Nhằm đảm bảo an toàn cho các Services mà bạn chạy bên trong dịch vụ Cloud VPS, bên cạnh các lớp bảo vệ vòng ngoài như Firewall Layer 7 cứng, hệ thống phát hiện và phòng chống tấn công (IPS/IDS). Zhost cũng cung cấp cho các khách hàng một tính năng Cloud Firewall (tường lửa) tích hợp sâu vào nền tảng Cloud của Zhost giúp bạn có thể chủ động tạo ra các Access Rule cho phép (Allow) hoặc từ chối (Deny) các Traffic mạng đi vào Cloud VPS của mình.

Với việc sử dụng Cloud Firewall, bạn hoàn toàn không cần phải cấu hình thêm bất kỳ loại tường lửa mềm được tích hợp vào các hệ điều hành (OS) của VPS như iptable, ubuntu fw…. mà vẫn đảm bảo việc kiểm soát an toàn cho VPS của mình.

Chi tiết cách kích hoạt và sử dụng tính năng Cloud Firewall sẽ được Zhost hướng dẫn trong bài viết này.

Kích hoạt Cloud Firewall cho VPS

Tại giao diện Control Panel của dịch vụ Cloud VPS –> Bấm vào nút Firewall Option

Theo mặc định, Firewall sẽ ở trạng thái không được kích hoạt –> Để kích hoạt Firewall bấm vào biểu tượng nút Edit bên phải.

Bật cần gạt công tắc ở mục Enable Firewall (mục 1).

Hãy lưu ý mục 2 và mục 3 sẽ là hành động (action) mặc định sẽ được áp dụng với Traffic mạng khi Firewall được bật lên.

Mục 2 – Input Policy: Hành động (action) mặc định sẽ được áp dụng đối với các Traffic đi vào Cloud VPS.

Mục 2 – Output Policy: Hành động (action) mặc định sẽ được áp dụng đối với các Traffic đi ra từ bên trong Cloud VPS.

Như hình dưới, tất cả các lưu lượng đi vào sẽ bị chặn lại, khi đó ta tạo Rule firewall cho phép kết nối Port/Giao thức nào thì mới có thể kết nối đến VPS với Port/Giao thức đó. Toàn bộ các kết nối từ bên trong VPS đi ra sẽ được cho phép.

Sau khi cấu hình xong các thông số –> Bấm Save Changes để lưu lại.

Trạng thái Cloud Firewall đã được kích hoạt.

Tạo Rule (Chính sách) cho Cloud Firewall

Sau khi đã kích hoạt Cloud Firewall bạn cần tạo các Access Rule để cho phép kết nối các Port/giao thức cần thiết vào VPS.

Mặc định theo như cấu hình bên trên, Firewall sẽ chặn mọi Traffic đi vào VPS bao gồm cả SSH, vì vậy bạn cần tạo Rule cho phép kết nối SSH đến VPS.

Các bước thực hiện như sau:

Tại giao diện Control Panel quản trị VPS –> Bấm vào nút Tường lửa (Firewall)

Danh sách các Access rule đang chưa có gì –> Bấm vào nút Tạo Rule.

Các thông số của một Access Rule như sau:

  • 1 – Công tắc bật tắt Rule, hãy chuyển sang trạng thái bật để Rule có tác dụng.
  • 2 – type – Chiều Traffic mà Rule sẽ áp dụng. Do ta muốn SSH vào VPS nên sẽ chọn chiều In.
  • 3 – Action – Hành động mà Rule sẽ áp dụng (Cho phép/Từ chối/Drop gói tin) – Ở đây chọn cho phép.
  • 4 – Interface – Card mạng của VPS mà Rule sẽ áp dụng. Mặc định VPS sẽ có 1 card mạng nên có thể giữ nguyên.
  • 5 – Source – Địa chỉ IP nguồn mà Rule sẽ áp dụng. Ví dụ bạn muốn chỉ cho phép một hoặc một vài địa chỉ IP được phép SSH đến VPS thì hãy nhập các IP vào ô Source. Để trống sẽ cho phép tất cả các IP nguồn.
  • 6 – Destination – Nhập địa chỉ IP VPS của bạn (hoặc có thể để trống nếu trường hợp VPS có nhiều IP trên cùng 1 Card mạng và bạn muốn áp dụng tất Rule cho tất cả IP).
  • 7 – Macro – Là các Services được định nghĩa sẵn, bạn có thể chọn nếu xác định rõ service bạn muốn áp dụng trong Rule là gì (thường sẽ không sử dụng mục này mà sẽ áp dụng Rule theo Port)
  • 8 – Protocol – Là giao thức mạng sẽ sử dụng trong Rule (TCP/UDP/ICMP…) ở đây chọn TCP (Transmission Control Protocol) do SSH hoạt động trên nền TCP.
  • 9 – Source Port – Là port nguồn từ phía IP kết nối đến.
  • 10 – Destination Port – Là Port đích mà VPS lắng nghe. Ở đây nhập 8686 vì Cloud VPS tại Zhost lắng nghe Port SSH 8686.
  • 11 – Comment – Các ghi chú hoặc đặt tên cho Rule để dễ phân biệt.

Sau khi cấu hình xong các thông số cho Rule –> Bấm Save Changes.

Rule đã được tạo ra.

Thử kết nối SSH vào VPS và đã thành công.

Đối với các giao thức hoặc dịch vụ khác ví dụ Web 80/443, FTP 21… bạn cũng tạo Rule tương tự.

Hy vọng qua bài viết này bạn đã nắm rõ cách sử dụng Cloud Firewall được tích hợp trên Zhost ID để có thêm một lớp bảo mật nữa tăng cường tính an toàn cho dịch vụ.

Chúc các bạn thành công!

Leave a Reply

Your email address will not be published.