Sophos XG Firewall Cấu hình Hotspot với SMS Gateway

Posted onAuthorTrung Truc TranLeave a comment

Sophos XG Firewall Cấu hình Hotspot với SMS Gateway

Xin chào các bạn, trong bài post này mình sẽ hướng dẫn cách cấu hình Hotspot tích hợp với SMS Gateway.

Tình huống sử dụng: Khách hàng truy cập Wifi, sau khi đã kết nối AP thì trình duyệt sẽ mở giao diện hotspot. Khi người dùng đã chấp nhận thỏa thuận sử dụng sẽ được chuyển đến màn hình đăng nhập Captive Portal, tại đây khách hàng có tùy chọn tạo tài khoản bằng cách sử dụng số điện thoại di động, tài khoản sau khi được tạo sẽ gửi vào điện thoại của khách hàng.

XG Firewall sẽ tích hợp với dịch vụ SMS Gateway Me, máy chủ SMS Gateway Me sẽ điều khiển điện thoại Android gửi tài khoản cho khách hàng.

1/ Hotspot Settings:

Snap 2016-07-08 at 13.28.13

Mở mục System => Authentication => Hotspot Settings

Snap 2016-07-08 at 13.30.42

Tùy chọn theo nhu cầu, do chúng ta không có nhu cầu sử dụng tính năng voucher cho hotspot nên bật hoặc tắt không quan trọng.

Ở đây chúng ta cũng có thể tùy chọn certificate cho hotspot

Snap 2016-07-08 at 13.30.57

Mục Allow Hosts/Networks cho phép tùy chọn các máy hoặc mạng được phép kết nối đến hotspot

Bạn cũng có thể download mẫu Login page để tùy chọn hoặc thiết kế riêng giao diện cho hotspot (HTML)

2/ Hotspot:

Snap 2016-07-08 at 13.32.10

Truy cập mục System => Authentication => Hotspots

Snap 2016-07-08 at 13.32.41

Click Add để tạo hotspot, chúng ta có thể tạo nhiều hotspot cho các mạng khác nhau

Snap 2016-07-08 at 13.33.10

Đặt tên cho hotspot và card mạng tương ứng với hotspot,ở đây port 1 của mình ứng với mạng LAN, với tường lửa có nhiều cổng mạng các bạn có thể gán mỗi cổng tương ứng với mỗi mạng khác nhau. Vd Port 2 (Wifi1) Port 3 (Wifi2) Port 4 (DMZ)…

Snap 2016-07-08 at 13.33.31

Thiết lập bảo mật cho hotspot, ở đây mình chỉ chọn policy cho chức năng Web Protection

Snap 2016-07-08 at 13.37.34

  • Hotspot type, chúng ta có 3 loại: Terms of use Acceptance, -Password of the day hoặc Voucher. Ở đây mình chọn Terms of use Acceptance để phù hợp với bài viết.
  • -Session expires, cho phép session hết hạn trong bao lâu
  • -Terms of use: Nhập nội dung thỏa thuận sử dụng theo yêu cầu

Redirect to URL after login: On

Ở đây mình chọn redirect đến trang captive portal của firewall sau khi người dùng chấp nhận thỏa thuận sử dụng, nếu trường hợp sử dụng voucher hoặc Password of the day, có thể cấu hình trang web khác để chuyển đến tự động chẳng hạn Google hoặc Facebook hoặc web công ty…

Bạn cũng có thể tùy chọn hotspot bằng cách sử dụng HTML bằng cách bật tính năng Customization

3/ Guest User Settings:

Snap 2016-07-08 at 13.38.51

Truy cập System => Authentication => Guest User Settings

Snap 2016-07-08 at 13.40.28

Tùy chọn cho tài khoản khách, độ dài mật khẩu, mức độ phức tạp, nhóm và có tự động xóa tài khoản khách sau khi hết hạn hay không

Snap 2016-07-08 at 13.41.18

Bật Enable Guest Users Registration để cho phép khách có thể tự tạo tài khoản cho mình

  • SMS Gateway chọn đúng sms gateway cần sử dụng, trong trường hợp bài hướng dẫn là SMS Gateway Me
  • Guest Username sử dụng số điện thoại của khách làm username hay không
  • Thời hạn của tài khoản
  • Mã quốc gia mặc định
  • Bật tính năng captcha hay không?

Snap 2016-07-08 at 13.41.43

Mục SMS Gateway liệt kê các SMS gateway đã tích hợp trong hệ thống

Snap 2016-07-08 at 13.43.13

Thiết lập SMS Gateway Me

Các bạn lưu ý thiết lập chính xác vì nếu sai thì sẽ không sử dụng được hoặc báo lỗi

Các mục có dấu * cần phải có, các bạn có thể tham khảo ảnh trên để tự điền cho chính xác.

4/ Captive Portal:

Snap 2016-07-08 at 13.44.32

Truy cập System => Authentication => Captive Portal

Snap 2016-07-08 at 13.47.20

Thiết lập các thông tin cho captive portal theo nhu cầu

Snap 2016-07-08 at 13.50.38

Tương tự hotspot, bạn cũng có thể tùy chọn Captive Portal bằng cách sử dụng HTML

5/ Policies

Sau khi đã thiết lập hotspot, sms gateway và captive portal, chúng ta tiến hành cấu hình policy nhằm quản lý truy cập mạng.

Snap 2016-07-08 at 13.52.35

Sau khi bạn tạo hotspot ở mục trước, phần Policies sẽ tự động tạo một rule tương ứng cho hotspot đó

Snap 2016-07-08 at 13.54.01

Rule name có thể giữ nguyên hoặc đổi theo yêu cầu
Mục Match rule based on user identity => On
Nhóm người dùng là Guest User

Snap 2016-07-08 at 13.54.23

Mục Source phần Network thể hiện ##Hotspot, bạn cũng có thể thêm các mạng khác nếu muốn sử dụng chung rule này

Snap 2016-07-08 at 13.54.41

Destination zone là WAN và network là Any

Action => Accept => cho phép truy cập

Snap 2016-07-08 at 13.55.12

Bật NAT Masquerading

Snap 2016-07-08 at 13.55.40

Tùy chọn malware scanning cho HTTP và FTP
Nếu muốn bật HTTPS bạn cần phải cấu hình certificate để user không hiển thị lỗi khi truy cập web https

Policy bật web filter theo profile sẵn có

Snap 2016-07-08 at 13.56.06

Click Save để lưu các thiết lập

Snap 2016-07-08 at 13.52.35

Để tự động điều hướng các truy cập chưa được phép về captive portal, các bạn tạo thêm 1 rule drop như ảnh ngay bên dưới rule Hotspot

6/ Người dùng truy cập:

Về phần firewall chúng ta đã cấu hình hoàn tất, bây giờ chúng ta dùng một máy client để kiểm tra

Snap 2016-07-08 at 14.01.35

Khi người dùng kết nối mạng và truy cập web, màn hình trình duyệt sẽ hiện hotspot như ảnh.

Snap 2016-07-08 at 14.01.54

Màn hình thông báo login thành công và tự động chuyển đến captive portal

Snap 2016-07-08 at 14.02.53

Tại Captive portal, người dùng có tùy chọn tạo tài khoản để truy cập Internet

Snap 2016-07-08 at 14.07.21

Như vậy chúng ta đã hoàn tất cách thức để thiết lập Sophos XG Firewall , Hotspot, Captive Portal và SMS Gateway

Chúc các bạn thành công

Leave a Reply