F5

หากต้องการกำหนดค่าไฟร์วอลล์ F5 ของคุณและผสานรวมกับเซิร์ฟเวอร์ Glasswall Halo ICAP โปรดทำตามคู่มือการกำหนดค่านี้

หมายเหตุ: ขั้นตอนเหล่านี้จัดทำเอกสารตาม F5 version BIG-IP 17.1.1.3, Build 0.0.5, Point Release 3.

กำหนดค่าอินเทอร์เฟซและเส้นทาง​

• Before configuring the interfaces, ensure you can see 3 interfaces under Network -> Interfaces -> Interface list.
  • หมายเหตุ: ส่วนนี้แสดงอินเทอร์เฟซ data plane และไม่รวมอินเทอร์เฟซการจัดการ
• ชื่อของอินเทอร์เฟซจะเป็น 1.1, 1.2, 1.3
• โดยอ้างอิงจาก MAC address ของแต่ละอินเทอร์เฟซ ด้วยการเปรียบเทียบกับ MAC address บนอินเทอร์เฟซที่เชื่อมต่อกับไฟร์วอลล์ VM ให้จดบันทึกว่าแต่ละอินเทอร์เฟซอยู่ใน subnet ใด
• In the dev environment:
  • 1.1 อยู่ใน inside subnet
  • 1.2 อยู่ใน outside subnet
  • 1.3 อยู่ใน icap subnet.

1 - กำหนดค่า IP address สำหรับการจัดการ​

โดยทั่วไป อินเทอร์เฟซแรกที่เชื่อมต่อกับไฟร์วอลล์จะถูกกำหนดค่าเป็นอินเทอร์เฟซสำหรับการจัดการ หากด้วยเหตุผลใดก็ตาม management UI ทำงานอยู่บนอินเทอร์เฟซอื่น (ที่อยู่ IP) ให้ทำตามขั้นตอนต่อไปนี้เพื่อเปลี่ยนที่อยู่ IP สำหรับการจัดการ

1. เข้าสู่ระบบ F5 Admin Portal
2. ไปที่ System -> Platform.
3. ภายใต้เมนูแบบเลื่อนลง Host IP address ให้เลือก Custom host IP address และป้อน IP ใหม่

2 - กำหนดค่าอินเทอร์เฟซด้านใน​

1. ไปที่ Network -> VLANs -> VLANs list แล้วคลิก Create.
2. ป้อนชื่อเป็น inside-vlan.
3. เลือกอินเทอร์เฟซด้านในจากเมนูแบบเลื่อนลง แล้วคลิก Add. หมายเหตุ: ชื่ออินเทอร์เฟซจะเป็น 1.1, 1.2 และ 1.3 ในขั้นตอนก่อนหน้า ได้มีการจดบันทึกซับเน็ตที่อินเทอร์เฟซนั้นสังกัดอยู่ โดยอ้างอิงจาก MAC address
4. คลิก Finished.
5. ไปที่ Network -> Self IPs แล้วคลิก Create.
6. ป้อนชื่อเป็น inside-ip และป้อนที่อยู่ IP กับ netmask ของอินเทอร์เฟซด้านใน
7. เลือก inside-vlan จากเมนูแบบเลื่อนลง VLAN แล้วคลิก Finished.

3 - กำหนดค่าอินเทอร์เฟซด้านนอก​

1. ไปที่ Network -> VLANs -> VLANs list แล้วคลิก Create.
2. ป้อนชื่อเป็น outside-vlan.
3. เลือกอินเทอร์เฟซด้านนอกจากเมนูแบบเลื่อนลง แล้วคลิก Add.
4. คลิก Finished.
5. ไปที่ Network -> Self IPs แล้วคลิก Create.
6. ป้อนชื่อเป็น inside-ip และป้อนที่อยู่ IP กับ netmask ของอินเทอร์เฟซด้านนอก
7. เลือก outside-vlan จากเมนูดรอปดาวน์ VLAN แล้วคลิก Finished.

4 - กำหนดค่าอินเทอร์เฟซ ICAP​

1. ไปที่ Network -> VLANs -> VLANs list แล้วคลิก Create.
2. ป้อนชื่อเป็น icap-vlan.
3. เลือกอินเทอร์เฟซ ICAP จากเมนูดรอปดาวน์ แล้วคลิก Add.
4. คลิก Finished.
5. ไปที่ Network -> Self IPs แล้วคลิก Create.
6. ป้อนชื่อเป็น icap-ip แล้วป้อนที่อยู่ IP และ netmask ของอินเทอร์เฟซ ICAP.
7. เลือก icap-vlan จากเมนูดรอปดาวน์ VLAN แล้วคลิก Finished.

การผสานรวม ICAP​

1 - สร้างพูล ICAP​

พูล ICAP แสดงถึงกลุ่มของเซิร์ฟเวอร์ ICAP.

1. ไปที่ Local traffic -> Pools แล้วคลิก Create.
2. ป้อนชื่อและคำอธิบายที่เหมาะสม เช่น Name -dev-aks-icap-pool, Description -ICAP Pool for Dev AKS env.
3. ภายใต้ Health monitors ให้เลือก tcp จากคอลัมน์ Available แล้วย้ายไปยังคอลัมน์ Active.
4. ป้อน Node name ที่เหมาะสม เช่น dev-aks-icap-node.
5. ป้อนที่อยู่ IP ของเซิร์ฟเวอร์ ICAP กำหนด service port เป็น 1344 แล้วคลิก Add.
6. คลิก Finished เพื่อบันทึกการกำหนดค่า หากการตรวจสอบสถานะสำเร็จ สถานะจะแสดงเป็นสีเขียว มิฉะนั้นจะแสดงเป็นสีแดง.

2 - สร้างพูล HTTP​

HTTP pool แสดงถึงพูลของเว็บเซิร์ฟเวอร์ที่ต้องได้รับการปกป้องโดย F5

1. ไปที่ Local traffic -> Pools แล้วคลิก Create.
2. ป้อนชื่อและคำอธิบายที่เหมาะสม เช่น Name - dev-http-pool, Description -Onboarding web app dev.
3. ภายใต้ Health monitors ให้เลือก http จากคอลัมน์ Available และย้ายไปยังคอลัมน์ Active.
4. ป้อน Node name ที่เหมาะสม เช่น dev-onboarding-app-node1.
5. ป้อน IP address และพอร์ตของเว็บเซิร์ฟเวอร์ แล้วคลิก Add.
6. คลิก Finished เพื่อบันทึกการกำหนดค่า หากการตรวจสอบสถานะสำเร็จ สถานะจะแสดงเป็นสีเขียว มิฉะนั้นจะแสดงเป็นสีแดง

3 - สร้าง ICAP profile​

ICAP profile ใช้สำหรับส่งทราฟฟิกจาก HTTP virtual server ไปยัง ICAP server เพื่อทำ CDR กับเนื้อหา ในสถานการณ์นี้ เนื่องจากเราต้องการประมวลผลไฟล์ที่อัปโหลดไปยังเว็บเซิร์ฟเวอร์ เราจึงต้องใช้บริการ request modification ใน ICAP

1. ไปที่ Local traffic -> Profiles -> Services -> ICAP แล้วคลิก Create.
2. ป้อนชื่อที่เหมาะสม เช่น dev-icap-req-mod.
3. เลือก ICAP เป็น Parent profile.
4. เลือกช่อง Custom ใน settings และป้อน icap://${SERVER_IP}:${SERVER_PORT}/req-cdr-service?profile=default ใน URL คุณสามารถใช้ ICAP profile แบบกำหนดเองได้หากจำเป็น
5. กรอกฟิลด์อื่น ๆ ตามต้องการ แล้วคลิก Finished.

4 - สร้าง HTTP profile​

สามารถใช้ HTTP profile แบบกำหนดเองเพื่อแก้ไขทราฟฟิก HTTP ของเว็บเซิร์ฟเวอร์ได้

1. ไปที่ Local traffic -> Profiles -> Services -> HTTP แล้วคลิก Create.
2. ป้อนชื่อที่เหมาะสม เช่น dev-http-profile.
3. เลือก HTTP เป็น Parent profile.
4. เลือกช่อง Custom ใน Settings และปรับแต่งการตั้งค่าตามต้องการ.
5. คลิก Finished เพื่อบันทึก profile.

5 - สร้าง ICAP internal virtual server​

internal virtual server เป็น virtual server ชนิดพิเศษที่ใช้ส่งทราฟฟิกไปยัง ICAP server โดย ICAP virtual server จะอยู่ด้านหน้า ICAP pool.

1. ไปที่ Local traffic -> Virtual servers -> Virtual servers list แล้วคลิก Create.
2. ป้อนชื่อและคำอธิบายที่เหมาะสม เช่น dev-icap-vs.
3. เลือก Type เป็น Internal และป้อน 0.0.0.0/0 เป็น source address.
4. เลือกการกำหนดค่า Advanced และภายใต้ ICAP profile ให้เลือก ICAP profile ที่สร้างไว้ในขั้นตอนที่ 3.
5. ภายใต้ Default Pool ให้เลือก ICAP pool ที่สร้างไว้ในขั้นตอนที่ 1.
6. คลิก Finished เพื่อบันทึก virtual server.

6 - สร้าง request adapt profile​

1. ไปที่ Local traffic -> Profiles -> Services -> Request adapt แล้วคลิก Create.
2. ป้อนชื่อที่เหมาะสม เช่น dev-icap-req-adapt.
3. ภายใต้ profile Parent ให้เลือก requestadapt.
4. เลือกช่อง Custom ใน Settings และเลือก internal ICAP virtual server ที่สร้างไว้ในขั้นตอนที่ 6 จากเมนูแบบเลื่อนลง internal virtual name
5. เลือก service down action ตามต้องการ ซึ่งระบุว่าจะดำเนินการอย่างไรเมื่อ ICAP server ไม่พร้อมใช้งาน -Drop: ทิ้งทราฟฟิกที่ HTTP virtual server -Reset: รีเซ็ตการเชื่อมต่อฝั่งไคลเอนต์ -Ignore: ส่งทราฟฟิกต้นฉบับไปยัง web server
6. คลิก Finished เพื่อบันทึก request adapt profile

7 - สร้าง HTTP virtual server​

HTTP virtual server อยู่ด้านหน้า HTTP pool และให้ virtual IP address ที่ผู้ใช้สามารถใช้เพื่อเข้าถึง protected web server ได้

1. ไปที่ Local traffic -> Virtual servers -> Virtual servers list แล้วคลิก Create.
2. ป้อนชื่อที่เหมาะสม เช่น dev-onboarding-http-vs.
3. ป้อน 0.0.0.0/0 ใน Source address.
4. เลือก IP address สำหรับ HTTP virtual server ที่ไม่ขัดแย้งกับ address space อื่นใด และป้อนเป็น destination address
5. ป้อนพอร์ตของ web server เป็น server port
6. เลือกการกำหนดค่า Advanced และเลือก HTTP profile ที่สร้างไว้ในขั้นตอนที่ 4 ภายใต้ HTTP Profile(Client).
7. เลือก request adapt profile ที่สร้างไว้ในขั้นตอนที่ 6 ภายใต้ request adapt profile
8. เลือก Auto map ภายใต้เมนูแบบเลื่อนลง Source address translation.
9. เลือก HTTP pool ภายใต้ Default pool แล้วคลิก Finished.