Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałLechosław Liszka Został zmieniony 10 lat temu
1
Wykorzystanie rozwiązań i funkcjonalności DrayTek
Krzysztof Skowina Specjalista ds. rozwiązań sieciowych
2
Agenda MultiWAN MultiLAN Obiekty i grupy CSM Zarządzanie użytkownikami
Firewall VPN Certyfikaty X.509 Zarządzenie pasmem
3
MultiWAN
4
Interfejsy WAN (Vigor serii 2830, 2850, 2920)
MultiWAN Interfejsy WAN (Vigor serii 2830, 2850, 2920) 3 interfejsy WAN WAN1: ADSL2+ / VDSL2 / Fast Ethernet WAN2: Gigabit Ethernet WAN3: USB 2.0
5
MultiWAN Dostęp do Internetu ADSL2+: PPPoE/PPPoA, MPoA
VDSL2: PPPoE, Statyczny lub dynamiczny IP WAN/Ethernet: PPPoE, Statyczny lub dynamiczny IP, PPTP/L2TP USB: 3G(PPP), 4G(DHCP) Detekcja połączenia WAN Aliasy IP – dodatkowe adresy IP
6
WAN Load balance / WAN Backup
MultiWAN WAN Load balance / WAN Backup WAN Load balance: - kierowanie ruchu z sieci lokalnej do Internetu poprzez aktywne łącza WAN - maksymalna prędkość transmisji sesji uzależniona od użytego interfejsu WAN WAN Backup – łącze zapasowe na wypadek uszkodzenia jednego lub dwóch łączy WAN Zastosowanie: - WAN1 oraz WAN2: Load balance - WAN3: Backup
7
Polityka WAN Load balance
MultiWAN Polityka WAN Load balance Kierowanie ruchu z sieci lokalnej do Internetu poprzez wskazany interfejs WAN na podstawie: protokołu, źródłowego adresu IP, docelowego adresu IP, docelowego portu Zastosowanie: HTTPS (TCP 443) przez WAN1
8
MultiLAN
9
Interfejsy LAN (Vigor serii 2830, 2850, 2920)
MultiLAN Interfejsy LAN (Vigor serii 2830, 2850, 2920) 4-portowy switch Podsieci lokalne o różnych adresacjach IP Podsieć LAN1 – na cele NAT Podsieć LAN2, LAN3, LAN4 – na cele NAT lub routing Podsieć routowana
10
MultiLAN VLAN (Vigor serii 2830, 2850, 2920)
8 VLANów, 4/8 interfejsów, 4 podsieci LAN Tagowanie 802.1Q Routing pomiędzy podsieciami Zastosowanie: - port P1 oraz SSID1: podsieć LAN1 - port P2 oraz SSID2: podsieć LAN2 - port P3 oraz SSID3: podsieć LAN3 - port P4 oraz SSID4: podsieć LAN4
11
Obiekty i grupy
12
Obiekty i grupy Obiekty i grupy
Obiekty IP – pojedynczy adres , zakres adresów, podsieć Obiekty IPv6 – pojedynczy adres, zakres adresów, podsieć Obiekty usług – protokół, port źródłowy, port docelowy Obiekty wyrazów – maksymalnie 3 frazy w obiekcie Obiekty rozszerzeń plików – obrazy (np. jpeg), video (np. wmv), audio (np. mp3), java (np. java), ActiveX (np. axs), kompresje (np. zip), wykonywalne (np. exe)
13
CSM
14
CSM Kontrola aplikacji Kontrola IM:
- Zaawansowane zarządzanie obejmujące logowanie, wiadomość, transfer pliku, gra, konferencja (np. MSN) - Aplikacje IM (np. GaduGadu) - VoIP (np. SIP/RTP) - Web IM URL(np. WebMSN) Kontrola P2P: - Protokół (np. eDonkey, BitTorrent) - Aplikacje P2P (np. Ares) Kontrola protokołów (np. HTTP, POP3) Kontrola różnych aplikacji: - Tunelowanie (np. RealTunnel) - Strumieniowanie (np. SilverLight) - Zdalna kontrola (np. VNC, TeamViewer) - Web HD (np. MS SkyDrive)
15
CSM Filtr zawartości URL
Kontrola dostępu URL – przepuszczanie lub blokowanie stron www na podstawie słów kluczowych występujących w adresie URL Kontrola elementów Web – przepuszczanie lub blokowanie ciasteczek, proxy, uploadu, rozszerzeń plików Zastosowanie: Blokowanie stron z frazą ‘seks’
16
CSM Filtr treści Web Przepuszczanie lub blokowanie stron www na podstawie kategorii stron wspieranych przez Commtouch 64 kategorii stron: - ochrona dzieci (np. Porn & Sexually) - wypoczynek (np. Entertainment) - biznes (np. Job Search) - rozmowy (np. Chat) - komputery-Internet (np. Computers) - pozostałe (np. Arts) Biała/czarna lista - przepuszczanie lub blokowanie stron www na podstawie słów kluczowych
17
CSM Filtr treści Web Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)
18
CSM Filtr DNS Analiza zapytań DNS z użyciem profilu filtra treści Web (WCF) Cache zawiera m.in. adres IP z kategorią strony Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)
19
Zarządzanie użytkownikami
20
Zarządzanie użytkownikami
Tryb użytkownicy – indywidualna polityka firewall poprzez wybór reguły firewall w profilu użytkownika Tryb reguły – wspólna polityka firewall poprzez wybór użytkowników w regułach firewall Limitowanie czasu, danych – po przekroczeniu limitu brak dostępu do Internetu, możliwość przywrócenia domyślnych limitów według harmonogramu Uwierzytelnianie lokalne, LDAP/AD lub RADIUS na podstawie nazwy użytkownika i hasła wprowadzonych przez przeglądarkę, Telnet lub Alert Tool
21
Firewall
22
Firewall Filtr Filtr połączeń Filtr danych
85 reguł Firewall (12 zestawów po 7 reguł + domyślna reguła) Reguła filtru: - harmonogram - obiekty IP, obiekty usług - kierunek: LAN/RT/VPN -> WAN WAN -> LAN/RT/VPN LAN/RT/VPN -> LAN/RT/VPN - akcja: zablokuj natychmiast, zablokuj gdy nie pasuje dalej, przepuść natychmiast, przepuść gdy nie pasuje dalej - zastosowanie: kontrola sesji, QoS, polityka rozkładu obciążenia, zarządzenie użytkownikami, kontrola aplikacji, filtr zawartości URL, filtr treści Web
23
Firewall Ochrona DoS Wykrycie i blokowanie ataku po przekroczeniu progu: - SYN flood - UDP flood - ICMP flood - Skanowanie portów Wykrycie i blokowanie ataku: - Land (SYN + IP Spoofing) - Smurf (broadcast ICMP) - Trace Route (tracert) - Fragmenty SYN (flaga SYN + fragmenty) - Fraggle (broadcast UDP) - Skanowanie flag TCP (niewłaściwe flagi) - Tear Drop (nakładające się fragmenty) - Ping of Death (duży rozmiar ICMP) - Fragmenty ICMP - Nieznany protokół
24
VPN
25
VPN Protokoły PPTP: - szyfrowanie: MPPE-40, MPPE-128
- uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 IPSec: - szyfrowanie: DES, 3DES, AES-128, AES-192, AES-256 - funkcja haszująca: MD5, SHA-1 - grupa Diffiego-Helmana: G1, G2, G5, G14 - uwierzytelnianie IKE: klucz PSK, certyfikat X.509 - tryb IKE: główny, agresywny L2TP: - szyfrowanie: opcjonalnie IPSec SSL VPN: - szyfrowanie: DES, RC4-128, 3DES, AES-128 Open VPN: - szyfrowanie: AES-128, AES-256 - funkcja haszująca: SHA-1, SHA-256
26
VPN LAN-LAN (Site-Site) Protokoły: PPTP, IPSec, L2TP z opcją IPSec
Kierunek: dial-out(poł. wych.), dial-in(poł. przych), oba Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP) Routing/NAT Trasy statyczne, RIP Zmiana bramy domyślnej
27
VPN TRUNK – Load balance
VPN Load balance: - Równoczesne kierowanie ruchu z sieci lokalnej do sieci zdalnej poprzez aktywne tunele - Zwiększenie prędkości transmisji Klient VPN musi wspierać VPN load balance Serwer VPN musi wspierać VPN load balance Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN
28
VPN VPN TRUNK – Backup VPN Backup – zapasowy tunel na wypadek
uszkodzenia głównego tunelu Klient VPN musi wspierać VPN Backup Serwer VPN nie musi wspierać VPN Backup Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN
29
Host-LAN (Użytkownik zdalny)
VPN Host-LAN (Użytkownik zdalny) Protokoły: PPTP, IPSec, L2TP z opcją IPSec, SSL, Open VPN mOTP Uwierzytelnianie: lokalna baza danych, RADIUS, LDAP/AD Przypisywanie stałego adresu IP Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP)
30
mOTP (mobile One Time Password)
VPN mOTP (mobile One Time Password) Hasła jednorazowe dla VPN: PPTP, L2TP, SSL VPN, Open VPN Bezpłatna aplikacja na różne systemy Tajny klucz oraz PIN do generowania haseł jednorazowych w routerze Vigor oraz urządzeniu mobilnym Generowanie hasła po wpisaniu kodu PIN
31
VPN Smart VPN Client
32
VPN SSL VPN – tunel ActiveX Aplet Java
33
VPN SSL VPN – Web proxy SSL Bezpieczne przekierowanie portu, RDP
34
VPN SSL VPN – aplikacje VNC RDP SambaC, RDP
35
Certyfikaty X.509
36
Certyfikaty X.509 Certyfikaty
IPSec LAN-LAN(Site-Site), IPSec Host-LAN(Użytkownik zdalny) Żądanie certyfikatu lokalnego X.509: - alternatywna nazwa podmiotu: adres IP, nazwa domeny, adres - nazwa podmiotu: Kraj(C), Stan(ST), Lokalizacja(L), Organizacja(O), Jednostka organizacyjna(OU), Wspólna nazwa(CN), (E) - typ klucza: RSA - rozmiar klucza: 1024bit, 2048bit Certyfikat zaufanego CA Tożsamość X.509
37
Vigor3900 jako centrum certyfikacji
Certyfikaty X.509 Vigor3900 jako centrum certyfikacji Root CA Podpisywanie żądań certyfikatów
38
Zarządzanie pasmem
39
Zarządzanie pasmem Limitowanie sesji
Domyślny limit – limit dotyczący wszystkich oprócz adresów zdefiniowanych na liście ograniczeń Lista ograniczeń – limit dotyczący konkretnych adresów IP Harmonogram Zastosowanie: Limit sesji 500 dla ~12
40
Zarządzanie pasmem Limitowanie pasma
Domyślny limit – limit dotyczący adresów nie znajdujących się na liście ograniczeń Automatyczne dostosowywanie – przydzielanie wolnego pasma ponad limit w celu lepszego wykorzystania dostępnego pasma Lista ograniczeń: - Tryb każdy – limit dotyczący każdego z adresów IP - Tryb dzielony – limit dotyczący grupy adresów IP Sprytne limitowanie pasma - limit dotyczący adresów nie znajdujących się na liście ograniczeń, których liczba sesji przekracza określoną wartość Harmonogram
41
Zarządzanie pasmem Limitowanie pasma
Zastosowanie: Limit pasma TX=256Kbps RX=1024Kbps dla ~12 Tryb każdy Tryb dzielony
42
Zarządzanie pasmem QoS
4 klasy (3 w pełni edytowalne) – każda z klas ma możliwość ustawienia procentowego (%) udziału w każdym łączu WAN Kierunek QoS: wyjściowy, wejściowy, oba Kontrola pasma UDP Priorytet TCP ACK dla ruchu wychodzącego Możliwość tagowania pakietów wychodzących (DiffServ) Najwyższy priorytet dla VoIP SIP/RTP Włączenie QoS poprzez reguły klas lub reguły Firewall
43
Zarządzanie pasmem QoS Zastosowanie: QoS dla ruchu wychodzącego
- klasa 1: vpn - klasa 2: www (http, https) - klasa 3: (smtp, pop3) - klasa 4: pozostały ruch
44
Dziękuję za uwagę
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.