บทความนี้อธิบายวิธีใช้ Local ACL บน Sangfor NGAF/NSF เพื่อจำกัดไม่ให้เรียกหน้า WebUI (Management Interface) จาก IP หรือ Zone ที่ไม่ต้องการ
ความแตกต่างระหว่าง Local ACL กับ Application Control
- Local ACL: ควบคุม Traffic ที่เข้าถึง ตัว NGAF เอง เช่น WebUI, SSH, SNMP
- Application Control: ควบคุม Traffic ที่ ผ่านตัว NGAF ระหว่าง Zone
คำเตือน: ไม่แนะนำให้ใช้ Local ACL ในการตั้งค่า Policy ทั่วไป — ใช้ Application Control แทน
กรณีที่ 1: บล็อกไม่ให้เรียก WebUI จาก IP เฉพาะ
เหมาะสำหรับกรณีที่ต้องการเปิด Service HTTPS สำหรับ Management แต่ไม่ต้องการให้ User หรือคนภายนอกเรียก IP ตรงๆ
ไปที่ Policies > Access Control > Local ACL แล้วกด New
หลังตั้งค่า NGAF จะไม่สามารถถูกเรียกได้จาก IP ที่อยู่ใน Destination Object
กรณีที่ 2: ปิด Port 81 (HTTP Redirect) จาก WAN
หากต้องการปิด Port 81 ของ NGAF จาก WAN Interface:
- สร้าง Custom Service: ไปที่ Objects > Services > Custom Services แล้วสร้าง Service ที่ Destination Port เป็น TCP 81
-
สร้าง Local ACL Rule:
- Source IP: All
- Source Zone: WAN
- Service: Custom Service ที่สร้างไว้
- Action: Deny
หมายเหตุ
- หากต้องการ ปิด Service บน Interface ไปเลย (เช่น ไม่ต้องการ HTTPS Management จาก WAN เลย) ให้ปิดที่ Interface นั้นโดยตรงแทนการใช้ Local ACL
- Local ACL มี Priority สูงกว่า Application Control — Traffic ที่ถูก Local ACL Deny จะไม่ถูกประมวลผลต่อ
- ระวังอย่า Lock ตัวเองออกจาก Management — ตรวจสอบให้แน่ใจว่ายังสามารถเข้า WebUI จาก IP ที่ใช้งานอยู่ได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น