ขั้นตอนการใช้ Web Application Firewall (WAF) บนอุปกรณ์ Sangfor Next-Generation Firewall (NGFW/NSF) เพื่อป้องกันเซิร์ฟเวอร์ภายใน โดยการบล็อกการเข้าถึง Path หรือ URL ที่มีความเสี่ยง เช่น https://yourURL/xmlrpc.php ของ WordPress ซึ่งอาจถูกใช้เป็นช่องทางการโจมตีแบบ Denial of Service (DoS) ได้
วัตถุประสงค์: ป้องกันการเข้าถึง Path ที่อันตรายจากผู้ใช้งานทั้งจากภายนอก (Internet) และภายใน (LAN) ไปยังเซิร์ฟเวอร์ที่อยู่ในเครือข่ายของเรา
ข้อควรทราบที่สำคัญ: สำหรับการรับส่งข้อมูลที่เป็น HTTPS อุปกรณ์ NGFW/NSF จะต้องทำการถอดรหัส (SSL Decryption) สำหรับเซิร์ฟเวอร์ดังกล่าวก่อน จึงจะสามารถตรวจสอบและบังคับใช้นโยบายนี้ได้
กระบวนการตั้งค่าประกอบด้วย 3 ขั้นตอนหลัก:
- สร้าง WAF Template และกำหนดค่า URL Access Control เพื่อบล็อก Path เป้าหมาย
- สร้าง Security Policy เพื่อนำ WAF Template ไปบังคับใช้กับเซิร์ฟเวอร์
-
ตรวจสอบ Log เพื่อยืนยันว่าการบล็อกทำงานถูกต้อง
ขั้นตอนที่ 1: สร้าง WAF Template และกำหนดค่า URL Access Control
ในขั้นตอนนี้ เราจะสร้างแม่แบบของ WAF เพื่อระบุกฎการบล็อก Path ที่ต้องการ
- ไปที่เมนู Objects > Security Policy Template > Web App Firewall.
- คลิก Add เพื่อสร้าง Template ใหม่
- ในหน้าต่าง
Add Web App Firewall Templateให้ตั้งชื่อ Template ให้สื่อความหมาย เช่นBlock-WP-XMLRPC. - ไปที่ส่วน Privilege Control และค้นหา URL Access.
- คลิกที่ Settings ข้างๆ URL Access.
- ในหน้าต่าง
URL Accessที่ปรากฏขึ้นมา ให้คลิก Add. - กำหนดค่ากฎการควบคุม URL ดังนี้:
-
Action: เลือก
Denyเพื่อบล็อกการเข้าถึง -
URL: ระบุ Path ที่ต้องการบล็อก ในตัวอย่างนี้คือ
/xmlrpc.php - Description: ใส่คำอธิบาย (เช่น "Block WordPress XML-RPC vuln path")
- คลิก OK เพื่อบันทึก
-
Action: เลือก
- คลิก Save ที่หน้าต่าง
URL Access. -
สุดท้าย คลิก Save อีกครั้งที่หน้า
Add Web App Firewall Templateเพื่อบันทึก Template.
ขั้นตอนที่ 2: การนำ Policy ไปใช้งานกับเซิร์ฟเวอร์
หลังจากสร้าง WAF Template แล้ว เราจะนำไปใช้กับ Security Policy เพื่อให้มีผลกับ traffic ที่วิ่งไปยังเซิร์ฟเวอร์เป้าหมาย
- ไปที่เมนู Policies > Network Security > Policies
- คลิก Add และเลือก Policy for Server Scenario.
- ในหน้า
Basicsให้กำหนดค่าดังนี้:-
Name: ตั้งชื่อ Policy ให้สื่อความหมาย เช่น
Protect-Internal-WebServer. -
Source:
- Src Zone: เลือกโซนที่มาของ traffic ที่ต้องการควบคุม เช่น ภายใน (lan) และภายนอก (wan)
-
Src Address: เลือก
All
-
Destination:
-
Dst Zone: เลือกโซนที่เซิร์ฟเวอร์ของคุณตั้งอยู่ เช่น
dmz -
Dst Address: ระบุ IP Address ของเซิร์ฟเวอร์ที่ต้องการป้องกัน
-
Dst Zone: เลือกโซนที่เซิร์ฟเวอร์ของคุณตั้งอยู่ เช่น
-
Name: ตั้งชื่อ Policy ให้สื่อความหมาย เช่น
- ใน Tap
Protectionในส่วนBasic Protection (For Server Scenario), ให้ทำเครื่องหมายถูกที่ Web App Firewall. - เลือก WAF Template ที่เราสร้างไว้ในขั้นตอนที่ 1 จากเมนู Dropdown (เช่น
Block-WP-XMLRPC). - คลิก Next ไปยังขั้นตอน
Detection and Response. - ในส่วน
Response (For All Scenarios)ให้เปิดใช้งาน IP Blocking - ตรวจสอบให้แน่ใจว่าได้เลือก Log events เพื่อให้ระบบบันทึก Log.
-
คลิก Save เพื่อบันทึกและบังคับใช้ Policy.
ขั้นตอนที่ 3: การตรวจสอบ Log เพื่อยืนยันการทำงาน
หลังจากที่นโยบายมีผลบังคับใช้ ให้ทดลองเข้าถึง Path ที่ถูกบล็อก และตรวจสอบ Log เพื่อยืนยันว่าการตั้งค่าทำงานถูกต้อง
- ไปที่เมนู Monitor > Logs > Security Logs.
- ในแท็บ Security Logs, ให้ใช้ตัวกรอง (Filter) เพื่อค้นหา Log ที่เกี่ยวข้อง
- ในช่อง Type, ให้เลือก
Web App Firewall. - มองหา Log ที่มี
Actionเป็นDenyและDescriptionมีข้อความที่เกี่ยวข้องกับ "URL Access" หรือชื่อกฎที่คุณตั้งไว้ - เมื่อพบ Log ดังกล่าว แสดงว่ามี traffic พยายามเข้าถึง
/xmlrpc.phpและถูก WAF บล็อกตามนโยบายที่ตั้งไว้เรียบร้อยแล้ว - คุณสามารถคลิกที่ไอคอน View เพื่อดูรายละเอียดเพิ่มเติมของการเชื่อมต่อที่ถูกบล็อกได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น