F5

Untuk mengonfigurasi firewall F5 Anda dan mengintegrasikannya dengan server ICAP Glasswall Halo, silakan ikuti panduan konfigurasi ini.

Catatan: langkah-langkah ini didokumentasikan sesuai dengan F5 versi BIG-IP 17.1.1.3, Build 0.0.5, Point Release 3.

Konfigurasikan antarmuka dan rute​

• Before configuring the interfaces, ensure you can see 3 interfaces under Network -> Interfaces -> Interface list.
  • Catatan: ini menampilkan antarmuka data plane dan tidak mencakup antarmuka manajemen.
• Nama antarmuka akan berupa 1.1, 1.2, 1.3.
• Berdasarkan alamat MAC dari setiap antarmuka dengan membandingkannya dengan alamat MAC pada antarmuka yang terpasang ke VM firewall, catat subnet mana yang dimiliki setiap antarmuka.
• In the dev environment:
  • 1.1 Termasuk dalam inside subnet
  • 1.2 Termasuk dalam outside subnet
  • 1.3 Termasuk dalam icap subnet.

1 - Konfigurasikan alamat IP manajemen​

Biasanya antarmuka pertama yang terpasang ke firewall dikonfigurasi sebagai antarmuka manajemen. Jika karena alasan apa pun UI manajemen berjalan pada antarmuka (alamat IP) yang berbeda, ikuti langkah-langkah berikut untuk mengubah alamat IP manajemen.

1. Masuk ke F5 Admin Portal.
2. Buka System -> Platform.
3. Di bawah menu drop-down Host IP address, pilih Custom host IP address lalu masukkan IP baru.

2 - Konfigurasikan antarmuka internal​

1. Buka Network -> VLANs -> VLANs list lalu klik Create.
2. Masukkan nama sebagai inside-vlan.
3. Pilih antarmuka internal dari menu drop-down lalu klik Add. Catatan: nama antarmuka akan berupa 1.1, 1.2 dan 1.3. Pada langkah sebelumnya, subnet tempat antarmuka tersebut berada, berdasarkan alamat MAC, telah dicatat.
4. Klik Finished.
5. Buka Network -> Self IPs lalu klik Create.
6. Masukkan nama sebagai inside-ip, lalu masukkan alamat IP dan netmask dari antarmuka internal.
7. Pilih inside-vlan dari menu drop-down VLAN lalu klik Finished.

3 - Konfigurasikan antarmuka eksternal​

1. Buka Network -> VLANs -> VLANs list lalu klik Create.
2. Masukkan nama sebagai outside-vlan.
3. Pilih antarmuka eksternal dari menu drop-down lalu klik Add.
4. Klik Finished.
5. Buka Network -> Self IPs lalu klik Create.
6. Masukkan nama sebagai inside-ip, lalu masukkan alamat IP dan netmask dari antarmuka eksternal.
7. Pilih outside-vlan dari menu drop-down VLAN lalu klik Finished.

4 - Konfigurasikan antarmuka ICAP​

1. Buka Network -> VLANs -> VLANs list lalu klik Create.
2. Masukkan nama sebagai icap-vlan.
3. Pilih antarmuka ICAP dari menu drop-down lalu klik Add.
4. Klik Finished.
5. Buka Network -> Self IPs lalu klik Create.
6. Masukkan nama sebagai icap-ip, lalu masukkan alamat IP dan netmask dari antarmuka ICAP.
7. Pilih icap-vlan dari menu drop-down VLAN lalu klik Finished.

Integrasi ICAP​

1 - Buat pool ICAP​

Pool ICAP merepresentasikan sekumpulan server ICAP.

1. Buka Local traffic -> Pools lalu klik Create.
2. Masukkan nama dan deskripsi yang sesuai; mis. Name -dev-aks-icap-pool, Description -ICAP Pool for Dev AKS env.
3. Di bawah Health monitors, pilih tcp dari kolom Available lalu pindahkan ke kolom Active.
4. Masukkan Node name yang sesuai. mis. dev-aks-icap-node.
5. Masukkan alamat IP server ICAP, service port sebagai 1344, lalu klik Add.
6. Klik Finished untuk menyimpan konfigurasi. Jika pemeriksaan kesehatan berhasil, status akan tampil dalam warna hijau, jika tidak maka merah.

2 - Buat pool HTTP​

HTTP pool merepresentasikan kumpulan web server yang perlu dilindungi oleh F5.

1. Buka Local traffic -> Pools lalu klik Create.
2. Masukkan nama dan deskripsi yang sesuai. mis. Name - dev-http-pool, Description -Onboarding web app dev.
3. Di bawah Health monitors, pilih http dari kolom Available dan pindahkan ke kolom Active.
4. Masukkan Node name yang sesuai. mis. dev-onboarding-app-node1.
5. Masukkan alamat IP dan port web server, lalu klik Add.
6. Klik Finished untuk menyimpan konfigurasi. Jika pemeriksaan health berhasil, status akan tampil hijau, jika tidak maka merah.

3 - Buat profile ICAP​

profile ICAP digunakan untuk mengirim traffic dari HTTP virtual server ke server ICAP untuk melakukan CDR pada konten. Dalam skenario ini karena kita ingin memproses file yang diunggah ke web server, kita perlu menggunakan layanan request modification di ICAP.

1. Buka Local traffic -> Profiles -> Services -> ICAP lalu klik Create.
2. Masukkan nama yang sesuai. mis. dev-icap-req-mod.
3. Pilih ICAP sebagai Parent profile.
4. Pilih kotak Custom di settings dan masukkan icap://${SERVER_IP}:${SERVER_PORT}/req-cdr-service?profile=default pada URL. Anda dapat menggunakan profile ICAP kustom jika diperlukan.
5. Lengkapi field lainnya sesuai kebutuhan lalu klik Finished.

4 - Buat profile HTTP​

profile HTTP kustom dapat digunakan untuk memodifikasi traffic HTTP dari web server.

1. Buka Local traffic -> Profiles -> Services -> HTTP lalu klik Create.
2. Masukkan nama yang sesuai. mis. dev-http-profile.
3. Pilih HTTP sebagai Parent profile.
4. Pilih kotak Custom pada Settings dan sesuaikan pengaturan sesuai kebutuhan.
5. Klik Finished untuk menyimpan profile.

5 - Buat virtual server internal ICAP​

Virtual server internal adalah jenis khusus virtual server yang digunakan untuk mengirim traffic ke server ICAP. Virtual server ICAP berada di depan pool ICAP.

1. Buka Local traffic -> Virtual servers -> Virtual servers list lalu Create.
2. Masukkan nama dan deskripsi yang sesuai. mis. dev-icap-vs.
3. Pilih Type sebagai Internal dan masukkan 0.0.0.0/0 sebagai alamat sumber.
4. Pilih konfigurasi Advanced dan di bawah profile ICAP, pilih profile ICAP yang dibuat pada Langkah 3.
5. Di bawah Default Pool, pilih pool ICAP yang dibuat pada Langkah 1.
6. Klik Finished untuk menyimpan virtual server.

6 - Buat profile adapt permintaan​

1. Buka Local traffic -> Profiles -> Services -> Request adapt lalu klik Create.
2. Masukkan nama yang sesuai. mis. dev-icap-req-adapt.
3. Di bawah profile Parent, pilih requestadapt.
4. Pilih kotak Custom di Settings, lalu pilih internal ICAP virtual server yang dibuat pada Langkah 6 di menu drop-down nama virtual internal.
5. Pilih tindakan service down sesuai kebutuhan. Ini menunjukkan tindakan yang akan diambil saat server ICAP sedang down. -Drop: Untuk menghentikan traffic di HTTP virtual server. -Reset: Mereset koneksi di sisi klien. -Ignore: Mengirim traffic asli ke web server.
6. Klik Finished untuk menyimpan request adapt profile.

7 - Buat HTTP virtual server​

HTTP virtual server berada di depan HTTP pool dan menyediakan alamat IP virtual yang dapat digunakan pengguna untuk mengakses web server yang dilindungi.

1. Buka Local traffic -> Virtual servers -> Virtual servers list lalu klik Create.
2. Masukkan nama yang sesuai. Misalnya dev-onboarding-http-vs.
3. Masukkan 0.0.0.0/0 pada Source address.
4. Pilih alamat IP untuk HTTP virtual server yang tidak bertentangan dengan ruang alamat lain mana pun, lalu masukkan sebagai alamat tujuan.
5. Masukkan port web server sebagai server port.
6. Pilih konfigurasi Advanced dan pilih HTTP profile yang dibuat pada Langkah 4 di bawah HTTP Profile(Client).
7. Pilih request adapt profile yang dibuat pada Langkah 6 di bawah request adapt profile.
8. Pilih Auto map pada menu drop-down Source address translation.
9. Pilih HTTP pool di bawah Default pool lalu klik Finished.