Hôm 23/2 vừa rồi Vultr có cho ra chức năng Tường Lửa (Firewall) mới cho VPS/Server giúp bảo mật tốt hơn. Tính năng này cũng đơn giản nên tranh thủ làm bài hướng dẫn ngắn để các bạn tự setup firewall cho VPS của mình.
Nếu chưa dùng VPS bao giờ bạn có thể đăng ký cho mình một cái, theo link bên dưới.
1. Cảm nhận
Tí toáy nghịch một lúc mình có đánh giá chức năng này như sau.
- Đơn giản dễ dùng và free.
- Chỉ xài tạm mà thôi, có vẻ như Vultr vội cho ra chức năng này để cạnh tranh với chính sách kinh doanh sốc của Linode thời gian gần đây hay sao ấy mà chức năng này “hơi cùi”.
- Hỗ trợ một số giao thức cơ bản ở layer 3 và layer4 ICMP , TCP, UDP, GRE và các application phổ biến SSH, HTTP, HTTPS, DNS, MySQL, PostgreSQL, MS RDP (Remote Desktop).
2. Cách hoạt động
Chức năng firewall này được xây dựng ở vòng ngoài tách biệt với VPS của bạn nên sẽ giảm tải cho VPS một chút.
Với cách cấu hình như trên giao diện quản lý firewall có thể gọi đây là Firewal dạng Stateless nó không thể check được trạng thái gói tin (New, Established, Related) hay flag trong TCP (SYN, ACK, FIN, RST) nên không có ý nghĩa nhiều khi bị tấn công DOS/DDOS.
Firewall trên Vultr chỉ chặn được connections vào một Service/Port nào đó chứ không giới hạn được tần suất hay số lượng connections đến. Nó có thể filter theo dải mạng hoặc IP cụ thể nên hạn chế DOS được phần nào.
3. Setup Firewal
Tiếp theo mình sẽ hướng dẫn các bạn cách tạo Rule cho firewall.
Firewall trên Vultr quản lý rule theo Group, mỗi group tạo được 50 rules. Khi tạo xong group bạn có thể apply cho một VPS bất kỳ trong tài khoản của bạn.
Tạo group bạn vào Server -> Firewall sau đó chọn Add Firewall Group.
Nguyên tắc của firewall mặc định luôn là Drop All chặn tất cả, cho phép hạn chế nên khi kich hoạt nó sẽ chặn mọi truy cập. Do đó bạn phải mở port cần thiết cho các dịch vụ đang chạy trên VPS.
Ví dụ mình sẽ tạo group tên “Open HTTP/SSH” để mở port cho hai dịch vụ là HTTP port 80 và SSH port 22.
- Action : mặc định rule được tạo với action là accept.
- Protocol: muốn dùng cho giao thức nào tùy bạn chọn.
- Port (range): bạn có thể cho accept vào một port hoặc một dải port.
- Source: rule sẽ được apply cho IP hoặc một dải IP có các tùy chọn My IP, Custom, Anywhere.
Thiết đặt thông số rule xong bạn ấn vào hình dấu cộng để Add IPv4 Rule, hoặc hình “thùng rác” để xóa. VPS của bạn dùng IPv6 thì bạn thêm cho IPv6 nhé.
Sau khi tạo rule xong bạn click Linked Instances rồi chọn VPS cần apply rule, click tiếp vào Add Linked Instance.
Do firewall độc lập với VPS bạn không cần phải restart VPS lại làm gì. Cuối cùng, nếu không muốn dùng firewall nữa bạn click vào nút Unlink Instance là xong.
4. Kết bài
Nói gì thì nói chắc vultr cũng chỉ hạn chế firewall ở mức độ như này thôi, pro hơn thì dịch vụ chống DDOS của nó ai còn dùng nữa.
Rất đơn giản đúng không ? Hy vọng bài hướng dẫn này sẽ giúp các bạn sử dụng firewall trên Vultr dễ dàng hơn.
cảm ơn các bạn đã theo dõi.