การติดตั้ง NGAF แบบ Mirror Mode – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

บทความนี้อธิบายวิธีติดตั้ง Sangfor NGAF/NSF แบบ Mirror Mode เพื่อตรวจจับภัยคุกคามจาก Traffic Copy โดยไม่กระทบเครือข่ายจริง

Mirror Mode คืออะไร

ใน Mirror Mode อุปกรณ์จะรับ Traffic Copy จาก Switch (Port Mirror/SPAN) แล้วทำ Security Inspection โดยไม่สามารถ Block Traffic ได้ — ทำได้แค่ตรวจจับและแจ้งเตือน เหมาะสำหรับ:

ทดสอบ NGAF ก่อน Deploy แบบ Inline
Monitor Traffic โดยไม่กระทบ Production
ตรวจจับภัยคุกคามแบบ IDS (Intrusion Detection System)

ขั้นตอนการตั้งค่า

1. ตั้งค่า Port Mirror บน Switch

กำหนด Source Port (Port ที่ต้องการ Monitor) บน Switch
กำหนด Destination Port (Port ที่เชื่อมกับ NGAF) สำหรับรับ Mirror Traffic

2. ตั้งค่า Interface บน NGAF

ไปที่ Network > Interface เลือก Interface ที่รับ Mirror Traffic:

กำหนดเป็น Mirror Interface
Assign เข้า Zone ที่เหมาะสม

NGAF web UI showing Edit Physical Interface for eth1 configured as Mirror type in L2_LAN zone with Traffic Statistics enabled and Network Objects set to private-network, Advanced tab showing MTU settings

3. ตั้ง Management Interface แยก

ใช้ Interface อื่นสำหรับ Management (Web Console, SSH)
กำหนด IP Address สำหรับ Management

4. สร้าง Network Security Policy

สร้าง Policy เพื่อ Inspect Mirror Traffic — Action จะเป็น Alert เท่านั้น (ไม่สามารถ Block ได้)

ข้อจำกัดของ Mirror Mode

ไม่สามารถ Block Traffic — ทำได้แค่ Alert
ไม่สามารถทำ NAT
ไม่สามารถทำ VPN
ไม่เห็น Traffic ที่ไม่ถูก Mirror จาก Switch

หมายเหตุ

Mirror Mode เหมาะสำหรับ PoC (Proof of Concept) — ทดสอบก่อน Deploy จริง
หลังทดสอบแล้ว แนะนำเปลี่ยนเป็น Inline Mode (Routing/Transparent/Virtual Wire) เพื่อ Block ภัยคุกคามได้จริง
ตรวจสอบว่า Switch รองรับ SPAN/Port Mirror และไม่มี Rate Limit บน Mirror Port

เกี่ยวข้องกับ

Mirror Mode คืออะไร

ขั้นตอนการตั้งค่า

ข้อจำกัดของ Mirror Mode

หมายเหตุ

บทความที่เกี่ยวข้อง