Hướng dẫn này nhằm giúp khách hàng có thể tiếp cận với tính năng này một cách thuận tiện hơn thông qua một số ví dụ thường gặp. Áp dụng với các dòng sản phẩm Vigor2960/300B/3900
1. Giới thiệu chung
IP Filter là một công cụ nằm trong bộ công cụ của Firewall trên thiết bị DrayTek, cho phép quản trị viên tạo các luật cấm/cho phép các máy tính truy cập internet nhằm đáp ứng các chính sách quản lý người dùng của doanh nghiệp.
Công cụ này có thể hoạt động dựa trên các yếu tố: địa chỉ IP nguồn, địa chỉ IP đích, tcp/udp port, user, và thời gian, MAC/Domain
2. Cách tạo rule
Trước hết để tạo rule, bạn cần tạo 1 group để chứa các rule liên quan đến nhau. Mặc định router chưa tạo sẳn 1 group nào. Bạn vào Firewall >> Filter Setup >> Chọn nút Add để thêm Group mới:

Một cửa sổ pop up lên cho phép bạn điền tên và ghi chú.

Việc tạo rule firewall theo Group sẽ giúp người quản trị dùng firewall một cách khoa học và dễ dàng hơn, đặc biệt là trong trường hợp hệ thống phức tạp, cần tạo nhiều rule. Nếu bạn chỉ cần tạo 1 vài rule đơn giản thì chỉ cần tạo 1 group là đủ. Sau khi đã tạo group, bạn có thể tiến hành tạo rule cho group bằng cách chọn Group đã tạo >> nhấn “Add”

Một rule Firewall được xác định dựa vào các thông số

Để dễ dàng trong việc tạo rule, các đối tượng có thể được tạo trước trong Objects Setting với các loại sau: IP Object, IP Group, IPv6 Object, MAC/ Vender Object, Country Object, Service Type Object, Service Type Group, Keyword / DNS Object, Time Object,…

3. Các ví dụ
Ví dụ 1: Chặn một số địa chỉ IP truy cập internet.
Bước 1: đối tượng/ group đối tượng cần muốn chặn
3.1 IP Object,
Tạo từng đối tượng riêng lẻ
Vào Objects Setting>> IP , nhấn Add tạo đối tượng

  • Profile: Đặt tên đối tượng
  • Address Type: Chọn loại đối tượng phù hợp
  • Single: Một IP bất kì
  • Range: Một dãy IP liên tiếp (qui định từ Start IP address >> End IP Address)
  • Subnet: Một lớp mạng con (qui định theo Start IP address/ subnet mask)
  • Start IP Address: IP cần chặn
  • Nhấn Apply

 

3.2 IP Group
Trong trường hợp có nhiều đối tượng IP/ range/ Subnet riêng lẻ, bạn có thể nhóm tât cả các đối tượng này vào IP Group để dễ dàng tạo rule
Vào Objects Setting>> IP Group, nhấn “Add”

  • Group name: Đặt tên Group
  • Objects: Chọn Object đã tạo
  • Nhấn “Apply”

Bước 2. Tạo Rule
Vào Firewall>> Filter Setup, tại Tab IP filter
Nhấn “Add” tạo Group (Nếu đã có sẵn Group, bỏ qua bước này)
Chọn Group, nhấn “Add” tạo Rule

  • Profile: đặt tên cho Rule
  • Chọn Enable
  • Action: Block
  • Source IP>> Source IP Group:Chọn Group đối tượng cần chặn  đã tạo
  • Nhấn Apply

Bạn sẽ được 1 rule như hình dưới.

Ví dụ 2: Cấm một số máy tính không được truy cập ra ngoài theo dịch vụ https cổng 443.
Giả sử cấm các địa chỉ ip 192.168.1.100 đến 192.168.1.150 không được truy cập https cổng 443. Ta làm như sau:
Bước 1. Tạo nhóm đối tượng
Vào Objects Setting>> IP Object , nhấn Add tạo đối tượng
Profile: Đặt tên đối tượng
Address Type: Chọn loại đối tượng phù hợp

  • Single: Một IP bất kì
  • Range: Một dãy IP liên tiếp (qui định từ Start IP address >> End IP Address)
  • Subnet: Một lớp mạng con (qui định theo Start IP address/ subnet mask)
  • Start IP Address: IP cần chặn
  • Nhấn Apply

Bước 2: tạo rule

Vào Firewall>> Filter Setup, tại Tab IP filter

  1. Nhấn “Add” tạo Group (Nếu đã có sẵn Group, bỏ qua bước này)
  2. Chọn Group, nhấn “Add” tạo Rule
  • Profile: đặt tên cho Rule
  • Chọn Enable
  • Action: Block
  • Service Protocol >> Service Type Object:Chọn giao thức HTTPS  port 443
  • Source IP >> Source IP Group:Chọn Group đối tượng cần chặn  đã tạo
  • Nhấn Apply

 

 

 

Lưu ý: Trên thiết bị đã có một số dịch vụ tạo sẵn như: HTTP, HTTPS, FTP, DNS,TELNET, SSH,…Bạn có thể sử dụng các dịch vụ này. Nếu cần chặn dịch vụ đặc biệt, bạn có thể tạo trong trong Objects Setting >> Service Type Object và nhóm lại trong Service Type Group
Ví dụ 3: Cấm nhân viên truy cập internet trong thời gian làm việc, chỉ cho phép giám đốc và những đối tượng quy định truy cập internet
Giả sử các IP được phép truy câp internet gồm
- dãy IP kỹ thuật:  192.168.1.150 đến 192.168.1.200
- IP  giám đốc : 192.168.1.100
Những địa chỉ IP nằm ngoài danh sách trên bị cấm truy cập internet trong khoản thời gian từ 8h00à 12h00, và 13h30 à17h30
*** Firewall DrayTek xét theo thứ tự từ trên xuống. Vì vậy bạn có thể tạo 2 rule:
Rule 1: Cho phép các ip trên truy cập internet
Rule 2: Cấm tất cả thiết bị còn lại truy cập internet trong thời gian làm việc,
Khi đó Firewall sẽ thực hiện việc cho phép trước, sau đó mới đến hành động cấm mà không cần phải
Thực hiện gồm các bước sau:
Bước 1: Tạo đối tượng IP trên

  • Tạo các đối tượng riêng lẻ
  • Vào Objects Setting>> IP Object, nhấn “Add”
  • Dãy IP từ 192.168.1.150- 192.168.1.200

 

 

  • IP Giám Đốc 192.168.1.100

  • Gom nhóm đối tượng
  • Vào Objects Setting>> IP Group, nhấn “Add”

 

Bước 2: Tạo thời gian
Tạo khoảng thời gian
Vào Objects Setting>> Time Object , nhấn “Add”
Buổi sáng

  • Profile: Đặt tên thời gian
  • Frequency: Chọn Once (một lần) hoặc Weekdays (nhiều ngày trong tuần)
  • Start Time: Thời gian bắt đầu áp dụng
  • End Time: Thời gian kết thúc áp dụng
  • Weekdays: Chọn các ngày trong tuần sẽ được áp dụng (ví dụ: từ thứ 2 đến thứ 6)
  • Nhấn “Apply”

Buổi chiều

Tạo group thời gian
Vào Objects Setting>> Time Object , nhấn “Add”

  • Group Name: Đặt tên Group
  • Objects: Chọn thời gian sáng, chiều đã tạo

Bước 3:Tạo rule
Rule1: Tạo rule cho phép các đối tượng truy cập internet
Vào Firewall>> Filter Setup, tại Tab IP filter
Nhấn “Add” tạo Group (Nếu đã có sẵn Group, bỏ qua bước này)
Chọn Group, nhấn “Add” tạo Rule

  • Profile: đặt tên cho Rule
  • Chọn Enable
  • Action: Chọn  Accept
  • Source IP >> Source IP Group:Chọn Group đối tượng cần chặn  đã tạo
  • Nhấn Apply

Rule2: Block tất cả các đối tượng còn lại
Vào Firewall>> Filter Setup, tại Tab IP filter
Nhấn “Add” tạo Group (Nếu đã có sẵn Group, bỏ qua bước này)
Chọn Group, nhấn “Add” tạo Rule

  • Profile: đặt tên cho Rule
  • Chọn Enable
  • Action: Chọn  Block
  • Time Schedule >> Time Group:Chọn group thời gian đã tạo
  • Nhấn Apply

Sau khi tạo xong, ta đã có 2 rule như sau;

Bước 4: Kiểm tra múi giờ
Để các rule có hoạt động chính xác, cần chỉnh lại múi giờ tương ứng với khu vực của bạn. ví dụ: Việt Nam chọn múi giờ “Hanoi” GMT +7
Vào System maintenance >>Time and Date, Time zone chọn “Hanoi”>> Nhấn Apply

Hãy liên lạc với chúng tôi để được hỗ trợ:

     Văn phòng TPHCM: (028) 3925 3789
     Chi nhánh miền Bắc: (024) 3781 5089
     Chi nhánh miền Trung: (0236) 367 9515

     Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641
     Fanpage Hỗ Trợ Kỹ Thuật: facebook.com/AnPhat
     Kênh youtube Hỗ Trợ Kỹ Thuật: AnPhatITOfficial