# Sử dụng Edge Gateway Firewall ## **Tổng quan** Firewall của **edge gateway** giám sát lưu lượng North-South để cung cấp các chức năng bảo mật chu vi, bao gồm **Firewall**, **Network Address Translation (NAT)** và **site-to-site IPSec** và **SSL VPN**. Các quy tắc firewall này được áp dụng trên **edge gateway firewall** để bảo vệ các máy ảo trong trung tâm dữ liệu ảo (VDC) của tổ chức khỏi lưu lượng mạng bên ngoài. ## Quy trình {% tabs %} {% tab title="I. Định nghĩa đối tượng" %} Để tạo các quy tắc firewall và thêm chúng vào edge gateway, cần định nghĩa các yếu tố sau: **Name**: Tên của quy tắc. **Source:** IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4). **Destination**: IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4). **Application**: Chọn ứng dụng với cổng được áp dụng (1.5). **Action**: Allow\Reject\Drop. **IP Protocol:** IPv4/IPv6 hoặc cả hai. * Thêm một **IP Set:** **Bước 1:** **IP Sets** là các nhóm địa chỉ IP và mạng được áp dụng cho các quy tắc firewall (làm **Source** hoặc **Destination**) **Bước 2:** Trong thanh điều hướng trên cùng, nhấp vào **Networking** và chọn **Edge Gateways**. **Bước 3:** Chọn edge gateway mà bạn muốn chỉnh sửa.

**Bước 4:** Trong mục **Security**, nhấp vào **IP Sets**. **Bước 5:** Nhấp vào **New**. **Bước 6:** Nhập **Tên**, **Mô tả** cho IP Set. **Bước 7:** Nhập địa chỉ IPv4, IPv6 hoặc dải địa chỉ theo định dạng CIDR và nhấp vào **Add**. **Bước 8:** Chỉnh sửa địa chỉ hiện tại (nếu cần) bằng cách nhấp vào **Modify**. **Bước 9:** Nhấp **Save** để xác nhận.

{% hint style="warning" %} **Lưu ý**: Không được xóa các IP Sets có tên bắt đầu bằng **HIGIO-** (nếu có). {% endhint %} * **Tạo một Static Security Group:** **Static Security Groups** là các nhóm mạng giúp giảm số lượng quy tắc firewall phân tán cần tạo. **Bước 1**: Nhấp vào **Networking** > **Edge Gateways**. **Bước 2**: Chọn edge gateway bạn muốn chỉnh sửa.

**Bước 3**: Trong **Security**, nhấp vào **Static Groups**. **Bước 4**: Nhấp **New**. **Bước 5**: Nhập **Tên**, **Mô tả** cho Static Group và nhấp **Save**.

Static security group sẽ xuất hiện trong danh sách. **Bước 6**: Chọn nhóm vừa tạo, nhấp **Manage Members**.

**Bước 7**: Chọn data center group networks mà bạn muốn thêm static security group vào >> **Save**

* **Gán Security Tags cho VM** Các security tags được gán cho máy ảo để áp dụng các quy tắc firewall edge gateway và distributed firewall rules. **Bước 1:** Trong thanh điều hướng trên cùng, nhấp vào **Networking.** **Bước 2:** Bấm vào **Security Tags**. **Bước 3:** Nhấp vào **Add Tag**. **Bước 4:** Nhập **tag name**. **Bước 5:** Chọn các máy ảo trong tổ chức cần gán tag. **Bước 6:** Nhấp vào**Save**.

* **Tạo một Dynamic Security Group** Bạn có thể xác định các nhóm bảo mật động của các máy ảo dựa trên các tiêu chí cụ thể (**VM Name** hoặc**Tag Name**) mà các quy tắc tường lửa sẽ được áp dụng. **Bước 1:** Ở thanh điều hướng phía trên, nhấp vào **Networking** và **Edge Gateways**. **Bước 2**: Chọn edge gateway mà bạn muốn chỉnh sửa.

**Bước 3:** Dưới mục Security, nhấp vào **Dynamic Groups**. **Bước 4:** Nhấp vào **New**.. Bước 5: Nhập Tên và Mô tả cho dynamic security group. **Step 6:** To create a for inclusion in the group, add up to **four rules** that apply to a VM Name **or** a VM security tag. Bước 6: Để tạo một **Criterion** để đưa vào nhóm, thêm tối đa **bốn quy tắc** áp dụng cho VM Name **hoặc** VM security tag. * *VM Name:* một quy tắc áp dụng cho các tên VM chứa hoặc bắt đầu với một từ bạn chỉ định. * *VM tag:* một quy tắc áp dụng cho các thẻ VM có giá trị **bằng**, **chứa**, **bắt đầu** với, hoặc **kết thúc** với một từ bạn chỉ định.

Tôi đã tạo 02 quy tắc * *VM Name*: **Bắt đầu** với “demo” * *VM Tag*: **Bằng** “non-prd” (Mà bạn đã tạo trong mục **1.3**) **Bước 7:** Nhấp vào **Save**. **Thêm Custom Application Port Profile:** Bạn có thể sử dụng cấu hình sẵn và tùy chỉnh application port profiles để tạo các quy tắc tường lửa. Application port profiles bao gồm sự kết hợp của giao thức và một cổng hoặc một nhóm các cổng được sử dụng cho các dịch vụ tường lửa. **Bước 1:** Trên thanh điều hướng trên cùng, nhấp vào **Networking** và chọn **Edge Gateways.** **Bước 2:** Chọn edge gateway mà bạn muốn chỉnh sửa.

**Bước 3:** Dưới mục **Security**, nhấp vào **Application Port Profiles.** **Bước 4:** Trong bảng Custom Applications, nhấp vào **New**. **Bước 5:** Nhập **Tên** và **Mô tả** choapplication port profile. **Bước 6:** Từ menu thả xuống Protocol, chọn giao thức **TCP**, **UDP**, **ICMPv4**, **ICMPv6** **Bước 7:** Nhập một cổng hoặc dải cổng, cách nhau bằng dấu phẩy, và nhấp vào **Save**.

{% endtab %} {% tab title="II. Thêm Quy Tắc Tường Lửa cho Edge Gateway" %} Chúng ta đã có các Objects được định nghĩa từ trước. Dưới đây là cách tạo quy tắc tường lửa cho edge gateway: **Bước 1:** Trên thanh điều hướng phía trên, nhấp vào **Networking** và chọn **Edge Gateways.** **Bước 2:** Chọn edge gateway.

**Bước 3:** Chọn **Firewall** dưới Services ở bên trái. **Bước 4:** Nhấp vào **Edit Rules.** **Bước 5:** Để thêm một quy tắc tường lửa, nhấp vào **New** ở phía trên. {% hint style="warning" %} Mỗi trafic sẽ được kiểm tra với quy tắc đầu tiên trong bảng tường lửa trước khi tiếp tục với các quy tắc sau trong bảng. Quy tắc đầu tiên trong bảng phù hợp với tham số traffic sẽ được thi hành. {% endhint %} **Bước 6:** Cấu hình quy tắc ***Name***: \[Tên của quy tắc] ***State***: \[Bật hoặc tắt quy tắc bằng công tắc] ***Applications***: Chọn cấu hình mặc định hoặc custom profiles được tạo ra trong **1.5** ***Source**:* Chọn Any hoặc Object được tạo ra ở ***1.1, 1.2, 1.3, 1.4*** ***Destination**:* Chọn Any hoặc Object được tạo ra ở ***1.1, 1.2, 1.3, 1.4*** ***Action**:* **Allow**\\**Reject**\\**Drop** ***IP*** ***Protocol**:* **IPv4/IPv6** hoặc **cả hai** ***Logging**:* \[Bật hoặc tắt bằng công tắc] bật để có địa chỉ dịch được thực hiện bởi quy tắc này được ghi lại

**Bước 7:** Nhấp vào **Save**. Sau khi tạo các quy tắc tường lửa, chúng sẽ xuất hiện trong Edge Gateway Firewall Rules list. Bạn có thể di chuyển lên, xuống, chỉnh sửa hoặc xóa các quy tắc nếu cần. {% hint style="warning" %} Vui lòng không xóa tên quy tắc bắt đầu bằng HIGIO- (nếu có) {% endhint %} {% endtab %} {% endtabs %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.higiocloud.vn/hi-gio-user-guide-vn/network/1.-lam-viec-voi-mang-network/su-dung-edge-gateway-firewall.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.