คู่มือนี้รวบรวมขั้นตอนการติดตั้งและ Deploy อุปกรณ์ Sangfor Network Secure / Athena NGFW (NGAF) แบบครบวงจร ตั้งแต่ติดตั้งฮาร์ดแวร์ เข้าถึงอุปกรณ์ ออกแบบโหมดการ Deploy ไปจนถึงตั้งค่า Network, Routing/NAT, Security Policy, High Availability และการตรวจสอบก่อนส่งมอบ โดยแต่ละหัวข้อมีลิงก์ไปยังบทความเชิงลึกสำหรับรายละเอียดเพิ่มเติม
ใช้ได้กับ Network Secure / Athena NGFW (NGAF) — เมนูอ้างอิงตาม Web Console เวอร์ชัน 8.0.x
Phase 1 — ติดตั้งฮาร์ดแวร์และเข้าถึงอุปกรณ์
เริ่มตั้งแต่แกะกล่อง ติดตั้งเข้าตู้ Rack จนเข้าหน้า Web Console และ Activate License ให้อุปกรณ์พร้อมใช้งานก่อนเริ่มออกแบบการ Deploy
1.1 รู้จักตัวเครื่องและพอร์ต
อุปกรณ์ Athena NGFW / Network Secure มีทั้งแบบ 1U และ 2U ด้านหน้าประกอบด้วยไฟแสดงสถานะ (Power, ALARM, STATUS, HA, BYPASS), พอร์ต Console, พอร์ต Manage (eth0) สำหรับ Out-of-Band Management และพอร์ตข้อมูล รวมถึงช่อง Expansion NIC Slot สำหรับการ์ดเสริม
ไฟแสดงสถานะ (Indicator) ที่ควรรู้
- POWER / Logo: ติดเมื่อจ่ายไฟและทำงานปกติ
- ALARM: ช่วง Boot จะติดสีแดงประมาณ 1–2 นาที แล้วดับเมื่อเข้าสู่สถานะปกติ หากกะพริบเป็นครั้งคราวระหว่างทำงานถือเป็นปกติ (ระบบกำลังเขียน Log) แต่ถ้ายังติดค้างหลัง Reboot ให้ติดต่อ Sangfor Support เพื่อตรวจสอบฮาร์ดแวร์
- BYPASS: ติดเมื่ออุปกรณ์เข้าสู่สถานะ Hardware Bypass
- HA: แสดงสถานะการทำงานแบบ High Availability
หมายเหตุ: รายละเอียดการวินิจฉัยไฟแสดงสถานะแต่ละกรณีอยู่ในหมวด Hardware Troubleshooting ของคู่มือ Quick Start หากพบไฟผิดปกติที่ไม่ได้อธิบายไว้ ให้ติดต่อ Sangfor Support
1.2 การติดตั้งเข้าตู้ Rack
ขั้นตอนการติดตั้งโดยรวมตามผังด้านล่าง: เตรียมพื้นที่ → ติดตั้งราง Rack → ยึดตัวเครื่องเข้าราง → ต่อสายกราวด์ของระบบ → ต่อแหล่งจ่ายไฟ (DC หรือ AC) → ต่อสาย Interface/Fiber → จัดเก็บสายให้เรียบร้อย → ตรวจสอบหลังติดตั้ง
ข้อกำหนดด้านสภาพแวดล้อมก่อนติดตั้ง:
- ต่อ กราวด์ป้องกัน (PE) ด้วยสายสีเหลือง-เขียวให้เรียบร้อย อุปกรณ์ที่ใช้ไฟ AC ต้องต่อกราวด์ที่เชื่อถือได้
- ปิดไฟและถอดสายไฟทุกเส้นก่อนติดตั้ง/ถอดอุปกรณ์ออกจาก Rack
- ตรวจให้แหล่งจ่ายไฟภายนอกตรงกับ PDU ของตู้ และมีระบบไฟสำรอง (Dual-circuit) ตามมาตรฐาน Data Center
- สวมสายรัดข้อมือกัน ESD เมื่อต้องสัมผัสการ์ด/อุปกรณ์ภายใน
- รักษาอุณหภูมิ ความชื้น และการระบายอากาศตามที่คู่มือกำหนด
การติดตั้งการ์ด NIC เสริม
หากต้องเพิ่มพอร์ต ให้ปิดเครื่องและถอดสายไฟก่อน จากนั้นติดตั้งการ์ด NIC ลงในช่อง Expansion Slot ตามรุ่นที่รองรับ
1.3 เข้า Web Console ครั้งแรก
อุปกรณ์ใช้พอร์ต eth0 เป็น Out-of-Band Management (OOBM) โดยมี IP เริ่มต้นจากโรงงานคือ 10.251.251.251/24
- ตั้ง IP ของเครื่องคอมพิวเตอร์ให้อยู่ในวง
10.251.251.Xเช่น10.251.251.100/24(ไม่ต้องกำหนด Gateway) - เสียบสาย LAN เข้าพอร์ต Manage (eth0) ของอุปกรณ์
- เปิดเบราว์เซอร์ไปที่
https://10.251.251.251— เนื่องจากใช้ Self-signed Certificate เบราว์เซอร์จะเตือน “Your connection is not private” ให้กด Advanced → Proceed เพื่อเข้าต่อ - ล็อกอินด้วยบัญชีผู้ดูแลเริ่มต้น
admin/admin(แนะนำให้เปลี่ยนรหัสผ่านทันทีหลังเข้าใช้งานครั้งแรก)
1.4 เข้าใช้งานผ่าน CLI / SSH
อุปกรณ์รองรับการเข้าผ่าน SSH สำหรับงานจัดการแบบ Command-line โดยใช้ IP ของ OOBM (eth0) เช่นเดียวกัน ต้องเปิดสิทธิ์ SSH ให้กับบัญชีผู้ดูแลก่อนที่ System > Administrator → เลือกบัญชี → แท็บ Login Security > Management Method แล้วติ๊ก SSH
1.5 สมัคร Platform-X และ Activate License
Platform-X (เข้าที่ x.sangfor.com) เป็นแพลตฟอร์มบริหารจัดการของ Sangfor ซึ่งใช้บัญชีเดียวกับ License Center สำหรับ Activate และจัดการ License ของอุปกรณ์
- สมัครบัญชีองค์กรที่
x.sangfor.com(กด Register) หากลืมบัญชีใช้ Retrieve Account/Password - เข้า License Center แล้ว Add Device โดยระบุ Gateway ID ของอุปกรณ์ หรือใช้ Order Number ร่วมกับชื่อองค์กร
- อัปโหลด Device Information เพื่อ Activate & Export ไฟล์ License แล้วนำไฟล์ มาติดตั้งบนอุปกรณ์ที่ System > General Settings > Licensing
- กรณีต่ออายุ ใช้ฟังก์ชัน License Update เพื่อ Export ไฟล์ License ใหม่
เมื่อ License พร้อมแล้ว หน้า Home Dashboard จะแสดงสถานะอุปกรณ์ บริการที่มี License และทางลัดต่าง ๆ
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
Phase 2 — ออกแบบการ Deploy (เลือกโหมดติดตั้ง)
โหมดการ Deploy คือการตัดสินใจด้านดีไซน์ที่สำคัญที่สุด เพราะกำหนดว่า NGAF จะวางตัวในเครือข่ายอย่างไร กระทบ Topology แค่ไหน และบล็อกทราฟฟิกได้หรือไม่ Athena NGFW รองรับ 5 โหมด
ตารางเปรียบเทียบเพื่อเลือกโหมด (Decision Matrix)
| โหมด | Layer | เหมาะกับงาน | ผลกระทบต่อ Topology | บล็อกทราฟฟิกได้? | เลือกเมื่อ |
|---|---|---|---|---|---|
| Route (Layer 3) | L3 | Internet egress / กั้น boundary ระหว่างเครือข่าย | สูง — ต้องชี้ Gateway/Route ใหม่ | ได้ (inline) | ต้องการให้ NGAF เป็น Gateway, ทำ NAT หรือ Routing เอง |
| Transparent (Bridge) | L2 | เสริมความปลอดภัยใน network เดิม | ต่ำ — ไม่ต้องเปลี่ยน Gateway ของ Client | ได้ (inline) | แทรกกลางแบบ L2 โดยไม่แก้ topology / IP เดิม |
| Virtual Wire | L2 (จับคู่ขา) | ลิงก์ inline แบบ point-to-point, redundancy 2 ทาง | ต่ำมาก — latency ต่ำสุด | ได้ (inline) | จับคู่ interface ตรง ๆ ไม่ต้องใช้ฟีเจอร์ L2 เต็มรูปแบบ |
| Bypass (Mirror) | Out-of-band | วิเคราะห์/ตรวจจับภัยคุกคามอย่างเดียว | ไม่มี — ต่อผ่าน Port Mirror/SPAN | บล็อกได้เฉพาะ TCP (ส่ง TCP RST) | ต้องการ monitor โดยไม่เสี่ยงตัดทราฟฟิกจริง |
| Hybrid (ผสม) | L2 + L3 ผสมในตัวเดียว | เครือข่ายผสม (เช่น Server มี Public IP + User ภายใน) | ปานกลาง–สูง ตามดีไซน์ | ได้ (inline) | ต่าง interface ต้องการคนละโหมดบนอุปกรณ์ตัวเดียว |
คำถาม 3 ข้อช่วยตัดสินใจ
- ต้องการให้ NGAF เป็น Gateway / ทำ NAT / Routing เองหรือไม่? → ถ้าใช่ เลือก Route Mode
- ห้ามเปลี่ยน Topology / IP เดิมของเครือข่ายใช่ไหม? → เลือก Transparent หรือ Virtual Wire
- ต้องการแค่ตรวจจับ/วิเคราะห์ ไม่ต้องบล็อก inline? → เลือก Bypass (บล็อกได้เฉพาะ TCP ด้วย TCP RST)
หากบนอุปกรณ์ตัวเดียวมีหลายความต้องการ (เช่น Server ที่มี Public IP + ผู้ใช้ภายใน) ให้ใช้ Hybrid Mode ที่ผสม Route และ Transparent บนต่าง interface
โหมดที่ 1 — Route Mode (Layer 3 Gateway)
NGAF ทำหน้าที่เป็น Gateway ของวง LAN รองรับ NAT, Routing และ Policy แบบ inline เหมาะกับ Internet Egress และการกั้น boundary ในตัวอย่างนี้ WAN (eth2) = 1.2.1.2/29, LAN (eth3) = 192.168.1.254/24 และวง Internal = 192.168.2.0/24
โหมดที่ 2 — Transparent Mode (Bridge / Layer 2)
NGAF เชื่อมต่อแบบ Bridge ทำงานเสมือน “มองไม่เห็น” ในเครือข่าย ไม่ต้องเปลี่ยน Gateway ของ Client แบ่ง interface เป็น Access (VLAN เดียว) และ Trunk (802.1Q หลาย VLAN) ใช้ VLAN Interface เป็น Management
โหมดที่ 3 — Virtual Wire Mode
เป็น Transparent แบบง่ายที่จับคู่ interface สองขาเป็นเส้นลวดเสมือน (เช่น eth2↔eth4, eth1↔eth3) เหมาะกับลิงก์ inline ที่ต้องการ latency ต่ำและทำ redundancy 2 ทาง โดยใช้ Link State Propagation ให้คู่ขารับรู้สถานะลิงก์ของกันและกัน
โหมดที่ 4 — Bypass Mode (Mirror / Out-of-band)
รับทราฟฟิกผ่าน Port Mirror/SPAN ของสวิตช์ ไม่อยู่ในเส้นทาง forwarding จึงไม่กระทบ Topology วิเคราะห์/ตรวจจับภัยได้ แต่บล็อกได้เฉพาะ TCP ด้วยการส่ง TCP Reset เท่านั้น (บล็อก UDP ไม่ได้) รองรับฟีเจอร์ APT (Botnet), PVS, WAF เป็นต้น
โหมดที่ 5 — Hybrid Mode (ผสม)
ผสมหลายโหมดบนอุปกรณ์ตัวเดียว เช่น ขา WAN เป็น Route, โซน Server (DMZ) ที่มี Public IP และวง User ภายใน เหมาะกับเครือข่ายที่มีหลายรูปแบบความต้องการพร้อมกัน — ต้องวางแผน Zone ให้รัดกุม
หมายเหตุ: เรื่อง HA: โหมด Active/Active รองรับเฉพาะ Transparent เท่านั้น ส่วน Active/Standby รองรับได้ทุกโหมด (ดู Phase 6)
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
Phase 3 — Network / Interfaces / Zones
หลังเลือกโหมดแล้ว ขั้นถัดไปคือกำหนด Interface, Zone และ Network Object ให้ตรงกับดีไซน์
3.1 ตั้งค่า Physical Interfaces
ไปที่ Network > Interfaces > Physical Interfaces เลือก interface ที่ต้องการ แล้วกำหนด:
- Type: Layer 3 (Route), Access/Trunk (Transparent), Virtual Wire หรือ Mirror (Bypass) ตามโหมด
- Zone: เช่น WAN/Untrust, LAN/Trust, DMZ
- IP Address: สำหรับขา Layer 3 และกำหนด WAN Attribute ให้ขาที่ออกอินเทอร์เน็ต
ตัวอย่างหน้าจอด้านล่างแสดง eth0 เป็น OOBM (10.251.251.251/24), ขา WAN และขา LAN พร้อม Zone
3.2 กำหนด Zones
ที่ Network > Zones สร้างโซนตามดีไซน์ (เช่น Trust สำหรับ LAN, Untrust สำหรับ WAN, DMZ สำหรับ Server) Zone จะถูกนำไปใช้อ้างอิงใน Security Policy ภายหลัง
3.3 Management Interface (สำหรับ Transparent/Virtual Wire)
ในโหมด Layer 2 ขาข้อมูลไม่มี IP จึงต้องสร้าง Management Interface แยก ที่ Network > Interfaces > VLAN Interfaces เพื่อใช้บริหารจัดการและเป็นเส้นทางออกของตัวอุปกรณ์เอง
3.4 Network Objects
สร้างวัตถุอ้างอิง (IP/Subnet/Range/MAC) ที่ Objects > Network Objects เพื่อนำไปใช้ซ้ำใน Policy และ NAT ช่วยให้จัดการง่ายและแก้ไขจุดเดียว
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
Phase 4 — Routing และ NAT
กำหนดเส้นทางออกอินเทอร์เน็ตและการแปลงที่อยู่ให้ผู้ใช้ภายในใช้งานได้
4.1 Static / Default Route
ไปที่ Network > Routes > Static Routes เพิ่ม Default Route โดยตั้ง Dst IP/Netmask = 0.0.0.0/0 และ Next-Hop IP ชี้ไปยัง Gateway ของผู้ให้บริการ (เช่น 1.2.1.1) เพิ่ม Static Route อื่น ๆ สำหรับวงภายในตามต้องการ
ลำดับการเลือกเส้นทางของ NGAF: เมื่อมีทั้ง Static Route, Policy-Based Route และ SSL VPN/PBR ทำงานพร้อมกัน ลำดับความสำคัญมีผลต่อการ forward — ดูบทความ “ลำดับการทำงานของ NGAF Routing” และ “Route Priority” หากเจอปัญหาทราฟฟิกไปผิดทาง
4.2 Source NAT (SNAT) — ให้ผู้ใช้ภายในออกอินเทอร์เน็ต
ไปที่ Policies > NAT > IPv4 NAT กด Add สร้าง Source NAT แปลงวง LAN (เช่น 192.168.2.0/24) ออกทางขา WAN เพื่อให้ผู้ใช้ภายในออกอินเทอร์เน็ตได้
4.3 Destination NAT (DNAT) — เผยแพร่ Server ออกภายนอก
หากมี Server ที่ต้องให้เข้าถึงจากภายนอก สร้าง Destination NAT แมป Public IP/Port ไปยัง Private IP ของ Server (มักใช้คู่กับ Hybrid Mode)
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
- ลำดับการทำงานของ NGAF Routing
- การตั้งค่า Route Priority
- การตั้งค่า Source NAT (SNAT) บน Sangfor Network Secure
- ทำ Destination NAT (DNAT) บน NGAF
- การตั้งค่า Bidirectional NAT บน Sangfor Network Secure
- การตั้งค่า Policy-Based Routes บน Sangfor Network Secure
- วิธีตั้งค่า Link Load-Balancing Route บน NGAF/NSF
Phase 5 — Security Policies
สร้าง Policy ควบคุมการเข้าถึงและเปิดการป้องกันเชิงลึก หลังจาก Network/Route/NAT พร้อมแล้ว
5.1 Application Control Policy แรก
ไปที่ Policies > Access Control > Application Control กด Add แล้วกำหนด:
- Src Zone / Dst Zone: เช่น จาก LAN (Trust) ไป WAN (Untrust)
- Src / Dst Address: เลือก Network Object หรือ any
- Service / Application: บริการหรือแอปที่อนุญาต/ปฏิเสธ
- Action: Allow หรือ Deny และ เปิด Log เพื่อตรวจสอบภายหลัง
หมายเหตุ: จัดลำดับ Policy จากเฉพาะเจาะจงไปกว้าง และมี default-policy ปิดท้าย — ดู Best Practice ด้านล่าง
5.2 Security Protection Policies
เปิดการตรวจสอบเชิงลึก เช่น User Protection และ Business/Service Protection (IPS, Anti-virus, WAF, APT ฯลฯ) ตาม License ที่มี เพื่อป้องกันภัยคุกคามทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์
5.3 Service Objects
กำหนด Service/Port ที่ใช้บ่อยเป็น Object ที่ Objects > Services เพื่อนำไปใช้ซ้ำใน Policy
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
Phase 6 — High Availability (HA)
หากต้องการความพร้อมใช้งานสูง สามารถจับคู่ NGAF สองเครื่องแบบ HA ได้ Athena NGFW มี 2 รูปแบบหลัก: Active/Standby และ Active/Active
6.1 Control Link และ Data Link
- Control Link (จำเป็น): ใช้ sync สถานะระหว่างสองเครื่อง — ชื่อและตำแหน่งพอร์ตต้องตรงกันทั้งคู่
- Data Link: sync Session/Config และเป็น backup ของ Control Link
- แนะนำต่อสายตรงระหว่างสองเครื่อง, เปิด Jumbo Frame บนพอร์ต HA และอุปกรณ์ระหว่างทาง และเมื่อพอร์ตเพียงพอควรทำ HA Link คู่ (dual heartbeat + dual data)
6.2 Priority และ Preemption
กำหนด Priority เพื่อระบุเครื่องที่ควรเป็น Active หากค่าเท่ากัน ระบบเลือกจาก IP ของพอร์ต HA (last octet มากกว่า = priority สูงกว่า) โดยค่าเริ่มต้น Preemption ปิดอยู่ — เมื่อปิด เครื่องสำรองที่ขึ้นมาเป็น Active จะทำงานต่อแม้เครื่องเดิมกลับมา
6.3 Physical IP vs Virtual IP
Physical IP คือ IP จริงบน interface (ใช้ในโหมด Mirror), ส่วน Virtual IP ตั้งแยกในหน้า HA และใช้เป็น IP บริการในโหมด Active/Standby Backup สร้างที่ System > High Availability → Add Virtual IP
6.4 รูปแบบ HA และตัวอย่าง Topology
1) Active/Standby Backup — เครื่อง Active รับทราฟฟิกด้วย Virtual IP เครื่อง Standby ไม่ประมวลผล เหมาะกับ Route Mode (รองรับ OSPF ด้วย Physical IP)
2) Active/Standby Mirror — ทั้งสองเครื่องใช้ Physical IP เดียวกัน เครื่อง Standby เงียบ เหมาะกับ Transparent Mode (ไม่ต้องอัปเดต ARP ตอน Failover)
3) Active/Active Transparent — ทั้งสองเครื่อง forward พร้อมกันแบบ load-balanced (เฉพาะ Transparent) มักใช้ร่วมกับ Link Aggregation และ HA Traffic สำหรับทราฟฟิก asymmetric
6.5 Failure Monitoring
หลังตั้ง HA พื้นฐาน ไปที่ System > High Availability > HA Policy Settings ในส่วน Monitored Object Management เพิ่มขาบริการ (Interface/Link Monitoring) ให้ระบบ Failover เมื่อขาที่เฝ้าดูมีปัญหา
หมายเหตุ: Active/Active รองรับเฉพาะ Transparent ไม่รองรับ Active/Active Route Mode หากเป็น Route Mode ให้ใช้ Active/Standby
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
Phase 7 — ตรวจสอบ อัปเดต และส่งมอบ
ก่อนส่งมอบ ควรอัปเดตระบบให้เป็นปัจจุบัน ตรวจสอบการเชื่อมต่อ และสำรองค่า Config
7.1 อัปเดต Firmware (ถ้าจำเป็น)
- ตรวจ Version ที่มุมซ้ายบนของ Console ว่าเป็นเวอร์ชันล่าสุดหรือไม่
- ที่ Interface ที่ใช้เชื่อมต่อ ให้เปิด Temporarily use this interface for system upgrade
- ใช้เครื่องมือ Sangfor Updater กรอก IP และรหัสผ่านของ NGAF
- Upgrade ด้วยไฟล์ Precheck ก่อน 1 ครั้ง (กด F10 เพื่อดู Log) เมื่อ Precheck ผ่านจึง Upgrade ด้วย Firmware จริง — อุปกรณ์จะ Reboot 1 ครั้ง
7.2 อัปเดต Security Database และ Service Packs
- ไปที่ System > Security Capability Update กดที่ Intelligence Source เพื่อตรวจว่าเข้าถึง Update Server ได้
- เลือกทุกรายการ (ยกเว้น Unknown Threat Intelligence) แล้วกด Update Now
- ตรวจ System > Maintenance > Service Packs แล้วติดตั้ง (แนะนำทำช่วง Off-Peak)
7.3 ตรวจสอบการตั้งค่าและการเชื่อมต่อ (Checklist)
- Interface ที่ใช้งานสถานะ Up และ Link ปกติ
- Ping จาก NGAF ไป Gateway/อินเทอร์เน็ตได้
- ผู้ใช้ภายในออกอินเทอร์เน็ตได้ และ Policy มี Hit Count เพิ่มขึ้น
- License ใช้งานได้ และเวลา/NTP ถูกต้อง (System > General Settings > System Time)
- OOBM และบริการที่จำเป็น (Log Host, NTP, SMTP ฯลฯ) ตั้งค่าครบ
7.4 สำรองและกู้คืน Config
ไปที่ System > Maintenance > Backup/Restore กด Download เพื่อสำรองไฟล์ Config (.bcf) ระบบมี Auto Backup รายวันให้เลือกกู้คืนได้ และมีตัวเลือก Restore to Factory Defaults (อุปกรณ์จะ Reboot หลังกู้คืน และเวอร์ชันต้องตรงกัน)
📚 อ่านเพิ่มเติม (บทความเชิงลึก)
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น