Your Cart
Empty Cart

DrayOS 5 - Phương án bảo mật khi mở port cho server (NAT Port)

Chuyên mục: Tường lửa - quản lý người dùng - Firewall - Vlan Tag
40 lượt xem

Khi mở port Server cho phép các chi nhánh, hoặc bên ngoài truy cập, đồng nghĩa với việc chấp nhận nguy cơ kém bảo mật, thất thoát thông tin, bị tấn công,… Tuy nhiên người quản trị vẫn có thể hạn chế một phần bằng các cách sau:

  1. Sử dụng tính năng Port Redirection để đổi port
  2. Chỉ cho phép một vài IP bên ngoài internet truy cập dịch vụ NAT (áp dụng khi các chi nhánh có IP tĩnh) 
  3. Chỉ cho phép các IP Việt Nam truy cập dịch vụ NAT

Thực hiện:

Cách 1: Sử dụng tính năng Port Redirection để ẩn port cần NAT

Tính năng port Redirection cho phép NAT chuyển đổi từ Public port về Private port. Từ đó chúng ta có thể sử dụng tính năng này để đánh lừa, và che giấu port thực tế cần NAT, tăng khả độ bảo mật hệ thống

Tại công cụ ”Search”, tìm kiếm từ khóa “Port Forwarding” và nhấn chọn cấu hình với đường dẫn Configuration  NAT  Port Forwarding

  • Bấm Add để tạo Port Forwarding

  • Name: đặt tên (Ví dụ: Server_1)
  •  Chọn Enabled
  •  WAN Interface: Chọn WAN cần NAT (Ví dụ: chọn WAN 2)
  •  WAN IP: Nhấp vào để chọn WAN IP
  •  Source IP: Những IP có thể truy cập server từ bên ngoài (mặc định là Any)
  •  Private IP: chọn Single
  •  IP: điền IP Server (Ví dụ: 192.168.2.10)
  •  Nhấn Add
  •  Protocol: chọn TCP
  •  Public Port: Port bên ngoài truy cập ( có thể giống hoặc khác port cần NAT, Ví dụ: NAT port 8088)
  •  Private Port: Port server đang sử dụng ( Ví dụ : port 80)
  •  Nhấn Apply

Cách 2: Chỉ cho phép một vài IP bên ngoài internet truy cập (áp dụng khi các chi nhánh có IP tĩnh)

Bước 1: Tạo IP Object cho đối tượng các IP

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Object” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Object

  • Bấm Add để tạo IP Object

  • Object Name: Đặt tên đối tượng (Ví dụ: IP1)
  • IP version: chọn IPv4
  • Address Type: Chọn loại đối tượng
  • IPv4 Settings : điền IP tĩnh của chi nhánh (Ví dụ : 11.11.11.11)
    • Start IP Address/ End IP Address: điền IP đầu và IP cuối dãy (trường hợp đối tượng là một IP thì điền giống nhau)
  • Nhấn Apply


Thực hiện tương tự cho các đối tượng còn lại

Bước 2: Add các đối tượng đã tạo vào IP group

Tại công cụ ”Search”, tìm kiếm từ khóa “IP group” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → IP Group  để nhóm các đối tượng đã tạo vào chung nhóm

  • Bấm Add để tạo IP Group

  • Group Name: Đặt tên group
  • Nhấn Add thêm IP object đã tạo vào group
  • Chọn các đối tượng cần thêm vào group
  • Nhấn Apply

Bước 3: Cấu hình NAT
Trong Profile NAT, các mục Port Redirection/ Open Port, phần Source IP chọn IP Group và chọn IP group đã cấu hình ở trên
Tham khảo hướng dẫn cấu hình NAT tại :
https://www.anphat.vn/drayos-5-vigor2136-1100/drayos-5-huong-dan-nat-port-camera-dau-ghi-server

Cách 3: Chỉ cho phép các IP Việt Nam truy cập dịch vụ NAT

Bước 1: Tạo các đối tượng IP Object cho Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Object” và nhấn chọn cấu hình với đường dẫn Configuration  Objects  IP Object

  • Bấm Add để tạo IP Object

  • Object Name: Đặt tên đối tượng (Ví dụ: Server_1)
  • IP version: chọn IPv4
  • Address Type: Chọn loại đối tượng
  • IPv4 Settings : điền IP Server ( Ví dụ 192.168.2.10)
    • Start IP Address/ End IP Address: điền IP đầu và IP cuối dãy (trường hợp đối tượng là một IP thì điền giống nhau)
  • Nhấn Apply


Thực hiện tương tự cho các server khác 

Bước 2: Tạo nhóm đối tượng IP group cho các Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP group” và nhấn chọn cấu hình với đường dẫn Configuration → Objects  IP Group  để nhóm các đối tượng đã tạo vào chung nhóm

  • Bấm Add để tạo IP Group

  • Group Name: Đặt tên group
  • Nhấn Add thêm IP object đã tạo vào group
  • Chọn các đối tượng cần thêm vào group
  • Nhấn Apply

 

Bước 3: Tạo Country Object Việt Nam

Tại công cụ ”Search”, tìm kiếm từ khóa “Country Object” và nhấn chọn cấu hình với đường dẫn Configuration → Objects → Country Object để tạo đối tượng

  • Bấm Add để tạo Country Object

  • Object Name: Đặt tên ( Ví dụ: VN)
  • Selected Countries: Bấm Add
    • Trong ô Search nhập VN
    • Danh sách sẽ hiện các thông tin VN-Vietnam-Asia
    • Tick chọn ô để  chọn  ( Có thể chọn tối đa 12 Country)
  • Nhấn Apply

Bước 4: Tạo rule

Cần tạo 2 Rule:

Rule 1: cho phép các truy cập ở Viêt Nam từ ngoài Internet truy cập vào Server

Rule 2: cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Thực hiện

Rule 1. cho phép các truy cập ở Việt Nam từ ngoài Internet truy cập vào Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Filters” và nhấn chọn cấu hình với đường dẫn Security → Firewall Filters → IP Filters để tạo đối tượng

  • Bấm Add để tạo IP Filters

  • Name: Đặt tên cho rule ( Ví dụ: Pass_VN)
  • Chọn Enable
  • Direction: chọn WAN to LAN
  • Source: chọn Country Object
  • Source Country Object: Chọn object VN đã tạo
  • Destination: chọn IP Group
  • Destination IP Group: Bấm Add và chọn IP Group của các Server đã tạo
  • Action: chọn Pass
  • Bấm Apply

Rule 2: Cấm các truy cập từ quốc gia khác ngoài internet truy cập vào Server

Tại công cụ ”Search”, tìm kiếm từ khóa “IP Filters” và nhấn chọn cấu hình với đường dẫn Security → Firewall Filters → IP Filters để tạo đối tượng

  • Bấm Add để tạo IP Filters

  • Name: Đặt tên cho rule ( Ví dụ: Block_any)
  • Chọn Enable
  • Direction: chọn WAN to LAN
  • Source: chọn Any
  • Destination: chọn IP Group
  • Destination IP Group: Bấm Add và chọn IP Group của các Server đã tạo
  • Action: chọn Block
  • Bấm Apply


Sau khi tạo xong ta có 2 rule như sau: