การตั้งค่า Distributed Firewall บน SCP

บทนำ

Distributed Firewall บน Sangfor SCP เป็นฟีเจอร์ด้านความปลอดภัยที่ช่วยปกป้อง Virtual Machine ทั้งหมดภายใน Data Center โดยสามารถสร้าง Firewall Policy เพื่อควบคุม Network Isolation ระหว่าง VM ป้องกัน Internal Traffic ที่ไม่พึงประสงค์ และลดผลกระทบจากการโจมตีภายใน Data Center

ข้อกำหนดเบื้องต้น

• ไม่มีข้อกำหนดเบื้องต้นพิเศษ
• หาก VDI และ HCI VM อยู่บน Tenant VPC Network เดียวกัน สามารถตั้งค่า Applicable Scope เพื่อให้ Policy ใช้กับ VM ที่ระบุเท่านั้น

ข้อจำกัดที่ควรทราบ

• ห้ามดำเนินการ Distributed Firewall โดยตรงบน HCI เมื่อใช้งานผ่าน SCP เพราะอาจทำให้ Firewall Rule ใช้งานผิด Scope
• รองรับสูงสุด 100 Policy ต่อ Effective Scope เดียวกัน
• รองรับสูงสุด 1,000 Rule ต่อ Policy เดียวกัน
• รองรับสูงสุด 50 IP Group ต่อ Effective Scope
• รองรับสูงสุด 50 Custom Service ต่อ Effective Scope

ขั้นตอนการตั้งค่า

Step 1: เข้าสู่ระบบ SCP Admin Platform ไปที่ Resources > Security Services > Distributed Firewall

ระบบจะแสดง Policy เริ่มต้น 2 รายการ:

• Platform passthrough policy: มี Rule สำหรับ Connectivity ระหว่าง SCP กับ Resource Pool (ไม่สามารถแก้ไขได้)
• Global control policy: มี Rule สำหรับควบคุม Traffic โดยรวม (ไม่สามารถแก้ไขได้)

Step 2: เลือก Resource Pool หรือ Tenant Name ด้านซ้าย แล้วคลิก Create Policy

• Name: ตั้งชื่อ Firewall Policy
• Scope: กำหนดขอบเขต เช่น Resource Pool ทั้งหมด, Tenant Classic Network หรือ VPC
• Priority: ลำดับความสำคัญ สามารถปรับได้ด้วยตนเอง
• คลิก Applicable Scope เพื่อระบุกลุ่ม VM ที่ต้องการ

Step 3: สร้าง Firewall Rule โดยเลือก Policy แล้วคลิก Edit จากนั้นคลิก New Rule

• Source/Destination: รองรับ Any IP Address, IP Group, IP Range, Virtual Machine และ VM Group
• Service: เลือก Predefined Service หรือ Custom Service
• Action: เลือก Allow หรือ Drop
• Status: Enable หรือ Disable

Step 4: คลิก Add เพื่อเพิ่ม Rule เพิ่มเติม แล้วคลิก OK

Step 5: ปรับลำดับ Priority ของ Rule ด้วย Move Up, Move Down หรือ Move To

Step 6: ปรับลำดับ Priority ของ Policy โดยเลือก Policy แล้วคลิก More

การจัดการ IP Group

• คลิก IP Groups ด้านบนของหน้า Distributed Firewall
• คลิก New แล้วกรอก Name, Description และ IP Range
• IP Group สามารถแชร์ระหว่าง Rule ใน Effective Domain เดียวกันได้

การตั้งค่า Dropped Packet Logging

• คลิก Dropped Packet Logging แล้วคลิก Enable Dropped Packet Logging and Passthrough
• ตั้ง Clause สำหรับ Log (IP Address: All หรือ Specified, Protocol)
• เลือก Enable Passthrough เพื่อเปิด Logging พร้อม Bypass Firewall ชั่วคราว (ใช้สำหรับ Troubleshooting)
• คลิก Disable เพื่อปิด Logging และ Passthrough

การตรวจสอบ

• ตรวจสอบรายการ Policy และ Rule ว่าแสดงถูกต้องในหน้า Distributed Firewall
• ทดสอบการเชื่อมต่อระหว่าง VM ตาม Rule ที่กำหนด
• ตรวจสอบ Dropped Packet Log เพื่อวิเคราะห์ Traffic ที่ถูก Block

หมายเหตุ

• หาก VM ไม่มี vmTools ติดตั้ง ระบบจะไม่สามารถดึง IP ของ VM ได้โดยอัตโนมัติ ต้องกำหนด IP ให้ VM ก่อนใช้เป็น Source/Destination
• การเปิด Enable Passthrough จะทำให้ Firewall Policy ทั้งหมดใน Resource Pool ไม่มีผล ใช้สำหรับ Troubleshooting เท่านั้น

บทความที่เกี่ยวข้อง

• การติดตั้ง Virtual Machine Security Agent (aSEC)
• การจัดการ Virtual Machine บน SCP
• การ allocate vm จาก admin เข้า tenant
• วิธีการทำ SCP Resource Pool quota limit