IP filtr / Firewall

Objektově orientované IP filtrování.
Na jedné straně neustále narůstá poptávka po zvýšení přenosového výkonu a na straně druhé narůstá složitost komunikačního prostředí ve firmách (kde jsou různá oddělení, kanceláře, VIP skupiny, servery, atd.) kde každý z nich má jiné požadavky na dostupnost nebo omezení informačních zdrojů.

U klasických filtrů se konfigurují jednotlivé podmínky jako řetězení / vnoření požadavků, což zákonitě vede k prodloužení doby vyřízení. Výsledkem je, z pohledu průtoku dat, snížení přenosového výkonu a z pohledu programování podmínek a změnových řízení je klasický filtr hodně náročný. Tyto základní rozpory jsou v nové generaci zařízení DrayTek řešeny právě objektově orientovaným IP filtrem / Firewallem.

Jedná se o nový pohled na problematiku filtrování a o novou metodu, která řeší nárůst požadavků na filtrovací pravidla při současném nárůstu přenosového výkonu. V první řadě to znamená, že přenosový výkon zařízení se nesníží ani při rozsáhlé definici IP prostoru a filtrovacích pravidel. V druhé řadě to znamená, že prvotní nastavení zařízení a případné budoucí změny nastavení jsou výrazně jednodušší.

Objektové orientované filtrování snižuje složitost nastavení, zvyšuje přehled ve filtrovacích pravidlech, v definici IP prostoru a minimalizuje výpočetní náročnost na vyřízení požadavků, čím je docílený vysoký přenosový výkon bez nárůstu latence na přechodu paketů mezi WAN - LAN.

Objektově orientované IP filtrováni je obsaženo v těchto sériích zařízení DrayTek:

  • Zařízení ?Dual WAN? série Vigor 2910, modely Vigor 2910, Vigor 2910G, Vigor 2910i, Vigor 2910Gi, Vigor 2910V, Vigor 2910VG a Vigor 2910VGi

  • Zařízení ?Dual WAN? série Vigor 2950, modely Vigor 2950, Vigor 2950G, Vigor 2950i

  • Zařízení ?Dual WAN UTM? model Vigor 5510 a série 5300

 

IP Objekt / IP Skupina

Můžete definovat skupiny adres, např. adresy všech zařízení v jednom oddělení. Potom můžete jméno této IP skupiny použit ve filtrech firewall-u, z důvodu lepší orientace. To umožní aplikovat jedno filtrovací pravidlo na více IP adres, čímž snížíte počet potřebných filtrů firewallu.

Objekt podle typu služby/Skupina podľa typu služby

Môžete definovať súbor protokolov/portov. Potom môžete použiť meno Skupiny portov vo filtroch firewall-u. To umožňuje použiť jediné pravidlo pre viac protokolov/portov, čím znížite počet potrebných kontrol.

Riadenie zabezpečenia obsahu

Môžete definovať profily IM (Instant Messenger-u)/aplikácie P2P (Peer to Peer). Potom môžete použiť CMS podľa mena vo filtroch firewall-u. To umožňuje použiť jediné  pravidlo pre viaceré IP adresy, čím znížite počet potrebných filtrov firewall-u.

 
Príklad

Podrobnosti ukážeme na príklade. Predpokladajme, že "Oddelenie R&D", "Oddelenie tržieb" a "Oddelenie FAE" sú oddelenia jednej firmy. Pridelenie IP adries je znázornené na obrázku nižšie.

 


1

Dané sú nasledujúce pravidlá:
- "Leaders" (Vedúci) a "Administrator" (Administrátor) majú plný prístup na internet.
- "R&D staff" (Personál R&D) môžu iba posielať a prijať maily.
- "Sales" (Obchod) a "FAE staff" (Personál FAE) majú prístup na internet, môžu posielať a prijať maily, používať MSN a Skype, ostatné sú blokované.
- "Web and Mail servers" majú povolené iba zodpovedajúce porty služieb.

Môžete definovať 8 IP Objektov a 4 IP Skupiny:
IP Objekt:
1. "R&D dept": 192.168.1.11 ~ 192.168.1.49
2. "Sales dept": 192.168.1.51 ~ 192.168.1.79
3. "FAE dept": 192.168.1.81 ~ 192.168.1.99
4. "Servers": 192.168.1.3 ~ 192.168.1.9
5. "R&D leader": 192.168.1.10
6. "Sales leader": 192.168.1.50
7. "FAE leader": 192.168.1.80
8. "Administrator": 192.168.1.2

IP Skupiny::
1. Admin Group: 4 IP objects (R&D leader, Sales leader, FAE leader and Administrator)
2. Marketing and Support Group: 2 IP objects (Sales dept, FAE dept)
3. R&D Group: 1 IP object (R&D dept)
4. Server Group: 1 IP object (Servers)

Môžete definovať 8 Service Type Objects a 3 Service Type Groups:
Service Type Object:
1. Web http: Source Port: 1024~65535, Destination Port: 80
2. Web https: Source Port: 1024~65535, Destination Port: 443
3. Receive Mail: Source Port: 1024~65535, Destination Port: 110
4. Send Mail: Source Port: 1024~65535, Destination Port: 25
5. Mail Server for send mail: Source Port: 110, Destination Port: 1024~65535
6. Mail Server for receive mail: Source Port: 25, Destination Port: 1024~65535
7. Web Server for http: Source Port: 80, Destination Port: 1024~65535
8. Web Server for https: Source Port: 443, Destination Port: 1024~65535

Service Type Group:
1. M&S permit: 4 Objects (1~4 )
2. R&D permit: 2 Objects (3, 4)
3. Server permit: 4 Objects (5~8)

Môžete definovať 2 CMS profily:
1. R&D and Servers: disable all
2. M&S: enable MSN and Skype

Aby ste správne nastavily router, prosím, pokračujte s nasledujúcimi krokmi.

1. Nastavenie IP Objektu

Otvorte Objects Setting >> IP Object a vytvorte 8 IP objektov.

2


1. Konfigurácia "R&D" objektu je znázornená na obrázku. Nastavenie "Sales dept", "FAE dept" a "Servers" sa robí podobne.

3


2. Konfigurácia "R&D leader" objektu je znázornená na obrázku. Podobne nastavte aj "Sales leader", "FAE leader" a "Administrator".

4


2. Nastavenie IP Skupiny
Otvorte
Setting >> IP Group a vytvorte 4 IP skupiny.

5


 1. Kliknite na Index 1, napíšte "Admin Group" do bunky NameV časti Interface zvoľte "LAN" aby sa zobrazili všetky dostupné IP Objekty. Vyberte vhodné IP Objekty podľa pravidieľ a pridajte ich medzi Selected IP Objects.

6


Stlačte OK aby sa nastavenia uložili.

7


2. Bod číslo 2. Nastavenie IP Skupiny zopakujte aj pre ďalšie 3 IP skupiny:
    "Marketing and Support Group": 2 IP objekty ("Sales dept", "FAE dept")
    "R&D Group": 1 IP objekt ("R&D dept")
    "Server Group": 1 IP objekt ("Servers")

3. Nastavenie Objektu podľa typu služby
Otvorte 
Objects Setting >> Service Type Object a vytvorte 6 objektov.

8

 

1. Nastavte "Web http"

9


Rovnako nastavte aj ostatných 7 objektov.

4. Nastavenie Skupiny podľa typu služby
Otvorte 
Objects Setting >> Service Type Group a vytvorte 3 skupiny.

10

 

1. Kliknite na Index 1, napíšte "M&S permit" do bunky Name.
V tabuľke Available Service Type Objects vyberte vhodné objekty podľa pravidieľ a pridajte ich medzi  Selected Service Type Objects.

11


2. Bod číslo 4Nastavenie Skupiny podľa typu služby zopakujte aj pre ďalšie 2 skupiny:
    "R&D permit": 2 Objekty (3 a 4)
    "Server permit": 4 Objekty (5, 6, 7 a 8)

5. Nastavenie Riadenia zabezpečenia obsahu
Otvorte 
Objects Setting >> CSM Profile a vytvorte 2 profily.

  

12

 

1. Pre profil "M&S" zakážte všetky aplikácie okrem MSN a Skype.

13


 

2. Pre profil "R&D and Servers" zakážte všetky aplikácie.

14


6. Nastavenie pravidiel IP filtra
Otvorte 
Objects Setting >> CSM Profile a nastavte 5 pravidiel.

15

   

1. Pravidlo "block all". V predvolenom nastavení blokuje odchádzajúcu komunikáciu.

16


2. Pravidlo "pass Admin". Pass any traffic for "Admin Group".

17


3. Pravidlo "pass M&S". Pass web&mail premávku a dovolí MSN & Skype pre "Market & Sales Group".

18


4. Pravidlo "pass R&D". Pass mail traffic pre "R&D Group".

19

 

5. Pravidlo"pass Servers". Pass web&mail premávku pre "Server Group".

19


S vlastnosťou Object/Group potrebujete nastaviť iba 5 pravidiel! Navyše, ak pridáte nové zariadenie do skupiny, nemusíte pridávať nové pravidlá!

21


Predpokladajme, že jedna osoba sa pridá k "Sales dept". IP adresa tejto osoby je 192.168.1.100. Všetko, čo musíte urobiť je, že vytvoríte IP Objekt a pridáťe ho do IP Skupiny "Market & Support".