如何設定 Vigor Router 的物件導向式防火牆 (Object-Oriented Firewall)

IP 物件/ IP 群組 ：

在物件以及群組的設定中，簡化了原本需要在 IP Filter /Firewall 中多條 Rule 才能達到的目標，並且彈性的設計可以在物件/群組中改變設定即可，不需要刪除、重建原本在 IP Filter 的規則 。

服務類型物件/服務類型群組 ：

在服務類型中，一樣是導入物件導向式的做法，可以在服務類型群組中 加入多個服務類型物件( 針對 port / protocol )，如此一來，可以在一條規則中引用此物件便可達到以往需要多條規則設定才能達到的效果。

數位內容安全管理(CSM) ：

在封鎖 IM 以及 P2P 的需求下，我們可以利用 CSM 的功能來取代以往需要在 Firewall 手動封鎖 port 且繁雜的步驟；如此一來更簡化管理者的設定過程。


範例 ：限制員工 (192.168.1.10~20,25~35) 只能收發信件、上網，不能使用 P2P/IM，而管理部門 (192.168. 1. 40~50)則不加以限制

 

前提： [使用 Bind IP to MAC 控管用戶端，以免產生控管上的漏洞]

首先需要定義三個 IP 物件和一個 IP 群組，以及四個服務類型物件和一個服務類型群組。

 

IP物件	IP群組	服務類型物件	服務類型群組
1. 員工(1) 192.168.1.10~.20 2. 員工(2) 192.168.1.25~.35 3. 主管 192.168.1.40~.50	1. 員工群組 包含員工(1)和員工(2)	1. HTTP (port 80) 2. 3.MAIL (port25/110) 4. DNS (port53)	1. 包含 HTTP、MAIL、DNS等四個物件

1. 物件與群組 -> IP物件，新增索引1和索引2，分別針對不同的網段。

 

2. 設定完後，將這兩個物件加入IP群組中。

 

3. 設定服務類型物件及群組。
   3.1 HTTP服務：

 

   3.2 信件服務：

 

   3.3 DNS：

 

   3.4 接著將 以上的服務物件加入群組中：

 

4. 接著設定數位內容安全管理 (以下簡稱 CSM ) ，目的在阻擋 MSN 和 P2P。
   4.1 將 P2P 以及 IM 的選項全部選取，阻擋這些類型的封包：

 

5. 接著 在防火牆之內 設定相關的規則。
防火牆 ->過濾器設定 ->組別2 Default Data Filter -> 規則2 開始設定。

   5.1 首先封鎖全部的連線，依需求而開放。
 

   5.2 設定規則3 ，針對員工開放所需的服務。
      5.2.1 設定來源網段 ，在此引用之前設定的群組 pass web (包括兩個網段)。

 

      5.2.2 設定放行的服務。

 

      5.2.3 過濾器的動作設定為 立刻通過。

 

      5.2.4 接著在 CSM 選取-阻擋P2P和IM的規則-employee即可，至此完成員工的設定。 ( 註 )

 

6. 允許 管理部門上網，且不做限制。
   6.1 如圖所示，先選擇設定好的IP範圍(IP物件3：192.168.1.40~50)。

 

   6.2 其餘按照預設值即可，過濾器的動作設定為 立刻通過，不做任何限制。

 

註：需要注意的是，當步驟 4.1 設定 IM/P2P 時，不會立即阻擋此類型的封包，需要在防火牆規則中引用 設定檔，才會阻擋； 而當 動作設定為立刻封鎖以及若無符合其餘規則即封鎖時 ，CSM 是無法選擇的。這是由於 CSM 屬於 OSI Layer7 的內容檢測，當檢查到 Layer4(TCP/UDP) 已阻擋之後，封包會直接丟棄，因此也沒有往上檢查 Layer 7 內容的必要。
 

---