Hướng dẫn cấu hình Cloud Firewall cho VPS/Cloud Server

Tại Zhost, chúng tôi có các lớp phòng thủ bảo mật toàn diện cho toàn bộ hệ thống mạng bằng các hệ thống Firewall cứng, chống DDos Arbor APS, WAF… để ngăn chặn và giảm thiểu tối đa các cuộc tấn công có chủ đích vào các dịch vụ cung cấp đến khách hàng.

Trong một số trường hợp, bạn muốn cấu hình lọc traffic hoặc đơn giản là muốn giới hạn các cổng được kết nối đến dịch vụ VPS/Cloud Server của mình.

Đừng lo lắng, trên Zhost Portal chúng tôi đã trang bị tính năng Cloud Firewall cho phép bạn chủ động tạo các quy tắc (Rules) để bảo vệ cho VPS/Cloud Server. Dưới đây là hướng dẫn cấu hình cụ thể.

Bật tường lửa

Tại giao diện quản lý dịch vụ VPS/Cloud Server --> Bấm vào menu Mạng --> Chọn Tường lửa

Bấm vào Tab Tuỳ chọn. Tại đây bạn cần quan tâm đến một vài thông số như sau:

• Bật tường lửa – (1): Trạng thái tường lửa (Cloud Firewall) của dịch vụ (Mặc định, dịch vụ VPS/Cloud Server sẽ được tắt Cloud Firewall).
• Log Level (IN) – (2): Trạng thái ghi log chiều traffic đi vào của VPS/Cloud Server
• Log Level (OUT) – (3): Trạng thái ghi log chiều traffic đi ra của VPS/Cloud Server
• Quy tắc chiều vào (mặc định) – (4): Là hành động mặc định của tường lửa đối với tất cả các traffic đi vào VPS/Cloud Server
  • Nếu bạn muốn mặc định sẽ chặn tất cả các Port và chỉ mở cho phép kết nối một số Port thì hãy chọn DROP
  • Trường hợp muốn mặc định cho phép kết nối tất cả các Port và chỉ chặn một số Port thì hay chọn ACCEPT
• Quy tắc chiều ra (mặc định) – (5): Là hành động mặc định của tường lửa đối với tất cả các traffic đi ra từ VPS/Cloud Server (Mặc định để ACCEPT để cho phép tất cả traffic từ dịch vụ đi ra ngoài)

Để bật tường lửa cho VPS/Cloud Server --> tại mục Bật tường lửa, chuyển giá trị sang Có --> Bấm Lưu thay đổi

Lưu ý: Do Quy tắc chiều vào (mặc định) đang có giá trị là DROP, vì vậy khi bật lên tường lửa mặc định chặn toàn bộ các Traffic đi vào dịch vụ bao gồm cả SSH hoặc Remote Desktop (ví dụ dưới đây là VPS linux đã bị chặn kết nối SSH port 8686 nên telnet không được)

Tạo quy tắc (Rules)

Để cho phép kết nối đến VPS/Cloud Server, bạn cần tạo Quy tắc (Rules) cho phép kết nối.

Bấm sang tab Quy tắc (Rules) --> Bấm Thêm quy tắc mới

Cửa sổ cấu hình Rule hiện ra, bạn nhập các thông số sau:

• Giao diện – (1): Chọn card mạng của VPS/Cloud Server sẽ áp dụng rule
• Loại – (2): Là chiều Traffic mà rule sẽ áp dụng (nếu chiều vào VPS thì chọn IN, chiều từ VPS đi ra thì chọn OUT)
• Hành động – (3): Hành động mà rule sẽ áp dụng nếu traffic khớp với điều kiện của rule (ACCEPT = Cho phép, DROP = Chặn traffic mà không gửi phản hồi cho Client, REJECT = Chặn traffic và có gửi một phản hồi từ chối đến client)
• Giao thức – (4): Loại giao thức kết nối ví dụ TCP, UDP, ICMP….
• IP nguồn/Port – (5): Nếu bạn chỉ áp dụng rule này cho một Source IP cụ thể hoặc một Source Port cụ thể (ví dụ chỉ cho phép một số ip cụ thể được kết nối SSH đến dịch vụ…) thì điền vào mục này.
• IP đích/Port – (6): Là địa chỉ IP của VPS và Port bạn muốn rule áp dụng, mặc định khi không điền địa chỉ IP đích thì rule sẽ áp dụng cho tất cả các IP bạn cấu hình trên card mạng (giao diện) bạn đã chọn ở mục 01.
• Log Level – (7): Tuỳ chọn ghi log cho rule.

Cấu hình xong các thông số cho rule --> Bấm đồng ý.

Rule đã được tạo ra.

Bây giờ bạn telnet hoặc kết nối lại SSH bằng cổng 8686 đến VPS sẽ thành công.

Ghi log cho quy tắc (Rules)

Trong trường hợp bạn muốn giám sát các traffic được xử lý bằng rule đã tạo, bạn có thể bật log cho rule đó bằng cách,

Bấm chỉnh sửa rule đã tạo.

Tại mục Log level bạn lựa chọn mức độ log cần ghi.

Ví dụ ở đây chọn Info để ghi lại toàn bộ traffic được rule này xử lý. --> Bấm Đồng ý

Sau khi bật log xong, bạn bấm qua tab Logs, nếu có traffic mà rule bạn bật log đã xử lý, thì sẽ nhìn thấy Log như hình dưới.

Các rule khác bạn tạo tương tự như hướng dẫn trên.

Ví dụ, bạn có thể tạo thêm 1 rule cho phép Ping đến VPS bằng cách ACCEPT chiều IN cho giao thức ICMP.

Đã ping được đến IP của VPS.

Chúc bạn thành công!