Objektově orientované filtrování

 

Na jedné straně neustále narůstá poptávka po zvýšení přenosového výkonu a na straně druhé narůstá složitost komunikačního prostředí ve firmách (různá oddělení, kanceláře, VIP skupiny, atd.) kde každý z nich má jiné požadavky na dostupnost nebo omezení informačních zdrojů.

U klasických filtrů se konfigurují jednotlivé podmínky jako řetězení / vnoření požadavků, což zákonitě vede k prodloužení doby vyřízení. Výsledkem je, z pohledu průtoku dat, snížení přenosového výkonu a z pohledu programování podmínek a změnových řízení je klasický filtr hodně náročný. Tyto základní rozpory jsou v nové generaci zařízení DrayTek řešeny právě objektově orientovaným IP filtrem / Firewallem.

Jedná se o nový pohled na problematiku filtrování a o novou metodu, která řeší nárůst požadavků na filtrovací pravidla při současném nárůstu přenosového výkonu. V první řadě to znamená, že přenosový výkon zařízení se nesníží ani při rozsáhlé definici IP prostoru a filtrovacích pravidel. V druhé řadě to znamená, že prvotní nastavení zařízení a případné budoucí změny nastavení jsou výrazně jednodušší.

Objektové orientované filtrování snižuje složitost nastavení, zvyšuje přehled ve filtrovacích pravidlech, v definici IP prostoru a minimalizuje výpočetní náročnost na vyřízení požadavků, čím je docílený vysoký přenosový výkon bez nárůstu latence při přechodu paketů na rozhrání WAN - LAN.

Funkce objektového filtrování je podporována v zařízeních:

  • Zařízení "Dual WAN" série Vigor2910, modely Vigor2910, Vigor2910G, Vigor2910i, Vigor2910Gi, Vigor2910V, Vigor2910VG a Vigor2700VGi od FW ver.3.0
  • Zařízení "Dual WAN" série Vigor2950, modely Vigor2950, Vigor2950G, Vigor2950i od FW ver.3.0
  • Zařízení "Dual WAN UTM" série Vigor5500, modely Vigor5500, Vigor5500Gi od FW ver.3.0
  • Zařízení "Dual WAN UTM" série Vigor5300, modely Vigor5300, Vigor5300n, Vigor5300VS od FW ver.3.0

Typové aplikace funkce objektového filtrování:

  • Všude tam, kde je potřeba definovat pravidla přístupu k informačním zdrojům a striktně je dodržovat v průřezu IP adresným prostorem a časem.
    Všude tam, kde jsou různá pracovní oddělení, různé pracovní skupiny a jednotlivci, jako jsou šéfové a podřízení a každému zvlášť mají byt přidělená privilegia nebo omezeni.
  • Všude tam, kde je více jednotlivců, kteří mají odlišné potřeby a odlišné privilegia, třeba v rodině kde rodiče chtějí kontrolovat přístup svých dětí na internet.
  • Všude tam, kde šéfové nebo majitele firem chtějí mít pod kontrolou využívaní pracovní doby a nepovolit celodenní surfování pracovníků po internetu...

Praktický příklad

Pro jednoduchost příkladu, ale dostatečnost na pochopení funkce, vycházejme z předpokladu, že máme firmu, kde jsou tři oddělení ke je v provozu kolem 100 počítačů a díle servery pro Email, WEB stránky a další...:

  1. Výroba: používá IP adresy od 192.168.1.10 do 192.168.1.49
  2. Obchod: používá IP adresy od 192.168.50 do 192.168.1.79
  3. Vedení firmy: používá IP adresy od 192.168.1.80 do 192.168.1.99
  4. Servery: používají IP adresy od 192.168.1.3 do 192.168.1.9
  5. Administrátor sítě používá IP adresu 192.168.1.2

Přístupy k informačním zdrojům pro jednotlivé skupiny uživatelů jsou následující:

  1. Vedoucí pracovníci, ředitel a administrátor sítě mají neomezený přístup ke všem zdrojům.
  2. Pracovníci výroby mají pouze možnost přijímat a odesílat postu.
  3. Pracovníci obchodního oddělení mají právo přistupovat na stránky v Internetu, odesílat a přijímat poštu a používat MSN i SKYTE, ostatní zdroje jsou zablokované.
  4. WEB server a Email server mohou užívat jenom příslušné komunikační porty a nic jiného.

Strukturu firmy můžete vidět na následujícím obrázku.

kurzy/objektove

 

Analýza IP prostředí a služeb

Je potřebné definovat 8 IP objektů a 4 skupiny objektů jak to vyplývá ze zadání příkladu.

IP objekty:

IP objektem je:
- IP adresa (konkrétní IP adresa jako je 192.168.1.10),
- nebo IP adresní rozsah (IP adresy od 192.168.1.11 do 192.168.1.49)
- nebo podsíť (definovaná IP adresou a maskou jako je 192.168.1.0 / 24)

  1. Výroba: 192.168.1.11 ~ 192.168.1.49
  2. Obchod: 192.168.1.51 ~ 192.168.1.79
  3. Vedení: 192.168.1.81 ~ 192.168.1.99
  4. Servery: 192.168.1.3 ~ 192.168.1.9
  5. Vedoucí výroby: 192.168.1.10
  6. Vedoucí obchodu: 192.168.1.50
  7. Ředitel: 192.168.1.80
  8. Administrátor: 192.168.1.2
Skupiny IP objektů:
  1. Skupina Vedení: 4 IP objekty (Vedoucí výroby, Vedoucí obchodu, Ředitel a Administrátor)
  2. Skupina Marketing: 2 IP objekty (Obchodní oddělení, Vedení)
  3. Skupina Výroba: 1 IP objekt (Výroba)
  4. Skupina Server: 1 IP objekt (Servery)

Dále je potřebné definovat 8 objektů servisních typů a 3 skupiny objektů servisních typů:

Objekty Servisních Typů:
  1. Web http: Zdrojový port: 1024~65535, Cílový port: 80
  2. Web https: Zdrojový port: 1024~65535, Cílový port: 443
  3. Příjem e-mailů: Zdrojový port: 1024~65535, Cílový port: 110
  4. Odesílaní e-mailů: Zdrojový port: 1024~65535, Cílový port: 25
  5. Mail Server pro odesílaní e-mailů: Zdrojový port: 110, Cílový port: 1024~65535
  6. Mail Server pro příjem e-mailů: Zdrojový port: 25, Cílový port: 1024~65535
  7. Web Server pro http: Zdrojový port: 80, Cílový port: 1024~65535
  8. Web Server pro https: Zdrojový port: 443, Cílový port: 1024~65535
Skupiny Objektů Servisních Typů:
  1. Povolení M&S: (MSN a Skype): 4 Objekty (1~4 )
  2. Povolení R&D: 2 Objekty (3, 4)
  3. Povolení Server: 4 Objekty (5~8)

Dále je potřebné definovat 2 profily CMS (Content Security Management):

  1. VaS (Výroba a Servery): zakázat vše (disable all)
  2. MaS (MSN a Skype): povolit MSN a Skype


Nastavení parametrů v zařízení Vigor2910

Dále budeme pokračovat krok za krokem v nastavování parametrů routeru...

1. Nastavení IP objektů

Otevřete položku: Objects Setting >> IP Object a vytvořte 8 IP objektů podle následujícího obrázku.

kurzy/objektove


1. Nastavení IP objektu pro výrobní oddělení ?Výroba? je zobrazené na následujícím obrázku. 
    Použijeme Profil Index 1 a na rozhraní LAN nastavíme rozsah adres od 192.168.1.11 do 192.168.1.49.

kurzy/objektove

 

Nastavení dalších IP objektů na rozhraní LAN s rozsahem IP adres je úplně shodné. IP objekt pro obchodní oddělení pojmenujeme ?Obchod?, pro vedení firmy pojmenujeme "Vedení? a pro servery pojmenujeme ?Servery?.

     profile index.2: IP objekt pro obchodní oddělení pojmenujeme ?Obchod?, 
                                rozhraní: LAN,
                                rozsah IP adres: 192.168.1.51 ~ 192.168.1.79
     profile index.3: IP objekt pro vedení firmy pojmenujeme "Vedení?,
                                rozhraní: LAN,
                                rozsah IP adres: 192.168.1.81 ~ 192.168.1.99
     profile index.4: IP objekt pro servery pojmenujeme ?Servery?,
                                rozhraní: LAN,
                                rozsah IP adres: 192.168.1.3 ~ 192.168.1.9

2. Nastavení IP objektu pro vedoucího výroby je zobrazené na následujícím obrázku. Použijeme profil index.5 s jedinou IP adresou 192.168.1.10.
 

kurzy/objektove

Nastavení dalších IP objektů pro vedoucího obchodu, ředitele a administrátora je shodné a použijeme pro ně profil index 6, 7 a 8.

     profile index.6: IP objekt pro vedoucího obchodu pojmenujeme ?Vedoucí obchodu?, 
                                rozhraní: LAN, 
                                IP adresa: 192.168.1.50
     profile index.7: IP objekt pro ředitele firmy pojmenujeme "Ředitel?,
                                rozhraní: LAN,
                                IP adresa: 192.168.1.80
     profile index.8: IP objekt pro administrátora pojmenujeme ?Administrátor?,
                                rozhraní: LAN,
                                rozsah IP adres: 192.168.1.2

 
2. Nastavení Skupin IP objektů

Z analýzy vyplývá, že je potřebné nastavit 4 skupiny IP objektů.

Otevřete položku: Objects Setting >> IP Group a postupně vytvořte 4 skupiny IP objektů tak, jak je to popsané v dalších krocích.

kurzy/objektove

1. Klikněte na profil index 1, do pole "Name" zapište jméno "Vedení". Jako rozhraní zvolte LAN a vytvořte seznam IP objektů podle výsledku z analýzy a to tak, že označíte IP objekt na levé straně a klikněte na dvojí šípku vpravo >>. Tím IP objekt přesunete do skupiny vybraných objektů, jak je to zobrazené na následujícím obrázku.

kurzy/objektove


Poté klikněte na tlačítko OK pro ukončení první skupiny.

 

kurzy/objektove

2. Shodným postupem vytvořte další skupiny. Použijte pro ně další profily 2, 3 a 4.
     profile index.2: pro skupinu "Marketing" : 2 IP objekty (Obchodní oddělení, Vedení firmy)
     profile index.3: pro skupinu "Výroba"  : 1 IP objekt (Výroba)
     profile index.4: pro skupinu "Server"  : 1 IP objekt (Servery)

 
3. Nastavení objektů Servisních Typů

Z analýzy vyplývá, že je potřebné vytvořit 8 objektů servisních typů.

Otevřete položku: Objects Setting >> Service Type Object a postupně vytvořte 8 objektů servisních typů.

 

kurzy/objektove

 

1. Nastavení objektu "Web http"

kurzy/objektove

Postup nastavení zbývajících 7 objektů je shodný.
    profile index.2: jméno "Web https", protokol: TCP, zdrojový port: 1024~65535, cílový port: 443
    profile index.3:  jméno "Příjem mail", protokol: TCP, zdrojový port: 1024~65535, cílový port: 110
    profile index.4:  jméno "Odesílaní mail", protokol: TCP, zdrojový port: 1024~65535, cílový port: 25
    profile index.5:  jméno "MailServer odch", protokol: TCP, zdrojový port: 110, cílový port: 1024~65535
    profile index.6:  jméno "MailServer prij", protokol: TCP, zdrojový port: 25, cílový port: 1024~65535
    profile index.7:  jméno "HTTP Server", protokol: TCP, zdrojový port: 80, cílový port: 1024~65535
    profile index.8:  jméno "HTTPS Server", protokol: TCP, zdrojový port: 443, cílový port: 1024~65535

 
4. Nastavení Skupin Servisních Typů

Z analýzy vyplývá, že je potřebné nastavit 3 skupiny servisních typů.
Otevřete položku: Objects Setting >> Service Type Group a postupně vytvořte 3 skupiny.

kurzy/objektove


1. Klikněte na Index 1, do pole "Name" zapište "Market. povol".
Na levé straně je seznam všech vytvořených servisních typů. Postupně označte a přesuňte ty, které potřebujete sdružit do skupin. Pak kliknete na OK.

kurzy/objektove

2. Pro vytvoření dalších dvou skupin použijte profil index 2 a 3.
     profile index.2: jméno "Výroba povol", 2 Objekty (3 a 4)
     profile index.3: jméno "Server povol", 4 Objekty (5, 6, 7 a 8)

 


5. Vytvoření profilu pro CSM (Content Security Management)

Z analýzy vyplývá, že je potřebujeme vytvořit 2 profily řízení bezpečnosti obsahu.

Otevřete položku: Objects Setting >> CSM Profile a postupně vytvořte 2 CSM profily.

kurzy/objektove

 

1. První je profil "Výroba a Servery? a musí blokovat všechny aplikace.

kurzy/objektove

 

2. Druhý profil "Marketing a Vedení" pro blokování všech aplikací s výjimkou MSN a Skype.


kurzy/objektove

 

6. Nastavení IP Filtrovacích pravidel

Otevřete položku: Objects Setting >> CSM Profile a postupně nastavte 5 pravidel pro IP filtrování.

kurzy/objektove


1. Pravidlo ?blokuj vše? (block all). Zablokuje veškery provoz ve směru do internetu (směr LAN->WAN).

kurzy/objektove

 

2. Pravidlo "projít Vedení". Propustí veškery provoz pro skupinu "Vedení". (pass Admin)

kurzy/objektove

3. Pravidlo "projít Marketing". Toto pravidlo propustí provoz web a e-maily a MSN i Skype pro skupiny "Vedení? a ?Obchod ".

kurzy/objektove

4. Pravidlo "projít Výroba ". Propustí provoz e-mail pro skupinu "Výroba ".

 

5. Pravidlo "projít Servery". Propustí provoz web a e-maily pro skupinu "Servery ".

kurzy/objektove

Jako vidíte s použitím nové metody filtrování tzv. ?Objektově orientované? potřebujete jenom 5 pravidel filtrování.

 

A v případě, že časem přibydou noví pracovníci nebo dokonce nové oddělení (jak je to zobrazené na následujícím obrázku), není potřebné měnit nebo doplňovat pravidla filtrování. Postačuje doplnit nový objekt do příslušné skupiny IP objektů.

kurzy/objektove

Na obchodní oddělení nastoupí nový člověk a dostane nový počítač, kterému bude přidělená IP adres: 192.168.1.100

Postačuje, když vytvoříme nový IP objekt a začleníme jej do skupiny ?Obchod?. Nic jiné už není třeba měnit a původně vytvořená pravidla filtrování jsou v plném rozsahu funkční včetně nového pracovníka.