Filtrowanie ruchu LAN-WAN
Główne założenia przykładu:
– urzÄ…dzenie o adresie IP 192.168.1.10 ma dostÄ™p tylko do usÅ‚ug DNS(TCP/UDP 53), HTTP(TCP 80), HTTPS(TCP 443) z sieci LAN przez dowolny WAN – pozostaÅ‚e usÅ‚ugi sÄ… blokowane
– pozostaÅ‚e urzÄ…dzenia nie majÄ… ograniczeÅ„
Obiekty
Przejdź do zakładki Object Setting >> IP Object.
Kliknij dowolny indeks np. 1, aby utworzyć profil urządzenia, które będzie filtrowane.
Wpisz dowolnÄ… nazwÄ™ profilu.
Jako typ adresu wybierz Single Address, aby profil dotyczył pojedynczego IP.
W polu Start IP Address wpisz adres IP urzÄ…dzenia.
Przejdź do zakładki Object Setting >> Service Type Object.
Utwórz obiekty typów usług, które chcesz filtrować.
Definicja obiektu usługi DNS.
Definicja obiektu usługi HTTP.
Definicja obiektu usługi HTTPS.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że włączony jest filtr danych oraz zestaw 2 jest startowy, który zostanie wykorzystany do blokowania ruchu z urządzenia o adresie 192.168.1.10.
W nowszych wersjach firmware domyślnym zestawem startowym filtru danych jest Set#1.
W ustawieniach domyślnej reguły wybierz Pass, aby przepuszczać ruch z urządzeń, które nie zostały zdefiniowane w zestawie 2.
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 2, aby przejść do ustawień domyślnego zestawu filtru danych.
Kliknij indeks 2 oraz 3, aby utworzyć reguły dla urządzenia, które będzie filtrowane.
Zestaw 2 Reguła 2
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz LAN/DMZ/RT/VPN->WAN, aby reguła dotyczyła ruchu do Internetu.
W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP urządzenia.
W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać obiekty usług.
Wybierz akcję Pass Immediately, aby Vigor przepuszczał ruch dla wskazanych usług.
Jeśli chcesz dodatkowo filtrować dostęp do stron to stwórz i wybierz profil URL, WCF, DNS.
Zapoznaj się z przykładami jak stworzyć profile CSM:
Filtr URL – blokowanie stron na podstawie słów kluczowych
Filtr WCF – blokowanie stron na podstawie kategorii
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
Jeśli chcesz dodać więcej usług to przejdź do zakładki Object Setting >> Service Type Group i stwórz grupę usług.
Zestaw 2 Reguła 3
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz LAN/DMZ/RT/VPN->WAN, aby reguła dotyczyła ruchu do Internetu.
W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP urządzenia.
W polu Service Type pozostaw Any, aby reguła dotyczyła wszystkich usług.
Wybierz akcję Block Immediately, aby Vigor blokował pozostały ruch.