บทนำ
Access Control เป็นฟีเจอร์หลักของ Sangfor IAG (Internet Access Gateway) ที่ใช้ควบคุมการเข้าถึงอินเทอร์เน็ตของผู้ใช้ในองค์กร โดยผู้ดูแลระบบสามารถกำหนด Policy เพื่อควบคุมการใช้งาน Application, Website, Service (Port), Proxy, Search Keyword, File Type, Email และ QQ Whitelist ได้อย่างละเอียด
Access Control Policy สามารถกำหนดเงื่อนไขตาม User, Location, Endpoint Device และ Destination รวมถึงตั้ง Schedule และ Expiry Date ได้ บทความนี้เป็นคู่มือฉบับสมบูรณ์ที่อธิบายการตั้งค่า Access Control Policy ตั้งแต่เริ่มต้นจนเสร็จสิ้น
ข้อกำหนดเบื้องต้น
- เข้าสู่ระบบ IAG Console ด้วยสิทธิ์ Administrator
- มี License Multi-function หรือ SSL Content Ident (หากต้องการใช้ SSL Decryption ร่วมด้วย)
- กำหนด Object ที่จำเป็นไว้ล่วงหน้า เช่น IP Group, Service, URL Database, Keyword Group, File Type Group (สามารถสร้างระหว่างตั้ง Policy ได้เช่นกัน)
ขั้นตอน
ส่วนที่ 1: สร้าง Access Control Policy ใหม่
- ไปที่ Online Activities > Access Control
- คลิก Add แล้วเลือก Access Control
- ทำเครื่องหมายที่ Enabled เพื่อเปิดใช้งาน Policy (หากไม่เลือก Policy จะไม่มีผล)
- กรอก Name (จำเป็น, ต้องไม่ซ้ำ) และ Description (ไม่บังคับ)
ส่วนที่ 2: ตั้งค่า Options (กฎควบคุม)
ในแท็บ Options จะมีส่วน Access Control ด้านซ้ายให้เลือกประเภทการควบคุม โดย Access Control ประกอบด้วย 3 โมดูลหลัก: Application, Email และ QQ Whitelist
A. Application
โมดูล Application ใช้ควบคุมการเข้าถึง Application และ Website โดยมีประเภทย่อยดังนี้:
1) Application (ควบคุมตาม Application Type)
- เลือก Application จากเมนูด้านซ้าย แล้วคลิก Add
- เลือก Application แล้วคลิกไอคอนเพื่อเปิดหน้า Select Application
- เลือก Application ที่ต้องการ เช่น P2P, Social Networking, Game เป็นต้น
- ตั้ง Action เป็น Allow หรือ Reject
- ตั้ง Schedule เป็น All Day หรือช่วงเวลาที่กำหนด เช่น Office Hours
- คลิก OK
หมายเหตุ: IAG อนุญาตการเข้าถึง Application ที่ไม่มี Policy กำหนดไว้โดยอัตโนมัติ (default allow)
2) HTTP URL Filtering (ควบคุมการเข้าเว็บไซต์ HTTP)
- เลือก Application แล้วคลิก Add
- ในหน้า Select Application ค้นหา Website ประเภทที่ต้องการ เช่น Finance > Bank Website
- ตั้ง Action เป็น Reject และ Schedule ตามต้องการ แล้วคลิก OK
3) HTTPS URL Filtering (ควบคุมการเข้าเว็บไซต์ HTTPS)
- สำหรับ HTTPS เนื่องจาก URL ถูกเข้ารหัส IAG จะตรวจสอบจากค่า Issued To ใน SSL Certificate
- หากไม่มี URL Group ที่ตรงกับเว็บไซต์เป้าหมาย ให้สร้าง URL Group ก่อน โดยไปที่ System > Objects > URL Database แล้วคลิก Add
- กรอก Name, Description และ URL (สำหรับ HTTPS ใส่เป็นค่า Issued To เช่น *.google.com รองรับ Wildcard)
- กลับมาที่ Access Control เลือก Application > Add > เลือกประเภท Website Access > HTTPS แล้วเลือก URL Group ที่สร้างไว้
- ตั้ง Action เป็น Reject แล้วคลิก OK
B. Service (ควบคุมตาม Port/Protocol)
- เลือก Service จากเมนูด้านซ้าย แล้วคลิก Add
- เลือก Destination จาก Drop-down (เช่น All, Predefined IP Group, Server, Limited IP, Company Website) หรือคลิก Add IP Group เพื่อสร้างใหม่ผ่าน Objects > IP Group
- เลือก Service Name จาก Drop-down (เช่น FTP, RemoteDesktop, SMTP, SQL, HTTP เป็นต้น) หรือคลิก Add Service เพื่อสร้าง Custom Service โดยระบุ Port และ Protocol
- ตั้ง Action (Allow/Reject) และ Schedule
- คลิก OK
หมายเหตุ: IAG อนุญาตการเข้าถึง Service ที่ไม่มี Policy กำหนดไว้โดยอัตโนมัติ (default allow)
C. Proxy (ควบคุมการใช้ Proxy)
- เลือก Proxy จากเมนูด้านซ้าย
- ตัวเลือกที่ใช้ได้:
- Not allow external HTTP proxy - ปิดกั้นการใช้ External HTTP Proxy
- Not allow external SOCK4/5 proxy - ปิดกั้นการใช้ External SOCKS Proxy
- Not allow other protocols on standard HTTP or SSL port - ปิดกั้น Protocol ที่ไม่ใช่ HTTP/HTTPS บน Port 80/443
D. Search Keyword (ควบคุมคำค้นหาและ HTTP Upload)
มี 2 แท็บย่อย:
-
Search Keyword - กรอง/แจ้งเตือนเมื่อ User ค้นหาคำที่กำหนด
- คลิก Add > เลือก Keyword จาก Drop-down หรือคลิก Add Keyword Group เพื่อสร้างใหม่
- เลือก URL ที่ต้องการใช้งาน (All หรือ URL เฉพาะ)
- ตั้ง Action เป็น Reject หรือ Give alert แล้วคลิก OK
-
HTTP Upload - กรอง Keyword ในข้อมูลที่ Upload ผ่าน HTTP
- คลิก Add > เลือก Keyword > ตั้ง Action เป็น Reject > คลิก OK
หากต้องการเปิดการแจ้งเตือนทาง Email ให้ไปที่ System > General > Alert options > Events แล้วเลือก Sensitive Keyword is detected
E. File Type (ควบคุมประเภทไฟล์ Upload/Download)
- เลือก File Type จากเมนูด้านซ้าย
- เลือก Apply to FTP upload/download as well หากต้องการควบคุม FTP ด้วย
- แท็บ Upload: คลิก Add > เลือก File Type (Movie, Music, Image, Text, Compressed File, Application Program) > ตั้ง Action และ Schedule
- แท็บ Download: คลิก Add > เลือก File Type > ตั้ง Action และ Schedule
- หากต้องการยกเว้นบาง Website ให้เลือก Excluded Website แล้วเลือก URL Category ที่ต้องการยกเว้น
F. SaaS Options
ใช้ตรวจสอบและจัดการ SaaS Application รวมถึงค้นพบ Shadow IT (Application ที่ไม่ได้อยู่ในการดูแลของ IT) โดยสามารถตั้งค่าการควบคุมสำหรับ Google, Facebook, Dropbox เป็นต้น
G. Email (ควบคุมอีเมล SMTP/POP3)
- เลือก Email จากเมนูด้านซ้าย
- ตั้งค่าการกรองตาม:
- Source Address - กรองตาม Email ผู้ส่ง (Block หรือ Allow เฉพาะ Address ที่กำหนด)
- Destination Address - กรองตาม Email ผู้รับ
- Block outgoing email containing the following keyword - บล็อกอีเมลที่มีคำที่กำหนดใน Subject หรือ Body
- Block outgoing email attached file with the following extension - บล็อกอีเมลที่มีไฟล์แนบประเภทที่กำหนด เช่น .exe
หมายเหตุ: การกรองอีเมลใช้ได้กับ SMTP เท่านั้น ไม่รองรับ Webmail และ Mail Port ต้องเป็น TCP 25
H. QQ Whitelist
- เลือก QQ Whitelist จากเมนูด้านซ้าย
- กรอกหมายเลข QQ ที่อนุญาตให้ใช้ (หนึ่งหมายเลขต่อบรรทัด)
- เมื่อตั้ง QQ Whitelist แล้ว จะไม่จำเป็นต้องตั้ง QQ Blocking Policy เพิ่มเติม
ส่วนที่ 3: กำหนด Object (ผู้ใช้/กลุ่มเป้าหมาย)
ในแท็บ Object กำหนดว่า Policy นี้ใช้กับใคร โดยมี 4 ประเภท (ความสัมพันธ์แบบ AND):
- User - เลือกผู้ใช้จาก Local Users, Domain User, Security Group, Domain Attributes, User Attributes หรือ Source IP
- Location - กำหนดตาม IP Segment, Wireless Network หรือ VLAN
- Endpoint Device - กำหนดตามประเภทอุปกรณ์ เช่น Mobile, PC, Multipurpose
- Destination - กำหนดตาม IP Address ปลายทาง
หมายเหตุ: หากไม่ระบุ Object ประเภทใด ประเภทนั้นจะไม่ถูกใช้เป็นเงื่อนไข หากไม่ระบุ Object ใดเลย Policy จะไม่ผูกกับผู้ใช้ใด ๆ
ส่วนที่ 4: ตั้งค่า Advanced
ในแท็บ Advanced ตั้งค่าเพิ่มเติม:
- Expiry Date: เลือก Never expire หรือ Valid till แล้วระบุวันหมดอายุ
- Privilege of Admin in Same Role: กำหนดสิทธิ์ให้ Admin ระดับเดียวกัน View/Edit Policy นี้ได้หรือไม่
- Give view privilege to administrator in lower-level role: อนุญาตให้ Admin ระดับต่ำกว่าดู Policy นี้ได้
ส่วนที่ 5: บันทึก Policy
- ตรวจสอบการตั้งค่าทั้งหมดแล้วคลิก Commit
ส่วนที่ 6: ผูก Policy กับ User Group (ทางเลือกเพิ่มเติม)
นอกจากการกำหนด Object ใน Policy แล้ว ยังสามารถผูก Policy กับ User Group ได้โดย:
- ไปที่ Users > Local Users แล้วเลือก User Group ที่ต้องการ
- คลิกแท็บ Policies แล้วคลิก Add
- เลือก Access Control Policy ที่ต้องการ
- เลือก Recursively pass down to its subgroups หากต้องการให้ Policy ใช้กับ Sub-group ด้วย
- คลิก OK
การตรวจสอบ
ตรวจสอบ Policy ของ User Group:
- ไปที่ Access Mgt > User Management > Local Users
- คลิก Policies ข้างชื่อ User Group เพื่อดูรายการ Policy ทั้งหมด
- คลิก View Resultant Set เพื่อดูผลรวมของ Policy ทั้งหมดที่ผูกกับ Group นั้น
ตรวจสอบ Policy ของ Online User:
- ไปที่ Status > Users
- คลิกชื่อผู้ใช้ที่ต้องการตรวจสอบ
- ดูรายการ Policy ทั้งหมดในแท็บ Policies
- สามารถ Add หรือ Edit Policy ของ User ที่ไม่ใช่ Temporary User ได้จากหน้านี้
หมายเหตุ
- ลำดับการ Match Policy: หาก User มีหลาย Policy ระบบจะ Match ตามลำดับจากบนลงล่าง โดย Overlay Policy (เช่น Access Control, Port Control, Keyword Filtering, File Type Filtering) จะ Match ทุก Policy ที่ตรงเงื่อนไข ส่วน Non-overlay Policy (เช่น Proxy Control, SSL Content, Mail Filtering) จะ Match เฉพาะ Policy แรกที่ตรงเงื่อนไข
- สามารถปรับลำดับ Policy ได้โดยคลิก Move Up หรือ Move Down
- IAG อนุญาตการเข้าถึง Application และ Service ที่ไม่มี Policy กำหนดไว้โดยอัตโนมัติ (Default Allow)
- Object ทั้ง 4 ประเภท (User, Location, Endpoint Device, Destination) มีความสัมพันธ์แบบ AND ส่วนภายใน User ประเภทต่าง ๆ มีความสัมพันธ์แบบ OR
- Domain User, Security Group และ Domain Attributes จะแสดงเฉพาะเมื่อมีการตั้งค่า LDAP Server แล้ว
- สำหรับการควบคุม HTTPS ต้องใช้ร่วมกับ SSL Decryption เพื่อให้สามารถตรวจสอบเนื้อหาได้อย่างละเอียด
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น