Hỏi đáp mục Network Security

Hỏi: (BM-500): Tôi quên mật khẩu của BM-500, tôi phải làm gì?

TL: Bấm nút khởi động lại ở trên mặt bên của máy để khởi động lại các cài đặt về mặc định của nhà sản xuất. Chú ý là các cấu hình sẽ bị mất và bạn cần phải cấu hình lại.

Hỏi: (CS-2001): Tôi không thể thiết lập một mạng riêng ảo Web/SSL?

TL: Hãy chú ý rằng là nếu khách hàng có cài đặt sẵn Java Runtime Environment trong Control Panel của PC thì chính người đó là admin của PC. CS-2001 có trợ giúp Java Runtime Environment phiên bản 6.15 trở lên.

Hỏi: (VRT-420N) Làm thế nào để cài đặt đường hầm mạng riêng ảo (VPN) của VRT-420N?

Hỏi: (XRT-401F) Làm sao để cấu hình đặc quyền cho các cổng LAN khác nhau?

TL: Mỗi cổng của XRT-401F có thể có đặc quyển của riêng nó trong các cài đặt VLAN.

Trong hình phía dưới, kích vào LAN rồi chọn VLAN Port Settings.

Sau đó chọn cổng tô màu vàng như bên dưới, cài đặt đặc quyền tương ứng. XRT-401F sẽ dựa trên các đặc quyền đó để xử lý các gói dữ liệu.

Theo như hình bên dưới, Port 1 và 5 (WAN Port) sẽ có đặc quyền cao nhất cho nên các Port này có thể được dùng để kết nối với các dịch vụ như thoại chẳng hạn.

Và Port 2 có đặc quyền xếp thứ hai, nó có thể kết nối với các dịch vụ như Video.  Các cổng còn lại sẽ có đặc quyền thấp nhất và dành cho truy nhập Internet.

Hỏi: (XRT-410F) Làm thế nào để cài đặt VLAN nếu mà tôi muốn tách 4 cổng LAN không truy xuất được nhau và đều có thể truy nhập Internet?

TL: Ở mặc định, tất cả các cổng LAN đều thuộc về VLAN 1 (hoặc trong chế độ VLAN Disable). 4 Port có thể thấy nhau do cùng trong một VLAN.

Tuy nhiên, nếu bạn muốn chia 4 cổng thành 4 nhóm khác nhau chẳng hạn như 4 phòng khác nhau thì bạn có thể cài đặt VLAN như bên dưới. Các nhóm khác nhau thì với các bộ phận VLAN khác nhau. Vì thuộc về các VLAN khác nhau nên các Port 1 đến 4 không thể giao tiếp với nhau và tất cả chúng có thể truy nhập Internet

Hỏi: (XRT-401F) ĐIều gì xảy ra nếu cài đặt chế độ Router sang chế độ Bridge?

TL: Ở mặc định XRT-401F là một Router tường lửa NAT. Và trong trang cài đặt Admin, có một lựa chọn gọi là Function Mode. Và chế độ định sẵn sẽ là Router.

Tuy nhiên, nếu bạn cài đặt chế độ là Bridge, XRT-401F sẽ trở thành một Switch 5 cổng (WAN sẽ ở Port #5).

Bạn có thể vẫn dùng địa chỉ IP LAN để xem trang Web cài đặt của XRT-401F. Tuy nhiên sẽ không có bất kỳ một chức năng Router nào nữa. Theo đó, tất cả các Router liên quan đến các dịch vụ như NAT, Firewall, Routing... sẽ không còn phù hợp nữa.

Vào cùng thời điểm, nó sẽ hỗ trợ VLAN dựa trên 802.1q như một đặc tính add-on. Nó có thể được coi như là một Switch thông minh 5 cổng Web.

Sự giới hạn duy nhất cho Switch thông minh 5 cổng này là nó chỉ có thể được quản lý trong cùng một IP Subnet. Planet sẽ không gia tăng giới hạn này do đó là chức năng chính của XRT-401F, Router Internet băng rộng.

Hỏi: Tôi có thể điều khiển lưu lượng theo các hướng không?

TL: Có. Bộ quản lý băng thông của Planet điều khiển lưu lượng từ nội bộ ra ngoài và từ ngoài vào,cho phép bạn điều khiển hoàn toàn lưu lượng theo một hoặc cả hai hướng thông qua một giao diện với một nhập liệu vào bảng đơn.

Hỏi: Liệu tôi có thể tạo ra các người dùng theo yêu cầu trên WSG-404 mà không có Tickets Printer (WSG-ACG4)?

TL: Được. Bạn có thể tạo ra người dùng theo yêu cầu bằng Web management.

Hỏi: Tôi có thể ẩn wireless ESSID của WSG-404?

TL: Được. Bạn có thể vô hiệu hóa chức năng SSID Broadcast trong Wireless Configuration.

Hỏi: Tôi có thể sử dụng WSG-ACG hoặc WSG-ACG3 (Ticket Printer) hoạt động cùng với WSG-404?

TL: Không. Nó không thể hoạt đông với WSG-ACG hoặc WSG-ACG3. Nó chỉ có thể hoạt động cùng với WSG-ACG4

Hỏi: LB-8000 có thể tải các ứng dụng cân bằng theo dòng?

TL: Có. LB-8000 có thể cân bằng các giao thức theo dòng như RTSP (Real Media Streaming) và MMS (Window Media Streaming).

Hỏi: LB-8000 có thể tải cân bằng Firewall hay VPN không?

TL: LB-8000 không hỗ trợ cân bằng tải tường lửa và VPN.

Hỏi: FRT-401N, FRT-401NS15 và FRT-405N có hỗ trợ WPS (Wifi Protected Setup) không?

TL: Có. Chuỗi các sản phẩm FRT-40xN có hỗ trợ nút WPS trên mặt bên để dễ dàng kết nối an ninh mạng không dây. Bạn cũng có thể trình diện WPS thông qua Web Management.

Hỏi: CS-2000 có cần phải trả phí cho việc sử dụng và nâng cấp Anti-Virus không?

TL: CS-2000 cung cấp hai công cụ quét virut là Clam và Sophos.

Clam thì miễn phí sử dụng và nâng cấp. Bạn không cần phải trả phí khi sử dụng nó.

Sophos là một công cụ chống virut thương mại. Bạn cần phải trả phí hằng năm cho việc sử dụng và nâng cấp nó.

Nếu bạn muốn sử dụng Sophos, hãy liên hệ với nhà phân phối để xem giá cả.

Bạn chọn Virus Scan Engine trong Mail Security >> Anti-Virus >> Setting Menu. Cài đặt mặc định là Clam.

Hỏi: LB-8000 có hỗ trợ chế độ chủ động và bị động của FTP trong chế độ NAT không?

TL: Có. Bạn không cần phải bật liên tục để đảm bảo phiên dữ liệu theo sau phiên điều khiển đã được thiết lập trước, nghĩa là chức năng cân bằng tải của LB-8000 làm việc tốt trong môi trường FTP.

Hỏi: WSG có hỗ trợ Twin Tickets không?

TL: Có. Nó hỗ trợ Twin Tickets được in bởi WSG-ACG4.

Hỏi: Từ giao diện mạng nào tôi có thể enter để cấu hình cho LB-8000, từ phía WAN hay LAN?

TL: Bạn có thể cấu hình cho LB-8000 thông qua cổng WAN hoặc LAN. Tuy nhiên, hãy chú ý là chỉ có một User được cho phép truy nhập Web GUI tại một thời điểm.

Hỏi: Tôi có thể xáy dựng cáp nối tiếp cảu riêng mình không?

TL: Bạn nên xây dựng cáp nối tiếp của riêng bạn theo hình dưới

Hỏi: Tôi có thể quản lý lưu lượng và lưu các báo cáo trong BM-2101 thế nào?

TL:  Kích Monitor/Accounting Report/ Setting. Bạn có thể kích hoạt các chức năng mà bạn muốn quản lý như User, Site, hoặc Service trong phần cài đặt. Sau khi làm những việc này, bạn có thể kích nút Download và lưu các báo cáo trong PC.

Hỏi: Làm thế nào đẻ setup một đường hầm SSL VPN trong SG-500?

Hỏi: Cấu hình LB-8000 như thế nào?

TL: Bạn có thể cấu hình LB-8000 thông qua GUI hoặc CLI.

Để truy nhập web GUI, bạn cần có JRE (Java Runtime Environment) 1.4.0 đã cài đặt trên trình duyệt của bạn. Trong lần đầu bạn truy nhập web GUI, LB-8000 sẽ tự động cài đặt JRE trên trình duyệt của bạn nếu thiết bị đầu cuối của bạn kết nối với Internet.

Bên cạnh đó, bạn có thể cài đặt LB-8000 thông qua CLI (Command Line Interface) bằng cổng Console, Telnet hoặc SSH.

Hỏi: VRT ngăn chặn Ping of Death và các tấn công hiểm độc SYN flood như thế nào?

TL: VRT-401 dựa trên cơ sở công nghệ Stateful Packet Inspection. Nó phân phát đầy đủ khả năng tường lửa. đảm bảo an toàn mạng ở mức cao hơn.

Inspection Module của VRT sẽ phân tích tất cả các lớp truyền thông dạng gói và rút ra các truyền thông liên quan và thông tin trạng thái ứng dụng. Inspection Module hiểu và có thể học bất kỳ một giao thức và ứng dụng nào. Bằng cách sử dụng các công nghệ mềm dẻo,các yêu cầu của khách hàng có thể được thỏa mãn.

Hỏi: Có bao nhiêu Policy entry có thể được giải quyết bởi mỗi bộ quản lý băng thông của Planet?

TL: với BM-500, số Policy Entry lớn nhất có thể đưa ra là 100 và 50 cho đưa vào.

Với BM-2002, số Policy Entry lớn nhất được chứa trong tổng số Host Catalog và Service Catalog  và Policy trên 265. Ví dụ, nếu Host Catalog và Service Catalog với 40 và 10 entry tương ứng thì Policy có chỗ trống cho 256 -40-10=206. Hoặc với BM2010/BM-2010A và cả BM-2100 có tương ứng 512, 1024.

Hỏi: thực tế thì LB-8000 có thể hỗ trợ bao nhiêu server?

TL: không có sự giới hạn số Server. Tuy nhiên, lưu ý rằng mạng có thể trở thành nút thắt cổ chai nếu nhiều Server làm việc với nhau cùng một thời điểm. Thông thường, không nên để quá 255 Server trong một nhóm.

Hỏi: Làm thế nào để xây dựng một đường hầm VPN giữa ERT-805 và VRT-311/311S?

TL: Giả định chúng ta có -805 và VRT-311/311S cài đặt như sau:

LAN_A --- ERT-805_1 --- ERT-805_2 --- VRT-311S --- LAN_B

Nơi LAN A sẽ tạo một đường hầm tới LAN B

ERT-805_1:
LAN IP: 192.168.0.254/24
WAN IP: 10.0.0.1/30

ERT-805_2:
LAN IP:192.168.2.254/24
WAN IP:10.0.0.2/30

VRT-311S:
LAN IP: 192.168.1.254
WAN IP: 192.168.2.253

Chúng ta có ERT-805_1 với cài đặt sau:

ERT805_1# show run
Building configuration ...
service password-encryption
service timestamps debug
! hostname ERT805_1
! crypto ipsec transform-set TOVRT esp-3des esp-md5-hmac
description To_VRT311
mode tunnel
initialization-vector size 8
!
crypto map MAP1 1 ipsec-isakmp
description To_VRT311
set transform-set TOVRT
set peer 192.168.2.253
match address 100
!
crypto isakmp policy 1
authentication pre-share
encryption 3des
group 1
hash md5
!
crypto isakmp key 12345678 address 192.168.2.253 255.255.255.0
! interface fastethernet 0/0
ip address 192.168.0.254 255.255.255.0
!
interface serial 0/0
encapsulation ppp
ip address 10.0.0.1 255.255.255.252
crypto map MAP1
!
interface async 0/0
!
router rip
version 2
network 192.168.0.0
network 10.0.0.0
!
line vty 0 31
!
ip route 192.168.2.0 255.255.255.0 serial 0/0
ip route 192.168.1.0 255.255.255.0 serial 0/0
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
end
ERT805_1#wr

Chúng ta có ERT-805_2 với cài đặt sau:

ERT805_2# show run
Building configuration ...
service password-encryption
service timestamps debug
! hostname ERT805_2
! interface fastethernet 0/0
ip address 192.168.2.254 255.255.255.0
!
interface serial 0/0
encapsulation ppp
ip address 10.0.0.2 255.255.255.252
clockrate 2048000
!
interface async 0/0
!
router rip
version 2
network 192.168.2.0
network 10.0.0.0
!
line vty 0 31
!
ip route 192.168.2.0 255.255.255.0 192.168.2.253
ip route 192.168.0.0 255.255.255.0 serial 0/0
!
end
ERT805_2#wr

Chúng ta có cài đặt của VRT-311S với hai hình sau.

Sau khi lưu lại ba cấu hình trên, ERT-805_1 có thể tạo ra đường hầm VPN tới VRT-311S. Nếu có bất kỳ hoạt động nào từ LAN A sang LAN B, các trạng thái VPN có thể được tìm thấy từ Trạng thái VPN của VRT-311 hoặc với câu lệnh: ¡§sh crypto ipsec sa¡¨ from router ERT-805_1

Hỏi: làm thế nào để thiết lập một đường hầm IPSec VPN trong MH-2001 với VRT-311/VRT-311S?