Na jedné straně neustále narůstá poptávka po zvýšení přenosového výkonu a na straně druhé narůstá složitost komunikačního prostředí ve firmách (různá oddělení, kanceláře, VIP skupiny, atd.) kde každý z nich má jiné požadavky na dostupnost nebo omezení informačních zdrojů.
U klasických filtrů se konfigurují jednotlivé podmínky jako řetězení / vnoření požadavků, což zákonitě vede k prodloužení doby vyřízení. Výsledkem je, z pohledu průtoku dat, snížení přenosového výkonu a z pohledu programování podmínek a změnových řízení je klasický filtr hodně náročný. Tyto základní rozpory jsou v nové generaci zařízení DrayTek řešeny právě objektově orientovaným IP filtrem / Firewallem.
Jedná se o nový pohled na problematiku filtrování a o novou metodu, která řeší nárůst požadavků na filtrovací pravidla při současném nárůstu přenosového výkonu. V první řadě to znamená, že přenosový výkon zařízení se nesníží ani při rozsáhlé definici IP prostoru a filtrovacích pravidel. V druhé řadě to znamená, že prvotní nastavení zařízení a případné budoucí změny nastavení jsou výrazně jednodušší.
Objektové orientované filtrování snižuje složitost nastavení, zvyšuje přehled ve filtrovacích pravidlech, v definici IP prostoru a minimalizuje výpočetní náročnost na vyřízení požadavků, čím je docílený vysoký přenosový výkon bez nárůstu latence při přechodu paketů na rozhrání WAN - LAN.
Pro jednoduchost příkladu, ale dostatečnost na pochopení funkce, vycházejme z předpokladu, že máme firmu, kde jsou tři oddělení ke je v provozu kolem 100 počítačů a díle servery pro Email, WEB stránky a další...:
Přístupy k informačním zdrojům pro jednotlivé skupiny uživatelů jsou následující:
Strukturu firmy můžete vidět na následujícím obrázku.
Je potřebné definovat 8 IP objektů a 4 skupiny objektů jak to vyplývá ze zadání příkladu.
IP objektem je:
- IP adresa (konkrétní IP adresa jako je 192.168.1.10),
- nebo IP adresní rozsah (IP adresy od 192.168.1.11 do 192.168.1.49)
- nebo podsíť (definovaná IP adresou a maskou jako je 192.168.1.0 / 24)
Dále je potřebné definovat 8 objektů servisních typů a 3 skupiny objektů servisních typů:
Dále je potřebné definovat 2 profily CMS (Content Security Management):
Dále budeme pokračovat krok za krokem v nastavování parametrů routeru...
Otevřete položku: Objects Setting >> IP Object a vytvořte 8 IP objektů podle následujícího obrázku.
1. Nastavení IP objektu pro výrobní oddělení ?Výroba? je zobrazené na následujícím obrázku.
Použijeme Profil Index 1 a na rozhraní LAN nastavíme rozsah adres od 192.168.1.11 do 192.168.1.49.
Nastavení dalších IP objektů na rozhraní LAN s rozsahem IP adres je úplně shodné. IP objekt pro obchodní oddělení pojmenujeme ?Obchod?, pro vedení firmy pojmenujeme "Vedení? a pro servery pojmenujeme ?Servery?.
profile index.2: IP objekt pro obchodní oddělení pojmenujeme ?Obchod?,
rozhraní: LAN,
rozsah IP adres: 192.168.1.51 ~ 192.168.1.79
profile index.3: IP objekt pro vedení firmy pojmenujeme "Vedení?,
rozhraní: LAN,
rozsah IP adres: 192.168.1.81 ~ 192.168.1.99
profile index.4: IP objekt pro servery pojmenujeme ?Servery?,
rozhraní: LAN,
rozsah IP adres: 192.168.1.3 ~ 192.168.1.9
Nastavení dalších IP objektů pro vedoucího obchodu, ředitele a administrátora je shodné a použijeme pro ně profil index 6, 7 a 8.
profile index.6: IP objekt pro vedoucího obchodu pojmenujeme ?Vedoucí obchodu?,
rozhraní: LAN,
IP adresa: 192.168.1.50
profile index.7: IP objekt pro ředitele firmy pojmenujeme "Ředitel?,
rozhraní: LAN,
IP adresa: 192.168.1.80
profile index.8: IP objekt pro administrátora pojmenujeme ?Administrátor?,
rozhraní: LAN,
rozsah IP adres: 192.168.1.2
Z analýzy vyplývá, že je potřebné nastavit 4 skupiny IP objektů.
Otevřete položku: Objects Setting >> IP Group a postupně vytvořte 4 skupiny IP objektů tak, jak je to popsané v dalších krocích.
1. Klikněte na profil index 1, do pole "Name" zapište jméno "Vedení". Jako rozhraní zvolte LAN a vytvořte seznam IP objektů podle výsledku z analýzy a to tak, že označíte IP objekt na levé straně a klikněte na dvojí šípku vpravo >>. Tím IP objekt přesunete do skupiny vybraných objektů, jak je to zobrazené na následujícím obrázku.
Poté klikněte na tlačítko OK pro ukončení první skupiny.
2. Shodným postupem vytvořte další skupiny. Použijte pro ně další profily 2, 3 a 4.
profile index.2: pro skupinu "Marketing" : 2 IP objekty (Obchodní oddělení, Vedení firmy)
profile index.3: pro skupinu "Výroba" : 1 IP objekt (Výroba)
profile index.4: pro skupinu "Server" : 1 IP objekt (Servery)
Z analýzy vyplývá, že je potřebné vytvořit 8 objektů servisních typů.
Otevřete položku: Objects Setting >> Service Type Object a postupně vytvořte 8 objektů servisních typů.
1. Nastavení objektu "Web http"
Postup nastavení zbývajících 7 objektů je shodný.
profile index.2: jméno "Web https", protokol: TCP, zdrojový port: 1024~65535, cílový port: 443
profile index.3: jméno "Příjem mail", protokol: TCP, zdrojový port: 1024~65535, cílový port: 110
profile index.4: jméno "Odesílaní mail", protokol: TCP, zdrojový port: 1024~65535, cílový port: 25
profile index.5: jméno "MailServer odch", protokol: TCP, zdrojový port: 110, cílový port: 1024~65535
profile index.6: jméno "MailServer prij", protokol: TCP, zdrojový port: 25, cílový port: 1024~65535
profile index.7: jméno "HTTP Server", protokol: TCP, zdrojový port: 80, cílový port: 1024~65535
profile index.8: jméno "HTTPS Server", protokol: TCP, zdrojový port: 443, cílový port: 1024~65535
Z analýzy vyplývá, že je potřebné nastavit 3 skupiny servisních typů.
Otevřete položku: Objects Setting >> Service Type Group a postupně vytvořte 3 skupiny.
1. Klikněte na Index 1, do pole "Name" zapište "Market. povol".
Na levé straně je seznam všech vytvořených servisních typů. Postupně označte a přesuňte ty, které potřebujete sdružit do skupin. Pak kliknete na OK.
2. Pro vytvoření dalších dvou skupin použijte profil index 2 a 3.
profile index.2: jméno "Výroba povol", 2 Objekty (3 a 4)
profile index.3: jméno "Server povol", 4 Objekty (5, 6, 7 a 8)
Z analýzy vyplývá, že je potřebujeme vytvořit 2 profily řízení bezpečnosti obsahu.
Otevřete položku: Objects Setting >> CSM Profile a postupně vytvořte 2 CSM profily.
1. První je profil "Výroba a Servery? a musí blokovat všechny aplikace.
2. Druhý profil "Marketing a Vedení" pro blokování všech aplikací s výjimkou MSN a Skype.
Otevřete položku: Objects Setting >> CSM Profile a postupně nastavte 5 pravidel pro IP filtrování.
1. Pravidlo ?blokuj vše? (block all). Zablokuje veškery provoz ve směru do internetu (směr LAN->WAN).
2. Pravidlo "projít Vedení". Propustí veškery provoz pro skupinu "Vedení". (pass Admin)
3. Pravidlo "projít Marketing". Toto pravidlo propustí provoz web a e-maily a MSN i Skype pro skupiny "Vedení? a ?Obchod ".
4. Pravidlo "projít Výroba ". Propustí provoz e-mail pro skupinu "Výroba ".
5. Pravidlo "projít Servery". Propustí provoz web a e-maily pro skupinu "Servery ".
Jako vidíte s použitím nové metody filtrování tzv. ?Objektově orientované? potřebujete jenom 5 pravidel filtrování.
A v případě, že časem přibydou noví pracovníci nebo dokonce nové oddělení (jak je to zobrazené na následujícím obrázku), není potřebné měnit nebo doplňovat pravidla filtrování. Postačuje doplnit nový objekt do příslušné skupiny IP objektů.
Na obchodní oddělení nastoupí nový člověk a dostane nový počítač, kterému bude přidělená IP adres: 192.168.1.100
Postačuje, když vytvoříme nový IP objekt a začleníme jej do skupiny ?Obchod?. Nic jiné už není třeba měnit a původně vytvořená pravidla filtrování jsou v plném rozsahu funkční včetně nového pracovníka.