Your Cart
Empty Cart

DrayOS 4 – Giới hạn quốc gia truy cập router từ xa

Chuyên mục: Tường lửa - quản lý người dùng - Firewall - Vlan Tag
50 lượt xem

DrayOS - Bảo vệ server trước các tấn công từ quốc gia nguy cơ cao

(Áp dụng cho các model: Vigor 2925 / 2926 / 2952 / 3220 / 2962 / 1000B / 3910)

Vì một số nhu cầu đặc biệt, bạn có nhu cầu cho phép nhân viên, người bên ngoài truy cập Web Router, File Router,…trong hệ thống để hoạt động, làm việc. Tuy nhiên việc public (NAT) các Router ra ngoài cũng mang lại nhiều vấn đề bảo mật như việc bị tấn công từ bên ngoài.

Để hạn chế vấn đề này, chúng ta có thể quy định cho phép/ cấm  các thiết bị từ quốc gia (theo country code) truy cập vào Router

Sau đây là 2 trường hợp thường gặp nhất.

Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Router

Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

Thực hiện

A. Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Router

1.  Tạo đối tượng Country code Việt Nam

Vào Objects Setting >> Country Object, chọn index 1

  • Name: Đặt tên (Ví dụ VN)
  • Available Country: kéo thanh trượt xuống và chọn country VietNam
  • Nhấn vào biểu tượng “>>”, chuyển country “VietNam” qua bảng Selected Country (có thể chọn tối đa 16 country)
  • Nhấn OK

2. Tạo rule

Cần tạo 2 Rule:

  • Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Router
  • Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Router

Thực hiện

Rule 1. cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Router

Vào Firewall>>IP Filter>> Default Data Fileter,

  • Nhấn index 2 để tạo rule

  • Check “ Enable ”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →Localhost
  • Source IP/Country   :Nhấn Edit
    • Address Type: chọn Country Object
    • Country Object: chọn object VN đã tạo
    • Nhấn OK
  • Filter: chọn Pass Immediately
  • Nhấn OK

Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Router

Vào Firewall>>IP Filter>> Default Data Filter, chọn rule 3

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Chọn Any
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Router đã tạo
    • Nhấn OK
  • Filter    : Block Immediately
  • Nhấn OK

Sau khi tạo xong ta có 2 rule như sau:

B. Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

1. Tạo đối tượng các nước có nguy cơ cao như Nga (Russia), Trung Quốc (China)

Vào Objects Setting >> Country Object, chọn index 1

  • Name: Đặt tên (Ví dụ Nga_TQ)
  • Available Country: kéo thanh trượt xuống và chọn country VietNam
  • Nhấn vào biểu tượng “>>”, chuyển country “Russia, China” qua bảng Selected Country (có thể chọn tối đa 16 country)
  • Nhấn OK

4. Tạo Rule

Chỉ cần tạo 1 rule cấm các truy cập ngoài internet từ các nước Nga, Trung Quốc vào Router

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “ Enable ”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Nhấn Edit
    • Address Type: chọn Country Object
    • Country Object: chọn object Nga_TQ đã tạo
    • Nhấn OK
  • Filter    : Chọn Block Immediately
  • Nhấn OK