Mr. Khanh
Mr. Khanh

Mr. Dũng
Mr. Dũng

Mr. Hà
Mr. Hà

Mr. Chung
Mr. Chung

Mr. Linh
Mr. Linh

Mr. Cường
Mr. Cường

Hotline: 0913 125 985

Mr. Hiển

Mr. Nhựt

Mr. Khoa

Ms. Châu

Ms. Trang

Mr. Hoằng

Mr. Tài
K.Doanh

Mr. Tín
Mr. Tín

      Kinh doanh miền Bắc
K.Doanh HN1
K.Doanh HN2

     Kinh doanh miền Trung
Ms Thùy
K.Doanh DNG2





 
31,002,686
 
 

Định hướng đối tượng trong IP Filter/Firewall

IP Object/IP Group:
Với tính năng IP Object/IP Group, chúng ta có thể định nghĩa được những nhóm địa chỉ IP (địa chỉ của tất cả các host trong một bộ phận) thành tên và đưa những tên này vào 1 nhóm đặt trong Firewall filter. Điều này cho phép một Filter rule áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.


Service Type Object/Service Group:
Chúng ta có thể định nghĩa các protocol/port và sử dụng nhóm port này bằng tên trong firewall filter. Điều này cho phép một Filter rule được áp dụng cho nhiều protocol/port nhằm làm giảm số lượng filter rule.


Content Security Manager (CSM):
Tính năng này giúp chúng ta có thể định nghĩa các chính sách riêng cho các ứng dụng như: IM (Instant Messenger)/P2P (Peer to Peer). Sau đó chúng ta có thể sử dụng CSM bằng tên trong firewall filter. Điều này cũng cho phép một rule được áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.

Chúng tôi sẽ làm một ví dụ để hướng dẫn chức năng này cụ thể hơn.


Ví dụ:
Có 3 bộ phận chính trong một công ty bao gồm: bộ phận R&D, bộ phận Sales (Marketing), bộ phận FAE (Support). Địa chỉ được phân cấp theo sơ đồ dưới đây

I. Có các rule sau:

  • Ban Giám Đốc và Người quản trị có đủ quyền truy cập Internet.

  • Bộ phận R&D chỉ có thể gửi và nhận mail.

  • Bộ phận Sales và FAE có thể truy cập website, gửi và nhận mail, sử dụng MSN và Skype, ngoài ra thì khóa hết.

  • Máy chủ Web và Mail chỉ cho phép truy cập theo port dịch vụ.

II. Chúng ta có thể định nghĩa 8 đối tượng IP và 4 nhóm IP

a/ Các đối tượng IP:

1. Bộ phận R&D: 192.168.1.11 ~ 192.168.1.49
2. Bộ phận Sales: 192.168.1.51 ~ 192.168.1.79
3. Bộ phận FAE: 192.168.1.81 ~ 192.168.1.99
4. Servers: 192.168.1.3 ~ 192.168.1.9
5. R&D leader: 192.168.1.10
6. Sales leader: 192.168.1.50
7. FAE leader: 192.168.1.80
8. Administrator: 192.168.1.2

b/ Các nhóm IP:

1. Nhóm Admin: 4 đối tượng IP (R&D leader, Sales leader, FAE leader và administrator)
2. Nhóm Marketing và Support: 2 đối tượng IP (bộ phận Sales, bộ phận FAE)
3. Nhóm R&D: 1 đối tượng IP (bộ phân R&D)
4. Nhóm Server: 1 đối tượng IP (Servers)

III. Chúng ta có thể định nghĩa 8 đối tượng dịch vụ và 3 nhóm dịch vụ:

a/ Các đối tượng dịch vụ bao gồm:

1. Web http: Source Port: 1024~65535, Destination Port: 80
2. Web https: Source Port: 1024~65535, Destination Port: 443
3. Receive Mail: Source Port: 1024~65535, Destination Port: 110
4. Send Mail: Source Port: 1024~65535, Destination Port: 25
5. Mail Server cho gửi mail: Source Port: 110, Destination Port: 1024~65535
6. Mail Server cho nhận mail: Source Port: 25, Destination Port: 1024~65535
7. Web Server cho http: Source Port: 80, Destination Port: 1024~65535
8. Web Server cho https: Source Port: 443, Destination Port: 1024~65535

b/ Các nhóm dịch vụ bao gồm:

1. M&S permit: 4 đối tượng (1~4 )
2. R&D permit: 2 đối tượng (3, 4)
3. Server permit: 4 đối tượng (5~8)

c/ Chúng ta có thể định nghĩa 2 CSM profies như sau:

1. R&D và Servers: disable all (khóa toàn bộ dịch vụ trong profile đó)
2. M&S: enable MSN và Skype (cho phép chạy dịch vụ MSN, SKYPE)

Với những phân tích và định nghĩa trên, chúng ta có thể cấu hình router theo các bước sau:

1/Cấu hình đối tượng IP:

Click chọn Objects and Groups >> IP Object và tạo đối tượng 8 IP.


a. Cấu hình đối tượng R&D dept như hình sau. Cấu hình cho Sales dept, FAE deptServers tương tự.


b. Cấu hình đối tượng R&D leader như hình sau. Cấu hình cho Sales leader, FAE leaderAdministrator tương tự.

2. Cấu hình nhóm IP

Click chọn Objects Setting >> IP Group và tạo 4 nhóm IP.

a. Click vào Index 1, vào Admin Group trong vùng Name

Chọn Interface là LAN cho tất cả các giá trị đối tượng IP. Chọn đối tượng IP thích hợp rule và add vào Selected IP Objects.


Nhấn nút OK để hoàn thành cấu hình.

b. Cấu hình tương tự cho 3 nhóm đối tượng còn lại:

Nhóm Marketing và Support : 2 đối tượng IP (Sales dept, FAE dept)
Nhóm R&D: 1 đối tượng IP (R&D dept)
Nhóm Server: 1 đối tượng IP (Servers)

3. Cấu hình đối tượng dịch vụ
:

Click chọn Objects Setting >> Service Type Object và tạo 6 đối tượng.


Cấu hình Web http

Cấu hình tương tự cho 7 đối tượng còn lại.

4. Cấu hình nhóm dịch vụ:

Click chọn Objects Setting >> Service Type Group và tạo 3 nhóm.



a. Click chọn Index 1, vào M&S permit trong vùng Name.

Vào bảng Available Service Type Objects chọn các đối tượng thích hợp cho các rule và add chúng vào Selected Service Type Objects.

<


b. Cấu hình tương tự cho 2 nhóm dịch vụ còn lại:
R&D permit: 2 đối tượng (3 and 4)
Server permit: 4 đối tượng (5, 6, 7 and 8)

5. Cấu hình Content Security Management Profile:

Vào Objects Setting >> CSM Profile và tạo 2 profiles.


a. Profile cho M&S không cho phép tất cả các ứng dụng loại trừ MSN and Skype.


b. Proflile cho R&D and Servers không cho phép tất cả các ứng dụng.

6. Cấu hình IP Filter Rules
Click chọn Firewall >> Filter Setup >> Edit Filter Set và cấu hình 5 rule.



a. Rule block all. Khóa tất cả các lưu thông mặc định.

 

b. Rule "pass Admin". Nhóm "Admin Group" được phép cho qua tất cả.


c. Rule "pass M&S". Nhóm "Marketing & Sales Group" chỉ được phép cho qua bằng web & Mail và MSN & Skype..

d. Rule "pass R&D". Pass mail traffic for the "R&D Group".


e. Rule "pass Servers". Nhóm "Server Group" chỉ đựơc phép qua bằng Web & Mail.

Với chức năng đối tượng/nhóm bạn chỉ cần cấu hình 5 rule. Bên cạnh đó, khi có thêm 1 một nhóm mới thậm chí bạn không cần phải tạo thêm rule


Trường hợp có thêm một người mới vào bộ phận Sales và có địa chỉ IP là 192.168.1.100. Tất cả những gì bạn cần làm là tạo thêm một đối tượng IP và add đối tượng đó vào nhóm IP “Marketing & Support”.