Protection<br>Web Proxy<br>SMTP Relay</td></tr><tr><td>LAN<br>WAN<br>DMZ<br>WiFi</td><td>SSL VPN (TCP port 8443)</td></tr><tr><td>LAN<br>WAN</td><td>User Portal<br>Dynamic Routing</td></tr><tr><td>LAN<br>DMZ<br>VPN<br>WiFi</td><td>SMNP</td></tr></tbody></table>



<p class="wp-block-paragraph"><strong>Note</strong>: Các dịch vụ xác thực người dùng được yêu cầu để áp dụng các hạn chế lướt Internet, băng thông và truyền dữ liệu dựa trên người dùng. Đây là không cần thiết cho các chức năng hành chính.</p>



<ul class="wp-block-list"><li>Sau đây là cấu hình mặc định của <strong>Local Service ACL</strong>.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img fetchpriority="high" decoding="async" width="962" height="354" src="https://thegioifirewall.com/wp-content/uploads/1-31.jpg" alt="" class="wp-image-2703" srcset="https://thegioifirewall.com/wp-content/uploads/1-31.jpg 962w, https://thegioifirewall.com/wp-content/uploads/1-31-300x110.jpg 300w, https://thegioifirewall.com/wp-content/uploads/1-31-768x283.jpg 768w" sizes="(max-width: 962px) 100vw, 962px" /></figure></div>



<ul class="wp-block-list"><li><strong>Local Service ACL</strong> cho phép hoặc từ chối truy cập vào các dịch vụ được chỉ định trong một vùng.</li><li>Ví dụ theo mặc định, <strong>Ping/Ping6</strong> bị vô hiệu hóa cho vùng <strong>WAN</strong>. Một người dùng từ internet cố gắng ping <strong>IP WAN</strong> của <strong>Sophos XG Firewall</strong>. Vì dịch vụ Ping / Ping6 bị vô hiệu hóa cho vùng <strong>WAN</strong>, nên các gói sẽ bị loại bỏ và do đó ping sẽ thất bại.</li><li>Một ví dụ khác là cho Định tuyến động (<strong>Dynamic Routing</strong>). Theo mặc định, Định tuyến động bị tắt cho tất cả các vùng. Hãy xem xét vấn đề cần giải quyết sau đây.</li><li>Dưới đây là sơ đồ cấu hình định tuyến động <strong>RIP</strong> giữa 2 cổng <strong>WAN</strong> của 2 thiết bị tường lửa XG là <strong>FW1 và FW2</strong>.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" width="1024" height="408" src="https://thegioifirewall.com/wp-content/uploads/diagram-2-1024x408.jpg" alt="" class="wp-image-2713" srcset="https://thegioifirewall.com/wp-content/uploads/diagram-2-1024x408.jpg 1024w, https://thegioifirewall.com/wp-content/uploads/diagram-2-300x120.jpg 300w, https://thegioifirewall.com/wp-content/uploads/diagram-2-768x306.jpg 768w, https://thegioifirewall.com/wp-content/uploads/diagram-2.jpg 1270w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>



<ul class="wp-block-list"><li>Đầu tiên chúng ta đăng nhập vào trang quản trị của <strong>FW1</strong> bằng cổng <strong>LAN</strong> với liên kết <strong>https://172.16.16.16:4444</strong> và nhấn <strong>Administrator &gt; Device Access</strong> để vào <strong>Local Service ACL</strong>.</li><li>Tích vào ô <strong>Dynamic Routing</strong> ở vùng <strong>WAN</strong> và nhấn <strong>Apply</strong> để bật nó cho vùng WAN.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" width="961" height="356" src="https://thegioifirewall.com/wp-content/uploads/2-28.jpg" alt="" class="wp-image-2708" srcset="https://thegioifirewall.com/wp-content/uploads/2-28.jpg 961w, https://thegioifirewall.com/wp-content/uploads/2-28-300x111.jpg 300w, https://thegioifirewall.com/wp-content/uploads/2-28-768x285.jpg 768w" sizes="(max-width: 961px) 100vw, 961px" /></figure></div>



<ul class="wp-block-list"><li>Tiếp theo chúng ta đăng nhập vào trang quản trị của FW1 bằng cổng LAN với liên kết <strong>https://172.16.17.16:4444</strong> (đã đổi địa chỉ LAN trong lúc cài đặt) và nhấn <strong>Administrator &gt; Device Access</strong> để vào <strong>Local Service ACL</strong>.</li><li>Chúng ta thấy là <strong>Dynamic Routing</strong> vẫn chưa được bật cho cổng WAN, chúng ta giữ nguyên cấu hình này.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="1024" height="393" src="https://thegioifirewall.com/wp-content/uploads/3-27-1024x393.jpg" alt="" class="wp-image-2709" srcset="https://thegioifirewall.com/wp-content/uploads/3-27-1024x393.jpg 1024w, https://thegioifirewall.com/wp-content/uploads/3-27-300x115.jpg 300w, https://thegioifirewall.com/wp-content/uploads/3-27-768x295.jpg 768w, https://thegioifirewall.com/wp-content/uploads/3-27.jpg 1071w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure></div>



<ul class="wp-block-list"><li>Lúc này ở trong cấu hình <strong>Local Service ACL</strong> của 2 thiết bị tường lửa, <strong>Dynamic Routing</strong> đã được bật cho vùng <strong>WAN</strong> ở <strong>FW1</strong> và <strong>Dynamic Routing</strong> đã tắt cho vùng <strong>WAN</strong> ở <strong>FW2</strong>.</li><li>Tiếp theo chúng ta sẽ cấu hình định tuyến <strong>RIP</strong> cho hai thiết bị <strong>FW1</strong> và <strong>FW2</strong>.</li><li>Các bạn có thể xem hướng dẫn tại <a href="https://www.thegioifirewall.com/cach-cau-hinh-giao-thuc-dinh-tuyen-routing-information-protocol-rip-cho-thiet-bi-tuong-lua-sophos-xg.html">đây</a>. </li><li>Sau khi cấu hình định tuyến RIP, các bản cập nhật RIP được cấu hình để được gửi qua các vùng WAN của cả hai tường lửa. Vì chỉ XG1 mới được kích hoạt Định tuyến động (Dynamic Routing) cho vùng WAN, nên chỉ XG1 mới nhận được các bản cập nhật RIP đến từ XG2. Các bản cập nhật RIP mà XG1 đang gửi tới XG2 sẽ bị hủy do XG2 bị vô hiệu hóa Định tuyến động (Dynamic Routing) cho vùng WAN.</li><li>Do đó, trong bảng định tuyến, XG1 sẽ hiển thị các mạng được quảng bá bởi XG2 (lớp mạng 172.16.17.0/24) nhưng XG2 sẽ không hiển thị các mạng được quảng bá bởi XG1 (lớp mạng 172.16.16.0/24).</li><li>Chúng ta nhấn <strong>Routing &gt; Information</strong> để vào bảng routing của cả 2 thiết bị kiểm tra. </li></ul>



<p class="wp-block-paragraph"><strong>Bảng FW1 routing</strong></p>



<figure class="wp-block-image"><img loading="lazy" decoding="async" width="963" height="230" src="https://thegioifirewall.com/wp-content/uploads/4-22.jpg" alt="" class="wp-image-2716" srcset="https://thegioifirewall.com/wp-content/uploads/4-22.jpg 963w, https://thegioifirewall.com/wp-content/uploads/4-22-300x72.jpg 300w, https://thegioifirewall.com/wp-content/uploads/4-22-768x183.jpg 768w" sizes="auto, (max-width: 963px) 100vw, 963px" /></figure>



<ul class="wp-block-list"><li>Như ta thấy, trong bảng routing của FW1 có lớp mạng 172.16.17.0/24 được update từ FW2 thông qua định tuyến RIP.</li></ul>



<p class="wp-block-paragraph"><strong>Bảng FW2 routing</strong></p>



<figure class="wp-block-image"><img loading="lazy" decoding="async" width="1024" height="224" src="https://thegioifirewall.com/wp-content/uploads/5-19-1024x224.jpg" alt="" class="wp-image-2717" srcset="https://thegioifirewall.com/wp-content/uploads/5-19-1024x224.jpg 1024w, https://thegioifirewall.com/wp-content/uploads/5-19-300x66.jpg 300w, https://thegioifirewall.com/wp-content/uploads/5-19-768x168.jpg 768w, https://thegioifirewall.com/wp-content/uploads/5-19.jpg 1069w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<ul class="wp-block-list"><li>Như ta thấy, bảng routing của FW2 không nhận được lớp mạng 172.16.16.0 update từ FW1 do chúng ta chưa bật Dynamic Routing cho vùng WAN trên FW2.</li></ul>



<h2 class="wp-block-heading">Giới thiệu Local Service ACL Exception Rule</h2>



<ul class="wp-block-list"><li>Sử dụng <strong>Local Service ACL Exception Rule</strong> để cho phép truy cập vào các dịch vụ quản trị viên của thiết bị từ một mạng / máy chủ được chỉ định.</li><li>Để tạo rule này chúng ta nhấn <strong>Administrator &gt; Device Access</strong>. Phía dưới <strong>Local Service ACL Exception Rule</strong> nhấn <strong>Add</strong> để thêm rule.</li><li>Ví dụ ở đây chúng ta sẽ tạo 1 rule cấm những người dùng ở lớp mạng 172.16.16.0/24 trong vùng LAN kết nối SSH đến thiết bị tường lửa bằng cổng LAN là port 1 trên thiết bị firewall.</li><li>Chúng ta cần điền những thông tin như hình sau. </li></ul>



<figure class="wp-block-image"><img loading="lazy" decoding="async" width="544" height="578" src="https://thegioifirewall.com/wp-content/uploads/6-18.jpg" alt="" class="wp-image-2720" srcset="https://thegioifirewall.com/wp-content/uploads/6-18.jpg 544w, https://thegioifirewall.com/wp-content/uploads/6-18-282x300.jpg 282w" sizes="auto, (max-width: 544px) 100vw, 544px" /></figure>



<ul class="wp-block-list"><li><strong>Rule Name</strong> : Đặt tên cho rule.</li><li><strong>Rule Position</strong> : Chọn vị trí cho rule.</li><li><strong>Description</strong> : Nhập mô tả cho rule.</li><li><strong>IP Version</strong> : Hỗ trợ cả IPv4 và IPv6, ở ví dụ này chọn IPv4.</li><li><strong>Source zone</strong> : Chọn zone tùy ý, ở ví dụ này chọn LAN Zone.</li><li><strong>Source Network/Host *</strong>: Nhấn Add new item để chọn source host (dựa vào lớp mạng, IP address hoặc list) mà rule này sẽ được áp dụng. Nhấn Create New để tạo 1 source host mới. Ở ví dụ này mình sẽ nhấn Add new item &gt; Create New &gt; Network. Một bảng hiện ra điền tên ở phần Name là IP LAN, chọn Network và điền địa chỉ lớp mạng vào ô IP address. IP address ở ví dụ này là 172.16.16.0 và Subnet là /24.</li><li><strong>Destination host*</strong> : Chọn #Port1 vì port này là port LAN và theo ví dụ là chúng ta sẽ cấm người dùng kết nối SSH từ địa chỉ IP của port này.</li><li><strong>Service*</strong>: nhấn Add new item và chọn SSH.</li><li><strong>Action</strong> : chọn Accept để cho phép và chọn Drop để cấm, ở đây sẽ chọn Drop.</li><li>Cuối cùng nhấn <strong>Save</strong> để lưu.</li><li>Sau đó truy cập vào máy tính người dùng thuộc vùng LAN có địa chỉ IP thuộc lớp mạng 172.16.16.0/24 và thực hiện kết nối SSH đến thiết bị firewall với địa chỉ của port LAN là 172.16.16.16 bằng ứng dụng PuTTy và chúng ta sẽ thấy là truy cập bị từ chối.</li></ul>



<p class="wp-block-paragraph"></p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/sophos-xg-firewall-gioi-thieu-ve-local-service-acl-access-control-list-va-cach-thuc-hoat-dong-cua-no/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
