×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Distributed Firewall บน VDC

ปรับปรุงเมื่อ

บทนำ

Distributed Firewall บน VDC v5.9.6 เป็นฟีเจอร์ที่ช่วยให้ผู้ดูแลระบบสามารถกำหนดนโยบายรักษาความปลอดภัยในระดับ Micro-Segmentation ระหว่าง Virtual Machine (VM) ได้อย่างละเอียด แตกต่างจาก Perimeter Firewall ที่ทำงานเฉพาะขอบเขตเครือข่าย Distributed Firewall จะบังคับใช้กฎความปลอดภัยที่ระดับ vNIC ของแต่ละ VM โดยตรง ทำให้สามารถควบคุมการสื่อสารระหว่าง VM ใน Subnet เดียวกัน (East-West Traffic) ได้ ซึ่งเป็นสิ่งสำคัญมากในสภาพแวดล้อม VDI ที่มี VM จำนวนมาก

ข้อกำหนดเบื้องต้น

  • เข้าสู่ระบบ VDC Management Console ด้วยสิทธิ์ Administrator
  • วางแผนการแบ่งกลุ่ม VM (Security Groups) ตามหน้าที่หรือแผนกขององค์กร
  • ทราบรูปแบบการสื่อสารระหว่าง VM ที่ต้องการอนุญาตหรือปฏิเสธ
  • ตรวจสอบว่า Distributed Firewall Module ถูกเปิดใช้งานแล้วที่ System > Features > Distributed Firewall

ขั้นตอนการตั้งค่า

1. สร้าง Security Group

ไปที่ Network > Distributed Firewall > Security Groups คลิก Add Group กรอกรายละเอียด:

  • Group Name: ตั้งชื่อ เช่น "Finance-VMs", "HR-VMs", "Dev-Servers"
  • Members: เพิ่ม VM เข้ากลุ่มโดยเลือกจากรายการ สามารถเพิ่มได้ทั้ง VM รายตัวหรือเลือกตาม Tag/Label
  • Dynamic Membership: สามารถกำหนดเงื่อนไขอัตโนมัติ เช่น VM ที่มี Tag "finance" จะเข้ากลุ่มโดยอัตโนมัติ

2. สร้าง Distributed Firewall Rule

ไปที่ Network > Distributed Firewall > Rules คลิก Add Rule กำหนดค่าดังนี้:

  • Rule Name: ตั้งชื่อที่สื่อความหมาย เช่น "Allow-Finance-to-DB"
  • Source: เลือก Security Group หรือ VM ต้นทาง
  • Destination: เลือก Security Group หรือ VM ปลายทาง
  • Service: เลือกบริการหรือระบุพอร์ต/โปรโตคอล เช่น TCP/1433 สำหรับ SQL Server
  • Action: เลือก Allow, Deny หรือ Reject
  • Applied To: เลือกขอบเขตการบังคับใช้ เช่น เฉพาะ Security Group ใดหรือทุก VM

3. จัดลำดับและจัดกลุ่ม Policy

สามารถจัดกลุ่มกฎเป็น Policy Section เพื่อความเป็นระเบียบ เช่น แยกตามแผนก กฎภายใน Section เดียวกันจะถูกประมวลผลตามลำดับจากบนลงล่าง ใช้การลากเพื่อจัดลำดับ

4. ตั้งค่า Default Rule

ที่ด้านล่างของรายการกฎจะมี Default Rule ซึ่งสามารถตั้งเป็น Allow หรือ Deny แนะนำให้ตั้งเป็น Deny (Zero Trust Model) แล้วสร้างกฎ Allow เฉพาะ Traffic ที่อนุญาต

5. บันทึกและเผยแพร่

คลิก Publish เพื่อเผยแพร่กฎ ระบบจะกระจายกฎไปยัง Hypervisor ทุกตัวที่เกี่ยวข้องโดยอัตโนมัติ

การตรวจสอบ

  • ไปที่ Network > Distributed Firewall > Rules ตรวจสอบว่ากฎทั้งหมดอยู่ในสถานะ Published
  • ตรวจสอบ Hit Count ของแต่ละกฎเพื่อยืนยันว่ากฎถูกใช้งานจริง
  • ทดสอบการเชื่อมต่อระหว่าง VM ในกลุ่มต่างๆ เพื่อยืนยันว่า Micro-Segmentation ทำงานถูกต้อง
  • ดู Log ที่ Monitor > Firewall Logs โดยกรองเฉพาะ Distributed Firewall

หมายเหตุ

  • Distributed Firewall ทำงานที่ระดับ Kernel ของ Hypervisor จึงมีผลกระทบต่อประสิทธิภาพน้อยมาก
  • กฎ Distributed Firewall จะมีผลเหนือกว่า Security Group Rules ทั่วไป
  • ควรเริ่มต้นด้วยโหมด Monitor ก่อนเปลี่ยนเป็น Enforce เพื่อหลีกเลี่ยงการบล็อก Traffic ที่จำเป็น
  • การเปลี่ยนแปลง Security Group Membership จะมีผลทันทีต่อกฎ Distributed Firewall ที่เกี่ยวข้อง
  • แนะนำให้ Export กฎ Distributed Firewall เป็นประจำเพื่อสำรองข้อมูล

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น