(Thường được gọi là Firewall
)Khi nói đến “Firewall” thì 90% các IT thường “ám chỉ” việc quản lý người sử dụng chỉ 10% là cần đến công cụ chống tấn công từ bên ngoài. Dạo qua các forum thường thấy các câu hỏi tìm firewall để phục vụ yêu cầu của sếp: Cấm này cấm kia, Rule này rule kia; Rất ít nhu cầu cần bảo vệ các Server (Web, Mail,..) vì phần lớn các CTY vừa và nhỏ thường thuê dịch vụ Web và Mail ở bên ngoài rồi.
Vì vậy hôm nay tôi giới thiệu giải pháp “làm vừa lòng sếp” với một chi phí rất hợp lý mà lại vô cùng dễ cấu hình.
Rất nhiều bạn nghĩ rằng DrayTek Vigor đơn thuần chỉ là một modem “trâu bò” thích hợp cho các nhu cầu nặng ký: Tiệm NET, CTY nhiều PC nhiều đường truyền. Nhưng ít ai biết rằng DrayTek Vigor được tích hợp đầy đủ các tính năng như một Firewall thực thụ. DrayTek Vigor không hề thua kém ISA, Linux Firewall, Kerio,.. trong việc giám sát và quản lý người sử dụng.
A.Giới thiệu tổng quan về bộ lọc (Firewall) của DrayTek
- Source: Bạn cần lọc ai, cấm ai? IP, MAC address, User (Local và Domain user)
- Destination: Bạn cần cấm-cho phép người đó đến nơi nào? IP, Web content (Commtouch Service)
- Service: Bạn cần lọc nội dung gì? Protocol, Keyword (URL), File Extension, Application (IM, P2P, Tunnel, Streaming, Remote Control, Web hosting,…)
- Schedule: Lập thời gian thực thi các chính sách (Filter, Rule) linh hoạt
- Bandwidth Management: Ngoài chức năng quản lý Sessions và QoS có sẳn, DrayTek còn cho phép thiết lập ngay trong firewall cho từng Rule cụ thể (Chỉ có ở các phiên bản mới được nâng cấp Firmware)
- Load Balancing: Ngoài chức năng Load Balancing có sẳn, DrayTek còn cho phép thiết lập ngay trong firewall cho từng Rule nâng cao khả năng linh hoạt trong việc Load Balancing (Chỉ có ở các phiên bản mới được nâng cấp Firmware)
B. Các thành phần hỗ trợ (Object / Group / CSM / User)
- IP Object / Group
- Service Object / Group
- File extension Object
- APP Enforcement profile (Application)
- URL content profile
- Web content profile
C. Các nguyên tắc chung
D. Các trường hợp cụ thể và hướng dẫn cấu hình
IP Object / Group
IP được sử dụng chủ yếu và rất nhiều khi cần tạo các rule trong firewall. Nếu bạn điền trực tiếp vào rule tuy nhanh hơn nhưng khi có sự thay đổi hoặc cần tạo nhiều rule thì sẽ không dễ dàng chút nào.
Vì vậy DrayTek Vigor tạo nên sự thuận lợi cho người dùng bằng cách sử dụng IP Object/Group.
DrayTek Vigor cho phép tạo 192 object và 32 group
IP Object
- Vào Objects Setting >> IP Object: Click vào một Index bất kỳ để tạo IP object mới
=======================
- Tạo object cho 1 IP duy nhất:
=======================
- Tạo object cho 1 dãy IP (Theo dạng Range: Từ A đến B)
=======================
- Tạo object cho 1 dãy IP (Theo dạng SubNet Mask) Tham khảo cách tính
=======================
- Tạo object cho 1 địa chỉ MAC (Mac address)
IP Group
- Vào Objects Setting >> IP Group: Click vào một Index bất kỳ để tạo một Group mới
Service Object / Group
Cũng như IP, Service (Protocol) cũng đóng vai trò quyết định trong việc thực thi các rule trong firewall.
DrayTek Vigor cho phép tạo 96 Service object và 32 Service group. Với cách cấu hình tương tự IP object/group
Một số Protocol thường được sử dụng:
Mã:
<service name> <port number> <protocol> [aliases...] echo 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcp users #Active userssystat 11/udp users #Active users daytime 13/tcpdaytime 13/udpqotd 17/tcp quote #Quote of the dayqotd 17/udp quote #Quote of the daychargen 19/tcp ttytst source #Character generatorchargen 19/udp ttytst source #Character generatorftp-data 20/tcp #FTP, dataftp 21/tcp #FTP. controlssh 22/tcp #SSH Remote Login Protocoltelnet 23/tcpsmtp 25/tcp mail #Simple Mail Transfer Protocoltime 37/tcp timservertime 37/udp timserverrlp 39/udp resource #Resource Location Protocolnameserver 42/tcp name #Host Name Servernameserver 42/udp name #Host Name Servernicname 43/tcp whoisdomain 53/tcp #Domain Name Serverdomain 53/udp #Domain Name Serverbootps 67/udp dhcps #Bootstrap Protocol Serverbootpc 68/udp dhcpc #Bootstrap Protocol Clienttftp 69/udp #Trivial File Transfergopher 70/tcpfinger 79/tcphttp 80/tcp www www-http #World Wide Webhosts2-ns 81/tcp #HOSTS2 Name Serverhosts2-ns 81/udp #HOSTS2 Name Serverkerberos 88/tcp krb5 kerberos-sec #Kerberoskerberos 88/udp krb5 kerberos-sec #Kerberoshostname 101/tcp hostnames #NIC Host Name Serveriso-tsap 102/tcp #ISO-TSAP Class 0rtelnet 107/tcp #Remote Telnet Servicepop2 109/tcp postoffice #Post Office Protocol - Version 2pop3 110/tcp #Post Office Protocol - Version 3sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Callsunrpc 111/udp rpcbind portmap #SUN Remote Procedure Callauth 113/tcp ident tap #Identification Protocoluucp-path 117/tcpsqlserv 118/tcp #SQL Servicesnntp 119/tcp usenet #Network News Transfer Protocolntp 123/udp #Network Time Protocolepmap 135/tcp loc-srv #DCE endpoint resolutionepmap 135/udp loc-srv #DCE endpoint resolutionnetbios-ns 137/tcp nbname #NETBIOS Name Servicenetbios-ns 137/udp nbname #NETBIOS Name Servicenetbios-dgm 138/udp nbdatagram #NETBIOS Datagram Servicenetbios-ssn 139/tcp nbsession #NETBIOS Session Serviceimap 143/tcp imap4 #Internet Message Access Protocolsql-net 150/tcpsqlsrv 156/tcppcmail-srv 158/tcp #PCMail Serversnmp 161/udp #SNMPsnmptrap 162/udp snmp-trap #SNMP trapprint-srv 170/tcp #Network PostScriptbgp 179/tcp #Border Gateway Protocolirc 194/tcp #Internet Relay Chat Protocol ipx 213/udp #IPX over IPrtsps 322/tcprtsps 322/udpmftp 349/tcpmftp 349/udpldap 389/tcp #Lightweight Directory Access Protocolhttps 443/tcp MCom #HTTP over TLS/SSLhttps 443/udp MCom #HTTP over TLS/SSLmicrosoft-ds 445/tcpmicrosoft-ds 445/udpkpasswd 464/tcp # Kerberos (v5)kpasswd 464/udp # Kerberos (v5)isakmp 500/udp ike #Internet Key Exchangecrs 507/tcp #Content Replication Systemcrs 507/udp #Content Replication Systemexec 512/tcp #Remote Process Executionbiff 512/udp comsatlogin 513/tcp #Remote Loginwho 513/udp whodcmd 514/tcp shellsyslog 514/udpprinter 515/tcp spoolertalk 517/udpntalk 518/udpefs 520/tcp #Extended File Name Serverrouter 520/udp route routedulp 522/tcp ulp 522/udp timed 525/udp timeservertempo 526/tcp newdateirc-serv 529/tcpirc-serv 529/udpcourier 530/tcp rpcconference 531/tcp chatnetnews 532/tcp readnewsnetwall 533/udp #For emergency broadcastsuucp 540/tcp uucpdklogin 543/tcp #Kerberos loginkshell 544/tcp krcmd #Kerberos remote shelldhcpv6-client 546/tcp #DHCPv6 Clientdhcpv6-client 546/udp #DHCPv6 Clientdhcpv6-server 547/tcp #DHCPv6 Serverdhcpv6-server 547/udp #DHCPv6 Servernew-rwho 550/udp new-whoremotefs 556/tcp rfs rfs_serverrmonitor 560/udp rmonitordmonitor 561/udpnntps 563/tcp snntp #NNTP over TLS/SSLnntps 563/udp snntp #NNTP over TLS/SSLwhoami 565/tcpwhoami 565/udphttp-rpc-epmap 593/tcp #HTTP RPC Ep Maphttp-rpc-epmap 593/udp #HTTP RPC Ep Maphmmp-ind 612/tcp #HMMP Indicationhmmp-ind 612/udp #HMMP Indicationhmmp-op 613/tcp #HMMP Operationhmmp-op 613/udp #HMMP Operationldaps 636/tcp sldap #LDAP over TLS/SSLdoom 666/tcp #Doom Id Softwaredoom 666/udp #Doom Id Softwaremsexch-routing 691/tcp #MS Exchange Routingmsexch-routing 691/udp #MS Exchange Routingkerberos-adm 749/tcp #Kerberos administrationkerberos-adm 749/udp #Kerberos administrationkerberos-iv 750/udp #Kerberos version IVftps-data 989/tcp #FTP data, over TLS/SSLftps 990/tcp #FTP control, over TLS/SSLtelnets 992/tcp #Telnet protocol over TLS/SSLimaps 993/tcp #IMAP4 protocol over TLS/SSLircs 994/tcp #IRC protocol over TLS/SSLpop3s 995/tcp spop3 #pop3 protocol over TLS/SSL (was spop3)pop3s 995/udp spop3 #pop3 protocol over TLS/SSL (was spop3)kpop 1109/tcp #Kerberos POPactivesync 1034/tcp #ActiveSync Notificationsphone 1167/udp #Conference callingopsmgr 1270/tcp #Microsoft Operations Manageropsmgr 1270/udp #Microsoft Operations Managerms-sql-s 1433/tcp #Microsoft-SQL-Serverms-sql-s 1433/udp #Microsoft-SQL-Serverms-sql-m 1434/tcp #Microsoft-SQL-Monitorms-sql-m 1434/udp #Microsoft-SQL-Monitor ms-sna-server 1477/tcpms-sna-server 1477/udpms-sna-base 1478/tcpms-sna-base 1478/udpwins 1512/tcp #Microsoft Windows Internet Name Servicewins 1512/udp #Microsoft Windows Internet Name Serviceingreslock 1524/tcp ingresstt 1607/tcpstt 1607/udpl2tp 1701/udp #Layer Two Tunneling Protocolpptconference 1711/tcppptconference 1711/udppptp 1723/tcp #Point-to-point tunnelling protocolmsiccp 1731/tcpmsiccp 1731/udpremote-winsock 1745/tcpremote-winsock 1745/udpms-streaming 1755/tcpms-streaming 1755/udpmsmq 1801/tcp #Microsoft Message Queuemsmq 1801/udp #Microsoft Message Queueradius 1812/udp #RADIUS authentication protocolradacct 1813/udp #RADIUS accounting protocolmsnp 1863/tcpmsnp 1863/udpssdp 1900/tcpssdp 1900/udpclose-combat 1944/tcpclose-combat 1944/udpnfsd 2049/udp nfs #NFS serverknetd 2053/tcp #Kerberos de-multiplexormzap 2106/tcp #Multicast-Scope Zone Announcement Protocolmzap 2106/udp #Multicast-Scope Zone Announcement Protocoldirectplay 2234/tcp #DirectPlaydirectplay 2234/udp #DirectPlayms-olap3 2382/tcp #Microsoft OLAP 3ms-olap4 2383/tcp #Microsoft OLAP 4ms-olap1 2393/tcp #Microsoft OLAP 1ms-olap2 2394/tcp #Microsoft OLAP 2ms-theater 2460/tcpwlbs 2504/tcp #Microsoft Windows Load Balancing Serverwlbs 2504/udp #Microsoft Windows Load Balancing Serverms-v-worlds 2525/tcp #Microsoft V-Worldssms-rcinfo 2701/tcp #SMS RCINFOsms-xfer 2702/tcp #SMS XFERsms-chat 2703/tcp #SMS CHATsms-remctrl 2704/tcp #SMS REMCTRLmsolap-ptp2 2725/tcp #MSOLAP PTP2icslap 2869/tcpcifs 3020/tcpxbox 3074/tcp #Microsoft Xbox game portxbox 3074/udp #Microsoft Xbox game portms-rule-engine 3132/tcp #Microsoft Business Rule Engine Update Servicemsft-gc 3268/tcp #Microsoft Global Catalogmsft-gc-ssl 3269/tcp #Microsoft Global Catalog with LDAP/SSLms-cluster-net 3343/tcp #Microsoft Cluster Netms-cluster-net 3343/udp #Microsoft Cluster Netms-wbt-server 3389/tcp #MS WBT Serverms-la 3535/tcp #Microsoft Class Serverpnrp-port 3540/tcp #PNRP User Portteredo 3544/tcp #Teredo Portp2pgroup 3587/tcp #Peer to Peer Groupingupnp-discovery 3702/tcp #UPNP v2 Discoverydvcprov-port 3776/tcp #Device Provisioning Portdvcprov-port 3776/udp #Device Provisioning Portmsfw-control 3847/tcp #Microsoft Firewall Controlmsdts1 3882/tcp #DTS Service Portsdp-portmapper 3935/tcp #SDP Port Mapper Protocolsdp-portmapper 3935/udp #SDP Port Mapper Protocolnet-device 4350/tcp #Net Devicenet-device 4350/udp #Net Deviceipsec-msft 4500/tcp #Microsoft IPsec NAT-Tipsec-msft 4500/udp #Microsoft IPsec NAT-Tdccm 5679/tcp #Direct Cable Connect Managerms-licensing 5720/tcp #Microsoft Licensingms-licensing 5720/udp #Microsoft Licensingdirectplay8 6073/tcp #DirectPlay8directplay8 6073/udp #DirectPlay8man 9535/tcp #Remote Man Serverrasadv 9753/udpimip-channels 11320/tcp #IMIP Channels Portdirectplaysrvr 47624/tcp #Direct Play Serverdirectplaysrvr 47624/udp #Direct Play Server
=======================
- Vào Objects Setting >> Service Type Group: Click vào một Index bất kỳ để tạo Service Group mới
Keyword và File Extension (hay còn gọi là file type - loại file) là thành phần không thể thiếu của một Firewall đúng nghĩa. Nó được sử dụng để hỗ trợ cho URL content filter và Web content filter
Keyword Object/Group
Vào Objects Setting >> Keyword Object: Click vào một Index bất kỳ để tạo một profile mới
DrayTek cho phép tạo 200 Keyword object tương đương:
- 600 cụm từ
- 12600 ký tự
Vào Objects Setting >> Keyword Group: Click vào một Index bất kỳ để tạo một Group mới
DrayTek cho phép tạo 32 keyword Group
=======================
File Extension Object
File Extension Object
Đôi khi bạn cần quy định người sử dụng chỉ được phép down/up load một số loại tài liệu nhất định (File Extension). Hướng dẫn bên dưới là điều đầu tiên bạn cần làm
DrayTek Vigor cho phép tạo 8 File Extension object profile
=======================
Vào Objects Setting >> File Extension Object: Click vào một Index bất kỳ để tạo một profile mới
tổng hợp:nhatnghe
APP Enforcement Profile
Để tạo mới: Vào CSM >> APP Enforcement Profile
Một lưu ý quan trong cho phần này: Khác với các Object/Profile trước, việc cho phép hay cấm tùy thuộc vào rule khi chúng ta gán vào. Với các rule dành cho APP Enforcement Profile chỉ có tùy chọn là cấm => những gì chúng ta "tick" vào trong profile này là những gì chúng ta muốn cấm
Đây là một dạng Object/Profile khá đặt biệt và hay. Một APP Enforcement Profile có thể đại diện cho một hay nhiều: ứng dụng, giao thức (protocol) và "những cái" đã được DrayTek định nghĩa sẳn. Vì thế các bạn chỉ việc "tick" vào rồi sử dụng (gán vào rule trong firewall)
DrayTek cho phép tạo 32 APP Enforcement Profile; Mỗi Profile có thể bao gồm 4 Nhóm và trong mỗi Nhóm có rất nhiều Mục
Nhóm IM:
- Tạo ra các Profile cấm các phần mềm tán ngẫu (Chat) thông dụng hiện nay
- Rất dễ dàng tạo các Profile chi tiết và linh động: Cho chat (văn bản) nhưng không cho truyền file, chơi game khi chat; Cho chat và truyền file nhưng không cho chơi game
- Tạo ra các Profile cấm các web chat thông dụng
Nhóm P2P - Protocol - Misc:
- Tương tự như IM, các đối tượng đã được định nghĩa sẳn
Lưu ý:
- Một số phần mềm được tác giả cập nhật liên tục (TeamViewer, UltraSulf,...) nên gây nhiều khó khăn trong việc ngăn chặn. Các lỗi này sẽ được cập nhật trong các firmware kế tiếp và thường thường xuyên
No comments:
Post a Comment