Cách Cấu Hình Cloud Firewall Cho VPS/Cloud Server Trên vNode

Giới Thiệu 

Trong hệ thống vNode, được trang bị nhiều lớp bảo mật mạnh mẽ nhằm bảo vệ toàn diện cho hạ tầng và dịch vụ của khách hàng, bao gồm Firewall mạng, chống DDoS và các cơ chế kiểm soát truy cập nâng cao. Những lớp bảo vệ này giúp giảm thiểu rủi ro từ các cuộc tấn công bên ngoài, đồng thời đảm bảo VPS/Cloud Server luôn vận hành ổn định và an toàn.

Trong thực tế vận hành, bạn có thể cần cấu hình lọc traffic và giới hạn port truy cập nhằm kiểm soát kết nối đến VPS/Cloud Server.

Để đáp ứng nhu cầu đó, vNode Portal cung cấp tính năng Cloud Firewall, cho phép bạn dễ dàng tạo và quản lý các quy tắc (Rules) theo ý muốn. Nhờ vậy, bạn có thể chủ động kiểm soát lưu lượng truy cập và nâng cao mức độ bảo mật cho VPS/Cloud Server của mình. Dưới đây là hướng dẫn cấu hình chi tiết.

Hướng Dẫn Cấu Hình Cloud Firewall Cho VPS/Cloud Server

Truy cập vào vNode Portal -> Tại giao diện “Quản lý dịch vụ” -> Bấm chọn “VPS – Cloud Server”, chọn dịch vụ muốn bật tường lửa

Tại trang giao diện quản lý dịch, bấm chọn tab “Mạng” -> Bấm chọn “Tường lửa”

Truy cập vào mục “Tùy chọn” để thực hiện cấu hình các tham số hệ thống.

1. Bật tường lửa:

• Xác định trạng thái hoạt động cuat Cloud Firewall đối với VPS/Cloud Server.
• Theo mặc định, tính năng Cloud Firewall sẽ ở trạng thái tắt.

2. Log Level (IN): Thiết lập độ ghi log đối với lưu lương truy cập Inbound (từ bên ngoài VPS/Cloud Server).

3. Log Level (OUT): Thiết lập chế độ ghi log đối với lưu lượng truy cập Outbound (từ VPS/Cloud Server ra bên ngoài)

4. Quy tắc vào mặc định:

• Xác định hành động mặc định của tường lửa đối với toàn bộ lưu lượng Inbound không khớp với bất kỳ rule nào đã cấu hình.
• Chọn DROP: Từ chối toàn bộ kết nối đến, chỉ cho phép các port đã được khai báo trong rule.

5. Quy tắc chiều ra (mặc định):

• Xác định hành động của tường lửa đối với toàn bộ lưu lượng outbound không khớp rule.
• Thông thường để ACCEPT nhằm cho phép VPS/Cloud Server kết nối ra ngoài (Cập nhật hệ thống, gọi API, tải dữ liệu…).

Để kích hoạt Cloud Firewall cho VPS/Cloud Server, thực hiện như sau:
Tại mục Bật tường lửa, chuyển giá trị sang Có, sau đó nhấn Lưu thay đổi để áp dụng cấu hình.

Lưu ý:
Do Quy tắc chiều vào (mặc định) đang được thiết lập là DROP, toàn bộ lưu lượng truy cập Inbound sẽ bị từ chối nếu không khớp với bất kỳ rule cho phép nào.

Điều này đồng nghĩa với việc các dịch vụ như SSH hoặc Remote Desktop cũng sẽ bị chặn nếu chưa được cấu hình rule tương ứng.

Ví dụ: Trong trường hợp VPS Linux sử dụng SSH port 8686 nhưng chưa có rule cho phép, kết nối đến port này sẽ bị từ chối (không thể telnet hoặc SSH).

Tạo quy tắc (Rules)

Để cho phép các kết nối đến VPS/Cloud Server, cần cấu hình các rule cho phép tương ứng.

Thực hiện như sau:

• Truy cập tab Quy tắc (Rules)
• Nhấn Thêm quy tắc mới để khởi tạo rule

1. Giao diện: Chọn card mạng (interface) của VPS/Cloud Server mà rule sẽ được áp dụng (ví dụ: net0).

2. Loại:

Xác định chiều lưu lượng mà rule áp dụng:

• IN: Lưu lượng từ bên ngoài vào VPS/Cloud Server
• OUT: Lưu lượng từ VPS/Cloud Server ra ngoài

3. Hành động:

Xác định hành động khi lưu lượng khớp với điều kiện của rule:

• ACCEPT: Cho phép kết nối
• DROP: Từ chối kết nối (không phản hồi)
• REJECT: Từ chối kết nối và gửi phản hồi đến client

4. Giao thức:

Chọn loại giao thức áp dụng cho rule, ví dụ: TCP, UDP, ICMP.

5. IP nguồn / Port:

Xác định địa chỉ IP hoặc port nguồn được áp dụng rule.

• Có thể để trống để áp dụng cho toàn bộ nguồn
• Hoặc chỉ định IP cụ thể để giới hạn truy cập (ví dụ: chỉ cho phép một IP truy cập SSH)

6. IP đích / Port

Xác định địa chỉ IP và port đích trên VPS/Cloud Server.

• Nếu không nhập IP đích, rule sẽ áp dụng cho toàn bộ IP trên interface đã chọn
• Port đích là cổng dịch vụ cần cấu hình (ví dụ: 22, 80, 443, 8686…)

7. Log Level:
Thiết lập chế độ ghi log cho rule.

• Khuyến nghị sử dụng nolog trong môi trường production
• Chỉ bật log khi cần theo dõi hoặc kiểm tra

Hoàn tất cấu hình:
Sau khi nhập đầy đủ các thông số, nhấn Đồng ý để tạo rule.

Tạo rule thành công.

Sau khi cấu hình rule, bạn có thể thực hiện kết nối lại đến VPS qua SSH hoặc telnet tại port 8686 và xác nhận kết nối thành công.

Ghi log cho quy tắc (Rules)

Trong trường hợp cần giám sát các lưu lượng được xử lý bởi rule, bạn có thể kích hoạt chức năng ghi log cho rule tương ứng.

Thực hiện như sau:

• Truy cập danh sách Quy tắc (Rules)
• Chọn rule cần theo dõi và nhấn Chỉnh sửa

• Tại trường Log Level, lựa chọn mức độ ghi log phù hợp cho rule.

Ví dụ: Chọn mức Info để ghi nhận toàn bộ lưu lượng được xử lý bởi rule này.

Sau khi hoàn tất cấu hình, nhấn Đồng ý để áp dụng thay đổi.

Sau khi kích hoạt ghi log cho rule, truy cập tab Logs để kiểm tra dữ liệu ghi nhận.

Trong trường hợp có lưu lượng truy cập được xử lý bởi rule đã bật log, thông tin tương ứng sẽ được hiển thị tại đây như bên dưới.

• Các rule khác được cấu hình tương tự theo quy trình đã hướng dẫn ở trên.

Ví dụ: Để cho phép thực hiện Ping đến VPS/Cloud Server, tạo một rule với cấu hình như sau:

• Loại (Type): IN
• Hành động (Action): ACCEPT
• Giao thức (Protocol): ICMP

Tạo rule thành công các bạn có thể ping đươc IP của VPS

Kết luận

Cloud Firewall trên vNode Portal cung cấp cơ chế kiểm soát truy cập linh hoạt và hiệu quả cho VPS/Cloud Server thông qua việc thiết lập các rule chi tiết theo từng giao thức, port và địa chỉ IP.

Việc cấu hình đúng các quy tắc không chỉ giúp đảm bảo hệ thống hoạt động ổn định mà còn nâng cao mức độ bảo mật, hạn chế tối đa các truy cập trái phép từ bên ngoài.