Tweet
Tab Access Interfaces là nơi bạn định nghĩa các tham số liên quan đến interface và tunnel settings cho Remote Access VPN. Đây là bước quan trọng sau khi hoàn thành wizard, vì nó xác định cách người dùng sẽ thiết lập kênh VPN bảo mật đến thiết bị headend.
1. Giao thức Tunnel (SSL/TLS, DTLS, IPSec-IKEv2)
Trong wizard, bạn đã chọn giao thức nào được kích hoạt. Ví dụ thường thấy:
Nếu muốn thay đổi, chỉ cần nhấn biểu tượng pencil và chọn lại giao thức phù hợp.
2. Alias & Connection Profile
Trong phần Access settings, có tùy chọn cho phép người dùng chọn Connection Profile dựa trên Alias.
3. Cấu hình SSL Settings
4. Bypass Access Control Policy
Ở cuối cửa sổ có tùy chọn cho phép decrypted RAVPN traffic bypass Access Control Policy.
✅ Kết luận: Tab Access Interfaces không chỉ là nơi bật/tắt giao thức tunnel mà còn gắn liền với các quyết định quan trọng về bảo mật, giám sát và tuân thủ chính sách. Nếu cấu hình sai (ví dụ: bật bypass + split tunneling), bạn có thể vô tình biến VPN thành backdoor vào hệ thống nội bộ.
1. Giao thức Tunnel (SSL/TLS, DTLS, IPSec-IKEv2)
Trong wizard, bạn đã chọn giao thức nào được kích hoạt. Ví dụ thường thấy:
- SSL (TLS) và DTLS được bật.
- IPSec-IKEv2 để trống (disabled).
Nếu muốn thay đổi, chỉ cần nhấn biểu tượng pencil và chọn lại giao thức phù hợp.
Lưu ý chuyên sâu:
- SSL/TLS (trên TCP) thích hợp khi kết nối qua firewall/proxy chặt chẽ.
- DTLS (trên UDP) tối ưu hơn cho các ứng dụng real-time (VoIP, video, RDP) vì giảm độ trễ.
- IPSec-IKEv2 thường được yêu cầu trong các tổ chức có compliance hoặc chính sách đặc thù.
2. Alias & Connection Profile
Trong phần Access settings, có tùy chọn cho phép người dùng chọn Connection Profile dựa trên Alias.
- Đây là yêu cầu bắt buộc nếu bạn dùng SSL RAVPN.
- Alias giúp phân tách người dùng theo phòng ban/nhóm, mỗi nhóm có thể dùng AAA server và chính sách khác nhau.
3. Cấu hình SSL Settings
- Cho phép thay đổi TCP/UDP port mà tunnel SSL sử dụng.
- Thực tế thường để mặc định (TCP/443, UDP/443).
- Chỉ thay đổi khi có yêu cầu đặc biệt (ví dụ: tránh xung đột dịch vụ khác, hoặc chính sách firewall nghiêm ngặt).
- Certificate:
- Được chọn trong wizard ban đầu.
- Nếu chứng chỉ hết hạn hoặc thay đổi (ví dụ: CA mới, rotate cert), có thể chọn certificate mới tại đây.
4. Bypass Access Control Policy
Ở cuối cửa sổ có tùy chọn cho phép decrypted RAVPN traffic bypass Access Control Policy.
- Khi bật, traffic từ client VPN sẽ được xử lý như nằm trong LAN nội bộ, không bị áp policy firewall.
- Đây là tùy chọn nguy hiểm nếu bật kèm split tunneling, vì:
- Máy client có thể trở thành điểm pivot cho attacker từ Internet vào mạng nội bộ.
- Bỏ qua mọi lớp kiểm soát của firewall, làm suy yếu mô hình Zero Trust.
Best Practice:
- Chỉ bật tính năng này trong môi trường lab/test hoặc với kết nối full-tunnel + thiết bị tin cậy.
- Trong production, luôn để traffic VPN đi qua Access Control Policy để duy trì khả năng giám sát, log và kiểm soát.
✅ Kết luận: Tab Access Interfaces không chỉ là nơi bật/tắt giao thức tunnel mà còn gắn liền với các quyết định quan trọng về bảo mật, giám sát và tuân thủ chính sách. Nếu cấu hình sai (ví dụ: bật bypass + split tunneling), bạn có thể vô tình biến VPN thành backdoor vào hệ thống nội bộ.
Attached Files