Your Cart
Empty Cart

DrayOS 5 - Bảo vệ server trước các tấn công từ quốc gia nguy cơ cao

Chuyên mục: Tường lửa - quản lý người dùng - Firewall - Vlan Tag
80 lượt xem

Vì một số nhu cầu đặc biệt, bạn có nhu cầu cho phép nhân viên, người bên ngoài truy cập Web Server, File Server,…trong hệ thống để hoạt động, làm việc. Tuy nhiên việc public (NAT) các Server ra ngoài cũng mang lại nhiều vấn đề bảo mật như việc bị tấn công từ bên ngoài.

Để hạn chế vấn đề này, chúng ta có thể quy định cho phép/ cấm  các thiết bị từ quốc gia (theo country code) truy cập vào Server

Sau đây là 2 trường hợp thường gặp nhất.

Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Server

Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

Thực hiện:

A. Trường hợp 1: Cấm hết, chỉ cho phép thiết bị ở Việt Nam kết nối đến Server

1. Tạo các đối tượng IP Object cho Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Object” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Object

  • Bấm Add để tạo IP Object

  • Object Name: Đặt tên đối tượng (Ví dụ: Server_1)
  • IP version: chọn IPv4
  • Address Type: Chọn loại đối tượng
  • IPv4 Settings : điền IP Server ( Ví dụ 192.168.2.10)
    • Start IP Address/ End IP Address: điền IP đầu và IP cuối dãy (trường hợp đối tượng là một IP thì điền giống nhau)
  • Nhấn Apply

Thực hiện tương tự cho các server khác

​​2. Tạo nhóm đối tượng IP group cho các Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP group” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Group  để nhóm các đối tượng đã tạo vào chung nhóm

  • Bấm add để tạo IP Group

  • Group Name: Đặt tên group
  • Nhấn Add thêm IP object đã tạo vào group
  • Chọn các đối tượng cần thêm vào group
  • Nhấn Apply

3. Tạo đối tượng Country code Việt Nam

Tại công cụ ”Search”, tìm kiếm từ khóa “Country Object” và nhấn chọn cấu hình với đường dẫn Configuration →   Objects → Country Object để tạo đối tượng​​​

  • Bấm Add để tạo Country Object

  • Object Name: Đặt tên ( Ví dụ: VN)
  • Selected Countries: Bấm Add
    • Trong ô Search nhập VN
    • Danh sách sẽ hiện các thông tin VN-Vietnam-Asia
    • Tick chọn ô để  chọn  ( Có thể chọn tối đa 12 Country)
  • Nhấn Apply

4. Tạo rule

Cần tạo 2 Rule:

  • Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server
  • Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Thực hiện

Rule 1. cho phép các truy cập ở Việt Nam từ ngoài Internet truy cập vào Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Filters” và nhấn chọn cấu hình với đường dẫn Security → Firewall Filters  IP Filters để tạo đối tượng

  • Bấm Add để tạo IP Filters

  • Name: Đặt tên cho rule ( Ví dụ: Pass_VN)
  • Chọn Enable
  • Direction: chọn WAN to LAN
  • Source: chọn Country Object
  • Source Country Object: Chọn object VN đã tạo
  • Destination: chọn IP Group
  • Destination IP Group: Bấm Add và chọn IP Group của các Server đã tạo
  • Action: chọn Pass
  • Bấm Apply

Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Filters” và nhấn chọn cấu hình với đường dẫn Security → Firewall Filters →  IP Filters để tạo đối tượng

  • Bấm Add để tạo IP Filters

  • Name: Đặt tên cho rule ( Ví dụ: Block_any)
  • Chọn Enable
  • Direction: chọn WAN to LAN
  • Source: chọn Any
  • Destination: chọn IP Group
  • Destination IP Group: Bấm Add và chọn IP Group của các Server đã tạo
  • Action: chọn Block
  • Bấm Apply

Sau khi tạo xong ta có 2 rule như sau:

B. Trường hợp 2: Chỉ cấm truy cập từ vài nước nguy cơ cao ví dụ như Nga, Trung Quốc

1. Tạo các đối tượng IP Object cho Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Object” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Object

  • Bấm Add để tạo IP Object

  • Object Name: Đặt tên đối tượng (Ví dụ: Server_1)
  • IP version: chọn IPv4
  • Address Type: Chọn loại đối tượng
  • IPv4 Settings : điền IP Server ( Ví dụ 192.168.2.10)
    • Start IP Address/ End IP Address: điền IP đầu và IP cuối dãy (trường hợp đối tượng là một IP thì điền giống nhau))
  • Nhấn Apply

​Thực hiện tương tự cho các server khác

2. Tạo nhóm đối tượng IP group cho các Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP group” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Group  để nhóm các đối tượng đã tạo vào chung nhóm

  • Bấm add để tạo IP Group

  • Group Name: Đặt tên group
  • Nhấn Add thêm IP object đã tạo vào group
  • Chọn các đối tượng cần thêm vào group
  • Nhấn Apply

3. Tạo đối tượng các nước có nguy cơ cao như Nga (Russia), Trung Quốc (China)

Tại công cụ ”Search”, tìm kiếm từ khóa “Country Object” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → Country Object để tạo đối tượng

  • Bấm add để tạo Country Object

  • Object Name: Đặt tên ( Ví dụ: RU-CN)
  • Selected Countries: Bấm Add
    • Trong ô Search nhập tên quốc gia cần chặn ( Ví dụ: China,Russia)
    • Danh sách sẽ hiện các thông tin CN-China-Asia
    • Tick chọn ô để  chọn ( Có thể chọn tối đa 12 Country)
  • Nhấn Apply

4. Tạo Rule

Chỉ cần tạo 1 rule cấm các truy cập ngoài internet từ các nước Nga, Trung Quốc vào Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Filters” và nhấn chọn cấu hình với đường dẫn Security → Firewall Filters → IP Filters để tạo đối tượng

  • Name: Đặt tên cho rule ( Ví dụ: Block_RU_CN)
  • Chọn Enable
  • Direction: chọn WAN to LAN
  • Source: chọn Country Object
  • Source Country Object: Chọn Object RU-CN đã tạo
  • Destination: chọn IP Group
  • Destination IP Group: Bấm Add và chọn IP Group của các Server đã tạo
  • Action: chọn Block
  • Bấm Apply