ในโลกดิจิทัลปัจจุบัน GEO Location Blocking คือกลยุทธ์ความปลอดภัยสำคัญที่ช่วย จำกัดหรือบล็อกการเชื่อมต่อจากที่อยู่ IP ในประเทศที่ไม่ต้องการ เพื่อป้องกันภัยคุกคามทางไซเบอร์และการเข้าถึงโดยไม่ได้รับอนุญาต การใช้เทคนิคนี้ไม่เพียงช่วยเสริมสร้างความปลอดภัย ลดช่องโหว่ และป้องกันการโจมตีจากแหล่งที่ไม่พึงประสงค์ บทความนี้จะอธิบายวิธีการตั้งค่า GEO Location Blocking เพื่อปกป้องทรัพย์สินดิจิทัลของคุณอย่างมีประสิทธิภาพ
- ไปที่ Policies > Access control > GeoLocation Blocking
- กด Add เพื่อเพิ่ม Policy
- กรอกรายละเอียด ของ Policy เพื่อกำหนดการตั้งค่าตามความต้องการ การใช้งาน
Name: ช่องสำหรับใส่ชื่อของการตั้งค่าหรือ Policy นี้ เป็นการตั้งชื่อเพื่อระบุให้จำได้ง่าย เช่น "Block_Country_IP", "Allow_Local_Access"
Status: สถานะของการตั้งค่านี้ Enable: เปิดใช้งาน (Policy นี้จะทำงาน) / Disable: ปิดใช้งาน (Policy นี้จะไม่ทำงาน)
Description: ช่องสำหรับใส่คำอธิบายเพิ่มเติมเกี่ยวกับการตั้งค่านี้ (เป็น Optional คือ ไม่จำเป็นต้องกรอกก็ได้) เพื่อช่วยให้ผู้ดูแลระบบคนอื่นหรือตัวคุณเองในอนาคตเข้าใจวัตถุประสงค์ของการตั้งค่าได้ดียิ่งขึ้น
WAN Zone: เป็นการกำหนดโซนเครือข่าย (Network Zone) ที่ทราฟฟิกขาเข้ามาจาก ซึ่งโดยทั่วไปแล้ว WAN Zone มักจะหมายถึงเครือข่ายภายนอก (Internet) ที่ไม่มีการควบคุม
Destination: เป็นการกำหนดปลายทางที่ทราฟฟิกจะพยายามเข้าถึง โดยอาจจะเป็น IP Address, Subnet, หรือ Object ของ Server/Service ที่เป็น **Private IP Server**
Action: กำหนดการกระทำที่ระบบจะทำกับทราฟฟิกที่ตรงกับเงื่อนไขที่กำหนดไว้
Allow access from specified countries/regions: อนุญาตให้มีการเข้าถึงได้เฉพาะจากประเทศ/ภูมิภาคที่ระบุไว้ในช่อง "Country/Region" เท่านั้น (Whitelist approach)
Deny access from specified countries/regions: ปฏิเสธการเข้าถึงจากประเทศ/ภูมิภาคที่ระบุไว้ในช่อง "Country/Region" (Blacklist approach)
Country/Region: ช่องสำหรับเลือกประเทศหรือภูมิภาคที่ต้องการให้ Policy นี้มีผลบังคับใช้ (ไม่ว่าจะอนุญาตหรือปฏิเสธ) -
กด OK เพื่อทำการ Save Policy นั้น
ในระบบที่ใช้คุณสมบัติ Geo Location Blocking (การป้องกันการเข้าถึงจากประเทศที่กำหนด) การประมวลผลกฎ (Policies) จะทำงานตามหลักการเฉพาะดังนี้:
1. การตรวจสอบแบบ Top-Down (จากบนลงล่าง): เมื่อมีการเชื่อมต่อเข้ามา ระบบจะทำการตรวจสอบที่อยู่ IP ของผู้ใช้งานกับ Policy ที่อยู่บนสุด (Top) ก่อนเป็นอันดับแรก หากทราฟฟิกนั้นตรงกับเงื่อนไขที่กำหนดใน Policy นั้นๆ ระบบจะทำการกระทำ (Action) ตามที่ Policy ระบุไว้ทันที (เช่น อนุญาตหรือปฏิเสธ) และจะ หยุดการตรวจสอบกับ Policy อื่นๆ ที่อยู่ถัดลงมาด้านล่างทั้งหมด ดังนั้น ลำดับการจัดวาง Policies จึงมีความสำคัญอย่างยิ่ง โดย Policies ที่ต้องการให้มีการตรวจสอบก่อน หรือมีเงื่อนไขเฉพาะเจาะจง ควรจัดวางไว้ในลำดับที่สูงกว่า
2. Default Action เป็น "Default Allow": หากทราฟฟิกขาเข้า ไม่ตรงกับเงื่อนไขของ Policy ใดๆ เลย ตั้งแต่ Policy บนสุดจนถึง Policy ล่างสุดที่กำหนดไว้ ระบบจะถือว่าทราฟฟิกนั้น ได้รับอนุญาตให้ผ่านไปได้โดยค่าเริ่มต้น (Default Allow) ซึ่งหมายความว่าการเชื่อมต่อที่ไม่ถูกบล็อกอย่างชัดเจนโดย Policy ใดๆ จะสามารถเข้าถึงระบบได้
Exclusion
นี้มีวัตถุประสงค์เพื่อให้ผู้ดูแลระบบสามารถ กำหนดที่อยู่ IP (IP addresses) หรือช่วง IP ที่ต้องการยกเว้นจากการถูกบล็อก หรือจากการถูกประมวลผลตามกฎการบล็อกทั่วไปที่ตั้งค่าไว้
Blocked IP Addresses
คือรายการที่อยู่ IP ที่ถูกบล็อกโดยนโยบายการบล็อกตำแหน่งทางภูมิศาสตร์ (GeoLocation Blocking Policy).
Location Lookup
คือรายการสำหรับนำเอา IP Address ต้นทาง นำมาตรวจสอบตำแหน่งทางภูมิศาสตร์ของ IP Address นั้น
ข้อแนะนำที่สำคัญสำหรับผู้ใช้งาน CDN
ไม่แนะนำให้ทำ หากเว็บไซต์ของคุณใช้ CDN (เช่น Cloudflare)
หากคุณใช้งาน Content Delivery Network (CDN) เช่น Cloudflare ไม่แนะนำให้ใช้การตั้งค่า Geo-Location Blocking บนอุปกรณ์ Firewall ของคุณ (Server-side)
เพราะอะไร?
เมื่อคุณใช้ CDN ทราฟฟิกที่วิ่งเข้ามายังเซิร์ฟเวอร์ของคุณจะไม่ได้มาจาก IP Address ของผู้ใช้งานโดยตรง แต่จะมาจากเซิร์ฟเวอร์ของ CDN ซึ่งกระจายตัวอยู่ทั่วโลก นั่นหมายความว่า หากคุณบล็อกประเทศที่เป็นที่ตั้งของเซิร์ฟเวอร์ CDN คุณอาจกำลังบล็อกทราฟฟิกของผู้ใช้งานจริงที่มาจากประเทศที่คุณอนุญาต
ตัวอย่างเช่น ผู้ใช้งานจากประเทศไทยเข้าชมเว็บไซต์ของคุณ แต่ Request อาจถูกส่งผ่านเซิร์ฟเวอร์ของ Cloudflare ที่ตั้งอยู่ในประเทศสิงคโปร์ หากคุณตั้งค่าบล็อกประเทศสิงคโปร์ไว้บน Sangfor NGAF ของคุณ Request ของผู้ใช้งานรายนั้นจะถูกปฏิเสธ แม้ว่าตัวผู้ใช้จะอยู่ในประเทศไทยก็ตาม
แล้วควรทำอย่างไร?
หากคุณจำเป็นต้องใช้ Geo-Location Blocking และมีการใช้งาน CDN ควบคู่ไปด้วย คุณควรตั้งค่าการบล็อกที่ระดับของ CDN แทน ผู้ให้บริการ CDN รายใหญ่ส่วนมาก รวมถึง Cloudflare มีฟีเจอร์สำหรับตั้งค่า Geo-Blocking บน Dashboard ของตนเองอยู่แล้ว การตั้งค่าที่ CDN จะช่วยให้สามารถคัดกรองทราฟฟิกได้อย่างถูกต้องก่อนที่จะถูกส่งมายังเซิร์ฟเวอร์ของคุณ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น