Your Cart
Empty Cart

DrayOS - Bảo vệ server trước các tấn công từ quốc gia nguy cơ cao

Chuyên mục: Tường lửa - quản lý người dùng - Firewall - Vlan Tag
4266 lượt xem

(Áp dụng cho các model: Vigor 2925 / 2926 / 2952 / 3220 / 2962 / 1000B / 3910)

Vì một số nhu cầu đặc biệt, bạn có nhu cầu cho phép nhân viên, người bên ngoài truy cập Web Server, File Server,…trong hệ thống để hoạt động, làm việc. Tuy nhiên việc public (NAT) các Server ra ngoài cũng mang lại nhiều vấn đề bảo mật như việc bị tấn công từ bên ngoài.

Để hạn chế vấn đề này, chúng ta có thể quy định cho phép/ cấm  các thiết bị từ quốc gia (theo country code) truy cập vào Server

Sau đây là 2 trường hợp thường gặp nhất.

Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Server

Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

Thực hiện

A. Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Server

1. Tạo các đối tượng IP Object cho Server

Vào Objects Setting >> IP Object, chọn Index 1

  • Name    :Đặt tên Đối tượng
  • Interface    :Chọn Any
  • Address Type     :Chọn loại đối tượng Single Address   
    • Start IP Addess : điền IP Server (ví dụ 192.168.1.10)
  • Nhấn OK

Thực hiện tương tự cho các server khác

2. Tạo nhóm đối tượng IP group cho các Server

Vào Objects Setting >> IP Group, chọn index 1

  • Name    :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

3. Tạo đối tượng Country code Việt Nam

Vào Objects Setting >> Country Object, chọn index 1

  • Name: Đặt tên (Ví dụ VN)
  • Available Country: kéo thanh trượt xuống và chọn country VietNam
  • Nhấn vào biểu tượng “>>”, chuyển country “VietNam” qua bảng Selected Country (có thể chọn tối đa 16 country)
  • Nhấn OK

4. Tạo rule

Cần tạo 2 Rule:

  • Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server
  • Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Thực hiện

Rule 1. cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “ Enable ”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Nhấn Edit
    • Address Type: chọn Country Object
    • Country Object: chọn object VN đã tạo
    • Nhấn OK
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Server đã tạo
    • Nhấn OK
  • Filter    : Chọn Pass Immediately
  • Nhấn OK

Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Vào Firewall>>IP Filter>> Default Data Filter, chọn rule 3

  • Check “Enable”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Chọn Any
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Server đã tạo
    • Nhấn OK
  • Filter    : Block Immediately
  • Nhấn OK

Sau khi tạo xong ta có 2 rule như sau:

B. Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

1. Tạo các đối tượng IP Object cho Server

Vào Objects Setting >> IP Object, chọn Index 1

  • Name    :Đặt tên Đối tượng
  • Interface    :Chọn Any
  • Address Type     :Chọn loại đối tượng Single Address   
    • Start IP Addess : điền IP Server (ví dụ 192.168.1.10)
  • Nhấn OK

Thực hiện tương tự cho các server khác

  1. Tạo nhóm đối dượng IP group cho các Server

Vào Objects Setting >> IP Group, chọn index 1

  • Name    :Đặt tên group
  • Interface    :Chọn Any
  • Chuyển các IP Object từ bảng “Available IP Objects” sang “Selected IP Objects”
  • Nhấn OK

3. Tạo đối tượng các nước có nguy cơ cao như Nga (Russia), Trung Quốc (China)

Vào Objects Setting >> Country Object, chọn index 1

  • Name: Đặt tên (Ví dụ Nga_TQ)
  • Available Country: kéo thanh trượt xuống và chọn country VietNam
  • Nhấn vào biểu tượng “>>”, chuyển country “Russia, China” qua bảng Selected Country (có thể chọn tối đa 16 country)
  • Nhấn OK

4. Tạo Rule

Chỉ cần tạo 1 rule cấm các truy cập ngoài internet từ các nước Nga, Trung Quốc vào Server

Vào Firewall>>IP Filter>> Default Data Fileter, chọn rule 2

  • Check “ Enable ”
  • Comments    :Đặt tên rule
  • Direction    : Chọn WAN →LAN/DMZ/RT/VPN WAN
  • Source IP/Country   :Nhấn Edit
    • Address Type: chọn Country Object
    • Country Object: chọn object Nga_TQ đã tạo
    • Nhấn OK
  • Destination IP / Country :Nhấn Edit
    • Address Type: chọn Group and Ojects
    • IP Group: chọn IP_group của các Server đã tạo
    • Nhấn OK
  • Filter    : Chọn Block Immediately
  • Nhấn OK