การตั้งค่า VPC Boundary Firewall บน SCP

บทนำ

VPC Boundary Firewall บน Sangfor SCP ช่วยให้สามารถกำหนด Access Control Policy สำหรับ Router ที่ขอบเขตของ VPC ของ Tenant เพื่อสร้างขอบเขตเครือข่ายที่ปลอดภัยระหว่างภายในและภายนอก VPC

ข้อกำหนดเบื้องต้น

• ต้องมี License SCP Enterprise Plus Edition เพื่อทำ Tenant แบบ VPC

ข้อจำกัดที่ควรทราบ

• VPC Tenant แต่ละรายสามารถสร้าง Access Control Policy ได้สูงสุด 1,000 รายการ
• Resource Pool สามารถมี Dropped Packet Log ได้สูงสุด 20,000 รายการ

ขั้นตอนการตั้งค่า

Step 1: ไปที่ Topology > กดที่ Router > กด Settings > ACL แล้วคลิก New

กำหนดค่าดังนี้:

• Source/Destination: สามารถตั้งเป็น Any IP, Specified IP, Specified Subnet หรือ Specified IP Range
• Service: ตั้งเป็น All, Specified หรือ Custom
• Action: เลือก Drop หรือ Allow
• Log: เลือก Access Control Log ตามต้องการ

Step 2: ตรวจสอบ Dropped Packet Logging

• คลิก Dropped Packet Logging ด้านบนของหน้า
• เลือก VPC Network และช่วงเวลาการโจมตี กรอก Source/Destination IP เพื่อค้นหา Log
• คลิก Log Management มุมขวาบนเพื่อเปิดหรือปิด Dropped Packet Logging

การตรวจสอบ

• ตรวจสอบรายการ Access Control Policy ว่าแสดงถูกต้อง
• ทดสอบ Traffic ระหว่างภายในและภายนอก VPC ตาม Policy ที่กำหนด
• ตรวจสอบ Dropped Packet Log เพื่อวิเคราะห์ Traffic ที่ถูก Block

หมายเหตุ

• VPC Boundary Firewall ทำงานที่ขอบเขตของ VPC เท่านั้น ไม่ใช่ระหว่าง VM ภายใน VPC เดียวกัน
• สำหรับการควบคุม Traffic ระหว่าง VM ภายใน VPC ให้ใช้ Distributed Firewall แทน
• การเปิด Dropped Packet Logging อาจส่งผลต่อ Performance หากมี Log จำนวนมาก
• Policy ทำงานแบบ Top Down

บทความที่เกี่ยวข้อง

• การตั้งค่า Security Management บน SCP
• การตั้งค่า Distributed Firewall บน SCP