การตั้งค่า Spoofed Access Protection บน Sangfor Network Secure – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

บทความนี้อธิบายวิธีตั้งค่า Spoofed Access Protection บน Sangfor NGAF/NSF เพื่อป้องกันการปลอม IP Address ในเครือข่าย

Spoofed Access Protection คืออะไร

Spoofed Access Protection ตรวจจับ Packet ที่มี Source IP ปลอม (IP Spoofing) ซึ่ง Attacker ใช้เพื่อหลีกเลี่ยง ACL หรือปลอมตัวเป็นอุปกรณ์อื่นในเครือข่าย

ขั้นตอนการตั้งค่า

1. ไปที่ Policies > Network Security > Spoofed Access

2. เปิด Enable

3. กำหนด Protection Options:

IP Spoofing Detection: ตรวจจับ Packet ที่ Source IP ไม่ตรงกับ Routing Table
MAC Spoofing Detection: ตรวจจับ MAC Address ที่ผิดปกติ

NGAF web UI showing Spoofed Access Logs search/filter page with Start/End Time, IP Address, Threat Type (IP Address Change, MAC Address Change, Device Type Change), and Action (Allow, Deny) filters

4. กำหนด Action: Block หรือ Alert

5. กด Save

การทำงาน

NGAF จะตรวจสอบว่า Source IP ของ Packet ที่เข้ามาทาง Interface ตรงกับ Routing Table หรือไม่
หาก Packet มาจาก Interface ที่ไม่ถูกต้อง (Reverse Path Check ล้มเหลว) จะถูก Block หรือ Alert

NGAF web UI showing Spoofed Access Logs results table with entries showing Time, Threat Type (Device Type Change, MAC Address Change, IP Address Change), IP/MAC Address, Asset Type, Threat Level, and Action (Deny/Allow)

หมายเหตุ

Spoofed Access Protection อาจ Block Traffic ที่ถูกต้องหากมี Asymmetric Routing — ตรวจสอบ Routing Table ก่อนเปิด
แนะนำเปิดเป็น Alert ก่อน แล้วตรวจสอบ Log ก่อนเปลี่ยนเป็น Block
ใช้ร่วมกับ ARP Spoofing Protection เพื่อป้องกัน Layer 2 Spoofing ด้วย

เกี่ยวข้องกับ

Spoofed Access Protection คืออะไร

ขั้นตอนการตั้งค่า

การทำงาน

หมายเหตุ

บทความที่เกี่ยวข้อง