U klasických filtrů se konfigurují jednotlivé podmínky jako řetězení / vnoření požadavků, což zákonitě vede k prodloužení doby vyřízení. Výsledkem je, z pohledu průtoku dat, snížení přenosového výkonu a z pohledu programování podmínek a změnových řízení je klasický filtr hodně náročný. Tyto základní rozpory jsou v nové generaci zařízení DrayTek řešeny právě objektově orientovaným IP filtrem / Firewallem.

Jedná se o nový pohled na problematiku filtrování a o novou metodu, která řeší nárůst požadavků na filtrovací pravidla při současném nárůstu přenosového výkonu. V první řadě to znamená, že přenosový výkon zařízení se nesníží ani při rozsáhlé definici IP prostoru a filtrovacích pravidel. V druhé řadě to znamená, že prvotní nastavení zařízení a případné budoucí změny nastavení jsou výrazně jednodušší.

Objektové orientované filtrování snižuje složitost nastavení, zvyšuje přehled ve filtrovacích pravidlech, v definici IP prostoru a minimalizuje výpočetní náročnost na vyřízení požadavků, čím je docílený vysoký přenosový výkon bez nárůstu latence na přechodu paketů mezi WAN - LAN.

Objektově orientované IP filtrováni je obsaženo v těchto sériích zařízení DrayTek:

• Zařízení „Dual WAN“ série Vigor 2910, modely Vigor 2910, Vigor 2910G, Vigor 2910i, Vigor 2910Gi, Vigor 2910V, Vigor 2910VG a Vigor 2910VGi

• Zařízení „Dual WAN“ série Vigor 2950, modely Vigor 2950, Vigor 2950G, Vigor 2950i

• Zařízení „Dual WAN UTM“ model Vigor 5510 a série 5300

IP Objekt / IP Skupina

Můžete definovat skupiny adres, např. adresy všech zařízení v jednom oddělení. Potom můžete jméno této IP skupiny použit ve filtrech firewall-u, z důvodu lepší orientace. To umožní aplikovat jedno filtrovací pravidlo na více IP adres, čímž snížíte počet potřebných filtrů firewallu.

Objekt podle typu služby/Skupina podľa typu služby

Môžete definovať súbor protokolov/portov. Potom môžete použiť meno Skupiny portov vo filtroch firewall-u. To umožňuje použiť jediné pravidlo pre viac protokolov/portov, čím znížite počet potrebných kontrol.

Podrobnosti ukážeme na príklade. Predpokladajme, že "Oddelenie R&D", "Oddelenie tržieb" a "Oddelenie FAE" sú oddelenia jednej firmy. Pridelenie IP adries je znázornené na obrázku nižšie.

Dané sú nasledujúce pravidlá:
- "Leaders" (Vedúci) a "Administrator" (Administrátor) majú plný prístup na internet.
- "R&D staff" (Personál R&D) môžu iba posielať a prijať maily.
- "Sales" (Obchod) a "FAE staff" (Personál FAE) majú prístup na internet, môžu posielať a prijať maily, používať MSN a Skype, ostatné sú blokované.
- "Web and Mail servers" majú povolené iba zodpovedajúce porty služieb.

Môžete definovať 8 IP Objektov a 4 IP Skupiny:
IP Objekt:
1. "R&D dept": 192.168.1.11 ~ 192.168.1.49
2. "Sales dept": 192.168.1.51 ~ 192.168.1.79
3. "FAE dept": 192.168.1.81 ~ 192.168.1.99
4. "Servers": 192.168.1.3 ~ 192.168.1.9
5. "R&D leader": 192.168.1.10
6. "Sales leader": 192.168.1.50
7. "FAE leader": 192.168.1.80
8. "Administrator": 192.168.1.2

IP Skupiny::
1. Admin Group: 4 IP objects (R&D leader, Sales leader, FAE leader and Administrator)
2. Marketing and Support Group: 2 IP objects (Sales dept, FAE dept)
3. R&D Group: 1 IP object (R&D dept)
4. Server Group: 1 IP object (Servers)

Môžete definovať 8 Service Type Objects a 3 Service Type Groups:
Service Type Object:
1. Web http: Source Port: 1024~65535, Destination Port: 80
2. Web https: Source Port: 1024~65535, Destination Port: 443
3. Receive Mail: Source Port: 1024~65535, Destination Port: 110
4. Send Mail: Source Port: 1024~65535, Destination Port: 25
5. Mail Server for send mail: Source Port: 110, Destination Port: 1024~65535
6. Mail Server for receive mail: Source Port: 25, Destination Port: 1024~65535
7. Web Server for http: Source Port: 80, Destination Port: 1024~65535
8. Web Server for https: Source Port: 443, Destination Port: 1024~65535

Service Type Group:
1. M&S permit: 4 Objects (1~4 )
2. R&D permit: 2 Objects (3, 4)
3. Server permit: 4 Objects (5~8)

Môžete definovať 2 CMS profily:
1. R&D and Servers: disable all
2. M&S: enable MSN and Skype

Aby ste správne nastavily router, prosím, pokračujte s nasledujúcimi krokmi.

1. Nastavenie IP Objektu

Otvorte Objects Setting >> IP Object a vytvorte 8 IP objektov.

1. Konfigurácia "R&D" objektu je znázornená na obrázku. Nastavenie "Sales dept", "FAE dept" a "Servers" sa robí podobne.

2. Konfigurácia "R&D leader" objektu je znázornená na obrázku. Podobne nastavte aj "Sales leader", "FAE leader" a "Administrator".

2. Nastavenie IP Skupiny
Otvorte Setting >> IP Group a vytvorte 4 IP skupiny.

 1. Kliknite na Index 1, napíšte "Admin Group" do bunky Name. V časti Interface zvoľte "LAN" aby sa zobrazili všetky dostupné IP Objekty. Vyberte vhodné IP Objekty podľa pravidieľ a pridajte ich medzi Selected IP Objects.

Stlačte OK aby sa nastavenia uložili.

2. Bod číslo 2. Nastavenie IP Skupiny zopakujte aj pre ďalšie 3 IP skupiny:
    "Marketing and Support Group": 2 IP objekty ("Sales dept", "FAE dept")
    "R&D Group": 1 IP objekt ("R&D dept")
    "Server Group": 1 IP objekt ("Servers")

3. Nastavenie Objektu podľa typu služby
Otvorte Objects Setting >> Service Type Object a vytvorte 6 objektov.

1. Nastavte "Web http"

Rovnako nastavte aj ostatných 7 objektov.

4. Nastavenie Skupiny podľa typu služby
Otvorte Objects Setting >> Service Type Group a vytvorte 3 skupiny.

1. Pre profil "M&S" zakážte všetky aplikácie okrem MSN a Skype.