×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Firewall Rules บน IAG

ปรับปรุงเมื่อ

บทนำ

Firewall Rules บน Sangfor IAG ช่วยให้ผู้ดูแลระบบสามารถกำหนดกฎการกรอง Traffic ที่ส่งผ่านระหว่าง Interface ต่างๆ ของอุปกรณ์ได้ โดยสามารถกำหนดเงื่อนไขการกรองตาม Destination Protocol, Port, Source IP Address, Destination IP Address และ Schedule (ตารางเวลา)

หน้า Firewall ของ IAG ประกอบด้วย 4 ส่วน ได้แก่ Firewall Rules, IPv4 SNAT, IPv4 DNAT และ IPv6 NAT โดยบทความนี้จะอธิบายการตั้งค่า Firewall Rules สำหรับกรอง Traffic ระหว่าง Zone ต่างๆ

ข้อกำหนดเบื้องต้น

  • เข้าถึง Web Console ของ Sangfor IAG ด้วยสิทธิ์ Administrator
  • ทราบ Direction ของ Traffic ที่ต้องการกรอง (เช่น LAN to DMZ, WAN to LAN)
  • ทราบ Service/Protocol, Source IP และ Destination IP ที่ต้องการอนุญาตหรือบล็อก

ขั้นตอนการตั้งค่า

ส่วนที่ 1: เข้าถึงหน้า Firewall Rules

  1. เข้าสู่ระบบ Web Console ของ Sangfor IAG
  2. ไปที่เมนู System > Firewall
  3. คลิกแท็บ Firewall Rules
  4. ในส่วน Direction เลือก Direction ที่ต้องการตั้งค่า Firewall Rule:
    • LAN<->DMZ: กรอง Traffic ระหว่าง LAN Zone และ DMZ Zone
    • DMZ<->WAN: กรอง Traffic ระหว่าง DMZ Zone และ WAN Zone
    • WAN<->LAN: กรอง Traffic ระหว่าง WAN Zone และ LAN Zone
    • LAN<->LAN: กรอง Traffic ระหว่าง LAN Zone ด้วยกัน
    • DMZ<->DMZ: กรอง Traffic ระหว่าง DMZ Zone ด้วยกัน
    • VPN<->WAN: กรอง Traffic ระหว่าง VPN Zone และ WAN Zone
    • VPN<->LAN: กรอง Traffic ระหว่าง VPN Zone และ LAN Zone

ส่วนที่ 2: เพิ่ม Firewall Rule ใหม่

  1. หลังจากเลือก Direction แล้ว คลิก Add เพื่อเพิ่ม Rule ใหม่
  2. ในหน้าต่าง Rule ที่ปรากฏขึ้น กรอกข้อมูลดังนี้:
    • Enabled: เลือกเพื่อเปิดใช้งาน Rule
    • Name: ตั้งชื่อ Rule เช่น Allow HTTP
    • Priority No.: กำหนดลำดับความสำคัญของ Rule (ค่ายิ่งน้อยยิ่ง Priority สูง)
    • Description: ระบุคำอธิบาย Rule
    • Action: เลือก Allow (อนุญาต) หรือ Deny (ปฏิเสธ)
    • Service: เลือก Service/Protocol ที่ต้องการ เช่น HTTP, HTTPS, All_Protocol, FTP เป็นต้น
    • Source: เลือก Source IP Address หรือ IP Group (เลือก All สำหรับทุก IP)
    • Destination: เลือก Destination IP Address หรือ IP Group (เลือก All สำหรับทุก IP)
    • Schedule: เลือกตารางเวลาที่ Rule จะมีผล (เลือก All Day สำหรับตลอดเวลา)
    • Data Flow: เลือกทิศทาง Data Flow เช่น LAN->DMZ, DMZ->LAN เป็นต้น
  3. คลิก Commit เพื่อบันทึก Rule

ส่วนที่ 3: จัดการ Firewall Rules ที่มีอยู่

  • คลิก Delete เพื่อลบ Rule ที่เลือก
  • คลิก Enable เพื่อเปิดใช้งาน Rule
  • คลิก Disable เพื่อปิดใช้งาน Rule ชั่วคราว
  • คลิก Move Up หรือ Move Down เพื่อเปลี่ยนลำดับ Priority ของ Rule
  • คลิกที่ชื่อ Rule เพื่อแก้ไขการตั้งค่า

ตัวอย่างการตั้งค่า: อนุญาตเฉพาะ HTTP จาก LAN ไปยัง DMZ

  1. เลือก Direction LAN<->DMZ
  2. คลิก Add
  3. กรอกข้อมูล:
    • Name: Allow HTTP
    • Priority No.: 1
    • Action: Allow
    • Service: HTTP
    • Source: All
    • Destination: All
    • Schedule: All Day
    • Data Flow: LAN->DMZ
  4. คลิก Commit
  5. หลังจากตั้งค่า Rule นี้ เฉพาะ HTTP Packet ที่จะถูกอนุญาต Traffic อื่นๆ จะถูก Reject โดยค่าเริ่มต้น

การตรวจสอบ

  • ตรวจสอบว่า Rule ที่สร้างแสดงในรายการ Firewall Rules พร้อม Status เป็น Enable
  • ทดสอบการเชื่อมต่อจาก Source ไปยัง Destination ตาม Service ที่อนุญาต
  • ทดสอบการเชื่อมต่อด้วย Service ที่ไม่ได้อนุญาต เพื่อยืนยันว่าถูก Block

หมายเหตุ

  • โดยค่าเริ่มต้น Firewall Module จะ Reject Traffic ทั้งหมด ยกเว้น LAN > WAN และ LAN > DMZ ที่ถูกอนุญาตจาก Factory Default
  • Rule ที่มี Priority No. น้อยกว่าจะถูกประมวลผลก่อน (Priority สูงกว่า)
  • สามารถ Reference ไปยัง Objects ที่สร้างไว้ เช่น Network Services, IP Groups และ Schedule Groups
  • NAT Settings (SNAT/DNAT) ใช้งานได้เฉพาะเมื่ออุปกรณ์ Deploy ในโหมด Route Mode

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น