CÁCH ĐỊNH CẤU HÌNH CÀI ĐẶT TƯỜNG LỬA VÀ CHỐNG DDOS

Để bảo vệ máy chủ của khách hàng, VNSO cung cấp firewall chống DDoS. Đây là một tùy chọn sẽ cho phép bạn giới hạn mức độ mà dịch vụ của bạn tiếp xúc với các cuộc tấn công từ mạng công cộng. 

Hướng dẫn này sẽ đưa bạn qua các bước để cấu hình nó

Yêu cầu

– Bạn phải có dịch vụ OVHcloud với Tường lửa mạng ( Máy chủ chuyên dụng,VPS, cloud server riêng và chung, IP bổ sung, v.v.)

– Bạn phải có quyền truy cập vào bảng điều khiển của mình

– Bạn phải có các kỹ năng mạng cơ bản

Hướng dẫn

Bật tường lửa mạng

Tường lửa mạng bảo vệ các IP được liên kết với một máy. Do đó, bạn phải cấu hình từng IP riêng biệt, không thể cấu hình toàn bộ máy chủ.

Trong phần này, chúng ta sẽ tạo một VMAC (địa chỉ MAC ảo) để sử dụng bởi NIC (Thẻ giao diện mạng) mà ESXi gán cho một máy ảo. Để bắt đầu, hãy đăng nhập vào bảng điều khiển. Trên thanh bên bên trái, hãy nhấp vào tùy chọn Network.

Tiếp theo, nhấp vào Public IP Addresses.

Điều hướng đến địa chỉ IP mà bạn muốn định cấu hình tường lửa. Sau đó, nhấp vào … ở bên phải địa chỉ IP và chọn Create Firewall từ trình đơn thả xuống.

Sau đó, bạn sẽ được yêu cầu xác nhận

Sau đó, bạn có thể nhấp một lần nữa vào biểu tượng bánh răng bên cạnh IPv4: Enable the firewall  Configure the Firewall.

Bạn có thể thiết lập tối đa 20 quy tắc cho mỗi IP.  

Tường lửa được bật tự động sau mỗi cuộc tấn công DDoS. Không thể bị vô hiệu hóa trước khi cuộc tấn công kết thúc. Đây là lý do tại sao điều quan trọng là phải cập nhật các quy tắc tường lửa. Là cài đặt mặc định, bạn không có bất kỳ quy tắc nào được định cấu hình. Vì vậy, tất cả các kết nối đều có thể được thiết lập. Nếu bạn có bất kỳ quy tắc nào, hãy nhớ kiểm tra các quy tắc tường lửa của bạn thường xuyên, ngay cả khi bạn vô hiệu hóa nó.

– Phân mảnh UDP bị chặn (DROP) làm cài đặt mặc định. Khi bạn bật Mạng Tường lửa, nếu bạn sử dụng VPN, hãy nhớ định cấu hình chính xác đơn vị truyền tải tối đa (MTU) của bạn. Ví dụ, trên OpenVPN, bạn có thể đánh dấu vào.   MTU test

– Tường lửa mạng không được tính đến trong mạng. Vì vậy các quy tắc được thiết lập không ảnh hưởng đến các kết nối trong mạng nội bộ này.

 >>> Xem thêm: DDOS là gì? Hệ thống chống DDOS

Cấu hình tường lửa mạng

Để thêm quy tắc, hãy nhấp chuột phải vào: Add a rule

Đối với mỗi quy tắc, bạn phải chọn:

– Ưu tiên (từ 0 đến 19, 0 là quy tắc đầu tiên được áp dụng, tiếp theo là các quy tắc khác)

– Một hành động (Authorizehoặc); Refuse

– Giao thức

– Một IP (tùy chọn)

– Cổng nguồn (chỉ TCP)

– Cổng đích (chỉ TCP)

– Các tùy chọn TCP (chỉ TCP)

– Ưu tiên 0: Chúng tôi khuyên bạn nên ủy quyền giao thức TCP trên tất cả các IP bằng một tùy chọn. Tùy chọn này cho phép bạn xác minh rằng gói đó là một phần của phiên đã được mở trước đó (đã bắt đầu). Nếu bạn không cho phép nó, máy chủ sẽ không nhận được phản hồi giao thức TCP từ các yêu cầu SYN / ACK.   established  established     

– Ưu tiên 19: từ chối tất cả giao thức IPv4 nếu bất kỳ quy tắc nào trước ngày 19 (cuối cùng có thể) không được điền vào.

Ví dụ về cấu hình

Để đảm bảo rằng chỉ các cổng SSH (22), HTTP (80), HTTPS (443) và UDP (trên cổng 10000) được mở khi ủy quyền ICMP, bạn cần tuân theo các quy tắc dưới đây:

Các quy tắc được sắp xếp theo thứ tự thời gian từ 0 (quy tắc đầu tiên được đọc) đến 19 (quy tắc cuối cùng). Chuỗi ngừng được quét ngay sau khi một quy tắc được áp dụng cho gói.

Ví dụ: Một gói cho cổng TCP 80 sẽ được bắt bởi quy tắc 2. Đồng thời các quy tắc sau đó sẽ không được kiểm tra. Một gói cho cổng TCP 25 sẽ chỉ được bắt ở quy tắc cuối cùng (19) sẽ chặn nó. Vì không cho phép giao tiếp trên cổng 25 trong các quy tắc trước đó.

Nếu tính năng giảm thiểu chống DDoS được bật, các quy tắc Tường lửa mạng của bạn sẽ được áp dụng. Đặc biệt là ngay cả khi bạn đã tắt chúng. Nếu bạn muốn vô hiệu hóa nó, hãy nhớ xóa các quy tắc của bạn.