Filtrowanie ruchu LAN-WAN

Główne założenia przykładu:
– urządzenie o adresie IP 192.168.1.10 ma dostęp tylko do usług DNS(TCP/UDP 53), HTTP(TCP 80), HTTPS(TCP 443) z sieci LAN przez dowolny WAN – pozostałe usługi są blokowane
– pozostałe urządzenia nie mają ograniczeń

Obiekty

Przejdź do zakładki Object Setting >> IP Object.
Kliknij dowolny indeks np. 1, aby utworzyć profil urządzenia, które będzie filtrowane.
Wpisz dowolną nazwę profilu.
Jako typ adresu wybierz Single Address, aby profil dotyczył pojedynczego IP.
W polu Start IP Address wpisz adres IP urządzenia.
Przejdź do zakładki Object Setting >> Service Type Object.
Utwórz obiekty typów usług, które chcesz filtrować.
Definicja obiektu usługi DNS.
Definicja obiektu usługi HTTP.Definicja obiektu usługi HTTPS.

Reguły Firewall

Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że filtr danych Data Filter jest włączony i rozpocznie on pracę od zestawu startowego 1 (Set#1).
W starszych routerach / w starszych wersjach firmware domyślnym zestawem startowym filtru danych jest zestaw 2 (Set#2).
W ustawieniach domyślnej reguły wybierz Pass, aby przepuszczać ruch z urządzeń, które nie zostały zdefiniowane w zestawie 1.
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 1, aby przejść do ustawień domyślnego zestawu filtru danych.
W starszych routerach / w starszych wersjach firmware domyślny filtr danych jest w zestawie 2.
Kliknij indeks 2 oraz 3, aby utworzyć reguły dla urządzenia, które będzie filtrowane.
Zestaw 1 Reguła 2
– Zaznacz Enable.
– Wpisz dowolną nazwę reguły.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->WAN, aby reguła dotyczyła ruchu do Internetu.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP urządzenia.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
– W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać obiekty usług.
Jeśli chcesz dodać więcej usług to przejdź do zakładki Object Setting >> Service Type Group i stwórz grupę usług.
– Wybierz akcję Pass Immediately, aby Vigor przepuszczał ruch dla wskazanych usług.
Jeśli chcesz dodatkowo filtrować dostęp do stron to stwórz i wybierz profil URL, WCF, DNS.
Zapoznaj się z przykładami jak stworzyć profile CSM:
Filtr URL – blokowanie stron na podstawie słów kluczowych
Filtr WCF – blokowanie stron na podstawie kategorii

Zestaw 1 Reguła 3
– Zaznacz Enable.
– Wpisz dowolną nazwę reguły.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->WAN, aby reguła dotyczyła ruchu do Internetu.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP urządzenia.
– W polu Service Type pozostaw Any, aby reguła dotyczyła wszystkich usług.
– Wybierz akcję Block Immediately, aby Vigor blokował pozostały ruch.