บทนำ
Traffic Forwarding Policies เป็นนโยบายที่ใช้กำหนดว่า traffic ใดจาก endpoint ที่มี Sangfor Access Client (SGA - Secured Global Access) จะถูก forward ผ่าน SASE platform หรือไม่ โดยมีนโยบายเริ่มต้น 2 รายการ คือ Default Non-Traffic Forwarding Policy (สำหรับ intranet) และ Default Traffic Forwarding Policy (สำหรับ traffic ทั้งหมด) ฟีเจอร์นี้ใช้ได้เฉพาะกับ SGA เท่านั้น
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ Administrator ในการเข้าถึง Sangfor Access Secure console
- มี Subscription Secured Global Access (SGA)
- endpoint มี Sangfor Access Client ติดตั้งและเชื่อมต่อกับ SASE
- วางแผน destination IP, Domain Name หรือ Process ที่ต้องการกำหนดนโยบาย
ขั้นตอนการตั้งค่า (Configuration Steps)
- เข้าสู่ Sangfor Access Secure console จาก Platform-X
- ที่แถบเมนูด้านซ้าย ไปที่ Traffic Forwarding Policies
- ตรวจสอบนโยบาย Default ที่มีอยู่:
- Default Non-Traffic Forwarding Policy: ตั้งค่า Destination IP เป็น 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255 และ 192.168.0.0-192.168.255.255 พร้อม Action: Do not forward traffic (เพื่อให้ intranet traffic ไม่ถูก forward)
- Default Traffic Forwarding Policy: ตั้งค่า Destination IP เป็น 0.0.0.0-255.255.255.255 พร้อม Action: Forward traffic
- คลิก Add เพื่อสร้างนโยบายใหม่ ระบุ:
- Policy Name: ชื่อนโยบาย
- Applicable Users: ผู้ใช้ที่นโยบายมีผล
- Object: เลือก Destination IP, Domain Name หรือ Process
- Action: Forward หรือ Do not forward traffic
- จัดเรียง Rank ของนโยบาย โดย Default Non-Traffic Forwarding Policy ต้องอยู่เหนือ Default Traffic Forwarding Policy เสมอ
- คลิก Advanced ที่ด้านบนของแท็บ Access Client เพื่อตั้งค่า Forward DNS Traffic, Block IPv6 DNS, Block TCP DNS, Traffic Exclusion, Efficient Traffic Detection และ Strict DLP Mode ตามต้องการ
- คลิก OK เพื่อบันทึก
การตรวจสอบ (Verification)
ทดสอบบนเครื่อง endpoint ที่มี Access Client โดยเข้าถึง destination ที่กำหนดในนโยบาย และตรวจสอบว่า traffic ถูก forward ตาม Action ที่กำหนด หากต้อง audit ให้ดูที่ Internet Access Logs
หมายเหตุ (Notes)
- นโยบายมีผลตามลำดับจากบนลงล่าง รายการแรกที่ match จะถูกใช้
- หาก IP ของ internal server ไม่อยู่ใน Default Non-Traffic Forwarding Policy ต้องสร้างนโยบายแยกสำหรับ internal server นั้น เพื่อป้องกันปัญหาการเข้าถึง
- เมื่อ object ขัดแย้งกัน ระบบจะใช้ priority ตามลำดับ: IP Addresses, Processes, Domain Names
- การเปิด Strict DLP Mode จะทำให้ endpoint สามารถใช้ Internet ได้เฉพาะผ่าน SASE เท่านั้น หาก SASE ไม่พร้อมใช้งาน endpoint จะใช้ Internet ไม่ได้
- การเปิด Forward DNS Traffic อาจทำให้ endpoint ไม่สามารถ resolve internal domain ได้ ต้องตั้งนโยบาย Domain Name แยก
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น