[A10 Network]Cấu hình Xuất bản (Publishing) ứng dụng trên A10 Thunder CFW

- Trong bài viết Cấu hình cơ bản Firewall trên thiết bị A10 Thunder CFW, chúng ta sẽ hướng dẫn sâu hơn cấu hình về tính năng Firewall này, Publish Dịch Vụ Ứng Dụng (Application Service) ra bên ngoài Internet.

I/ Mô hình:

Dịch Vụ Ứng Dụng với thiết bị Thunder CFW​

- Giới thiệu các bước cấu hình này:

• Cấu hình cho phép kết nối trực tiếp tới dịch vụ TCP của ứng dụng của Server Ứng Dụng.
• Cấu hình thêm các Rule Firewall quản lý các traffic Vào (incoming) và Ra (outgoing) đến Server.
  
• Cấu hình NAT lưu lượng từ các IP khác và dịch vụ khác trong mạng private ra Internet.

- Các bước cấu hình cơ bản về kết nối mạng ra Internet cho the A10 Thunder CFW:

II/ Cấu hình cho Application Service:
class-list inside

172.20.0.0/16 lsn-lid 1​

!
interface ethernet 1

name External
enable
ip address 4.10.10.110 255.255.255.252
ip nat outside​

!
interface ethernet 2

name Internal
enable
ip address 4.50.50.1 255.255.255.224​

!
interface ethernet 3

name ManagementNet
enable
ip address 172.20.0.1 255.255.0.0
ip nat inside​

!
ip route 0.0.0.0 /0 4.10.10.109
!
cgnv6 lsn inside source class-list inside
!
cgnv6 nat pool public 4.50.50.2 netmask /32
!
cgnv6 lsn-lid 1

source-nat-pool public​

!

rule-set 30​

!
rule-set firewall

rule 20
action permit forward
source ipv4-address any
source zone any
dest ipv4-address 4.50.50.3/32
dest zone any
service tcp dst eq 3389
service icmp code any-code
rule 25
action permit forward
source ipv4-address 4.50.50.3/32
source zone any
dest ipv4-address any
dest zone any
service any
rule 30
action permit cgnv6
source ipv4-address any
source zone any
dest ipv4-address any
dest zone any
service any​

!
fw active-rule-set firewall
!​

end

III/ Cấu hình Firewall:
- Dưới đây các Rule cho phép traffic đi qua Firewall.

• Rule 20 - cho phép các kết nối incoming vào Server (IP: 4.50.50.3) cho port dịch vụ 3389 (RDP)
• Rule 25 - cho phép traffic trả lại từ Server đến địa chỉ đích (Destinations) ngoài Internet.
• Rule 30 - cho phép các địa chỉ IP không có địa chỉ public được NAT và định tuyến đến Internet.

!Lưu ý: Firewall có thể cấu hình thêm các hạn chế và bảo mật sử dụng thêm các tính năng của A10 Thunder CFW.
rule-set firewall

rule 20

action permit forward
source ipv4-address any
source zone any
dest ipv4-address 4.50.50.3/32
dest zone any
service tcp dst eq 3389
service icmp code any-code​

rule 25

action permit forward
source ipv4-address 4.50.50.3/32
source zone any
dest ipv4-address any
dest zone any
service any​

rule 30

action permit cgnv6
source ipv4-address any
source zone any
dest ipv4-address any
dest zone any
service any​

fw active-rule-set firewall

IV/ Cấu hình định tuyến:
- IP traffic được định tuyên qua cổng Ethernet 1 của thiết bị A10 Thunder CFW kết nối trực tiếp đến ISP.
ip route 0.0.0.0 /0 4.10.10.109
-Xin cám ơn đã theo dõi và ủng hộ bài viết-