Hướng dẫn cấu hình cơ bản Firewall Maipu IFW400 Series

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình các tính năng cơ bản các dòng Firewall IFW400 series của Maipu, để 1 mạng LAN có thể truy cập được Internet nhé.

Truy cập vào thiết bị

Tất cả các mã Firewall thuộc dòng Maipu IFW400 Series đều hỗ trợ cấu hình bằng cả CLI thông qua cable Console, TELNET hoặc SSH, và giao diện web.

Nếu sử dụng cable console, thì các bạn có thể sử dụng cable console thông thường mà chúng ta hay sử dụng để cấu hình switch Cisco. Thông số truy cập console mặc định:

Chúng ta sẽ cần sử dụng cable console trong các trường hợp firewall bị lỗi không vào được giao diện web, hay các bạn đặt IP sai và sau đó không tìm được, hoặc 1 vài trường hợp xử lý sự cố. Còn thông thường thì chúng ta sẽ cấu hình bằng giao diện web cho đơn giản.

Ở cấu hình mặc định thì cổng mạng đầu tiên, thường có ký hiệu là GE0/0 sẽ có IP mặc định là 10.0.0.1/24, không có DHCP Server. Để truy cập vào giao diện web của firewall thì chúng ta sẽ kết nối máy tính với cổng GE0/0, sau đó đặt IP trên máy tính cùng dải 10.0.0.0/24 là chúng ta sẽ truy cập được.

Các bạn mở trình duyệt web và truy cập vào firewall bằng HTTPS https://10.0.0.1.

Sau khi đăng nhập lần đầu thì firewall sẽ yêu cầu đổi password, các bạn đặt lại pass theo đúng yêu cầu về độ khó của mật khẩu. Sau đó đăng nhập lại bằng tài khoản mới.

Như vậy là chúng ta đã truy cập được vào giao diện web của firewall Maipu.

Mô hình lab

Thực tế triển khai thì chúng ta sẽ có rất nhiều mô hình khác nhau, dựa theo yêu cầu sử dụng. Do vậy trong bài viết này mình sẽ sử dụng 1 mô hình cơ bản nhất để hướng dẫn các bạn. Mô hình này thì firewall Maipu sẽ là thiết bị quay PPPoE trực tiếp để kết nối Internet. Mình chỉ sử dụng 1 đường wan vào cổng GE0/1, còn với các mô hình nhiều đường WAN thì các bạn chỉ cần cấu hình thêm cổng wan và các cấu hình liên quan như policy, NAT, route, còn các wan sẽ tự động cân bằng tải.

Bên dưới mình có 3 VLAN cho Server, Staff và Guest. Gateway và DHCP Server mình sẽ cấu hình trên Firewall. Các cổng từ GE0/3 đến GE0/5 sẽ là cổng trunking để nối xuống switch core. Còn cổng GE0/6 sẽ là cổng access VLAN 10 trong trường hợp các bạn cần cắm 1 thiết bị đầu cuối vào firewall.

Mình sẽ cấu hình policy cơ bản để 3 VLAN có thể truy cập được Internet, VLAN Server và Staff thông nhau, còn VLAN Guest sẽ chỉ được phép truy cập Internet, không truy cập được sang 2 VLAN còn lại. Mình sẽ đi vào chi tiết từng bước cấu hình các dịch vụ cần thiết.

Active License cho Firewall

Đầu tiên, chúng ta sẽ cần phải active License cho Firewall. Các bạn vào menu System > Maintenance > License.

Mặc định thì tất cả các mã Firewall maipu sẽ kèm các chức năng firewall cơ bản và VPN, và license này là vĩnh viễn. Các tính năng khác sẽ cần mua license. Tuy nhiên thì cả license vĩnh viễn mặc định cũng chưa được active, nên toàn bộ chức năng của firewall sẽ không hoạt động.

Để active thì các bạn chỉ cần nhấn License Activation là xong.

Cấu hình thông số cơ bản

Đầu tiên thì các bạn thiết lập 1 số thông số cơ bản cho firewall.

Cấu hình NTP

Các bạn vào menu System > Time Config, và cấu hình Time Zone về +7. Nếu có NTP Server riêng thì chọn method là NTP và nhập các thông số của NTP Server vào.

Thời gian trên firewall rất quan trọng khi các bạn xử lý sự cố, hoặc theo dõi log liên quan đến traffic…, do vậy các bạn nên cấu hình thời gian trên firewall khớp với thời gian thực.

Cấu hình DNS

Tiếp theo chuyển sang menu DNS. Chúng ta sẽ cấu hình DNS cho Firewall. DNS này sẽ được firewall sử dụng để phân giải tên miền cho các traffic xuất phát từ firewall. Hoặc nếu các bạn cấu hình Firewall như DNS Server cho toàn bộ mạng LAN, thì mục này bắt buộc phải cấu hình. Mình sẽ dùng DNS google là 8.8.8.8.

Cấu hình Hostname và các thông số khác

Vẫn trong menu System, chuyển sang menu Administrator Settings > System Config.

• Nếu muốn đổi port mặc định để truy cập vào web hoặc SSH thì chúng ta sẽ đổi ở đây, các bạn chuyển dịch vụ cần đổi sang OFF, sau đó nhập Port mới là được.
• Host Name: nhập tên cho Firewall.
• Page Timeout: là thời gian hết hiệu lực của 1 phiên khi không có hoạt động nào, mặc định là 10 phút, các bạn có thể cấu hình về giá trị mong muốn.
• Nhấn Apply để lưu.

Sau khi cấu hình xong thì quan trọng nhất là chúng ta phải lưu cấu hình lại nhé, nếu không khi firewall khởi động lại thì các cấu hình sẽ bị mất. Các bạn nhấn biểu tượng ở góc trên bên phải này để lưu.

Quay PPPOE trên Firewall Maipu

Đầu tiên chúng ta sẽ quay PPPoE trên firewall để kết nối Internet. Để quay PPPoE trên firewall thì các bạn sẽ cần cấu hình modem thành bridge, hoặc mua các bộ converter GPON sang RJ45. Để bridge modem thì các bạn có thể gọi tổng đài nhà mạng nhờ họ hỗ trợ, hoặc trên mạng cũng có các hướng dẫn, các bạn tìm kiếm theo cụm từ bridge modem + tên model đang sử dụng là được. Sau khi bridge xong thì chúng ta sẽ kết nối cổng LAN đã bridge trên modem xuống firewall, trong mô hình của mình là cổng GE0/1.

Trên firewall các bạn vào menu Network > Physical Interface, chọn Edit cổng GE0/1.

Name mình sẽ đặt là WAN-VNPT

Address Type chọn PPPoE

Sau đó nhập tài khoản PPPoE vào phần User và Password, tài khoản này khi đăng ký các bạn sẽ được nhà mạng cấp cho, nếu chưa có thì các bạn cũng gọi tổng đài nhà mạng và cung cấp số điện thoại đăng ký để nhờ họ cấp cho

Phần Management Access chọn các dịch vụ cho phép trên cổng wan, các bạn chỉ nên bật PING thôi. Nếu cần truy cập vào quản trị từ xa qua IP WAN thì các bạn có thể bật thêm HTTPS lên, tuy nhiên các bạn nên đổi port HTTPS từ 443 sang 1 port khác để đảm bảo an toàn.

Nhấn Confirm

Cổng GE0/1 nhận được IP WAN là chúng ta đã quay PPPoE thành công. Nếu không được thì các bạn cần kiểm tra lại modem hoặc tài khoản xem đúng chưa thôi. Có 1 số trường hợp cần sử dụng VLAN thì các bạn cũng cần tạo thêm VLAN và quay PPPoE trên VLAN đó. Hoặc các bạn có thể quay thử PPPoE trên máy tính, máy tính quay được thì firewall mới quay được.

Cấu hình VLAN trên firewall Maipu IFW400

Tiếp theo mình sẽ tạo 3 VLAN cho mạng nội bộ như mô hình.

Chuyển sang menu VLAN Interface

Chọn New để tạo

Đầu tiên mình sẽ tạo VLAN cho Server

ID 10

IP là 192.168.10.1/24

Nhấn Add

Trong phần Configuration chúng ta sẽ chọn các cổng vào VLAN này, Tagged tương ứng với cổng trunk, còn Untagged tương ứng với cổng access.

Trong mô hình của mình thì cổng GE0/3 đến GE0/5 sẽ là cổng trunk, nên mình sẽ chọn 3 cổng này cho sang phần Tagged

Còn cổng GE0/6 là cổng access VLAN 10, để dùng trong trường hợp các bạn muốn cắm server hoặc NAS trực tiếp vào firewall, nên cổng GE0/6 sẽ chuyển sang cột Untagged.

Management Access các bạn chọn các dịch vụ sẽ sử dụng trên cổng này. Thông thường thì chúng ta chỉ cần chọn HTTPS, PING và SSH.

Cấu hình STP thì tuỳ nhu cầu, thông thường thì chúng ta chỉ cần bật trên switch là đủ, trên firewall thì cũng không bắt buộc.

Nhấn Confirm để tạo.

Tương tự mình sẽ tạo thêm 2 VLAN cho Nhân Viên và Khách

VLAN cho nhân viên thì chỉ có 3 cổng trunk, không có cổng access nên chỉ cần add cổng 3 đến cổng 5 sang cột Tagged là được.

VLAN Khách cũng chỉ có 3 cổng trunk

VLAN này chỉ được truy cập Internet, nên các bạn chỉ cần bật PING lên để kiểm tra kết nối thôi, còn các dịch vụ khác chúng ta sẽ tắt hết đi.

Cấu hình DHCP Server

Sau khi tạo xong VLAN thì chúng ta sẽ cần phải cấu hình DHCP Server để cấp IP cho người dùng. Các bạn chuyển sang menu DHCP

Service

Chúng ta sẽ tạo DHCP cấp cho 3 VLAN, nên các bạn sẽ edit 3 Interface VLAN ở phía dưới này.

Chọn Type là DHCP Server và nhấn Confim

Chuyển sang menu Server

Chọn New để tạo

Đầu tiên mình sẽ tạo Pool cho VLAN Server, name mình sẽ đặt là Server-Pool

Subnet là 192.168.10.0/24

Gateway là 192.168.10.1

IP Range mình sẽ cấp từ 192.168.10.10 đến 192.168.10.254

Lease time thì các bạn cấu hình tuỳ nhu cầu, mình sẽ để 1 ngày.

DNS mình sẽ dùng là 8.8.8.8 và 1.1.1.1.

Nhấn Confirm để tạo.

Tương tự mình sẽ tạo 2 Pool nữa cho Nhân viên và khách.

VLAN khách thì mình sẽ để lease time là 2 tiếng thôi, vì người dùng thay đổi liên tục.

Trong trường hợp các bạn muốn loại trừ 1 số IP ở giữa, thì các bạn có thể cấu hình trong Exclusion Range

Các bạn nhập đoạn IP không muốn cấp trong DHCP Server vào là được.

Trong trường hợp muốn gán cố định 1 IP cho 1 máy cụ thể, thì các bạn chuyển sang menu Static Address Assignment

Sau đó nhập IP và MAC của máy đó vào là được.

Cấu hình Static Route

Tiếp theo chúng ta cần cấu hình 1 Default Route cho các VLAN có thể ra được Internet.

Trong menu Network, các bạn vào menu Ipv4 Route

Static Route

Chọn New để tạo

IP Address nhập 0.0.0.0/0 cho default route.

Next Hop Type chọn Out Interface và chọn cổng WAN PPPoE.

Nhấn Confirm để tạo.

Thông số Distance để cấu hình cân bằng tải hoặc dự phòng. Nếu muốn cân bằng tải 2 đường, thì các bạn sẽ cấu hình Distance bằng nhau, còn nếu muốn 1 đường dự phòng, 1 đường chạy chính thì các bạn cấu hình Distance của đường chạy chính thấp nhất là được.

Còn Weight dùng để phân chia traffic trên các đường wan theo trọng số, nếu 2 đường có Weight bằng nhau thì sẽ chia 50:50, các bạn nhập trọng số tương ứng là được.

Cấu hình Firewall Policy

Tiếp theo chúng ta sẽ cần cấu hình các firewall Policy để cho phép các VLAN truy cập Internet và giao tiếp giữa các VLAN.

Các bạn chuyển sang menu Policy

Integration Policy

Chọn New để tạo.

Đầu tiên mình sẽ tạo Policy cho VLAN Server ra Internet.

Source chọn VLAN Server.

Trong trường hợp các bạn có nhiều VLAN, và các chính sách giữa các VLAN này giống nhau, thì các bạn có thể tạo các Zone để giảm số lượng policy cần tạo đi cũng được. Tuy nhiên dải IP của các Layer 3 Interface này cần phải liên tiếp nhau và có thể tổng hợp lại thành 1 dải lớn hơn nhé.

Chúng ta sẽ tạo Zone ở menu Network

Security Zone

Tạo 1 Zone là Inside

Bật Interdomain Visits để các VLAN hoặc Interface trong Zone này mặc định thông nhau.

Sau đó Add các Layer 3 Interface vào là được. Mình sẽ cho 2 VLAN Interface của Server và Nhân viên vào. Vì 2 server này sẽ thông nhau. Còn VLAN khách chỉ được đi Internet nên chúng ta sẽ không cho vào đây.

Tương tự các bạn cũng có thể tạo zone Outside cho các cổng wan, để trong policy thì các bạn add Zone vào là được, không cần cấu hình nhiều Policy nữa.

Quay lại Menu Policy

Source Interface chúng ta sẽ chọn Zone Inside đã tạo

Destination Interface chọn Zone Outside

Như vậy thì chúng ta chỉ cần tạo 1 policy để cho phép 2 VLAN đi ra nhiều đường WAN luôn. Còn các bạn muốn tách policy để áp dụng chính sách khác nhau thì chọn VLAN Interface là được. Tuỳ nhu cầu thôi.

Source Address nhấn Add để tạo Object cho 2 VLAN này, hoặc nếu các bạn muốn nhanh thì chọn Any cũng được. Tuy nhiên trên firewall thì chúng ta nên chỉ định đúng thiết bị nào được phép, nên mình sẽ tạo thêm Address.

Name sẽ là Inside-Address

IP Address Type chọn Subnet và nhập dải mạng của Server và Nhân viên vào.

Vì Source Address chúng ta chỉ chọn được 1, do vậy các bạn cần phải summary 2 dải này lại thành 1, trong mô hình của mình sẽ là 192.168.10.0/23. Nếu 2 dải không liên tiếp nhau thì các bạn phải tách policy theo từng VLAN, không sử dụng zone, hoặc chọn Any.

Vì truy cập Internet nên Destination sẽ cần phải chọn Any.

Các mục khác các bạn cũng chọn Any

Action để mặc định là Permit.

Nếu cần theo dõi traffic thì các bạn sẽ bật Log lên.

Các chính sách bảo mật bên dưới thì mình sẽ hướng dẫn các bạn trong 1 video khác, nên mình sẽ tắt hết các phần này đi.

Nhấn Confirm để tạo.

Tương tự tạo 1 policy cho VLAN khách ra Internet

Source Interface chọn VLAN Khách

Destination chọn Zone Outside

Source Address tạo mới 1 address cho VLAN khách

IP Address là dải mạng của VLAN khách

Các phần khác các bạn để mặc định.

Trong trường hợp dùng Zone thì chúng ta chỉ cần 2 policy này là đủ cho yêu cầu cả 3 VLAN đều truy cập được Internet, chỉ có 2 VLAN Server và Nhân Viên thông nhau, còn VLAN Khách thì chỉ được truy câp Internet. Còn nếu không dùng Zone thì chúng ta sẽ phải tạo thêm 2 policy theo 2 chiều từ Server sang Nhân viên và ngược lại, và 2 policy cho 2 VLAN ra Internet nữa, tổng là 5 Policy. Nói chung phần Policy này là tuỳ nhu cầu, các bạn muốn nhanh và đơn giản thì dùng zone, còn muốn chi tiết từng policy thì tách ra. Nhưng nếu có nhiều VLAN thì tạo policy cũng hơi mệt.

Cấu hình NAT Rule

Cuối cùng, chúng ta sẽ phải cấu hình NAT rule để NAT các IP nội bộ ra IP Public.

Trong menu Policy, các bạn vào NAT Policy

Source NAT

Nhấn New để tạo.

Phần Source, Destination và Service các bạn để ANY

Destination Interface chọn cổng WAN

Converted Source Address chọn Destination Interface

Nhấn Confirm để tạo

Nếu có nhiều cổng WAN thì các bạn sẽ cần tạo mỗi cổng WAN 1 NAT rule nhé.

Như vậy là chúng ta đã hoàn thành toàn bộ các cấu hình cơ bản để các mạng LAN có thể ra được Internet. Các bạn nhớ lưu cấu hình lại nhé.

Add firewall lên MMC Cloud

Các dòng Firewall Maipu IFW400 có thể quản trị được trên MMC Cloud của Maipu. Nếu có nhu cầu quản trị cloud thì các bạn sẽ bật phần này lên, còn nếu chỉ muốn quản trị local thì chúng ta sẽ tắt đi do mặc định thì phần cloud đang được bật.

Các bạn vào menu System

Cloud Access

Cloud Server của Maipu sẽ là mcloud.maipu.com, các bạn giữ nguyên phần https và port phía sau.

Source port mặc định sẽ là 7547, tuy nhiên port này hay bị nhà mạng chặn, do vậy các bạn có thể đổi port này đi, mình sẽ đổi sang 10000.

Nhấn Apply.

Sau khi cấu hình xong Cloud trên firewall, và đảm bảo firewall đã có mạng bình thường, thì các bạn truy cập vào MMC cloud.

Phần tạo tài khoản, tạo Network trên MMC cloud thì mình đã có video hướng dẫn rồi, các bạn có thể vào youtube và tìm kiếm cụm từ MMC Cloud là sẽ thấy nhé, nó cũng khá đơn giản thôi.

Trên MMC cloud thì các bạn truy cập vào Network sẽ quản lý firewall này.

Chọn add device

Type chọn Firewall

Serial thì các bạn copy trong  giao diện Dashboard của firewall.

Nhập Hostname

Nếu phần cấu hình Cloud của các bạn đúng và firewall có thể kết nối Internet, thì firewall sẽ online. Sau khi online thì các bạn có thể theo dõi, cấu hình cơ bản, hoặc Remote trực tiếp vào firewall từ xa để quản trị.

Kết luận

OK Như vậy là mình đã hướng dẫn các bạn cấu hình cơ bản các dòng firewall IFW400 của Maipu. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Đừng quên like, share và subcriber để ủng hộ mình nhé.

Cảm ơn các bạn.