(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2927/ 2952/ 2962/ 3220 / 3910 sử dụng hệ HĐH DrayOS
Khi mở port Server cho phép các chi nhánh, hoặc bên ngoài truy cập, đồng nghĩa với việc chấp nhận nguy cơ kém bảo mật, thất thoát thông tin, bị tấn công,… Tuy nhiên người quản trị vẫn có thể hạn chế một phần bằng các cách sau:
- Sử dụng tính năng Port Redirection để đổi port
- Chỉ cho phép một vài IP bên ngoài internet truy cập dịch vụ NAT (áp dụng khi các chi nhánh có IP tĩnh)
- Chỉ cho phép các IP Việt Nam truy cập dịch vụ NAT
Thực hiện
Tính năng port Redirection cho phép NAT chuyển đổi từ Public port về Private port. Từ đó chúng ta có thể sử dụng tính năng này để đánh lừa, và che giấu port thực tế cần NAT, tăng khả độ bảo mật hệ thống
Vào NAT >> Port Redirection, chọn 1 index
- Chọn Enable
- Mode: Chọn Single
- Service Name: Đặt tên dịch vụ
- Protocol: Chọn TCP
- WAN Interface: Chọn WAN cần NAT (Mặc định chọn ALL)
- WAN IP: Chọn IP Public
- Public Port: Port bên ngoài truy cập (port bên ngoài truy cập)
- Source IP: Những IP có thể truy cập server từ bên ngoài (mặc định là Any)
- Private IP: IP Server
- Private Port: Port cần NAT (port Server đang sử dụng)
Bước 1: Tạo IP Object cho đối tượng các IP, nhóm IP
Vào Objects Setting >> IP Object, chọn Index 1
- Name :Đặt tên Đối tượng
- Interface :Chọn Any
- Address Type :Single Address Một IP
- Start IP Address :Điền IP tĩnh của chi nhánh (ví dụ 11.11.11.11)
- Nhấn OK
Thực hiện tương tự cho các đối tượng còn lại
Bước 2: Add các đối tượng đã tạo vào IP group, chọn Index 1
Vào Objects Setting >> IP Group
- Name :Đặt tên group
- Interface :Chọn Any
- Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
- Nhấn OK
Bước 2. Cấu hình NAT
Trong Profile NAT, các các mục Port Redirection/ Open Port, phần Source IP chọn IP Group và chọn IP group đã cấu hình ở trênTham khảo hướng dẫn cấu hình NAT tại : https://www.anphat.vn/internet-iptv-wan-lan-nat-port-co-ban/cau-hinh-nat-port-cho-camera-web-server-va-cac-dich-vu-khac
Bước 1. Tạo các đối tượng IP Object cho Server
Vào Objects Setting >> IP Object, chọn Index 1
- Name :Đặt tên Đối tượng
- Interface :Chọn Any
- Address Type :Chọn loại đối tượng Single Address
- Start IP Addess : điền IP Server (ví dụ 192.168.1.10)
- Nhấn OK
Thực hiện tương tự cho các server khác
Bước 2. Tạo nhóm đối tượng IP group cho các Server
Vào Objects Setting >> IP Group, chọn index 1
- Name :Đặt tên group
- Interface :Chọn Any
- Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
- Nhấn OK
Bước 3: Tạo Country Object Việt Nam
Vào Objects Setting >> Country Object, chọn index 1
- Name: Đặt tên (Ví dụ VN)
- Available Country: kéo thanh trượt xuống và chọn country VietNam
- Nhấn vào biểu tượng “>>”, chuyển country “VietNam” qua bảng Selected Country (có thể chọn tối đa 16 country)
- Nhấn OK
Bước 4. Tạo rule
Cần tạo 2 Rule:
- Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server
- Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server
Thực hiện
Rule 1. cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server
Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2
- Check “ Enable ”
- Comments :Đặt tên rule
- Direction : Chọn WAN →LAN/DMZ/RT/VPN WAN
- Source IP/Country :Nhấn Edit
- Address Type: chọn Country Object
- Country Object: chọn object VN đã tạo
- Nhấn OK
- Destination IP / Country :Nhấn Edit
- Address Type: chọn Group and Ojects
- IP Group: chọn IP_group của các Server đã tạo
- Nhấn OK
- Filter : Chọn Pass Immediately
- Nhấn OK
Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server
Vào Firewall>>IP Filter>> Default Data Filter, chọn rule 3
- Check “Enable”
- Comments :Đặt tên rule
- Direction : Chọn WAN →LAN/DMZ/RT/VPN WAN
- Source IP/Country :Chọn Any
- Destination IP / Country :Nhấn Edit
- Address Type: chọn Group and Ojects
- IP Group: chọn IP_group của các Server đã tạo
- Nhấn OK
- Filter : Block Immediately
- Nhấn OK
Sau khi tạo xong ta có 2 rule như sau:
