Như Quý Khách đã biết, việc sử dụng VPS hoặc server trong môi trường Internet sẽ luôn tiềm ẩn các rủi ro về bảo mật. Có rất nhiều bot ở khắp nơi trên thế giới luôn trong trạng thái “rình rập” chờ khi Cloud Server vừa được kết nối Internet là ngay lập tức “nhảy vào” scan các cổng kết nối mặc định như cổng SSH, FTP,… và dò password liên tục. Đã có nhiều trường hợp Cloud Server sử dụng password đơn giản như “root123” với cổng SSH mặc định thì rất nhanh chóng sau đó Cloud Server bị lạm dụng làm botnet tấn công ra ngoài, việc này khiến địa chỉ IP của Cloud Server bị mang danh tiếng xấu, gây ảnh hưởng đến các website đang chạy trên Cloud Server và nhà cung cấp dịch vụ.
Giới thiệu tính năng Firewall trên trang quản lý dịch vụ #
Để tránh vấn nạn này xảy ra, Quý Khách có thể tham khảo và sử dụng chức năng Firewall được hỗ trợ sẵn cho các dịch vụ Cloud Server. Tại bài viết này sẽ hướng dẫn Quý Khách quản lý Firewall trên giao diện quản trị Cloud Server trên trang quản lý dịch vụ members.vhost.vn.
Để cấu hình firewall trên giao diện quản lý Quý Khách truy cập vào Cloud Server cần cấu hình firewall, Quý Khách vui lòng chọn Firewall.
Trong mục Options, Quý Khách cần lưu ý 2 thông số Input Policy và Output Policy cụ thể như sau:
- Trường hợp khi Quý Khách đăng ký Cloud Server tại vHost mặc định Input Policy là DROP, khi đó Firewall mặc định sẽ chặn toàn bộ các truy cập từ bên ngoài vào Cloud Server. Việc này đồng nghĩa với việc Quý Khách sẽ không thể truy cập được vào website, SSH,…. Sau đó Quý Khách có thể tuỳ chỉnh cho phép truy cập vào các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chỉ cho phép truy cập web, chỉ cho phép thực hiện SSH tới Cloud Server từ địa chỉ IP cụ thể.
- Trong trường hợp Input Policy là ACCEPT, firewall sẽ cho phép tất cả các truy cập từ bên ngoài vào. Sau đó Quý Khách có thể chặn các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chặn ping, chặn SSH. vHost không khuyến cáo điều này vì nếu thiết lập rule chặn một địa chỉ IP nào đó thì có thể hacker tấn công đến Cloud Server của Quý Khách bằng một địa chỉ IP khác.
Tương tự với Output Policy, nếu là ACCEPT thì khi bật firewall lên các traffic từ Cloud Server đi ra ngoài sẽ không bị chặn, nếu là DROP hoặc REJECT thì khi bật firewall Cloud Server sẽ bị chặn các traffic đi ra ngoài Internet.
Khuyến cáo: Để an toàn trong việc sử dụng vHost khuyến cáo Quý Khách nên sử dụng Input Policy là DROP sau đó thiết lập các rule cho phép truy cập vào Cloud Server để tránh các mối nguy hiểm tiềm ẩn về bảo mật.
Các bước thực hiện #
Firewall tại vHost được mặc định là Enable và đã được cấu hình rule cho phép SSH từ bên ngoài đến Cloud Server, vì vậy Quý Khách có thể thực hiện SSH đến Cloud Server mà không cần cấu hình gì thêm, tuy nhiên nếu Quý Khách thay đổi port SSH trong Server, Quý Khách cần phải tùy chỉnh lại rule mặc định.
Từ tab Firewall, chọn vào Rule ở menu bên trái sau đó chọn Add new rule để thêm các rule trên firewall.
Ví dụ 1: Cho phép truy cập đến website. #
Cấu hình thủ công #
- Type IN: Rule áp dụng cho các lượt truy cập từ bên ngoài Internet vào Cloud Server.
- Action ACCEPT: Cho phép truy cập.
- Interface net0: Rule sẽ áp dụng đối với card mạng net0. Thông thường Cloud Server đều dùng card mạng này làm card mạng chính, nếu không xác định được card mạng hãy kiểm tra lại với nhà cung cấp để nhận thông tin chính xác.
- Source: Cho phép IP 1.2.3.4 truy cập đến website của Quý Khách, các IP khác sẽ không truy cập được. Để trống ô Source sẽ cho phép tất cả truy cập đến website của Quý Khách. Ngược lại nếu Type là “out” thì khi để trống mục Source này hệ thống sẽ hiểu là địa chỉ IP của Cloud Server.
- Port: 80 đối với HTTP hoặc 443 đối với HTTPS
- Destination: Đối với Type là “in”, nếu để trống ở ô Destination hệ thống sẽ hiểu là địa chỉ IP của Cloud Server. Ngược lại nếu rule có Type là “out” thì cần điền địa chỉ IP cụ thể, nếu để trống hệ thống sẽ hiểu là tất cả IP trên thế giới (kể cả LAN IP).
Sau khi cấu hình hoàn tất, Quý Khách cần tích vào Submit để rule có hiệu lực.
Khi cấu hình hoàn tất, địa chỉ IP 1.2.3.4 đã có thể truy cập được đến website. Tất cả các địa chỉ IP khác bên ngoài Internet sẽ không thể truy cập.
Sử dụng Macro #
Ngoài ra Quý Khách có thể sử dụng các Macro có sẵn để cấu hình firewall. Quý khách có thể xem thêm chi tiết tại đây.
Để truy cập đến website với 2 port mặc định là 80 và 443, Quý Khách cần chọn Macro là WWW traffic (HTTP and HTTPS). Lúc này Protocol sẽ không thể cấu hình.
Tại đây, Quý Khách có nếu Quý Khách muốn giới hạn địa chỉ IP truy cập tại phần Source Quý Khách điền địa chỉ IP mà Quý Khách muốn giới hạn, nếu không Quý Khách có thể bỏ trống phần này (việc bỏ trống cho phép Quý Khách truy cập đến Cloud Server của Quý Khách từ mọi nơi).
Ví dụ 2: Cho phép Remote Desktop #
Để truy cập Cloud Server bằng Remote Desktop Quý Khách có thể thêm tại phần Rules sau:
Tại đây, để có thể Remote Desktop bằng port mặc định Quý Khách vui lòng chọn Macro là Microsoft Remote Desktop Protocol traffic, nếu Quý Khách muốn giới hạn địa chỉ IP truy cập tại phần Source, Quý Khách điền địa chỉ IP mà Quý Khách muốn giới hạn, nếu không, Quý Khách có thể bỏ trống phần này (việc bỏ trống cho phép Quý Khách truy cập đến Cloud Server của Quý Khách từ mọi nơi).
Ngoài cách cấu hình thủ công như hướng dẫn trên, Quý Khách cũng có thể sử dụng các bộ rules sử dụng Security Group mà vHost đã cấu hình sẵn tại mục Type -> Group trên phần Add New Rule.
Tại đây, Quý Khách có thể sử dụng nhanh chóng các Security Group mà vHost đã cấu hình sẵn các bộ rule cơ bản giúp Quý Khách.
Kết luận #
Sau khi hoàn tất quá trình cấu hình firewall, hệ thống của Quý Khách sẽ được bảo mật an toàn hơn. Các quy tắc firewall đã được thiết lập chặt chẽ, đảm bảo chỉ cho phép các kết nối được ủy quyền và ngăn chặn các cuộc tấn công từ bên ngoài.
Chúc Quý Khách thành công.
