IP Object/IP Group:Với tính năng IP Object/IP Group, chúng ta có thể định nghĩa được những nhóm địa chỉ IP (địa chỉ của tất cả các host trong một bộ phận) thành tên và đưa những tên này vào 1 nhóm đặt trong Firewall filter. Điều này cho phép một Filter rule áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.
Service Type Object/Service Group:Chúng ta có thể định nghĩa các protocol/port và sử dụng nhóm port này bằng tên trong firewall filter. Điều này cho phép một Filter rule được áp dụng cho nhiều protocol/port nhằm làm giảm số lượng filter rule. 
Content Security Manager (CSM):Tính năng này giúp chúng ta có thể định nghĩa các chính sách riêng cho các ứng dụng như: IM (Instant Messenger)/P2P (Peer to Peer). Sau đó chúng ta có thể sử dụng CSM bằng tên trong firewall filter. Điều này cũng cho phép một rule được áp dụng nhiều địa chỉ IP nhằm làm giảm số lượng filter rule.
Chúng tôi sẽ làm một ví dụ để hướng dẫn chức năng này cụ thể hơn.
Ví dụ:Có 3 bộ phận chính trong một công ty bao gồm: bộ phận R&D, bộ phận Sales (Marketing), bộ phận FAE (Support). Địa chỉ được phân cấp theo sơ đồ dưới đây

Content Security Manager

  1. Có các rule sau:
  • Ban Giám Đốc và Người quản trị có đủ quyền truy cập Internet.
  • Bộ phận R&D chỉ có thể gửi và nhận mail.
  • Bộ phận Sales và FAE có thể truy cập website, gửi và nhận mail, sử dụng MSN và Skype, ngoài ra thì khóa hết.
  • Máy chủ Web và Mail chỉ cho phép truy cập theo port dịch vụ.
  1. Chúng ta có thể định nghĩa 8 đối tượng IP và 4 nhóm IP
    a/ Các đối tượng IP:
  2. Bộ phận R&D: 192.168.1.11 ~ 192.168.1.492. Bộ phận Sales: 192.168.1.51 ~ 192.168.1.793. Bộ phận FAE: 192.168.1.81 ~ 192.168.1.994. Servers: 192.168.1.3 ~ 192.168.1.95. R&D leader: 192.168.1.106. Sales leader: 192.168.1.507. FAE leader: 192.168.1.808. Administrator: 192.168.1.2
    b/ Các nhóm IP:
  3. Nhóm Admin: 4 đối tượng IP (R&D leader, Sales leader, FAE leader và administrator)2. Nhóm Marketing và Support: 2 đối tượng IP (bộ phận Sales, bộ phận FAE)3. Nhóm R&D: 1 đối tượng IP (bộ phân R&D)4. Nhóm Server: 1 đối tượng IP (Servers)

III. Chúng ta có thể định nghĩa 8 đối tượng dịch vụ và 3 nhóm dịch vụ:
a/ Các đối tượng dịch vụ bao gồm:
Web http: Source Port: 1024~65535, Destination Port: 802. Web https: Source Port: 1024~65535, Destination Port: 4433. Receive Mail: Source Port: 1024~65535, Destination Port: 1104. Send Mail: Source Port: 1024~65535, Destination Port: 255. Mail Server cho gửi mail: Source Port: 110, Destination Port: 1024~655356. Mail Server cho nhận mail: Source Port: 25, Destination Port: 1024~655357. Web Server cho http: Source Port: 80, Destination Port: 1024~655358. Web Server cho https: Source Port: 443, Destination Port: 1024~65535
b/ Các nhóm dịch vụ bao gồm:
M&S permit: 4 đối tượng (1~4 )2. R&D permit: 2 đối tượng (3, 4)3. Server permit: 4 đối tượng (5~8)
c/ Chúng ta có thể định nghĩa 2 CSM profies như sau:
R&D và Servers: disable all (khóa toàn bộ dịch vụ trong profile đó)2. M&S: enable MSN và Skype (cho phép chạy dịch vụ MSN, SKYPE)
Với những phân tích và định nghĩa trên, chúng ta có thể cấu hình router theo các bước sau:

1/Cấu hình đối tượng IP:
Click chọn Objects and Groups >> IP Object và tạo đối tượng 8 IP.

 2 CSM profies

  1. Cấu hình đối tượng R&D dept như hình sau. Cấu hình cho Sales dept, FAE dept và Servers tương tự.

R&D dept

  1. Cấu hình đối tượng R&D leader như hình sau. Cấu hình cho Sales leader, FAE leader và Administrator tương tự.

R&D leader

  1. Cấu hình nhóm IP
    Click chọn Objects Setting >> IP Group và tạo 4 nhóm IP.

R&D leader

  1. Click vào Index 1, vào Admin Grouptrong vùng Name
    Chọn Interface là LAN cho tất cả các giá trị đối tượng IP. Chọn đối tượng IP thích hợp rule và add vào Selected IP Objects.

Chọn Interface là LAN

Nhấn nút OK để hoàn thành cấu hình.

Chọn Interface là LAN

  1. Cấu hình tương tự cho 3 nhóm đối tượng còn lại:
    Nhóm Marketing và Support : 2 đối tượng IP (Sales dept, FAE dept) Nhóm R&D: 1 đối tượng IP (R&D dept) Nhóm Server: 1 đối tượng IP (Servers)
    3. Cấu hình đối tượng dịch vụ:Click chọn Objects Setting >> Service Type Object và tạo 6 đối tượng.

R&D dept

Cấu hình Web http

Cấu hình Web

Cấu hình tương tự cho 7 đối tượng còn lại.4. Cấu hình nhóm dịch vụ:Click chọn Objects Setting >> Service Type Group và tạo 3 nhóm.

M&S permittrong

  1. Click chọn Index 1, vào M&S permittrong vùng Name.
    Vào bảng Available Service Type Objects chọn các đối tượng thích hợp cho các rule và add chúng vào Selected Service Type Objects.

<M&S permittrong

  1. Cấu hình tương tự cho 2 nhóm dịch vụ còn lại:R&D permit: 2 đối tượng (3 and 4)Server permit: 4 đối tượng (5, 6, 7 and 8)
  2. Cấu hình Content Security Management Profile:VàoObjects Setting >> CSM Profile và tạo 2 profiles.

Content Security Management Profile

  1. Profile cho M&S không cho phép tất cả các ứng dụng loại trừ MSN and Skype.

MSN and Skype

  1. Proflile cho R&D and Servers không cho phép tất cả các ứng dụng.

R&D and Servers

  1. Cấu hình IP Filter Rules Click chọn Firewall >> Filter Setup >> Edit Filter Set và cấu hình 5 rule.

  1. Ruleblock all. Khóa tất cả các lưu thông mặc định.

  1. Rule "pass Admin". Nhóm "Admin Group" được phép cho qua tất cả.

  1. Rule "pass M&S". Nhóm "Marketing & Sales Group" chỉ được phép cho qua bằng web & Mail và MSN & Skype..

  1. Rule "pass R&D". Pass mail traffic for the "R&D Group".

  1. Rule "pass Servers". Nhóm "Server Group" chỉ đựơc phép qua bằng Web & Mail.

Với chức năng đối tượng/nhóm bạn chỉ cần cấu hình 5 rule. Bên cạnh đó, khi có thêm 1 một nhóm mới thậm chí bạn không cần phải tạo thêm rule

Trường hợp có thêm một người mới vào bộ phận Sales và có địa chỉ IP là 192.168.1.100. Tất cả những gì bạn cần làm là tạo thêm một đối tượng IP và add đối tượng đó vào nhóm IP “Marketing & Support”.

  • Hãy liên lạc với chúng tôi để được hỗ trợ:
    Văn phòng TPHCM (028) 3925 3789

    Chi nhánh miền Bắc (024) 3781 5089
    Chi nhánh miền Trung (0236) 367 9515
    Hotline Hỗ trợ Kỹ thuật: 1900.633.641