F5

Để cấu hình tường lửa F5 của bạn và tích hợp nó với máy chủ ICAP Glasswall Halo, vui lòng làm theo hướng dẫn cấu hình này.

Lưu ý: các bước này được ghi lại theo phiên bản F5 BIG-IP 17.1.1.3, Build 0.0.5, Point Release 3.

Cấu hình giao diện và tuyến​

• Before configuring the interfaces, ensure you can see 3 interfaces under Network -> Interfaces -> Interface list.
  • Lưu ý: phần này hiển thị các giao diện mặt phẳng dữ liệu và không bao gồm giao diện quản lý.
• Tên của các giao diện sẽ là 1.1, 1.2, 1.3.
• Dựa trên địa chỉ MAC của từng giao diện bằng cách so sánh với địa chỉ MAC trên các giao diện được gắn vào VM tường lửa, hãy ghi lại mỗi giao diện thuộc về mạng con nào.
• In the dev environment:
  • 1.1 Thuộc inside subnet
  • 1.2 Thuộc outside subnet
  • 1.3 Thuộc icap subnet.

1 - Cấu hình địa chỉ IP quản lý​

Thông thường, giao diện đầu tiên được gắn với tường lửa sẽ được cấu hình làm giao diện quản trị. Nếu vì bất kỳ lý do nào mà UI quản trị đang chạy trên một giao diện khác (địa chỉ IP), hãy làm theo các bước sau để thay đổi địa chỉ IP quản trị.

1. Đăng nhập vào F5 Admin Portal.
2. Đi tới System -> Platform.
3. Trong danh sách thả xuống Host IP address, chọn Custom host IP address và nhập IP mới.

2 - Cấu hình giao diện bên trong​

1. Đi tới Network -> VLANs -> VLANs list và nhấp vào Create.
2. Nhập tên là inside-vlan.
3. Chọn giao diện bên trong từ danh sách thả xuống và nhấp vào Add. Lưu ý: tên giao diện sẽ là 1.1, 1.2 và 1.3. Ở bước trước, subnet mà giao diện thuộc về, dựa trên địa chỉ MAC, đã được ghi lại.
4. Nhấp vào Finished.
5. Đi tới Network -> Self IPs và nhấp vào Create.
6. Nhập tên là inside-ip, rồi nhập địa chỉ IP và netmask của giao diện bên trong.
7. Chọn inside-vlan từ danh sách thả xuống VLAN và nhấp vào Finished.

3 - Cấu hình giao diện bên ngoài​

1. Đi tới Network -> VLANs -> VLANs list và nhấp vào Create.
2. Nhập tên là outside-vlan.
3. Chọn giao diện bên ngoài từ danh sách thả xuống và nhấp vào Add.
4. Nhấp vào Finished.
5. Đi tới Network -> Self IPs và nhấp vào Create.
6. Nhập tên là inside-ip, rồi nhập địa chỉ IP và netmask của giao diện bên ngoài.
7. Chọn outside-vlan từ danh sách thả xuống VLAN và nhấp vào Finished.

4 - Cấu hình giao diện ICAP​

1. Đi tới Network -> VLANs -> VLANs list và nhấp vào Create.
2. Nhập tên là icap-vlan.
3. Chọn giao diện ICAP từ danh sách thả xuống và nhấp vào Add.
4. Nhấp vào Finished.
5. Đi tới Network -> Self IPs và nhấp vào Create.
6. Nhập tên là icap-ip, rồi nhập địa chỉ IP và netmask của giao diện ICAP.
7. Chọn icap-vlan từ danh sách thả xuống VLAN và nhấp vào Finished.

Tích hợp ICAP​

1 - Tạo pool ICAP​

Pool ICAP đại diện cho một nhóm máy chủ ICAP.

1. Đi tới Local traffic -> Pools và nhấp vào Create.
2. Nhập tên và mô tả phù hợp; ví dụ: Name -dev-aks-icap-pool, Description -ICAP Pool for Dev AKS env.
3. Trong Health monitors, chọn tcp từ cột Available và chuyển sang cột Active.
4. Nhập Node name phù hợp. Ví dụ: dev-aks-icap-node.
5. Nhập địa chỉ IP của máy chủ ICAP, cổng dịch vụ là 1344 và nhấp vào Add.
6. Nhấp vào Finished để lưu cấu hình. Nếu các kiểm tra tình trạng thành công, trạng thái sẽ hiển thị màu xanh lá; nếu không, màu đỏ.

2 - Tạo pool HTTP​

HTTP pool đại diện cho một nhóm máy chủ web cần được F5 bảo vệ.

1. Đi tới Local traffic -> Pools và nhấp vào Create.
2. Nhập tên và mô tả phù hợp. ví dụ: Tên - dev-http-pool, Mô tả -Onboarding web app dev.
3. Trong Health monitors, chọn http từ cột Available và chuyển sang cột Active.
4. Nhập Node name phù hợp. ví dụ: dev-onboarding-app-node1.
5. Nhập địa chỉ IP và cổng của máy chủ web, rồi nhấp vào Add.
6. Nhấp vào Finished để lưu cấu hình. Nếu các kiểm tra tình trạng thành công, trạng thái sẽ hiển thị màu xanh lá; nếu không, sẽ là màu đỏ.

3 - Tạo profile ICAP​

profile ICAP được dùng để gửi lưu lượng từ máy chủ ảo HTTP đến máy chủ ICAP để CDR nội dung. Trong kịch bản này, vì chúng ta muốn xử lý các tệp được tải lên máy chủ web, nên cần sử dụng dịch vụ sửa đổi yêu cầu trong ICAP.

1. Đi tới Local traffic -> Profiles -> Services -> ICAP và nhấp vào Create.
2. Nhập tên phù hợp. ví dụ: dev-icap-req-mod.
3. Chọn ICAP làm Parent profile.
4. Chọn ô Custom trong settings và nhập icap://${SERVER_IP}:${SERVER_PORT}/req-cdr-service?profile=default vào URL. Bạn có thể sử dụng profile ICAP tùy chỉnh nếu cần.
5. Hoàn tất các trường khác theo yêu cầu và nhấp vào Finished.

4 - Tạo profile HTTP​

Có thể sử dụng profile HTTP tùy chỉnh để sửa đổi lưu lượng HTTP của máy chủ web.

1. Đi tới Local traffic -> Profiles -> Services -> HTTP và nhấp vào Create.
2. Nhập tên phù hợp. ví dụ: dev-http-profile.
3. Chọn HTTP làm profile cha.
4. Chọn ô Custom trong phần Settings và tùy chỉnh các cài đặt theo yêu cầu.
5. Nhấp Finished để lưu profile.

5 - Tạo máy chủ ảo nội bộ ICAP​

Máy chủ ảo nội bộ là một loại máy chủ ảo đặc biệt được dùng để gửi lưu lượng đến máy chủ ICAP. Máy chủ ảo ICAP nằm phía trước ICAP pool.

1. Đi tới Local traffic -> Virtual servers -> Virtual servers list và chọn Create.
2. Nhập tên và mô tả phù hợp. Ví dụ: dev-icap-vs.
3. Chọn Type là Internal và nhập 0.0.0.0/0 làm địa chỉ nguồn.
4. Chọn cấu hình Advanced và trong profile ICAP, chọn profile ICAP đã tạo ở Bước 3.
5. Trong Default Pool, chọn pool ICAP đã tạo ở Bước 1.
6. Nhấp Finished để lưu máy chủ ảo.

6 - Tạo profile điều chỉnh yêu cầu​

1. Đi tới Local traffic -> Profiles -> Services -> Request adapt và nhấp Create.
2. Nhập tên phù hợp. Ví dụ: dev-icap-req-adapt.
3. Trong profile Parent, chọn requestadapt.
4. Chọn ô Custom trong Settings, rồi chọn máy chủ ảo ICAP nội bộ đã tạo ở Bước 6 trong danh sách thả xuống tên máy chủ ảo nội bộ.
5. Chọn hành động khi dịch vụ ngừng hoạt động theo nhu cầu. Điều này thể hiện hành động sẽ được thực hiện khi máy chủ ICAP ngừng hoạt động. -Drop: Loại bỏ lưu lượng tại máy chủ ảo HTTP. -Reset: Đặt lại kết nối ở phía máy khách. -Ignore: Gửi lưu lượng gốc tới máy chủ web.
6. Nhấp vào Finished để lưu profile thích ứng yêu cầu.

7 - Tạo máy chủ ảo HTTP​

Một máy chủ ảo HTTP nằm phía trước nhóm HTTP và cung cấp một địa chỉ IP ảo mà người dùng có thể sử dụng để truy cập máy chủ web được bảo vệ.

1. Đi tới Local traffic -> Virtual servers -> Virtual servers list và nhấp vào Create.
2. Nhập một tên phù hợp. Ví dụ: dev-onboarding-http-vs.
3. Nhập 0.0.0.0/0 vào Source address.
4. Chọn một địa chỉ IP cho máy chủ ảo HTTP không xung đột với bất kỳ không gian địa chỉ nào khác và nhập địa chỉ đó làm địa chỉ đích.
5. Nhập cổng của máy chủ web làm cổng máy chủ.
6. Chọn cấu hình Advanced và chọn profile HTTP đã tạo ở Bước 4 trong HTTP Profile(Client).
7. Chọn profile thích ứng yêu cầu đã tạo ở Bước 6 trong request adapt profile.
8. Chọn Auto map trong danh sách thả xuống Source address translation.
9. Chọn HTTP pool trong Default pool và nhấp vào Finished.