Bài viết này sẽ hướng dẫn các bạn tạo vùng DMZ bằng cách sử dụng VLAN và Firewall rule trên thiết bị Meraki MX Security. Trong ví dụ này, network sẽ chia làm 2 vùng theo mô hình ví dụ phía dưới. Internal : chứa các thiết bị của client, không thể truy cập từ internet, nhưng có thể kết nối ra bên ngoài. DMZ : chứa các máy chủ chạy các dịch vụ cho phép truy cập từ intrenet. Trong vùng DMZ có một web server, có thể truy cập được bởi internal client và các host ngoài internet. Tuy nhiên ta chỉ cho phép web traffic . 1. Phân đoạn network bằng VLAN : - Đi đến Configure > Addressing & VLANs. - Chắc chắn Mode đang được thiết lập là Routed. - Enable VLAN nếu nó chưa được enable. - Tạo VLAN Internal và DMZ. - Chắc chắn port kết nối đến switch phía dưới được cấu hình cho phép 2 VLAN, trong ví dụ này VLAN 1 (Internal) là vlan native và untag, VLAN 2 (DMZ) được tag. Đảm bảo switch phía dưới cũng được cấu hình đúng. - Chọn Save Changes để lưu lại. 2. Hạn chế lưu lượng giữa các VLAN bằng Firewall rule : - Đi đến Configure > Firewall. - Phía dưới Outbound rules, thêm các rule như sau Cho phép TCP:80 traffic từ Internal VLAN đến web server. Cho phép TCP:443 traffic từ Internal VLAN đến web server. Cấm tất cả các traffic khác từ Internal VLAN đến web server. Cấm tất cả các traffic từ DMZ VLAN đến Internal VLAN. - Chọn Save Changes để lưu lại. - Sau khi hoàn tất các rule sẽ cho phép : Internal clients và DMZ servers kết nối với internet. Internal clients có thể truy cập các tài nguyên web trên web server. - Trong khi sẽ ngăn : Internal clients truy cập các tài nguyên khác trên web server (VD : SSH hoặc FTP) DMZ servers truy cập internal clients, trừ khi reply. Internet hosts truy cập internal clients. - Cuối cùng để có thể cho internet host truy cập web server bạn cần cấu hình port forwarding, có thể xem cách cấu hình tại bài viết này. !!! Cám ơn các bạn đã theo dõi bài viết !!!
