|
Objektovo orientované IP filtrovanie
Na jednej strane neustále narastá požiadavka na zvýšenie prenosového výkonu a na druhej strane narastá zložitosť komunikačného prostredia vo firmách (kde sú rôzné oddelenia, kancelárie, VIP skupiny, servery, atď.), kde každý z nich má iné požiadavky na dostupnosť alebo obmedzenie informačních zdrojov.
U klasických filtrov sa konfigurujú jednotlivé podmienky ako zreťazenie / vnorenie požiadaviek, čo zákonite vedie k predlžovaniu doby vyriešenia. Výsledkom je, z pohľadu prietoku dát, zníženie prenosového výkonu a z pohľadu programovania podmienok a zmenových riešení je klasický filter hodne náročný. Tieto základné rozpory sú v novej generacií zariadení DrayTek riešené práve objektovo orientovaným IP filtrom / Firewallom.
Jedná sa o nový pohľad na problematiku filtrovania a o novú metódu, ktorá rieší nárast požiadaviek na filtrovacie pravidlá pri súčasnom náraste prenosového výkonu. V prvom rade to znamená, že prenosový výkon zariadení sa nezníži ani pri rozsiahlej definícii IP priestoru a filtrovacích pravidiel. V druhom rade to znamená, že prvotné nastavenie zariadení a prípadné budúce zmeny nastavení sú výrazne jednoduchšie.
Objektovo orientované filtrovanie znižuje zložitost nastavení, zvyšuje prehľad vo filtrovacích pravidlách, v definíicii IP priestoru a minimalizuje výpočtovú náročnosť na vyriešenie požiadaviek, čím je docielený vysoký prenosový výkon bez nárastu latencie na prechod paketu medzi WAN - LAN.
Objektovo orientované IP filtrovanie je v týchto nových sériách zariadení DrayTek:
-
Zariadenia „Dual WAN“ série Vigor 2910, modely Vigor 2910, Vigor 2910G, Vigor 2910i, Vigor 2910Gi, Vigor 2910V, Vigor 2910VG a Vigor 2910VGi
-
Zariadenia „Dual WAN“ série Vigor 2950, modely Vigor 2950, Vigor 2950G, Vigor 2950i
-
Zariadenia „Dual WAN UTM“ série Vigor 5500, modely Vigor 5500, Vigor 5500Gi
Linky na "Live Demo" produktov, kde si môžete pozrieť vnútornú štruktúru objektovo orientovaného filtrovania a tiež celkovú štruktúru menu...
-
Vigor2910
-
Vigor2950
-
Vigor5500
IP Objekt/IP Skupina
Môžete definovať skupiny adries, napr. adresy všetkých zariadení v jednom oddelení. Potom môžete meno tejto IP skupiny použiť vo filtroch firewall-u. To umožňuje aplikovať jediné filtrovacie pravidlo na viaceré IP adresy, čím znížite počet potrebných filtrov firewall-u.
Objekt podľa typu služby/Skupina podľa typu služby
Môžete definovať súbor protokolov/portov. Potom môžete použiť meno Skupiny portov vo filtroch firewall-u. To umožňuje použiť jediné pravidlo pre viac protokolov/portov, čím znížite počet potrebných kontrol.
Riadenie zabezpečenia obsahu
Môžete definovať profily IM (Instant Messenger-u)/aplikácie P2P (Peer to Peer). Potom môžete použiť CMS podľa mena vo filtroch firewall-u. To umožňuje použiť jediné pravidlo pre viaceré IP adresy, čím znížite počet potrebných filtrov firewall-u.
Príklad
Podrobnosti ukážeme na príklade. Predpokladajme, že "Oddelenie R&D", "Oddelenie tržieb" a "Oddelenie FAE" sú oddelenia jednej firmy. Pridelenie IP adries je znázornené na obrázku nižšie.
Dané sú nasledujúce pravidlá:
- "Leaders" (Vedúci) a "Administrator" (Administrátor) majú plný prístup na internet.
- "R&D staff" (Personál R&D) môžu iba posielať a prijať maily.
- "Sales" (Obchod) a "FAE staff" (Personál FAE) majú prístup na internet, môžu posielať a prijať maily, používať MSN a Skype, ostatné sú blokované.
- "Web and Mail servers" majú povolené iba zodpovedajúce porty služieb.
Môžete definovať 8 IP Objektov a 4 IP Skupiny:
IP Objekt:
1. "R&D dept": 192.168.1.11 ~ 192.168.1.49
2. "Sales dept": 192.168.1.51 ~ 192.168.1.79
3. "FAE dept": 192.168.1.81 ~ 192.168.1.99
4. "Servers": 192.168.1.3 ~ 192.168.1.9
5. "R&D leader": 192.168.1.10
6. "Sales leader": 192.168.1.50
7. "FAE leader": 192.168.1.80
8. "Administrator": 192.168.1.2
IP Skupiny::
1. Admin Group: 4 IP objects (R&D leader, Sales leader, FAE leader and Administrator)
2. Marketing and Support Group: 2 IP objects (Sales dept, FAE dept)
3. R&D Group: 1 IP object (R&D dept)
4. Server Group: 1 IP object (Servers)
Môžete definovať 8 Service Type Objects a 3 Service Type Groups:
Service Type Object:
1. Web http: Source Port: 1024~65535, Destination Port: 80
2. Web https: Source Port: 1024~65535, Destination Port: 443
3. Receive Mail: Source Port: 1024~65535, Destination Port: 110
4. Send Mail: Source Port: 1024~65535, Destination Port: 25
5. Mail Server for send mail: Source Port: 110, Destination Port: 1024~65535
6. Mail Server for receive mail: Source Port: 25, Destination Port: 1024~65535
7. Web Server for http: Source Port: 80, Destination Port: 1024~65535
8. Web Server for https: Source Port: 443, Destination Port: 1024~65535
Service Type Group:
1. M&S permit: 4 Objects (1~4 )
2. R&D permit: 2 Objects (3, 4)
3. Server permit: 4 Objects (5~8)
Môžete definovať 2 CMS profily:
1. R&D and Servers: disable all
2. M&S: enable MSN and Skype
Aby ste správne nastavily router, prosím, pokračujte s nasledujúcimi krokmi.
1. Nastavenie IP Objektu
Otvorte Objects Setting >> IP Object a vytvorte 8 IP objektov.
1. Konfigurácia "R&D" objektu je znázornená na obrázku. Nastavenie "Sales dept", "FAE dept" a "Servers" sa robí podobne.
2. Konfigurácia "R&D leader" objektu je znázornená na obrázku. Podobne nastavte aj "Sales leader", "FAE leader" a "Administrator".
2. Nastavenie IP Skupiny
Otvorte Setting >> IP Group a vytvorte 4 IP skupiny.
1. Kliknite na Index 1, napíšte "Admin Group" do bunky Name. V časti Interface zvoľte "LAN" aby sa zobrazili všetky dostupné IP Objekty. Vyberte vhodné IP Objekty podľa pravidieľ a pridajte ich medzi Selected IP Objects.
Stlačte OK aby sa nastavenia uložili.
2. Bod číslo 2. Nastavenie IP Skupiny zopakujte aj pre ďalšie 3 IP skupiny:
"Marketing and Support Group": 2 IP objekty ("Sales dept", "FAE dept")
"R&D Group": 1 IP objekt ("R&D dept")
"Server Group": 1 IP objekt ("Servers")
3. Nastavenie Objektu podľa typu služby
Otvorte Objects Setting >> Service Type Object a vytvorte 6 objektov.
1. Nastavte "Web http"
Rovnako nastavte aj ostatných 7 objektov.
4. Nastavenie Skupiny podľa typu služby
Otvorte Objects Setting >> Service Type Group a vytvorte 3 skupiny.
1. Kliknite na Index 1, napíšte "M&S permit" do bunky Name.
V tabuľke Available Service Type Objects vyberte vhodné objekty podľa pravidieľ a pridajte ich medzi Selected Service Type Objects.
2. Bod číslo 4. Nastavenie Skupiny podľa typu služby zopakujte aj pre ďalšie 2 skupiny:
"R&D permit": 2 Objekty (3 a 4)
"Server permit": 4 Objekty (5, 6, 7 a 8)
5. Nastavenie Riadenia zabezpečenia obsahu
Otvorte Objects Setting >> CSM Profile a vytvorte 2 profily.
1. Pre profil "M&S" zakážte všetky aplikácie okrem MSN a Skype.
2. Pre profil "R&D and Servers" zakážte všetky aplikácie.
6. Nastavenie pravidiel IP filtra
Otvorte Objects Setting >> CSM Profile a nastavte 5 pravidiel.
1. Pravidlo "block all". V predvolenom nastavení blokuje odchádzajúcu komunikáciu.
2. Pravidlo "pass Admin". Pass any traffic for "Admin Group".
3. Pravidlo "pass M&S". Pass web&mail premávku a dovolí MSN & Skype pre "Market & Sales Group".
4. Pravidlo "pass R&D". Pass mail traffic pre "R&D Group".
5. Pravidlo"pass Servers". Pass web&mail premávku pre "Server Group".
S vlastnosťou Object/Group potrebujete nastaviť iba 5 pravidiel! Navyše, ak pridáte nové zariadenie do skupiny, nemusíte pridávať nové pravidlá!
Predpokladajme, že jedna osoba sa pridá k "Sales dept". IP adresa tejto osoby je 192.168.1.100. Všetko, čo musíte urobiť je, že vytvoríte IP Objekt a pridáťe ho do IP Skupiny "Market & Support".
|
Je to spojenie routera VigorIPBX2820 série (integrovaná funkcia IP pobočkovej ústredne) s novým firmware-om verzie 3.5.5 a softwarového telefónu DrayTek SoftPhone.
Software pre Centrálnu správu koncových zariadení CPE určený pre systémových Integrátorov.