Hướng dẫn sử dụng firewall trên CMC Cloud

Firewall trên CMC Cloud được phát triển dựa trên SDN (Software-Defined Network) và công nghệ Openflow.

Một số đặc trưng của CMC Cloud Firewall:

  • Thiết lập đơn giản, không tác động vào VM trên CMC Cloud.
  • Cơ chế hoạt động: Packet filtering – giám sát toàn bộ các gói tin đến và đi, quyết định sẽ chuyển tiếp gói tin hay chặn dựa trên một tập các rules
  • Firewall hoạt động ở lớp Network (3) và Transport (4)
  • Stateless: có tác dụng lọc các gói tin độc lập, không lưu trạng thái gói tin, không tham chiếu các thông tin khác.
  • Firewall cấu hình độc lập với từng IP public trên VM

Kết quả hình ảnh cho stateless firewall model

Các bước cấu hình Firewall

Bước 1: đăng nhập vào giao diện quản trị dịch vụ CMC Cloud https://portal.cloud.cmctelecom.vn/

Bước 2: Click vào VM muốn cấu hình Firewall

Bước 3: Ở giao diện quản trị Network IPv4 của VM, lựa chọn IP cần cấu hình firewall, click “Edit Firewall Rules”

Bước 4: Lựa chọn cơ chế filter packet. Chọn 1 trong 2 dạng dưới đây:

  • Chặn tất cả trừ các rules được khai báo: chỉ cho phép gói tin đi qua theo các rules khai báo
  • Cho phép tất cả trừ các rules được khai báo: chặn các gói tin theo các rules, ngoài ra sẽ cho phép các gói tin còn lại đi qua.

Bước 5: Khai báo rule. Click “Add Firewall Rule” để tạo 1 rule mới

  • Description: Tên rule
  • Remote Address: địa chỉ kết nối từ đầu xa. Có 3 dạng remote address có thể cấu hình:
    • Có thể chọn dạng host (ví dụ: 1.2.3.4)
    • Network/subnet mask (ví dụ 1.2.3.0/24)
    • 0.0.0.0/0 nếu muốn mở với tất cả IP Address
  • Local Address: hiển thị địa chỉ IP đang cấu hình firewall
  • TCP/UDP port: thông tin lớp transport. Có 3 cách khai báo port
    • Một port riêng lẻ: ví dụ 80
    • Nhiều port khác nhau: danh sách các port phân tách nhau bằng dấu phẩy “,” (ví dụ: 80,443,8080)
    • Khai báo một dải port liền nhau: sử dụng dấu gạch ngang “-“ (ví dụ: 1000-2000)
  • Port type: “Local port” là port trên VM, “remote port” là port phía Client. Thường chọn “Local port” với các rule của gói tin chiều vào, “Remote port” với các rule của gói tin chiều ra.
  • Protocol:
    • TCP/UDP: nếu cấu hình rule ở layer 4
    • ICMP: nếu cấu hình rule cho ping/tracert
    • ALL: nếu cấu hình rule ở layer 3
  • Action: hiển thị action tương ứng với rule là Allow (mở) hay Block (chặn)

Click icon Save https://portal.cloud.cmctelecom.vn/images/save.png để lưu lại rules.

Lặp lại các bước trên nếu muốn khai báo thêm các rules

Một số use-cases:

  1. Giới hạn quyền truy cập tới VM trên CMC Cloud theo danh sách IP address (thường sử dụng trong trường hợp các Công ty có nhiều chi nhánh và sử dụng địa chỉ IP tĩnh)

Mỗi rules mở truy cập từ một địa chỉ IP

Protocol: chọn All

2.Mở quyền truy cập chiều ra tới web, dns trên CMC Cloud server

Rule 1: cho phép VM kết nối tới DNS Server (8.8.8.8) để truy vấn thông tin DNS

Rule 2: cho phép VM truy cập http, https ra internet

3.Cấu hình firewall trên linux web server cài đặt trên CMC Cloud

Rule 1: mở truy cập SSH từ internet tới VM. Có thể giới hạn theo white-list IP qua “Remote Address”

Rule 2: cho phép gói tin TCP port 80,443 truy cập tới VM trên CMC Cloud

4.Chặn tấn công/ truy cập từ 1 IP hoặc dải mạng

Chọn firewall dạng: “Cho phép tất cả trừ các rules”

Khai báo danh sách các địa chỉ IP hoặc dải mạng muốn chặn.

 

Was this article helpful?

Related Articles