Như bạn đã biết, việc sử dụng VPS hoặc server trong môi trường Internet sẽ luôn tìm ẩn các rủi ro về bảo mật. Có rất nhiều bot ở khắp nơi trên thế giới luôn trong trạng thái “rình rập” chờ khi Cloud VPS/server vừa được kết nối Internet là ngay lập tức “nhảy vào” scan các cổng kết nối mặc định như cổng SSH, FTP,… và dò password liên tục. Đã có nhiều trường hợp Cloud Server sử dụng password đơn giản như “root123” với cổng SSH mặc định thì rất nhanh chóng sau đó Cloud Server bị lạm dụng làm botnet tấn công ra ngoài, việc này khiến địa chỉ IP của Cloud VPS/server bị mang danh tiếng xấu, gây ảnh hưởng đến các website đang chạy trên Cloud VPS/server và nhà cung cấp dịch vụ.
Để tránh vấn nạn này xảy ra, bạn có thể tham khảo và sử dụng chức năng Firewall được hỗ trợ sẵn cho các dịch vụ Cloud VPS. Tại bài viết này sẽ hướng dẫn bạn quản lý Firewall trên giao diện quản trị Cloud VPS.
Trước khi bạn bật chức năng Firewall trong mục Firewall Options, cần lưu ý 2 thông số Input Policy và Output Policy cụ thể như sau:


- Trong trường hợp Input Policy là DROP hoặc REJECT, khi Enable Firewall lên thì firewall sẽ chặn toàn bộ các truy cập từ bên ngoài vào Cloud Server. Việc này đồng nghĩa với việc bạn sẽ không thể truy cập được vào website, SSH,… ngay khi bật firewall. Sau đó bạn có thể tuỳ chỉnh cho phép truy cập vào các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chỉ cho phép truy cập web, chỉ cho phép thực hiện SSH tới Cloud Server từ địa chỉ IP cụ thể.
- Trong trường hợp Input Policy là ACCEPT, khi Enable Firewall lên thì firewall sẽ vẫn cho phép tất cả các truy cập từ bên ngoài vào. Sau đó bạn có thể chặn các dịch vụ cụ thể theo hướng dẫn ở bước 2. Ví dụ: Chặn ping, chặn SSH.
Tương tự với Output Policy, nếu là ACCEPT thì khi bật firewall lên các traffic từ Cloud Server đi ra ngoài sẽ không bị chặn, nếu là DROP hoặc REJECT thì khi bật firewall Cloud Server sẽ bị chặn các traffic đi ra ngoài Internet.
Trong bài viết này sẽ thực hiện ví dụ chỉ cho phép truy cập SSH vào Cloud Server từ 1 địa chỉ IP cụ thể.
Bước 1: Bật Firewall
Tại trang quản trị dịch vụ Cloud Server, vào Firewall Options -> Edit -> Enable Firewall. bạn lưu ý tuỳ chọn phần Input Policy và Output Policy sao cho phù hợp với nhu cầu sử dụng sau đó nhấn vào Save Changes. Ở ví dụ này sẽ để Input Policy là DROP để chặn toàn bộ truy cập từ bên ngoài vào Cloud Server.

Bước 2: Tuỳ chỉnh rule của Firewall
Từ trang Firewall Options, chọn vào Firewall ở menu bên trái màn hình.

Tại trang Firewall, bạn có thể thêm các rule cụ thể mà bạn mong muốn. Ở ví dụ này sẽ thực hiện thêm rule cho phép việc kết nối SSH tới Cloud Server từ 1 địa chỉ IP cố định như sau.

Type in: Rule áp dụng cho các lượt truy cập từ bên ngoài Internet vào Cloud Server.
Action ACCEPT: Cho phép truy cập.
Interface net0: Rule sẽ áp dụng đối với card mạng net0. Thông thường Cloud VPS đều dùng card mạng này làm card mạng chính, nếu không xác định được card mạng hãy kiểm tra lại với nhà cung cấp để nhận thông tin chính xác
Source 11.x.x.19: Các lượt kết nối từ địa chỉ IP 11.x.x.19. Nếu trong rule có Type là “out” thì khi để trống mục Source này hệ thống sẽ hiểu là địa chỉ IP của Cloud Server.
Destination: Trong rule có Type là “in”, nếu để trống ở ô Destination hệ thống sẽ hiểu là địa chỉ IP của Cloud Server. Ngược lại nếu rule có Type là “out” thì cần điền địa chỉ IP cụ thể, nếu để trống hệ thống sẽ hiểu là tất cả IP trên thế giới (kể cả LAN IP).
Macro Secure shell traffic: Rule sẽ áp dụng với các lượt truy cập liên quan đến kết nối SSH. Mục Macro này là các cấu hình có sẵn cho các mục đích khác nhau ví dụ như POP3 (email) hay HTTP (web),…
Protocol None: Nếu ở mục Macro đã được cấu hình thì phần Protocol sẽ không cần phải cấu hình thêm. Trong trường hợp bạn không muốn cấu hình bằng các Macro có sẵn, bạn có thể chọn mục Protocol ở đây là TCP hay UDP,… và cấu hình các port mong muốn.
Comment: Thêm chú thích vào rule để dễ dàng quản lý hơn.
Sau khi cấu hình hoàn tất, bạn cần tích vào Enable để rule có hiệu lực. Cuối cùng là nhấp vào Add.
Khi cấu hình hoàn tất, địa chỉ IP 11.x.x.19 đã có thể kết nối SSH được tới Cloud Server, tất cả các địa chỉ IP khác bên ngoài Internet sẽ không thể kết nối SSH tới được Cloud Server.
Ngoài cách cấu hình thủ công như hướng dẫn trên, bạn cũng có thể sử dụng các bộ rules đã cấu hình sẵn tại mục More Actions -> Add Security Group trên trang Firewall.

Trên đây là một số cấu hình cơ bản với firewall được trang bị trên Cloud VPS
Chúc các bạn thành công.
Leave A Comment?