Định hướng đối tượng trong IP Filter/Firewall
IP Object/IP Group:Với tính năng IP Object/IP Group, chúng ta có thể định nghĩa được những nhóm địa chỉ IP (địa chỉ của tất cả các host trong một bộ phận) thành tên và đưa những tên này vào 1 nhóm đặt trong Firewall filter. Điều này cho phép một Filter rule áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.
Service Type Object/Service Group:Chúng ta có thể định nghĩa các protocol/port và sử dụng nhóm port này bằng tên trong firewall filter. Điều này cho phép một Filter rule được áp dụng cho nhiều protocol/port nhằm làm giảm số lượng filter rule.
Content Security Manager (CSM):Tính năng này giúp chúng ta có thể định nghĩa các chính sách riêng cho các ứng dụng như: IM (Instant Messenger)/P2P (Peer to Peer). Sau đó chúng ta có thể sử dụng CSM bằng tên trong firewall filter. Điều này cũng cho phép một rule được áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.
Chúng tôi sẽ làm một ví dụ để hướng dẫn chức năng này cụ thể hơn.
Ví dụ:Có 3 bộ phận chính trong một công ty bao gồm: bộ phận R&D, bộ phận Sales (Marketing), bộ phận FAE (Support). Địa chỉ được phân cấp theo sơ đồ dưới đây
-
Có các rule sau:
-
Ban Giám Đốc và Người quản trị có đủ quyền truy vấn Internet .
-
Bộ phận R&D chỉ hoàn toàn có thể gửi và nhận mail .
-
Bộ phận Sales và FAE hoàn toàn có thể truy vấn website, gửi và nhận mail, sử dụng MSN và Skype, ngoài những thì khóa hết .
-
Máy chủ Web và Mail chỉ được cho phép truy vấn theo port dịch vụ .
-
Chúng ta có thể định nghĩa 8 đối tượng IP và 4 nhóm IP
a / Các đối tượng người dùng IP :
-
Bộ phận R&D: 192.168.1.11 ~ 192.168.1.492. Bộ phận Sales: 192.168.1.51 ~ 192.168.1.793. Bộ phận FAE: 192.168.1.81 ~ 192.168.1.994. Servers: 192.168.1.3 ~ 192.168.1.95. R&D leader: 192.168.1.106. Sales leader: 192.168.1.507. FAE leader: 192.168.1.808. Administrator: 192.168.1.2
b / Các nhóm IP :
-
Nhóm Admin : 4 đối tượng người dùng IP ( R&D leader, Sales leader, FAE leader và administrator ) 2. Nhóm Marketing và Support : 2 đối tượng người dùng IP ( bộ phận Sales, bộ phận FAE ) 3. Nhóm R&D : 1 đối tượng người dùng IP ( bộ phân R&D ) 4. Nhóm Server : 1 đối tượng người tiêu dùng IP ( Servers )
III. Chúng ta có thể định nghĩa 8 đối tượng dịch vụ và 3 nhóm dịch vụ:
a/ Các đối tượng dịch vụ bao gồm:
Web http: Source Port: 1024~65535, Destination Port: 802. Web https: Source Port: 1024~65535, Destination Port: 4433. Receive Mail: Source Port: 1024~65535, Destination Port: 1104. Send Mail: Source Port: 1024~65535, Destination Port: 255. Mail Server cho gửi mail: Source Port: 110, Destination Port: 1024~655356. Mail Server cho nhận mail: Source Port: 25, Destination Port: 1024~655357. Web Server cho http: Source Port: 80, Destination Port: 1024~655358. Web Server cho https: Source Port: 443, Destination Port: 1024~65535
b/ Các nhóm dịch vụ bao gồm:
M&S permit: 4 đối tượng (1~4 )2. R&D permit: 2 đối tượng (3, 4)3. Server permit: 4 đối tượng (5~8)
c/ Chúng ta có thể định nghĩa 2 CSM profies như sau:
R&D và Servers: disable all (khóa toàn bộ dịch vụ trong profile đó)2. M&S: enable MSN và Skype (cho phép chạy dịch vụ MSN, SKYPE)
Với những phân tích và định nghĩa trên, chúng ta có thể cấu hình router theo các bước sau:
1/Cấu hình đối tượng IP:
Click chọn Objects and Groups >> IP Object và tạo đối tượng 8 IP.
-
Cấu hình đối tượng người dùng R&D dept như hình sau. Cấu hình cho Sales dept, FAE dept và Servers tương tự như .
-
Cấu hình đối tượng người tiêu dùng R&D leader như hình sau. Cấu hình cho Sales leader, FAE leader và Administrator tựa như .
-
Cấu hình nhóm IP
Click chọn Objects Setting >> IP Group và tạo 4 nhóm IP .
-
Click vào Index 1, vào Admin Grouptrong vùng Name
Chọn Interface là LAN cho tổng thể những giá trị đối tượng người tiêu dùng IP. Chọn đối tượng người tiêu dùng IP thích hợp rule và add vào Selected IP Objects .
Nhấn nút OK để hoàn thành xong thông số kỹ thuật .
-
Cấu hình tương tự cho 3 nhóm đối tượng còn lại:
Nhóm Marketing và Support : 2 đối tượng IP (Sales dept, FAE dept) Nhóm R&D: 1 đối tượng IP (R&D dept) Nhóm Server: 1 đối tượng IP (Servers)
3. Cấu hình đối tượng dịch vụ:Click chọn Objects Setting >> Service Type Object và tạo 6 đối tượng.
Cấu hình Web http
Cấu hình tựa như cho 7 đối tượng người dùng còn lại. 4. Cấu hình nhóm dịch vụ : Click chọn Objects Setting >> Service Type Group và tạo 3 nhóm .
-
Click chọn Index 1, vào M&S permittrong vùng Name.
Vào bảng Available Service Type Objects chọn những đối tượng người dùng thích hợp cho những rule và add chúng vào Selected Service Type Objects .
<
-
Cấu hình tương tự như cho 2 nhóm dịch vụ còn lại : R&D permit : 2 đối tượng người dùng ( 3 and 4 ) Server permit : 4 đối tượng người dùng ( 5, 6, 7 and 8 )
-
Cấu hình Content Security Management Profile : VàoObjects Setting >> CSM Profile và tạo 2 profiles .
-
Profile cho M&S không được cho phép toàn bộ những ứng dụng loại trừ MSN and Skype .
-
Proflile cho R&D and Servers không được cho phép tổng thể những ứng dụng .
-
Cấu hình IP Filter Rules Click chọn Firewall >> Filter Setup >> Edit Filter Set và thông số kỹ thuật 5 rule .
-
Ruleblock all. Khóa tổng thể những lưu thông mặc định .
-
Rule ” pass Admin “. Nhóm ” Admin Group ” được phép cho qua toàn bộ .
-
Rule ” pass M&S “. Nhóm ” Marketing và Sales Group ” chỉ được phép cho qua bằng web và Mail và MSN và Skype ..
-
Rule ” pass R&D “. Pass mail traffic for the ” R&D Group ” .
-
Rule ” pass Servers “. Nhóm ” Server Group ” chỉ được phép qua bằng Web và Mail .
Với công dụng đối tượng người dùng / nhóm bạn chỉ cần thông số kỹ thuật 5 rule. Bên cạnh đó, khi có thêm 1 một nhóm mới thậm chí còn bạn không cần phải tạo thêm rule
Trường hợp có thêm một người mới vào bộ phận Sales và có địa chỉ IP là 192.168.1.100. Tất cả những gì bạn cần làm là tạo thêm một đối tượng người dùng IP và add đối tượng người tiêu dùng đó vào nhóm IP “ Marketing và Support ” .
-
Hãy liên lạc với chúng tôi để được hỗ trợ:
Văn phòng TP Hồ Chí Minh (028) 3925 3789Chi nhánh miền Bắc (024) 3781 5089
Chi nhánh miền Trung (0236) 367 9515
Hotline Hỗ trợ Kỹ thuật:
1900.633.641
Source: https://final-blade.com
Category : Kiến thức Internet
