Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Wykorzystanie rozwiązań i funkcjonalności DrayTek Krzysztof Skowina Specjalista ds. rozwiązań sieciowych.

Podobne prezentacje


Prezentacja na temat: "Wykorzystanie rozwiązań i funkcjonalności DrayTek Krzysztof Skowina Specjalista ds. rozwiązań sieciowych."— Zapis prezentacji:

1 Wykorzystanie rozwiązań i funkcjonalności DrayTek Krzysztof Skowina Specjalista ds. rozwiązań sieciowych

2 Agenda MultiWAN MultiLAN Obiekty i grupy CSM Zarządzanie użytkownikami Firewall VPN Certyfikaty X.509 Zarządzenie pasmem

3 MultiWAN

4 3 interfejsy WAN WAN1: ADSL2+ / VDSL2 / Fast Ethernet WAN2: Gigabit Ethernet WAN3: USB 2.0 Interfejsy WAN (Vigor serii 2830, 2850, 2920)

5 MultiWAN Dostęp do Internetu ADSL2+: PPPoE/PPPoA, MPoA VDSL2: PPPoE, Statyczny lub dynamiczny IP WAN/Ethernet: PPPoE, Statyczny lub dynamiczny IP, PPTP/L2TP USB: 3G(PPP), 4G(DHCP) Detekcja połączenia WAN Aliasy IP – dodatkowe adresy IP

6 MultiWAN WAN Load balance / WAN Backup WAN Load balance: - kierowanie ruchu z sieci lokalnej do Internetu poprzez aktywne łącza WAN - maksymalna prędkość transmisji sesji uzależniona od użytego interfejsu WAN WAN Backup – łącze zapasowe na wypadek uszkodzenia jednego lub dwóch łączy WAN Zastosowanie: -WAN1 oraz WAN2: Load balance - WAN3: Backup

7 MultiWAN Polityka WAN Load balance Kierowanie ruchu z sieci lokalnej do Internetu poprzez wskazany interfejs WAN na podstawie: protokołu, źródłowego adresu IP, docelowego adresu IP, docelowego portu Zastosowanie: HTTPS (TCP 443) przez WAN1

8 MultiLAN

9 Interfejsy LAN (Vigor serii 2830, 2850, 2920) 4-portowy switch Podsieci lokalne o różnych adresacjach IP Podsieć LAN1 – na cele NAT Podsieć LAN2, LAN3, LAN4 – na cele NAT lub routing Podsieć routowana

10 MultiLAN VLAN (Vigor serii 2830, 2850, 2920) 8 VLANów, 4/8 interfejsów, 4 podsieci LAN Tagowanie 802.1Q Routing pomiędzy podsieciami Zastosowanie: - port P1 oraz SSID1: podsieć LAN1 - port P2 oraz SSID2: podsieć LAN2 - port P3 oraz SSID3: podsieć LAN3 - port P4 oraz SSID4: podsieć LAN4

11 Obiekty i grupy

12 Obiekty IP – pojedynczy adres, zakres adresów, podsieć Obiekty IPv6 – pojedynczy adres, zakres adresów, podsieć Obiekty usług – protokół, port źródłowy, port docelowy Obiekty wyrazów – maksymalnie 3 frazy w obiekcie Obiekty rozszerzeń plików – obrazy (np. jpeg), video (np. wmv), audio (np. mp3), java (np. java), ActiveX (np. axs), kompresje (np. zip), wykonywalne (np. exe)

13 CSM

14 Kontrola IM: - Zaawansowane zarządzanie obejmujące logowanie, wiadomość, transfer pliku, gra, konferencja (np. MSN) -Aplikacje IM (np. GaduGadu) - VoIP (np. SIP/RTP) - Web IM URL(np. WebMSN) Kontrola P2P: - Protokół (np. eDonkey, BitTorrent) - Aplikacje P2P (np. Ares) Kontrola protokołów (np. HTTP, POP3) Kontrola różnych aplikacji: - Tunelowanie (np. RealTunnel) - Strumieniowanie (np. SilverLight) - Zdalna kontrola (np. VNC, TeamViewer) - Web HD (np. MS SkyDrive) CSM Kontrola aplikacji

15 CSM Filtr zawartości URL Kontrola dostępu URL – przepuszczanie lub blokowanie stron www na podstawie słów kluczowych występujących w adresie URL Kontrola elementów Web – przepuszczanie lub blokowanie ciasteczek, proxy, uploadu, rozszerzeń plików Zastosowanie: Blokowanie stron z frazą seks

16 CSM Filtr treści Web Przepuszczanie lub blokowanie stron www na podstawie kategorii stron wspieranych przez Commtouch 64 kategorii stron: - ochrona dzieci (np. Porn & Sexually) - wypoczynek (np. Entertainment) - biznes (np. Job Search) - rozmowy (np. Chat) - komputery-Internet (np. Computers) - pozostałe (np. Arts) Biała/czarna lista - przepuszczanie lub blokowanie stron www na podstawie słów kluczowych

17 CSM Filtr treści Web Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

18 CSM Filtr DNS Analiza zapytań DNS z użyciem profilu filtra treści Web (WCF) Cache zawiera m.in. adres IP z kategorią strony Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

19 Zarządzanie użytkownikami

20 Tryb użytkownicy – indywidualna polityka firewall poprzez wybór reguły firewall w profilu użytkownika Tryb reguły – wspólna polityka firewall poprzez wybór użytkowników w regułach firewall Limitowanie czasu, danych – po przekroczeniu limitu brak dostępu do Internetu, możliwość przywrócenia domyślnych limitów według harmonogramu Uwierzytelnianie lokalne, LDAP/AD lub RADIUS na podstawie nazwy użytkownika i hasła wprowadzonych przez przeglądarkę, Telnet lub Alert Tool

21 Firewall

22 Filtr Filtr połączeń Filtr danych 85 reguł Firewall (12 zestawów po 7 reguł + domyślna reguła) Reguła filtru: - harmonogram - obiekty IP, obiekty usług - kierunek: LAN/RT/VPN -> WAN WAN -> LAN/RT/VPN LAN/RT/VPN -> LAN/RT/VPN - akcja: zablokuj natychmiast, zablokuj gdy nie pasuje dalej, przepuść natychmiast, przepuść gdy nie pasuje dalej - zastosowanie: kontrola sesji, QoS, polityka rozkładu obciążenia, zarządzenie użytkownikami, kontrola aplikacji, filtr zawartości URL, filtr treści Web

23 Firewall Ochrona DoS Wykrycie i blokowanie ataku po przekroczeniu progu: - SYN flood - UDP flood - ICMP flood - Skanowanie portów Wykrycie i blokowanie ataku: - Land (SYN + IP Spoofing) - Smurf (broadcast ICMP) - Trace Route (tracert) - Fragmenty SYN (flaga SYN + fragmenty) - Fraggle (broadcast UDP) - Skanowanie flag TCP (niewłaściwe flagi) - Tear Drop (nakładające się fragmenty) - Ping of Death (duży rozmiar ICMP) - Fragmenty ICMP - Nieznany protokół

24 VPN

25 Protokoły PPTP: - szyfrowanie: MPPE-40, MPPE uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 IPSec: - szyfrowanie: DES, 3DES, AES-128, AES-192, AES funkcja haszująca: MD5, SHA-1 - grupa Diffiego-Helmana: G1, G2, G5, G14 - uwierzytelnianie IKE: klucz PSK, certyfikat X tryb IKE: główny, agresywny L2TP: - szyfrowanie: opcjonalnie IPSec - uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 SSL VPN: - szyfrowanie: DES, RC4-128, 3DES, AES-128 Open VPN: - szyfrowanie: AES-128, AES funkcja haszująca: SHA-1, SHA-256

26 VPN LAN-LAN (Site-Site) Protokoły: PPTP, IPSec, L2TP z opcją IPSec Kierunek: dial-out(poł. wych.), dial-in(poł. przych), oba Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP) Routing/NAT Trasy statyczne, RIP Zmiana bramy domyślnej

27 VPN VPN TRUNK – Load balance VPN Load balance: - Równoczesne kierowanie ruchu z sieci lokalnej do sieci zdalnej poprzez aktywne tunele - Zwiększenie prędkości transmisji Klient VPN musi wspierać VPN load balance Serwer VPN musi wspierać VPN load balance Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

28 VPN VPN TRUNK – Backup VPN Backup – zapasowy tunel na wypadek uszkodzenia głównego tunelu Klient VPN musi wspierać VPN Backup Serwer VPN nie musi wspierać VPN Backup Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

29 VPN Host-LAN (Użytkownik zdalny) Protokoły: PPTP, IPSec, L2TP z opcją IPSec, SSL, Open VPN mOTP Uwierzytelnianie: lokalna baza danych, RADIUS, LDAP/AD Przypisywanie stałego adresu IP Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP)

30 VPN mOTP (mobile One Time Password) Hasła jednorazowe dla VPN: PPTP, L2TP, SSL VPN, Open VPN Bezpłatna aplikacja na różne systemy Tajny klucz oraz PIN do generowania haseł jednorazowych w routerze Vigor oraz urządzeniu mobilnym Generowanie hasła po wpisaniu kodu PIN

31 VPN Smart VPN Client

32 VPN SSL VPN – tunel ActiveX Aplet Java

33 VPN SSL VPN – Web proxy SSL Bezpieczne przekierowanie portu, RDP

34 VPN SSL VPN – aplikacje VNC RDP SambaC, RDP

35 Certyfikaty X.509

36 Certyfikaty IPSec LAN-LAN(Site-Site), IPSec Host-LAN(Użytkownik zdalny) Żądanie certyfikatu lokalnego X.509: - alternatywna nazwa podmiotu: adres IP, nazwa domeny, adres - nazwa podmiotu: Kraj(C), Stan(ST), Lokalizacja(L), Organizacja(O), Jednostka organizacyjna(OU), Wspólna nazwa(CN), (E) - typ klucza: RSA - rozmiar klucza: 1024bit, 2048bit Certyfikat zaufanego CA Tożsamość X.509

37 Certyfikaty X.509 Vigor3900 jako centrum certyfikacji Root CA Podpisywanie żądań certyfikatów

38 Zarządzanie pasmem

39 Limitowanie sesji Domyślny limit – limit dotyczący wszystkich oprócz adresów zdefiniowanych na liście ograniczeń Lista ograniczeń – limit dotyczący konkretnych adresów IP Harmonogram Zastosowanie: Limit sesji 500 dla ~12

40 Zarządzanie pasmem Limitowanie pasma Domyślny limit – limit dotyczący adresów nie znajdujących się na liście ograniczeń Automatyczne dostosowywanie – przydzielanie wolnego pasma ponad limit w celu lepszego wykorzystania dostępnego pasma Lista ograniczeń: - Tryb każdy – limit dotyczący każdego z adresów IP - Tryb dzielony – limit dotyczący grupy adresów IP Sprytne limitowanie pasma - limit dotyczący adresów nie znajdujących się na liście ograniczeń, których liczba sesji przekracza określoną wartość Harmonogram

41 Zarządzanie pasmem Limitowanie pasma Tryb każdy Tryb dzielony Zastosowanie: Limit pasma TX=256Kbps RX=1024Kbps dla ~12

42 Zarządzanie pasmem QoS 4 klasy (3 w pełni edytowalne) – każda z klas ma możliwość ustawienia procentowego (%) udziału w każdym łączu WAN Kierunek QoS: wyjściowy, wejściowy, oba Kontrola pasma UDP Priorytet TCP ACK dla ruchu wychodzącego Możliwość tagowania pakietów wychodzących (DiffServ) Najwyższy priorytet dla VoIP SIP/RTP Włączenie QoS poprzez reguły klas lub reguły Firewall

43 Zarządzanie pasmem QoS Zastosowanie: QoS dla ruchu wychodzącego - klasa 1: vpn - klasa 2: www (http, https) - klasa 3: (smtp, pop3) - klasa 4: pozostały ruch

44 Dziękuję za uwagę


Pobierz ppt "Wykorzystanie rozwiązań i funkcjonalności DrayTek Krzysztof Skowina Specjalista ds. rozwiązań sieciowych."

Podobne prezentacje


Reklamy Google