F5

Untuk mengkonfigurasi firewall F5 anda dan mengintegrasikannya dengan pelayan ICAP Glasswall Halo, sila ikuti panduan konfigurasi ini.

Nota: langkah-langkah ini didokumenkan berdasarkan F5 version BIG-IP 17.1.1.3, Build 0.0.5, Point Release 3.

Konfigurasikan antara muka dan laluan​

• Before configuring the interfaces, ensure you can see 3 interfaces under Network -> Interfaces -> Interface list.
  • Nota: ini menunjukkan antara muka satah data dan tidak termasuk antara muka pengurusan.
• Nama antara muka ialah 1.1, 1.2, 1.3.
• Berdasarkan alamat MAC bagi setiap antara muka dengan membandingkannya dengan alamat MAC pada antara muka yang dilampirkan pada firewall VM, catat subnet yang dimiliki oleh setiap antara muka.
• In the dev environment:
  • 1.1 Milik inside subnet
  • 1.2 Milik outside subnet
  • 1.3 Milik icap subnet.

1 - Konfigurasikan alamat IP pengurusan​

Biasanya antara muka pertama yang dilampirkan pada firewall dikonfigurasikan sebagai antara muka pengurusan. Jika atas apa-apa sebab UI pengurusan berjalan pada antara muka yang berbeza (alamat IP), ikuti langkah ini untuk menukar alamat IP pengurusan.

1. Log masuk ke F5 Admin Portal.
2. Pergi ke System -> Platform.
3. Di bawah menu lungsur Host IP address, pilih Custom host IP address dan masukkan IP baharu.

2 - Konfigurasikan antara muka dalaman​

1. Pergi ke Network -> VLANs -> VLANs list dan klik Create.
2. Masukkan nama sebagai inside-vlan.
3. Pilih antara muka dalaman daripada menu lungsur dan klik Add. Nota: nama antara muka ialah 1.1, 1.2 dan 1.3. Dalam langkah sebelumnya, sub-net yang menjadi milik antara muka tersebut, berdasarkan alamat MAC, telah dicatat.
4. Klik Finished.
5. Pergi ke Network -> Self IPs dan klik Create.
6. Masukkan nama sebagai inside-ip, dan masukkan alamat IP serta netmask bagi antara muka dalaman.
7. Pilih inside-vlan daripada menu lungsur VLAN dan klik Finished.

3 - Konfigurasikan antara muka luaran​

1. Pergi ke Network -> VLANs -> VLANs list dan klik Create.
2. Masukkan nama sebagai outside-vlan.
3. Pilih antara muka luaran daripada menu lungsur dan klik Add.
4. Klik Finished.
5. Pergi ke Network -> Self IPs dan klik Create.
6. Masukkan nama sebagai inside-ip, dan masukkan alamat IP serta netmask bagi antara muka luaran.
7. Pilih outside-vlan daripada senarai juntai bawah VLAN dan klik Finished.

4 - Konfigurasikan antara muka ICAP​

1. Pergi ke Network -> VLANs -> VLANs list dan klik Create.
2. Masukkan nama sebagai icap-vlan.
3. Pilih antara muka ICAP daripada senarai juntai bawah dan klik Add.
4. Klik Finished.
5. Pergi ke Network -> Self IPs dan klik Create.
6. Masukkan nama sebagai icap-ip, dan masukkan alamat IP serta netmask bagi antara muka ICAP.
7. Pilih icap-vlan daripada senarai juntai bawah VLAN dan klik Finished.

Penyepaduan ICAP​

1 - Cipta pool ICAP​

Pool ICAP mewakili sekumpulan pelayan ICAP.

1. Pergi ke Local traffic -> Pools dan klik Create.
2. Masukkan nama dan perihalan yang sesuai; contohnya Name -dev-aks-icap-pool, Description -ICAP Pool for Dev AKS env.
3. Di bawah Health monitors, pilih tcp daripada lajur Available dan alihkannya ke lajur Active.
4. Masukkan Node name yang sesuai. Contohnya dev-aks-icap-node.
5. Masukkan alamat IP pelayan ICAP, port perkhidmatan sebagai 1344 dan klik Add.
6. Klik Finished untuk menyimpan konfigurasi. Jika semakan kesihatan berjaya, status akan dipaparkan dalam warna hijau, jika tidak merah.

2 - Cipta pool HTTP​

Pool HTTP mewakili kumpulan pelayan web yang perlu dilindungi oleh F5.

1. Pergi ke Local traffic -> Pools dan klik Create.
2. Masukkan nama dan penerangan yang sesuai. contohnya Nama - dev-http-pool, Penerangan -Onboarding web app dev.
3. Di bawah Health monitors, pilih http daripada lajur Available dan alihkannya ke lajur Active.
4. Masukkan Node name yang sesuai. contohnya dev-onboarding-app-node1.
5. Masukkan alamat IP dan port pelayan web, kemudian klik Add.
6. Klik Finished untuk menyimpan konfigurasi. Jika semakan kesihatan berjaya, status akan dipaparkan dalam warna hijau, jika tidak merah.

3 - Cipta profile ICAP​

profile ICAP digunakan untuk menghantar trafik daripada pelayan maya HTTP ke pelayan ICAP untuk CDR kandungan. Dalam senario ini, kerana kita mahu memproses fail yang dimuat naik ke pelayan web, kita perlu menggunakan perkhidmatan pengubahsuaian permintaan dalam ICAP.

1. Navigasi ke Local traffic -> Profiles -> Services -> ICAP dan klik Create.
2. Masukkan nama yang sesuai. contohnya dev-icap-req-mod.
3. Pilih ICAP sebagai Parent profile.
4. Pilih kotak Custom dalam settings dan masukkan icap://${SERVER_IP}:${SERVER_PORT}/req-cdr-service?profile=default dalam URL. Anda boleh menggunakan profile ICAP tersuai jika diperlukan.
5. Lengkapkan medan lain seperti yang diperlukan dan klik Finished.

4 - Cipta profile HTTP​

profile HTTP tersuai boleh digunakan untuk mengubah suai trafik HTTP pelayan web.

1. Navigasi ke Local traffic -> Profiles -> Services -> HTTP dan klik Create.
2. Masukkan nama yang sesuai. contohnya dev-http-profile.
3. Pilih HTTP sebagai Parent profile.
4. Pilih kotak Custom pada Settings dan sesuaikan tetapan mengikut keperluan.
5. Klik Finished untuk menyimpan profile.

5 - Cipta pelayan maya dalaman ICAP​

Pelayan maya dalaman ialah jenis khas pelayan maya yang digunakan untuk menghantar trafik ke pelayan ICAP. Pelayan maya ICAP berada di hadapan pool ICAP.

1. Navigasi ke Local traffic -> Virtual servers -> Virtual servers list dan Create.
2. Masukkan nama dan penerangan yang sesuai. Contohnya dev-icap-vs.
3. Pilih Type sebagai Internal dan masukkan 0.0.0.0/0 sebagai alamat sumber.
4. Pilih konfigurasi Advanced dan di bawah profile ICAP, pilih profile ICAP yang dicipta dalam Langkah 3.
5. Di bawah Default Pool, pilih pool ICAP yang dicipta dalam Langkah 1.
6. Klik Finished untuk menyimpan pelayan maya.

6 - Cipta profile adapt permintaan​

1. Navigasi ke Local traffic -> Profiles -> Services -> Request adapt dan klik Create.
2. Masukkan nama yang sesuai. Contohnya dev-icap-req-adapt.
3. Di bawah profile Parent, pilih requestadapt.
4. Pilih kotak Custom dalam Settings, dan pilih pelayan maya ICAP dalaman yang dicipta dalam Langkah 6 dalam senarai juntai bawah nama maya dalaman.
5. Pilih tindakan apabila perkhidmatan tidak tersedia mengikut keperluan. Ini mewakili tindakan yang akan diambil apabila pelayan ICAP tidak tersedia. -Drop: Menggugurkan trafik pada pelayan maya HTTP. -Reset: Menetapkan semula sambungan pada bahagian klien. -Ignore: Menghantar trafik asal ke pelayan web.
6. Klik Finished untuk menyimpan profile penyesuaian permintaan.

7 - Cipta pelayan maya HTTP​

Pelayan maya HTTP berada di hadapan pool HTTP dan menyediakan alamat IP maya yang boleh digunakan oleh pengguna untuk mengakses pelayan web yang dilindungi.

1. Pergi ke Local traffic -> Virtual servers -> Virtual servers list dan klik Create.
2. Masukkan nama yang sesuai. Contohnya dev-onboarding-http-vs.
3. Masukkan 0.0.0.0/0 dalam Source address.
4. Pilih alamat IP untuk pelayan maya HTTP yang tidak bercanggah dengan mana-mana ruang alamat lain dan masukkannya sebagai alamat destinasi.
5. Masukkan port pelayan web sebagai port pelayan.
6. Pilih konfigurasi Advanced dan pilih profile HTTP yang dicipta dalam Langkah 4 di bawah HTTP Profile(Client).
7. Pilih profile penyesuaian permintaan yang dicipta dalam Langkah 6 di bawah profile penyesuaian permintaan.
8. Pilih Auto map di bawah senarai juntai bawah Source address translation.
9. Pilih pool HTTP di bawah Default pool dan klik Finished.