Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Wykorzystanie rozwiązań i funkcjonalności DrayTek

Podobne prezentacje


Prezentacja na temat: "Wykorzystanie rozwiązań i funkcjonalności DrayTek"— Zapis prezentacji:

1 Wykorzystanie rozwiązań i funkcjonalności DrayTek
   Krzysztof Skowina Specjalista ds. rozwiązań sieciowych

2 Agenda MultiWAN MultiLAN Obiekty i grupy CSM Zarządzanie użytkownikami
Firewall VPN Certyfikaty X.509 Zarządzenie pasmem

3 MultiWAN

4 Interfejsy WAN (Vigor serii 2830, 2850, 2920)
MultiWAN Interfejsy WAN (Vigor serii 2830, 2850, 2920) 3 interfejsy WAN WAN1: ADSL2+ / VDSL2 / Fast Ethernet WAN2: Gigabit Ethernet WAN3: USB 2.0

5 MultiWAN Dostęp do Internetu ADSL2+: PPPoE/PPPoA, MPoA
VDSL2: PPPoE, Statyczny lub dynamiczny IP WAN/Ethernet: PPPoE, Statyczny lub dynamiczny IP, PPTP/L2TP USB: 3G(PPP), 4G(DHCP) Detekcja połączenia WAN Aliasy IP – dodatkowe adresy IP

6 WAN Load balance / WAN Backup
MultiWAN WAN Load balance / WAN Backup WAN Load balance: - kierowanie ruchu z sieci lokalnej do Internetu poprzez aktywne łącza WAN - maksymalna prędkość transmisji sesji uzależniona od użytego interfejsu WAN WAN Backup – łącze zapasowe na wypadek uszkodzenia jednego lub dwóch łączy WAN Zastosowanie: - WAN1 oraz WAN2: Load balance - WAN3: Backup

7 Polityka WAN Load balance
MultiWAN Polityka WAN Load balance Kierowanie ruchu z sieci lokalnej do Internetu poprzez wskazany interfejs WAN na podstawie: protokołu, źródłowego adresu IP, docelowego adresu IP, docelowego portu Zastosowanie: HTTPS (TCP 443) przez WAN1

8 MultiLAN

9 Interfejsy LAN (Vigor serii 2830, 2850, 2920)
MultiLAN Interfejsy LAN (Vigor serii 2830, 2850, 2920) 4-portowy switch Podsieci lokalne o różnych adresacjach IP Podsieć LAN1 – na cele NAT Podsieć LAN2, LAN3, LAN4 – na cele NAT lub routing Podsieć routowana

10 MultiLAN VLAN (Vigor serii 2830, 2850, 2920)
8 VLANów, 4/8 interfejsów, 4 podsieci LAN Tagowanie 802.1Q Routing pomiędzy podsieciami Zastosowanie: - port P1 oraz SSID1: podsieć LAN1 - port P2 oraz SSID2: podsieć LAN2 - port P3 oraz SSID3: podsieć LAN3 - port P4 oraz SSID4: podsieć LAN4

11 Obiekty i grupy

12 Obiekty i grupy Obiekty i grupy
Obiekty IP – pojedynczy adres , zakres adresów, podsieć Obiekty IPv6 – pojedynczy adres, zakres adresów, podsieć Obiekty usług – protokół, port źródłowy, port docelowy Obiekty wyrazów – maksymalnie 3 frazy w obiekcie Obiekty rozszerzeń plików – obrazy (np. jpeg), video (np. wmv), audio (np. mp3), java (np. java), ActiveX (np. axs), kompresje (np. zip), wykonywalne (np. exe)

13 CSM

14 CSM Kontrola aplikacji Kontrola IM:
- Zaawansowane zarządzanie obejmujące logowanie, wiadomość, transfer pliku, gra, konferencja (np. MSN) - Aplikacje IM (np. GaduGadu) - VoIP (np. SIP/RTP) - Web IM URL(np. WebMSN) Kontrola P2P: - Protokół (np. eDonkey, BitTorrent) - Aplikacje P2P (np. Ares) Kontrola protokołów (np. HTTP, POP3) Kontrola różnych aplikacji: - Tunelowanie (np. RealTunnel) - Strumieniowanie (np. SilverLight) - Zdalna kontrola (np. VNC, TeamViewer) - Web HD (np. MS SkyDrive)

15 CSM Filtr zawartości URL
Kontrola dostępu URL – przepuszczanie lub blokowanie stron www na podstawie słów kluczowych występujących w adresie URL Kontrola elementów Web – przepuszczanie lub blokowanie ciasteczek, proxy, uploadu, rozszerzeń plików Zastosowanie: Blokowanie stron z frazą ‘seks’

16 CSM Filtr treści Web Przepuszczanie lub blokowanie stron www na podstawie kategorii stron wspieranych przez Commtouch 64 kategorii stron: - ochrona dzieci (np. Porn & Sexually) - wypoczynek (np. Entertainment) - biznes (np. Job Search) - rozmowy (np. Chat) - komputery-Internet (np. Computers) - pozostałe (np. Arts) Biała/czarna lista - przepuszczanie lub blokowanie stron www na podstawie słów kluczowych

17 CSM Filtr treści Web Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

18 CSM Filtr DNS Analiza zapytań DNS z użyciem profilu filtra treści Web (WCF) Cache zawiera m.in. adres IP z kategorią strony Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

19 Zarządzanie użytkownikami

20 Zarządzanie użytkownikami
Tryb użytkownicy – indywidualna polityka firewall poprzez wybór reguły firewall w profilu użytkownika Tryb reguły – wspólna polityka firewall poprzez wybór użytkowników w regułach firewall Limitowanie czasu, danych – po przekroczeniu limitu brak dostępu do Internetu, możliwość przywrócenia domyślnych limitów według harmonogramu Uwierzytelnianie lokalne, LDAP/AD lub RADIUS na podstawie nazwy użytkownika i hasła wprowadzonych przez przeglądarkę, Telnet lub Alert Tool

21 Firewall

22 Firewall Filtr Filtr połączeń Filtr danych
85 reguł Firewall (12 zestawów po 7 reguł + domyślna reguła) Reguła filtru: - harmonogram - obiekty IP, obiekty usług - kierunek: LAN/RT/VPN -> WAN WAN -> LAN/RT/VPN LAN/RT/VPN -> LAN/RT/VPN - akcja: zablokuj natychmiast, zablokuj gdy nie pasuje dalej, przepuść natychmiast, przepuść gdy nie pasuje dalej - zastosowanie: kontrola sesji, QoS, polityka rozkładu obciążenia, zarządzenie użytkownikami, kontrola aplikacji, filtr zawartości URL, filtr treści Web

23 Firewall Ochrona DoS Wykrycie i blokowanie ataku po przekroczeniu progu: - SYN flood - UDP flood - ICMP flood - Skanowanie portów Wykrycie i blokowanie ataku: - Land (SYN + IP Spoofing) - Smurf (broadcast ICMP) - Trace Route (tracert) - Fragmenty SYN (flaga SYN + fragmenty) - Fraggle (broadcast UDP) - Skanowanie flag TCP (niewłaściwe flagi) - Tear Drop (nakładające się fragmenty) - Ping of Death (duży rozmiar ICMP) - Fragmenty ICMP - Nieznany protokół

24 VPN

25 VPN Protokoły PPTP: - szyfrowanie: MPPE-40, MPPE-128
- uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 IPSec: - szyfrowanie: DES, 3DES, AES-128, AES-192, AES-256 - funkcja haszująca: MD5, SHA-1 - grupa Diffiego-Helmana: G1, G2, G5, G14 - uwierzytelnianie IKE: klucz PSK, certyfikat X.509 - tryb IKE: główny, agresywny L2TP: - szyfrowanie: opcjonalnie IPSec SSL VPN: - szyfrowanie: DES, RC4-128, 3DES, AES-128 Open VPN: - szyfrowanie: AES-128, AES-256 - funkcja haszująca: SHA-1, SHA-256

26 VPN LAN-LAN (Site-Site) Protokoły: PPTP, IPSec, L2TP z opcją IPSec
Kierunek: dial-out(poł. wych.), dial-in(poł. przych), oba Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP) Routing/NAT Trasy statyczne, RIP Zmiana bramy domyślnej

27 VPN TRUNK – Load balance
VPN Load balance: - Równoczesne kierowanie ruchu z sieci lokalnej do sieci zdalnej poprzez aktywne tunele - Zwiększenie prędkości transmisji Klient VPN musi wspierać VPN load balance Serwer VPN musi wspierać VPN load balance Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

28 VPN VPN TRUNK – Backup VPN Backup – zapasowy tunel na wypadek
uszkodzenia głównego tunelu Klient VPN musi wspierać VPN Backup Serwer VPN nie musi wspierać VPN Backup Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

29 Host-LAN (Użytkownik zdalny)
VPN Host-LAN (Użytkownik zdalny) Protokoły: PPTP, IPSec, L2TP z opcją IPSec, SSL, Open VPN mOTP Uwierzytelnianie: lokalna baza danych, RADIUS, LDAP/AD Przypisywanie stałego adresu IP Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP)

30 mOTP (mobile One Time Password)
VPN mOTP (mobile One Time Password) Hasła jednorazowe dla VPN: PPTP, L2TP, SSL VPN, Open VPN Bezpłatna aplikacja na różne systemy Tajny klucz oraz PIN do generowania haseł jednorazowych w routerze Vigor oraz urządzeniu mobilnym Generowanie hasła po wpisaniu kodu PIN

31 VPN Smart VPN Client

32 VPN SSL VPN – tunel ActiveX Aplet Java

33 VPN SSL VPN – Web proxy SSL Bezpieczne przekierowanie portu, RDP

34 VPN SSL VPN – aplikacje VNC RDP SambaC, RDP

35 Certyfikaty X.509

36 Certyfikaty X.509 Certyfikaty
IPSec LAN-LAN(Site-Site), IPSec Host-LAN(Użytkownik zdalny) Żądanie certyfikatu lokalnego X.509: - alternatywna nazwa podmiotu: adres IP, nazwa domeny, adres - nazwa podmiotu: Kraj(C), Stan(ST), Lokalizacja(L), Organizacja(O), Jednostka organizacyjna(OU), Wspólna nazwa(CN), (E) - typ klucza: RSA - rozmiar klucza: 1024bit, 2048bit Certyfikat zaufanego CA Tożsamość X.509

37 Vigor3900 jako centrum certyfikacji
Certyfikaty X.509 Vigor3900 jako centrum certyfikacji Root CA Podpisywanie żądań certyfikatów

38 Zarządzanie pasmem

39 Zarządzanie pasmem Limitowanie sesji
Domyślny limit – limit dotyczący wszystkich oprócz adresów zdefiniowanych na liście ograniczeń Lista ograniczeń – limit dotyczący konkretnych adresów IP Harmonogram Zastosowanie: Limit sesji 500 dla ~12

40 Zarządzanie pasmem Limitowanie pasma
Domyślny limit – limit dotyczący adresów nie znajdujących się na liście ograniczeń Automatyczne dostosowywanie – przydzielanie wolnego pasma ponad limit w celu lepszego wykorzystania dostępnego pasma Lista ograniczeń: - Tryb każdy – limit dotyczący każdego z adresów IP - Tryb dzielony – limit dotyczący grupy adresów IP Sprytne limitowanie pasma - limit dotyczący adresów nie znajdujących się na liście ograniczeń, których liczba sesji przekracza określoną wartość Harmonogram

41 Zarządzanie pasmem Limitowanie pasma
Zastosowanie: Limit pasma TX=256Kbps RX=1024Kbps dla ~12 Tryb każdy Tryb dzielony

42 Zarządzanie pasmem QoS
4 klasy (3 w pełni edytowalne) – każda z klas ma możliwość ustawienia procentowego (%) udziału w każdym łączu WAN Kierunek QoS: wyjściowy, wejściowy, oba Kontrola pasma UDP Priorytet TCP ACK dla ruchu wychodzącego Możliwość tagowania pakietów wychodzących (DiffServ) Najwyższy priorytet dla VoIP SIP/RTP Włączenie QoS poprzez reguły klas lub reguły Firewall

43 Zarządzanie pasmem QoS Zastosowanie: QoS dla ruchu wychodzącego
- klasa 1: vpn - klasa 2: www (http, https) - klasa 3: (smtp, pop3) - klasa 4: pozostały ruch

44 Dziękuję za uwagę


Pobierz ppt "Wykorzystanie rozwiązań i funkcjonalności DrayTek"

Podobne prezentacje


Reklamy Google