บทความนี้อธิบายวิธีตั้งค่า Lockout Duration สำหรับ Temporary Blacklist บน Sangfor NGAF/NSF เพื่อกำหนดระยะเวลาที่ IP Address จะถูกบล็อกเมื่อ Trigger Security Policy
Lockout Duration มี 2 ประเภท
- Block จาก Network Security Policy — เมื่อเปิด IP Blocking ใน Security Protection Policy แล้ว IP Trigger IPS, WAF, Content Security จะถูกบล็อกตาม Duration ที่กำหนด
- Block จาก Brute-force Attack (อัตโนมัติ) — IPS Password Blasting, WAF Anti-Scanning, CC Attack, Backdoor Scanning และ DDoS จะถูกบล็อกอัตโนมัติ โดยไม่ต้องเปิด IP Blocking
วิธีตั้งค่า Lockout Duration
1. ไปที่ SOC > Blacklist and Whitelist > Blacklist > Temporary Blacklist
2. คลิก Set Lockout Duration
3. กำหนดระยะเวลา (Default: 10 นาที, ปรับได้ตั้งแต่ 3 นาที ถึง 15 วัน)
4. คลิก OK — IP ที่ Trigger Security Policy จะถูกบล็อกตามระยะเวลาที่ตั้งไว้ และปลดบล็อกอัตโนมัติเมื่อหมดเวลา
เปิดใช้งาน IP Blocking ใน Security Policy
Lockout Duration จะทำงานเมื่อเปิด IP Blocking ใน Security Protection Policy:
1. ไปที่ Policies > Network Security > Security Protection Policy
2. แก้ไข Policy ที่ต้องการ > ไปที่ขั้นตอน Detection and Response > IP Blocking > Settings
3. ติ๊กเลือก Enable IP blocking แล้วเลือกรูปแบบ:
- Block IP addresses initiating high-threat attacks (แนะนำ) — บล็อกเฉพาะ IP ที่มีภัยคุกคามสูง
- Block IP addresses initiating any attacks — บล็อก IP ที่น่าสงสัยทั้งหมด เพื่อการป้องกันสูงสุด
หมายเหตุ
- IP ที่ถูกบล็อกจะแสดงใน Temporary Blacklist พร้อมข้อมูล Lockout Duration, Remaining Duration และ Triggered Policy
- สามารถย้าย IP จาก Temporary Blacklist ไปยัง Global Blacklist (บล็อกถาวร) หรือ Whitelist (ยกเว้น) ได้
- การโจมตีประเภท Brute-force (IPS Password Blasting, WAF Scanning, CC Attack, DDoS) จะถูกบล็อกอัตโนมัติแม้ไม่ได้เปิด IP Blocking
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น