Như bạn đã biết, việc sử dụng VPS hoặc server trong môi trường Internet sẽ luôn tiềm ẩn các rủi ro về bảo mật. Có rất nhiều bot ở khắp nơi trên thế giới luôn trong trạng thái “rình rập” chờ khi Cloud Server vừa được kết nối Internet là ngay lập tức “nhảy vào” scan các cổng kết nối mặc định như cổng SSH, FTP,… và dò password liên tục. Đã có nhiều trường hợp Cloud Server sử dụng password đơn giản như “root123” với cổng SSH mặc định thì rất nhanh chóng sau đó Cloud Server bị lạm dụng làm botnet tấn công ra ngoài, việc này khiến địa chỉ IP của Cloud Server bị mang danh tiếng xấu, gây ảnh hưởng đến các website đang chạy trên Cloud Server và nhà cung cấp dịch vụ.
Nội Dung
Giới thiệu tính năng Firewall trên trang quản lý dịch vụ
Để tránh vấn nạn này xảy ra, bạn có thể tham khảo và sử dụng chức năng Firewall được hỗ trợ sẵn cho các dịch vụ Cloud Server. Tại bài viết này sẽ hướng dẫn bạn quản lý Firewall trên giao diện quản trị Cloud Server trên trang quản lý dịch vụ members.vhost.vn.
Để cấu hình firewall trên giao diện quản lý bạn truy cập vào Cloud Server cần cấu hình firewall, bạn vui lòng chọn tab Network sau đó chọn Firewall.
Trước khi bạn bật chức năng Firewall trong mục Options, bạn cần lưu ý 2 thông số Input Policy và Output Policy cụ thể như sau:
- Trường hợp khi bạn đăng ký Cloud Server tại vHost mặc định Input Policy là DROP, khi đó Firewall mặc định sẽ chặn toàn bộ các truy cập từ bên ngoài vào Cloud Server. Việc này đồng nghĩa với việc bạn sẽ không thể truy cập được vào website, SSH,… ngay khi bật firewall. Sau đó bạn có thể tuỳ chỉnh cho phép truy cập vào các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chỉ cho phép truy cập web, chỉ cho phép thực hiện SSH tới Cloud Server từ địa chỉ IP cụ thể.
- Trong trường hợp Input Policy là ACCEPT, khi Enable Firewall lên thì firewall sẽ vẫn cho phép tất cả các truy cập từ bên ngoài vào. Sau đó bạn có thể chặn các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chặn ping, chặn SSH. vHost không khuyến cáo điều này vì nếu thiết lập rule chặn một địa chỉ IP nào đó thì có thể hacker tấn công đến Cloud Server của bạn bằng một địa chỉ IP khác.
Tương tự với Output Policy, nếu là ACCEPT thì khi bật firewall lên các traffic từ Cloud Server đi ra ngoài sẽ không bị chặn, nếu là DROP hoặc REJECT thì khi bật firewall Cloud Server sẽ bị chặn các traffic đi ra ngoài Internet.
Khuyến cáo: Để an toàn trong việc sử dụng vHost khuyến cáo bạn nên sử dụng Input Policy là DROP sau đó thiết lập các rule cho phép truy cập vào Cloud Server để tránh các mối nguy hiểm tiềm ẩn về bảo mật.
Trong bài viết này sẽ thực hiện ví dụ chỉ cho phép truy cập SSH vào Cloud Server từ 1 địa chỉ IP cụ thể.
Các bước thực hiện
Bước 1: Tuỳ chỉnh rule của Firewall
Từ tab Firewall, chọn vào Rule ở menu bên trái sau đó chọn Add new rule để thêm các rule trên firewall.
Tại trang Firewall, bạn có thể thêm các rule cụ thể mà bạn mong muốn. Ở ví dụ này sẽ thực hiện thêm rule cho phép việc kết nối SSH tới Cloud Server từ 1 địa chỉ IP cố định như sau.
Type IN: Rule áp dụng cho các lượt truy cập từ bên ngoài Internet vào Cloud Server.
Action ACCEPT: Cho phép truy cập.
Interface net0: Rule sẽ áp dụng đối với card mạng net0. Thông thường Cloud Server đều dùng card mạng này làm card mạng chính, nếu không xác định được card mạng hãy kiểm tra lại với nhà cung cấp để nhận thông tin chính xác.
Source 1.2.3.4: Các lượt kết nối từ địa chỉ IP Cloud Server của bạn. Nếu trong rule có Type là “out” thì khi để trống mục Source này hệ thống sẽ hiểu là địa chỉ IP của Cloud Server.
Destination: Trong rule có Type là “in”, nếu để trống ở ô Destination hệ thống sẽ hiểu là địa chỉ IP của Cloud Server. Ngược lại nếu rule có Type là “out” thì cần điền địa chỉ IP cụ thể, nếu để trống hệ thống sẽ hiểu là tất cả IP trên thế giới (kể cả LAN IP).
Macro Secure shell traffic: Rule sẽ áp dụng với các lượt truy cập liên quan đến kết nối SSH. Mục Macro này là các cấu hình có sẵn cho các mục đích khác nhau ví dụ như POP3 (email) hay HTTP (web),…
Protocol None: Nếu ở mục Macro đã được cấu hình thì phần Protocol sẽ không cần phải cấu hình thêm. Trong trường hợp bạn không muốn cấu hình bằng các Macro có sẵn, bạn có thể chọn mục Protocol ở đây là TCP hay UDP,… và cấu hình các port mong muốn.
Sau khi cấu hình hoàn tất, bạn cần tích vào Submit để rule có hiệu lực.
Khi cấu hình hoàn tất, địa chỉ IP 1.2.3.4 đã có thể kết nối SSH được tới Cloud Server, tất cả các địa chỉ IP khác bên ngoài Internet sẽ không thể kết nối SSH tới được Cloud Server.
Ví dụ 1: Nếu bạn muốn mở SSH port mặc định để truy cập vào Cloud Server bằng SSH bạn có thể thêm tại phần Rules như sau:
Tại đây, bạn có nếu bạn muốn giới hạn địa chỉ IP truy cập tại phần Source bạn điền địa chỉ IP mà bạn muốn giới hạn, nếu không bạn có thể bỏ trống phần này (việc bỏ trống cho phép bạn truy cập đến Cloud Server của bạn từ mọi nơi).
Ví dụ 2: Để truy cập Cloud Server bằng Remote Desktop bạn có thể thêm tại phần Rules sau:
Tại đây, để có thể Remote Desktop bằng port mặc định bạn vui lòng chọn Macro là Microsoft Remote Desktop Protocol traffic, nếu bạn muốn giới hạn địa chỉ IP truy cập tại phần Source bạn điền địa chỉ IP mà bạn muốn giới hạn, nếu không bạn có thể bỏ trống phần này (việc bỏ trống cho phép bạn truy cập đến Cloud Server của bạn từ mọi nơi).
Ví dụ 3: Tương tự như trên để truy cập được MySQL bạn có thể mở port MySQL thông qua Macro MySQL Server
Ngoài cách cấu hình thủ công như hướng dẫn trên, bạn cũng có thể sử dụng các bộ rules sử dụng Security Group mà vHost đã cấu hình sẵn tại mục Type -> Group trên phần Add New Rule.
Tại đây, bạn có thể sử dụng nhanh chóng các Security Group mà vHost đã cấu hình sẵn các bộ rule cơ bản giúp bạn.
Bước 2: Bật Firewall
Tại trang quản trị dịch vụ Cloud Server, vào Network –> Firewall, sau đó tại phần Options – -> chọn Enable Firewall chuyển sang Yes. bạn lưu ý tuỳ chọn phần Input Policy và Output Policy sao cho phù hợp với nhu cầu sử dụng sau đó nhấn vào Save Changes. Ở ví dụ này sẽ để Input Policy là DROP để chặn toàn bộ truy cập từ bên ngoài vào Cloud Server.
Trên đây là một số cấu hình cơ bản với firewall được trang bị trên Cloud Server. Nếu bạn cần hỗ trợ thêm thông tin, vui lòng gửi yêu cầu hỗ trợ tại đây.
Kết luận
Sau khi hoàn tất quá trình cấu hình firewall, hệ thống của bạn sẽ được bảo mật an toàn hơn. Các quy tắc firewall đã được thiết lập chặt chẽ, đảm bảo chỉ cho phép các kết nối được ủy quyền và ngăn chặn các cuộc tấn công từ bên ngoài.
Chúc các bạn thành công.
