1.

Giới thiệu về WatchGuard

Hãng công nghệ WatchGuard có trụ sở chính ở Seattle (Washington, Mỹ), được biết đến
là Công ty hàng đầu về giải pháp bảo mật cho doanh nghiệp. WatchGuard đã triển khai
hơn một triệu thiết bị bảo mật và đa chức năng bảo vệ trên toàn cầu, cho các doanh nghiệp
nhỏ, vừa đến các doanh nghiệp lớn hoặc các trung tâm dữ liệu. WatchGuard hiểu được
các nhu cầu và bảo mật cần thiết của các doanh nghiệp trong thời đại công nghệ thông tin
phát triển nhanh chóng cũng như các mối đe dọa phát triển theo. Thiết bị tường lửa
WatchGuard được trang bị với tốc độ truy cập tối ưu nhất, bảo vệ và tương thích tốt nhất
với hệ điều hành Fireware OS làm nhân bảo mật bên trong sản phẩm tường lửa.
Trong hơn 20 năm hoạt động, WatchGuard luôn dẫn đầu trong việc xây dựng và phát triển
công nghệ bảo mật thành công cụ tối ưu, dễ quản lý và sử dụng. Công nghệ tích hợp tiên
tiến, bảo mật Wi-Fi, các sản phẩm firewall UTM (tường lửa tích hợp) và firewall NGFW
(tường lửa kiểm tra sâu gói tin) và các sản phẩm thông minh khác, WatchGuard đã và đang
giúp bảo vệ cho hơn 80 ngàn khách hàng trên toàn thế giới khỏi các mối đe dọa từ internet,
các hiểm họa rình rập đang gia tăng hàng ngày.
103.238.72.75
2. Các dịch vụ
2.1. Các dịch vụ cơ bản
 Intrusion Prevention Service (IPS): Sử dụng mẫu chữ ký cập nhật liên tục để
quét traffic trên tất cả các giao thức thời gian thực để chống lại các mối đe dọa
mạng.
 Reputation EnabledDefense Service (RED): Tính năng tiên tiến giúp định
danh các website độc hại, nguy hiểm dựa trên dữ liệu cloud, cải thiện khả năng
truy cập, xử lý của hệ thống.
 WebBlocker URL Filtering: Ngoài việc tự động chặn các trang web độc hại,
các nội dung xấu. Công cụ lọc URL của WebBlocker còn cho phép bạn chặn nội
dung không phù hợp, tiết kiệm băng thông mạng và tăng năng suất.
 Application Control: Chọn lọc, ngăn chặn hoặc hạn chế quyền truy cập vào các
ứng dụng dựa trên bộ phận phòng ban của người dùng, chức năng công việc và
 thời gian truy cập trong ngày. Xác định được những ai đang truy cập vào ứng
dụng nào theo thời gian thực.
 spamBlocker: Phát hiện thư rác theo thời gian thực để bảo vệ hệ thống khỏi tình
trạng quá tải. SpamBlocker hoạt động nhanh và hiệu quả, có thể xử lý tới 4 tỷ
thư mỗi ngày.
 Network Discovery: Một tính năng cho phép Firebox tạo ra một bản đồ trực
quan của tất cả các node trên mạng của bạn để bạn có thể dễ dàng thấy nơi bạn
có thể có nguy cơ bị tấn công.
 Gateway AntiVirus (GAV): Sử dụng các chữ ký được cập nhật liên tục để xác
định và ngăn chặn những malware, virus, trojans, worms và các mối đe dọa khác
bao gồm các biến thể mới của các virus đã biết.
2.2. Các dịnh vụ nâng cao
 APT Blocker – Advanced Malware Protection: APT Blocker sử dụng công
nghệ sandbox tiên tiến từng đoạt giải thưởng quốc tế về phát hiện và ngăn chặn
lại các cuộc tấn công tinh vi nhất bao gồm ransomware, các mối đe dọa zero day
và các phần mềm độc hại tiên tiến khác.
 Dimension Command: Dimension thu thập dữ liệu được thu thập từ tất cả các
thiết bị WatchGuard trong mạng và tiến hành phân tích tổng quan. Command
Dimension cung cấp cho bạn khả năng hành động ngay lập tức từ giao diện điều
khiển trung tâm.
 Data Loss Prevention (DLP): Dịch vụ này ngăn ngừa mất mát dữ liệu bằng
cách quét văn bản và các loại tập tin phổ biến để phát hiện các thông tin nhạy
cảm đang được gửi ra ngoài.
 Threat Detection and Response(TDR): Là một tập hợp mạnh mẽ các công cụ
phòng chống phần mềm độc hại tiên tiến có liên quan đến các mối đe dọa từ các
thiết bị Firebox và Host Sensors để ngăn chặn các mối đe dọa phần mềm độc hại
đã biết, chưa biết.
  IntelligentAV: Dựa trên trí tuệ nhân tạo phát hiện tra các phần mềm độc hại
chưa được biết đến. Tận dụng phân tích thống kê sâu, nó có thể phân loại hiện
tại và tương lai phần mềm độc hại chỉ trong vài giây.
 Access Portal: Triển khai truy cập tập trung và các ứng dụng cloud, tài nguyên
nội bộ thông qua RDP và SSH.
 DNSWatch: Lọc DNS để phát hiện và ngăn chặn các kết nối nguy hiểm tiềm
ẩn, để bảo vệ mạng và các nhân viên khỏi các cuộc phishing. Khi một nhân viên
nhấp vào liên kết có dấu hiệu tấn công phishing, DNSWatch sẽ tự động chuyển
hướng họ ra khỏi trang web độc hại đó và tới tài liệu hướng dẫn cách phòng
tránh tấn công phishing.
3. Interface and Network
Một thành phần khá qua trọng của thiết bị firebox mà cần phải chú ý là interface, bạn nên
cấu hình các giao diện interface này tương ứng với IP mà bạn muốn chỉ định. Chúng ta cần
phải thiết lập và chỉ định interface nào là external, interface nào là trusted để lưu lượng
truy cập có thể truyền từ các thiệt bị bên trong mạng đi ra ngoài. Chúng ta cũng có thể cấu
hình thêm các interface optional để sử dụng cho các máy chủ.
Firebox giúp cho mạng LAN của bạn tách rời khỏi mạng WAN để đảm bảo tính nội bộ và
bảo mật. Lúc này công việc của firebox còn có chức năng là định tuyến các gói tin từ mạng
LAN ra WAN và còn có khả năng định tuyến cả trong mạng LAN.
3.1. Network modes
 Mixed routing mode
Bạn có thể cấu hình firebox để gửi lưu lượng mạng giữa các giao diện mạng vật lý và ảo
(VPN). Chế độ Mixed routing là chế độ mặc định cho firebox của bạn, hầu hết mọi tính
năng bảo mật đều sử dụng được trong chế độ này, bạn sử dụng interface external để kết nối
với internet và trusted để sử dụng cho kết nối nội bộ. Bạn có thể sử dụng thêm các tính
năng cấu hình VLAN và các tùy chọn nâng cao hơn như bảo mật thông qua địa chỉ MAC,
chú ý bạn cần phải cấu hình chỉ định lớp mạng phù hợp cho các interface để đảm bảo kết
nối với các thiết bị được chính xác.
 Chú ý:
- Cấu hình tối thiểu phải bao gồm interface external và interface trusted,
chúng ta cũng có thể cấu hình thêm interface optional.
- Cấu hình địa ip trên các interface khác nhau là khác nhau.
 Drop-in mode
Trong cấu hình chế độ này, firebox của bạn được cấu hình cùng một địa chỉ IP cho tất cả
các interface (bao gồm external, trusted, optional). Thiết bị firebox của bạn thường được
đặt ở giữa router với các thiệt bị đầu cuối mà không cần phải thay đổi bất kỳ cấu hình
nào với các thiết bị đầu cuối.
Chú ý:
- Các interface được cấu hình với cùng một địa chỉ IP
- Không hỗ trợ các giao thức định tuyến động (ospf, rip và dgp)
- Không sử dụng NAT và VLAN trong chế độ này
 Bridge mode
Chế độ này là một tính năng cho phép bạn đặt Firebox của bạn giữa một mạng hiện có với
gateway của nó để quản lý lưu lượng mạng. Khi bật tính năng này lên, firebox sẽ xử lý và
forwards tất cả lưu lượng mạng đến đia chỉ IP của cổng gateway được chỉ định. Khi lưu
lượng này đến gateway nó giống như gói tin được gửi từ thiết bị gốc ban đầu như chưa
từng được đi qua firebox.
3.2. Interface type
 External Interface: Sử dụng để kết nối với mạng internet.
 Trusted Interface: Sử dụng để kết nối với mạng LAN (nội bộ), thường được
cung cấp để kết nối cho người dùng.
 Optional interface: Sử dụng để kết nối cho vùng DMZ, dành cho các máy chủ
public.
 Custom interface: Cho phép bạn tạo vùng bảo mật tùy chỉnh, tác biệt với các
vùng khác. Giao diện này mặc định lưu lượng truy cập không được phép qua
firebox, trừ khi bạn thiết lập cấu hình chính sách cụ thể.
 3.3. Wireless Interface
Hỗ trợ 3 Access point tương ứng với interface là:
o ath1 — Access point 1
o ath2 — Access point 2
o ath3 — Access Point 3
3.4. LAN Bridges
Mạng bridge là sự kết hợp nhiều giao diện để hoạt động như một mạng duy nhất, với một
tên interface và một địa chỉ ip duy nhất đại diện. Cần phải cấu hình địa chỉ ip cho interface
và các cấu hình khác trong bridge, sau đó cấu hình cho các interface thành phần của bridge.
Một bridge phải bao gồm ít nhất một interface và có thể có thêm các interface vật lý, không
dây, hoặc aggregation.
Chúng ta có thể cấu hình cho bridge là trusted, optional hoặc custom. Các cài đặt cấu hình
cho bridge giống như cài đặt bất kì một giao diện interface trusted, optional hoặc custom
khác.
Trong trường hợp nếu chúng ta muốn tất cả các interface đều nằm trong cùng một mạng
thì lời khuyên là chúng ta nên sử dụng cấu hình ở chế độ bridge cho cấu hình của bạn.
3.5. Link Aggregation (LA)
Link Aggregation là nhóm các interface vật lý lại với nhau để hoạt động cùng nhau giống
như một interface duy nhất. Có thể sử dụng interface này để tăng băng thông và cung cấp
đường dự phòng nếu có lỗi liên kết vật lý sảy ra. Khi kết nối LA với một Switch thì Switch
cũng được cấu hình để phù hợp kết nối đó.
LA có thể được cấu hình như một interface external, trusted, options, custom hoặc là một
phần của interface VLAN hoặc Bridge. Có thể sử dụng nó trong cấu hình policies, multi-
WAN, VPN, DHCP, PPPoE …
 Một số ghi chú
o Link aggregation chỉ hỗ trợ trên firebox ở chế độ mixed routing.
o Link aggregation yêu cầu firewall của bạn là bản pro
o Link aggregation không hỗ trợ Traffic Management và một số cài đặt nâng
cao.
 o Link aggregation không hỗ trợ trên active/active FireCluster (gộp 2 firewall
thành 1)
o Không hỗ trợ cho các thiết bị: XTM 21, 22, 23, XTMv, FireboxV, T10, T15.
o Không sử dụng link aggregation cho điểm đầu cuối trong kết nối VPN
Tunnel.
o Chế độ Dynamic Link aggregation không được hỗ trợ trên các thiết bị XTM
25, XTM 26, XTM 33.
 Link Aggregation modes
Có thể cấu hình link aggregation ở một trong ba chế độ. Đối với tất cả các chế độ, interface
thành phần chỉ hoạt động khi kích hoạt trạng thái liên kết trên các interface thành phần
được bật. Các interface thành phần có hoạt động được hay không thì thuộc vào cả trạng
thái liên kết vật lý và link aggregation trên các interface.
o Dynamic
Tất cả các interface thành phần trên interface LA đều có thể được kích hoạt. Interface
vật lý này được sử dụng để truyền dữ liệu cho bất kỳ nguồn và đích nào được xác định
thông qua giao thức Link Aggregation Control Protocol (LACP)
o Static
Tất cả các interface thành phần trên interface LA đều có thể được kích hoạt. Interface
vật lý này được sử dụng để truyền dữ liệu cho nguồn và đích nhưng cụ thể địa chỉ MAC
nguồn/đích và địa chỉ IP nguồn/đích. Chế độ này thường sử dụng để cân bằng tải và
chịu lỗi.
o Active-backup
Đối với chế độ này thì nhiều nhất chỉ có thể sử dụng được một interface thành phần
được kích hoạt tại một thời điểm. Được sử dụng dự phòng trong khả năng chịu lỗi,
thường được kết nối với các thiết bị không hỗ trợ tổng hợp liên kết.
Để sử dụng LA dynamic và static thì thiết bị (vd như switch) kết nối cũng phải được định
cấu hình tổng hợp kết nối trên interface. Còn đối với Active-Backup thì không cần phải
cấu hình tổng hợp kết nối trên switch được kết nối.
 3.6. Virtual Local Area Networks (VLANs)
o Firewall v11.12.2 trở lên, STP (spanning tree protocol) được hỗ trợ cho một
số cấu hình Vlan.
o Không thể sử dụng Vlan trong chế độ drop-in
o Một interface vlan có thẻ gửi và nhận lưu lượng chưa được gắn thẻ cho một
vlan trusted hoặc optional.
o Một interface vlan khi chưa được gắn tag thì không thể gửi và nhận lưu
lượng cho vlan external.
o Số lượng tối đa vlan có thể tạo được được chỉ địng trong feature Firebox
3.7. Multi-WAN
Nếu chỉ có một kết nối giữa external với internet thì sẽ không đảm bảo cho chúng ta khi có
trường hợp sự cố sảy ra giữa firebox và nhà mạng. Chí vì thế tính năng multi-wan cho
phép bạn có các kết nối dự phòng, bạn có thể câu hình cho giao diện external, mỗi giao
diện ứng với một lớp mạng con khác nhau. Điều này giúp ta có thể kết nối firebox với
nhiều nhà cung cấp mạng (ISP). Khi chúng ta cấu hình giao diện external thứ 2, thì túng
năng multi-wan được tự động bật lên.
 Một số ghi chú
o Nếu bạn có cấu hình một policy với một đối tượng nào đó được áp đặt lên giao diện
external thì bạn cần phải thay đổi cấu hình để có thể sử dụng được Any-External
hoặc bạn có thể sử dụng tùy chọn khác. Nếu không làm có thể một số kết nối bị
chăn do chính sách.
o Để sử dụng Multi-wan, bạn phải sử dụng chế độ mixed routing mode để cấu hình
mạng của mình, 2 chế độ còn lại không hoạt động được.
4. Policy
Chính sách (policy) bảo mật của một tổ chức là tập hợp các định nghĩa để bảo vệ mạng
máy tính và thông tin của bạn. Khi một chính sách được thêm vào cấu hình Firebox, bãn
sẽ thêm một bộ quy tắc thông qua Firebox cho phép hoặc từ chối lưu lượng dựa trên các
yếu tố như nguồn và đích của gói tin hoặc cỏng tcp/udp, ip hoặc giao thức của gói tin.
 4.1. Thêm chính sách vào cấu hình.
Cấu hình chính sách của Firebox bao gồm một bộ chính sách mặc định và các mẫu chính
sách được xác định trước. Khi bạn muốn thêm một chính sách, bạn chọn mẫu chính sách
có sẵn. Mẫu chính sách nào là bộ lọc gói hay chính sách proxy và xác định các cổng và
giao thức mà chính sách áp dụng. Sau khi sử dụng mẫu chính sách để thêm vào chính sách
mới, bạn có thể định cấu hình các thuộc tính chính sách khác, chẳng hạn như dịch vụ,
QoS….
Có thể thêm hai loại chính sách vào cấu hình Firebox.
 Firewall policy: Lọc lưu lượng truy cập thông qua tường lửa dựa trên cổng và
giao thức.
 Mobile VPN với IPSec policy: Lọc lưu lượng thông qua tường lửa cho các
thành viên của Mobile VPN với IPSec group.
Sau khi đã thêm chính sách vào cấu hình, tiếp theo phải sác định quy tắc để:
 Xác định nguồn và đích được cho phép
 Bật dịch vụ bảo mật
 Cấu hình các quy tắc bộ lọc trong các hành động proxy
 Cấu hình các thuộc tính như quản lý traffic, NAT, cài đặt log.
4.2. Policy manager
Policy manager là một công cụ phần mềm Watchguard cho phép tạo, chỉnh sửa các tệp cấu
hình. Khi sử dụng policy manager bạn sẽ thấy phiên bản của Firewall OS sử dụng.
Policy Manager gồm hai tab:
 Firewall: Bao gồm các chính sách được sử dụng cho lưu lượng chung trên
firewall.
 Mobile VPN with IPSec: Bao gồm các chính sách được sử dụng với Mobile
VPN with IPSec tunnel.
 Policy icons
Chúng ta có thể double-click vào icon để có thể chỉnh sửa policy.
  Các chính sách được kích hoạt cho phép lưu lượng truy cập xuất hiện dấu
tích màu xanh lục.
 Các chính sách được kích hoạt từ chối lưu lượng truy cập xuất hiện dấu X
mày đỏ.
 Các chính sách bị vô hiệu hóa có một vòng tròn màu đen.
 Biểu tượng khiên là các chính sách proxy.
Máu sắc các chính sách cũng phản ánh được ý nghĩa của nó.
 Chính sách quản lý có màu xám.
 Chính sách BOVPN (Branhch Office VPN) có mày xanh lá cây.
 Chính sách BOVPN kết hợp với firewall hỗn hợp có màu xanh lam.
 Các chính sách còn lại là có màu đen.
4.3. Proxy Policies and ALGs
Như chúng ta đã biết thì filter packet là kiểm tra về địa chỉ ip, giao thức tcp/udp,
còn đối với proxy thì nó giám sát và quét toàn bộ các kết nối còn Application Layer
Gateway (ALGs) cung cấp quản lý kết nối minh bạch bên cạnh cùng với chức năng proxy.
Các chính sách Proxy và ALG kiểm tra các lệnh được sử dụng trong các kết nối để đảm
bảo chúng theo đúng cú pháp, đúng thứ tự và còn sử dụng để kiểm tra nội dung để đảm
bảo an toàn.
Một chính sách proxy hoặc ALG mở từng dói tin theo thứ tự, loại bỏ phần header, và kiểm
tra payload của gói tin. Một proxy sau đó ghi lại thông tin mạng và gửi nó đến dích, trong
khi đó ALG thì khôi phục thông tin mạng ban đầu và chuyển tiếp gói tin. Chính vì thế mà
proxy hay ALG có thể thấy nội dung bị cấm hoặc độc hại bị ẩn trong payload. Nếu firebox
có kích hoạt các tính năng như Gateway Antivirus, IPS, sapmBlocker, WebBlocker thì có
thể áp dụng dịch vụ này để quản lý lưu lượng truy cập.
Cấu hình Proxy
Giống như filter packet, chính sách proxy cũng bao gồm các tùy chọn phổ biến để quản lý
lưu lượng mạng, bao gồm các tính năng như quản lý lưu lượng scheduling. Các cài đặt này
được cấu hình với các quy tắc hoặc nhóm tùy chọn khớp với một hành động được chỉ định.
Khi đã hoàn tất việc cài đặt các tùy chọn cấu hình trong proxy, có thể lưu tùy chọn đó dưới
dạng proxy do người dùng xác định và sử dụng nó với các proxy khác.
Firewall hố trợ các bộ chính sách proxy cho nhiêu gia thức phổ biến ví dụ như: DNS,
HTTP, HTTPS, POP3 SMTP, FTP, TCP-UDP ….
4.4. Policy views

4.5. Policy precedence

Firebox tự động sắp xếp các chính sách từ chi tiết nhất đến tổng quát. Nó so sánh thông tin
trong gói tin với danh sách các quy tắc trong chính sách, nếu phù hợp với các điều kiện
trong quy tắc thì gói tin được áp dụng. Nếu mức chi tiết của hai chinh sách bằng nhau, thì
chính sách proxy luôn được ưu tiên hơn chính sách lọc gói.
Automatic Policy Order (Sắp xếp chính sách tự động): Firebox tự động ưu tiên
cao nhất cho các chính sách cụ thể nhất và ưu tiên thấp nhất cho các chính sách ít cụ thể.
Nó kiểm tra tính đặc hiệu các tiêu chí trong chính sách. Nếu không thể sác định quyền ưu
tiên từ tiêu chí đầu tiên, chuyển sang tiêu chí thứ 2, …. Các tiêu chí đánh giá sự ưu tiên
được kiểm tra theo thứ tự sau:
 1 – Chính sách cụ thể
2 – Giao thức được đặt cho loại chính sách
3 – Quy tắc lưu lượng của To list
4 – Quy tắc lưu lượng của From list
5 – Action được áp dụng cho chính sách
6 – Lên lịch áp dụng cho chính sách
7 – Trình tự chữ và số dựa trên loại chính sách
8 - Trình tự chữ và số dựa trên tên chính sách
 Policy Specificity and Protocol (Chính sách cụ thể và giao thức): Để biết được chính
sách nào chi tiết hơn chính sách nào, cần phải có một tiêu chí đánh giá so sánh giữa 2
chính sách cho đến khi nhận được kết quả hai chính này bằng nhau hoặc chính sách này
chi tiêt hơn chính sách kia.
1 – Any luôn là chính sách có quyền ưu tiên thấp nhất
2 – Kiểm tra số lượng của giao thức TCP 0(any) hoặc UDP 0(any), chính sách với
số lượng nhỏ hơn có quyền ưu tiên cao hơn.
3 – Kiểm tra số lượng cổng duy nhất cho giao thức TCP và UDP, chính sách nào
với số lượng nhỏ hơn có quyền ưu tiên cao hơn.
4 – Thêm số lượng cổng TCP và UDP duy nhất, chính sách nào với số lượng nhỏ
hơn có quyền ưu tiên cao hơn.
5 – Điểm các giao thức dựa trên giá trị giao thức IP của nó, chính sách nào có điểm
nhỏ hơn có quyền ưu tiên cao hơn.
 Nếu firebox không thể đánh giá được mức độ ưu tiên khi so sánh tính đặc hiệu
của các chính sách và giao thức, thì nó sẽ kiểm tra đến các quy tắc traffic rules.
 Traffic Rules: Firebox sử dụng tiêu chí này để so sánh traffic rule chung nhất của một
chính sách với traffic rule chung nhất của chính sách thứ hai. Nó chỉ định mức độ ưu
tiên cao hơn cho chính sách với traffic rule thông tin chi tiết hơn.
1 – Địa chỉ Host
2 – Giải địa chỉ IP (nhỏ hơn mạng con được so sánh)
3 – Subnet
 4 – Giải địa chỉ IP (lớn hơn mạng con được so sánh)
5 – Xác thực user name
6 – Xác thực nhóm
7 – Interface, Firebox
8 – Any – external, Any – trusted, Any – optional
9 – Any
 Nếu Firebox không thể xác định quyền ưu tiên khi so sánh các traffic rules, thì
nó sẽ kiểm tra đến Firewall Action.
 Firewall Action: Ưu tiên của firewall action từ cao đến thấp là:
1 – Denied (send reset)
2 – Allowed proxy policy
3 – Allowed packet-filter policy
 Nếu Firebox không thể xác định quyền ưu tiên khi so sánh firewall action, thì nó
sẽ kiển tra đến Schedules.
 Schedules: Ưu tiên của Schedules từ cao đén thấp là:
1 – Always off
2 – Somtime on
3 – Always on
 Nếu Firebox không thể xác định quyền ưu tiên khi so sánh Schedules, thì nó sẽ
kiển tra đế loai chính sách và tên.
 Policy Types and Names: Nếu tất các các điều kiện xét ở trên mà vẫn không thể xác
định được độ ưu tiên của chính sách thì firebox sẽ sắp xếp trình tư chính sách theo trình
tự chữ cái và số. Đầu tiên , nó sẽ xem xét loại chính sách, sau đó sẽ xem tới tên chinh
sách, vì không thể có chính sách nào có thể trùng cả tên và loại được.
Ngoài việc sắp xếp quyền ưu tiên theo mặc định ra, firebox còn có thể xét quyền ưu
tiên theo tùy chỉnh hay ns cách khác là thủ công. Nhưng phương pháp này không
được khuyến nghị sử dụng, nếu sử dụng thì phải chú ý rằng hãy đảm bảo kiểm tra
thứ tự một cách cẩn thận.
 4.6. Aliases
Alias là một thuật ngữ dùng để xác định một nhóm hosts, mạng, hoặc interface. Chúng ta
có thể tạo các Alias để chỉ định một nhóm nào mà chúng ta chỉ định để quản lý nó thông
qua firebox. Chúng ta có một số alias mặc định mà có sẵn để sử dụng như:
 Any: Bất kỳ đối tượng nào đang nói tới.
 Firebox: Tất cả các interface của firebox.
 Any – Trusted: Bất kỳ mạng nào có thể truy cập thông qua interface trusted.
 Any – External: Bất kỳ mạng nào có thể truy cập thông qua interface external.
 Any – Optional: Bất kỳ mạng nào có thể truy cập thông qua interface optional.
Các alias any-trusted, any-external, any-optional không bao gồm các địa chỉ ip
trên các interface đó.
 Any – BOVPN: Sử dụng trong bất kỳ BOVPN (IPSec) tunnel. Trong khi sử dụng
policy BOVPN thì các aliases .in và .out được tự động tạo thêm để chị định đường
hầm đến và đi.
 WG – Wireless – Access – Point1: Chỉ đinh Access Point 1
 WG – Wireless – Access – Point2: Chỉ đinh Access Point 2
 WG – Wireless – Access – Point3: Chỉ đinh Access Point 3
 WG – Wireless – Guest:
5. Application control
5.1. Identifile Applications
Các phương pháp để xác định những lưu lượng nào liên quan đến các ứng dụng:
 Khớp với các mẫu đơn giản của các mẫu trong gói tin
 Dựa trên các port ở Layer 4 để xác định được một số giao thức phổ biến
tương ứng với port của nó
 Kiểm tra chứng chỉ SSL được sử dụng.
 Xác định các hành vi tương quan từ các dấu hiệu liên quan.
 Có những ứng dụng khá phức tạp và có những ứng dụng không nằm trong
danh mục hỗ trợ của hãng, thì chúng ta phải có những phương pháp xác định
 những dấu hiệu riêng của gói tin liên quan đến ứng dụng. Sau đó áp đặt vào
các policy để chăn.
5.2. Nguyên tắc sử dụng Application Control trong Policy
Để quản lý một ứng dụng, chúng ta cần phải bật Application Control trên tất cả các Policy
mà ứng dụng đó sử dụng. Nhưng chú ý răng chúng ta không nên bật Application control
trên tất cả các Policy, vì như vậy sẽ làm giảm hiệu suất sử lý của firewall.
Nên bật Application control trên các policy:
 Các lưu lượng đi ra sử dụng HTTP, HTTPS.
 Các policy VPN sử dụng 0.0.0.0/0.
 Bất kỳ chính sách nào bạn không chắc chính sách được sử dụng như thế nào.
 Các chính sách sử dụng giao thức Any.
 Các chính sách sử dụng bí danh Any - *.
5.3. Dfgf

6. Fđ

7. Sfds
8.