# Sử dụng Distributed Firewall trong Data Center Group

## <mark style="color:green;">**Tổng quan**</mark> <a href="#overview" id="overview"></a>

**HI GIO** hỗ trợ dịch vụ distributed firewall cho data center group. Bạn tạo một chính sách bảo mật mặc định áp dụng cho data center group.

Chính sách này có thể kiểm tra mọi gói tin và khung tin đến và đi từ VM, bất kể cấu trúc mạng. Việc kiểm tra gói tin được thực hiện ở mức vNIC (network interface ảo) của VM, cho phép áp dụng các danh sách kiểm soát truy cập (ACL) gần nhất với nguồn.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/wpCZ4SKRYR9VcrIC0jFA/image.png" alt=""><figcaption></figcaption></figure>

## <mark style="color:green;">Quy trình</mark> <a href="#id-2.-guidance" id="id-2.-guidance"></a>

{% tabs %}
{% tab title="I. Định nghĩa trước các Object" %}
TĐể tạo các quy tắc **distributed firewall** và thêm chúng vào **data center group**, bạn cần định nghĩa một số đối tượng sau:

*<mark style="color:green;">Name</mark>*<mark style="color:green;">: Tên của quy tắc.</mark>

*<mark style="color:green;">Source</mark>*<mark style="color:green;">:</mark> <mark style="color:green;"></mark><mark style="color:green;">**IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4)**</mark>

*<mark style="color:green;">Destination</mark>*<mark style="color:green;">:</mark> <mark style="color:green;"></mark><mark style="color:green;">**IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4)**</mark>

*<mark style="color:green;">Application:</mark>* <mark style="color:green;"></mark><mark style="color:green;">Chọn ứng dụng với cổng để áp dụng quy tắc</mark> <mark style="color:green;"></mark><mark style="color:green;">**(1.5)**</mark>

*<mark style="color:green;">Action</mark>*<mark style="color:green;">:</mark> <mark style="color:green;"></mark><mark style="color:green;">**Allow**</mark><mark style="color:green;">\\</mark><mark style="color:green;">**Reject**</mark><mark style="color:green;">\\</mark><mark style="color:green;">**Drop**</mark>

*<mark style="color:green;">IP Protocol:</mark>* <mark style="color:green;">**IPv4/IPv6**</mark> <mark style="color:green;"></mark><mark style="color:green;">hoặc cả hai</mark>

* **Thêm một IP Set vào Data Center Group**

**Thêm một IP Set vào Data Center Group**: IP Sets là các nhóm địa chỉ IP và mạng mà các quy tắc **distributed firewall** áp dụng (cho **Source** và **Destination**). Việc kết hợp nhiều đối tượng vào IP Sets giúp giảm số lượng quy tắc distributed firewall cần tạo ra.

**Bước 1:** Trong thanh điều hướng trên cùng, nhấp vào **Networking** và sau đó nhấp vào **Data Center Groups**&#x20;

**Bước 2:** Nhấp vào tên **data center group**

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/p5pg6e92tKnrIH1RDm88/image.png" alt=""><figcaption></figcaption></figure>

**Bước 3:** Under *Security*Dưới **Security**, nhấp vào **IP Sets**.

**Bước 4:** Click Nhấp vào **New**.

**Bước 5:** Nhập một **Name** có ý nghĩa và **Description** cho IP Sets.

**Bước 6:** Nhập một địa chỉ IPv4, địa chỉ IPv6 hoặc dải địa chỉ theo định dạng CIDR và nhấp vào **Add**.

**Bước 7:** Để sửa đổi một địa chỉ IP hoặc dải địa chỉ hiện tại, nhấp vào **Modify** và chỉnh sửa giá trị.

**Bước 8:** Nhấp vào **Save** để xác nhận.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/7NkSEu7RWvwSQZvW9jbS/image.png" alt=""><figcaption></figcaption></figure>

* **Tạo một Static Security Group**

Static Security Groups là các mạng **data center group** mà các quy tắc **distributed firewall** áp dụng (cho **Source** và **Destination**). Việc nhóm các mạng lại giúp giảm số lượng quy tắc **distributed firewall** cần tạo ra.

**Bước 1:** Trong thanh điều hướng trên cùng, nhấp vào **Networking** và sau đó nhấp vào tab **Data Center Groups**.

**Bước 2:** Nhấp vào tên **data center group**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/OFwWEgQisVSzEL9WHdJt/image.png" alt=""><figcaption></figcaption></figure>

**Bước 3:** Dưới **Security**, nhấp vào **Static Groups**.

**Bước 4:** Nhấp vào **New**.

**Bước 5:** Nhập **Name** và **Description** cho static group và nhấp vào **Save**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/aisg3Sjz7zPW2xa7eBFp/image.png" alt=""><figcaption></figcaption></figure>

Static security group sẽ xuất hiện trong danh sách.

**Bước 6:** Chọn static security group mới tạo và nhấp **Manage Members**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/hDxRmsXjFkXGWFaDKwHn/image.png" alt=""><figcaption></figcaption></figure>

**Bước 7:** Chọn các mạng data center group mà bạn muốn thêm vào static security group >> **Save**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/X5T0HbvMCMNJWEVT2NMi/image.png" alt=""><figcaption></figcaption></figure>

* **Gán Security Tags cho VM:**

Các security tags bạn tạo và gán cho các máy ảo giúp bạn xác định các quy tắc edge gateway và distributed firewall.

**Bước 1:** Trong thanh điều hướng trên cùng, nhấp vào **Networking**.

**Bước 2:** Nhấp vào **Security Tags**.

**Bước 3:** Nhấp vào **Add Tag**.

**Bước 4:** Nhập tên tag.

**Bước 5:** Từ danh sách các máy ảo trong tổ chức, chọn những máy cần gán tag mới tạo.

**Bước 6:** Nhấp **Save**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/TS2z0Y1kbe5WdTaw0lmt/image.png" alt=""><figcaption></figcaption></figure>

* **Tạo Dynamic Security Group:**

Bạn có thể xác định dynamic security groups của các máy ảo dựa trên các tiêu chí cụ thể (VM Name hoặc Tag Name) để áp dụng các quy tắc distributed firewall.

**Bước 1:**&#x54;rong thanh điều hướng trên cùng, nhấp vào **Networking** và sau đó nhấp vào tab **Data Center Groups**.

**Bước 2:** Nhấp vào tên data center group.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/0VqvtH9GP7ohQTDi10LU/image.png" alt=""><figcaption></figcaption></figure>

**Bước 3:** Dưới **Security**, nhấp vào **Dynamic Groups**.

**Bước 4:** Nhấp **New**.

**Bước 5:** Nhập tên và mô tả cho dynamic security group.

**Bước 6:**&#x110;ể tạo **Criterion** cho việc thêm vào nhóm, thêm tối đa **bốn quy tắc** áp dụng cho VM Name hoặc VM security tag.

* *VM Name:* quy tắc áp dụng cho tên VM chứa hoặc bắt đầu với một từ mà bạn chỉ định.
* *VM tag:* quy tắc áp dụng cho tag VM có giá trị **bằng, chứa, bắt đầu** hoặc **kết thúc** với từ mà bạn chỉ định.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/A0ORM3dZfORZMg5yR9Rv/image.png" alt=""><figcaption></figcaption></figure>

Tôi đã tạo 02 quy tắc

* *VM Name*: **Bắt đầu** với “demo”
* *VM Tag*: **Bằng** “non-prd” (mà bạn đã tạo trong **1.3**)

**Bước 7:** Nhấp **Save**.

* **Thêm Custom Application Port Profile:**

Bạn có thể sử dụng các application port profiles đã cấu hình sẵn hoặc tùy chỉnh để tạo các quy tắc distributed firewall.&#x20;

Các application port profiles bao gồm một sự kết hợp của giao thức và cổng hoặc một nhóm cổng được sử dụng cho dịch vụ firewall.

**Bước 1:** Trong thanh điều hướng trên cùng, nhấp vào **Networking** và sau đó nhấp vào tab **Data Center Groups**.

**Bước 2:** Nhấp vào **tên data center group.**

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/qqsx98hOfoc1FU0qUsFF/image.png" alt=""><figcaption></figcaption></figure>

**Bước 3:** Dưới **Security**, nhấp vào **Application Port Profiles**.

**Bước  4:** Trong phần **Custom Applications**, nhấp vào **New**.

**Bước 5:** Nhập tên và mô tả cho application port profile.

**Bước 6:** Từ menu thả xuống **Protocol**, chọn giao thức: TCP, UDP, ICMPv4, ICMPv6.

**Bước 7:** Nhập một cổng, hoặc một dãy các cổng, cách nhau bằng dấu phẩy, và nhấp **Save**.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/1zgJGyPnvnT9CETahOGG/image.png" alt=""><figcaption></figcaption></figure>
{% endtab %}

{% tab title="II. Thêm Quy Tắc Distributed Firewall" %}
Chúng ta đã có các đối tượng được định nghĩa sẵn trong phần trước. Sau đây là cách tạo các quy tắc distributed firewall:

1. Trong thanh điều hướng trên cùng, nhấp vào **Networking** và sau đó nhấp vào tab **Data Center Groups**.

2\. Nhấp vào tên data center group.

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/Hoxn5nGQA7hS0KOfaE6A/image.png" alt=""><figcaption></figcaption></figure>

3\. Nhấp vào tab **Distributed Firewall** bên trái.

4\. Nhấp **Edit Rules**.

5\. Để thêm một quy tắc firewall, nhấp vào **New on Top**.

**LƯU Ý**: Mỗi phiên lưu lượng mạng sẽ được kiểm tra theo quy tắc đầu tiên trong bảng firewall trước khi tiếp tục qua các quy tắc tiếp theo trong bảng. Quy tắc đầu tiên trong bảng mà khớp với các tham số lưu lượng sẽ được thực thi.

6\. Cấu hình quy tắc:

<mark style="color:green;">**Name**</mark><mark style="color:green;">: \[Tên của quy tắc]</mark>

<mark style="color:green;">**State**</mark><mark style="color:green;">: \[Kích hoạt hoặc tắt quy tắc bằng công tắc]</mark>

<mark style="color:green;">**Applications**</mark><mark style="color:green;">: Chọn các hồ sơ mặc định hoặc các hồ sơ tùy chỉnh đã tạo trong 1.5.</mark>

<mark style="color:green;">**Context**</mark><mark style="color:green;">: (Tùy chọn) Chọn hồ sơ ngữ cảnh cho quy tắc.</mark>

<mark style="color:green;">**Source**</mark><mark style="color:green;">: Chọn</mark> <mark style="color:green;"></mark><mark style="color:green;">**Any**</mark> <mark style="color:green;"></mark><mark style="color:green;">hoặc đối tượng đã tạo trong 1.1, 1.2, 1.3, 1.4.</mark>

<mark style="color:green;">**Destination**</mark><mark style="color:green;">: Chọn</mark> <mark style="color:green;"></mark><mark style="color:green;">**Any**</mark> <mark style="color:green;"></mark><mark style="color:green;">hoặc đối tượng đã tạo trong 1.1, 1.2, 1.3, 1.4.</mark>

<mark style="color:green;">**Action**</mark><mark style="color:green;">: Allow\Reject\Drop</mark>

<mark style="color:green;">**IP Protocol**</mark><mark style="color:green;">: IPv4/IPv6 hoặc cả hai.</mark>

<mark style="color:green;">**Logging**</mark><mark style="color:green;">: \[Kích hoạt hoặc tắt bằng công tắc] Kích hoạt để có nhật ký các phép dịch địa chỉ được thực hiện bởi quy tắc này.</mark>

<figure><img src="https://content.gitbook.com/content/dOZ82gj0wvhbAUlxBHpj/blobs/oTYRFm6Fl1y8VkMk0K29/image.png" alt=""><figcaption></figcaption></figure>

7\. Nhấp **Save**.

{% hint style="warning" %}
Không xóa các quy tắc có tên bắt đầu bằng **HIGIO** (nếu có).
{% endhint %}
{% endtab %}
{% endtabs %}