There was a problem loading the comments.

Hướng dẫn quản lý Firewall của Cloud Server

Support Portal  »  Hướng dẫn sử dụng  »  Viewing Article

  Print

Như Quý khách đã biết, việc sử dụng Cloud Server/Server trong môi trường Internet sẽ luôn tìm ẩn các rủi ro về bảo mật. Có rất nhiều bot ở khắp nơi trên thế giới luôn trong trạng thái “rình rập” chờ khi Cloud Server/server vừa được kết nối Internet là ngay lập tức “nhảy vào” scan các cổng kết nối mặc định như cổng SSH, FTP,... và dò password liên tục. Đã có nhiều trường hợp Cloud Server sử dụng password đơn giản như “root123” với cổng SSH mặc định thì rất nhanh chóng sau đó Cloud Server bị lạm dụng làm botnet tấn công ra ngoài, việc này khiến địa chỉ IP của Cloud Server/server bị mang danh tiếng xấu, gây ảnh hưởng đến các website đang chạy trên Cloud Server/server và nhà cung cấp dịch vụ.

Để tránh vấn nạn này xảy ra, Quý khách có thể tham khảo và sử dụng chức năng Firewall được hỗ trợ sẵn cho các dịch vụ Cloud Server đăng ký tại vHost. Sau đây vHost sẽ hướng dẫn quý khách quản lý Firewall trên giao diện quản trị Cloud Server.

Trước khi Quý khách bật chức năng Firewall trong mục Firewall Options, cần lưu ý 2 thông số Input PolicyOutput Policy cụ thể như sau:

4c454025b01deebcee26affd68a5c87fc37e6ba08fffc1b5d024be7ef43888e4e509820ac2e34fc2?t=fc85a87ae010c93468f9ee1208406c35

7120691f75a63de3a4b20e4ae72653aef42db94238a689f08675cb0cc37381c756c82bc361747d66?t=31cee388aa39c40bcd258dfae738cce1

  • Trong trường hợp Input PolicyDROP hoặc REJECT, khi Enable Firewall lên thì firewall sẽ chặn toàn bộ các truy cập từ bên ngoài vào Cloud Server. Việc này đồng nghĩa với việc Quý khách sẽ không thể truy cập được vào website, SSH,... ngay khi bật firewall. Sau đó Quý khách có thể tuỳ chỉnh cho phép truy cập vào các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chỉ cho phép truy cập web, chỉ cho phép thực hiện SSH tới Cloud Server từ địa chỉ IP cụ thể.
  • Trong trường hợp Input PolicyACCEPT, khi Enable Firewall lên thì firewall sẽ vẫn cho phép tất cả các truy cập từ bên ngoài vào. Sau đó Quý khách có thể chặn các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chặn ping, chặn SSH.

Tương tự với Output Policy, nếu là ACCEPT thì khi bật firewall lên các traffic từ Cloud Server đi ra ngoài sẽ không bị chặn, nếu là DROP hoặc REJECT thì khi bật firewall Cloud Server sẽ bị chặn các traffic đi ra ngoài Internet.

Trong bài viết này, vHost sẽ thực hiện ví dụ chỉ cho phép truy cập SSH vào Cloud Server từ 1 địa chỉ IP cụ thể.

Bước 1: Bật Firewall

Tại trang quản trị dịch vụ Cloud Server, vào Firewall Options -> Edit -> Enable Firewall. Quý khách lưu ý tuỳ chọn phần Input Policy và Output Policy sao cho phù hợp với nhu cầu sử dụng sau đó nhấn vào Save Changes. Ở ví dụ này vHost sẽ để Input Policy là DROP để chặn toàn bộ truy cập từ bên ngoài vào Cloud Server.

62a87e07ab5d125c8758aaeac1f679822c36eb154e7274c7847bc48fff8bbac9ccce984f9e6df882?t=6cf30b2404a59d70349d684d04674cd0

Bước 2: Tuỳ chỉnh rule của Firewall

Từ trang Firewall Options, chọn vào Firewall ở menu bên trái màn hình.
2e9d1d3e4da1251a2aa676afe88e429baae8ccb90360abf5805770eaa8679091a958e0db13d19479?t=057e4d43adce501fe45ccbb0a30c51b2
Tại trang Firewall, Quý khách có thể thêm các rule cụ thể mà Quý khách mong muốn. Ở ví dụ này, vHost sẽ thực hiện thêm rule cho phép việc kết nối SSH tới Cloud Server từ 1 địa chỉ IP cố định như sau.

068767a39c7f1143dd5e75d2563bcf1865221e011c860afc044e4f26bea97fa3c3ff5a211597ef29?t=684884d6d9d718ad0d9a837682ca1e82


Type in: Rule áp dụng cho các lượt truy cập từ bên ngoài Internet vào Cloud Server.

Action ACCEPT: Cho phép truy cập.

Interface net0: Rule sẽ áp dụng đối với card mạng net0. Thông thường Cloud Server đăng ký tại vHost đều dùng card mạng này làm card mạng chính.

Source 11.x.x.19: Các lượt kết nối từ địa chỉ IP 11.x.x.19. Nếu trong rule có Type là “out" thì khi để trống mục Source này hệ thống sẽ hiểu là địa chỉ IP của Cloud Server.

Destination: Trong rule có Type là “in”, nếu để trống ở ô Destination hệ thống sẽ hiểu là địa chỉ IP của Cloud Server. Ngược lại nếu rule có Type là “out" thì cần điền địa chỉ IP cụ thể, nếu để trống hệ thống sẽ hiểu là tất cả IP trên thế giới (kể cả LAN IP).

Macro Secure shell traffic: Rule sẽ áp dụng với các lượt truy cập liên quan đến kết nối SSH. Mục Macro này là các cấu hình có sẵn cho các mục đích khác nhau ví dụ như POP3 (email) hay HTTP (web),...

Protocol None: Nếu ở mục Macro đã được cấu hình thì phần Protocol sẽ không cần phải cấu hình thêm. Trong trường hợp Quý khách không muốn cấu hình bằng các Macro có sẵn, Quý khách có thể chọn mục Protocol ở đây là TCP hay UDP,... và cấu hình các port mong muốn.

Comment: Thêm chú thích vào rule để dễ dàng quản lý hơn.

Sau khi cấu hình hoàn tất, Quý khách cần tích vào Enable để rule có hiệu lực. Cuối cùng là nhấp vào Add.

Khi cấu hình hoàn tất, địa chỉ IP 11.x.x.19 đã có thể kết nối SSH được tới Cloud Server, tất cả các địa chỉ IP khác bên ngoài Internet sẽ không thể kết nối SSH tới được Cloud Server.

Ngoài cách cấu hình thủ công như hướng dẫn trên, Quý khách cũng có thể sử dụng các bộ rules mà vHost đã cấu hình sẵn tại mục More Actions -> Add Security Group trên trang Firewall.

491bbbffd8599e61e48612c8f6cfc53b9b5bfdc6cf6d99ca531e9197fedbc1b4f21d04d6d39124f0?t=81bcc6852ebc8d8e53e2de793dbf79da

Nếu Quý khách gặp khó khăn trong quá trình sử dụng tính năng Firewall hoặc cần vHost hỗ trợ các cấu hình rule trên Firewall, vui lòng liên hệ với vHost qua các kênh sau:

Ticket: https://support.vhost.vn
Call Center: 1900 6806 (Ext: 2)
Email: support@vhost.vn


Share via
Did you find this article useful?  

Related Articles


Comment

Add Comment

Replying to  

CAPTCHA
© vHost.vn