科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>侠诺科技:中小企业安全路由器手册(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙的概念对于大企业的网管并不陌生,但是对于中小企业还是较陌生的。不过随着路由器性能持续升级,很多路由器都可以扮演防火墙的功能,为企业网络安全多一层把关。

来源: 2007年05月11日

关键字:路由器 安全管理 侠诺科技

防火墙的概念对于大企业的网管并不陌生,但是对于中小企业还是较陌生的。不过随着路由器性能持续升级,很多路由器都可以扮演防火墙的功能,为企业网络安全多一层把关。对于中小企业而言,由于信息的限制及信息化的程度不同,因此运用防火墙的方式和大企业有所不同。相对而言,中小企业希望能利用防火墙达到最基本的安全防护,又希望适度的对内部用户加以限制,也可达到广义信息安全的目的。

Qno侠诺整合一般中小企业在防火墙方面常碰到的问题,及对应Qno侠诺安全路由器的功能,介绍中小企业可在路由器防火墙方面进行的配置如下:

项次

问题

功能

开放(公网)IP地址服务器及主机,如何保护?

存取服务规则

私有IP地址及服务器,如何管制?对内的管制需要定时,如何配置?如何阻挡特定的应用服务?

存取服务规则、管制内容时间排程、阻挡特定服务

最近有许多常见的攻击,例如ARP攻击、DoS攻击,如何进行防御的配置?

洪水攻击阀值机制、语音告警功能

如何减少攻击对路由器效能的影响?对于广播应用,如何开放路由器防火墙?

防火墙基本配置

除了路由器外,如何进行整体的配置,减少企业网络受到外挂程序的破坏?

防火墙基本配置

以下针对不同功能,予以介绍

一、防火墙访问规则

有些企业内部使用固定IP地址,例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等,由于需要对互联网上用户开放服务,必须使用固定IP。公开虽然有好处,但相对的也容易成为恶意人士攻击的目标,因此若是企业网络有这样配置的服务器或是计算机,就必须先加以保护。

要保护公网IP服务器或是计算机,第一个要作的就是除了保留要提供服务的TCP/UDP端口,之外的网络端口全部封掉,以避免服务器受到攻击。例如提供网页服务器,只要保留80端口的服务让外界存取即可,其它的都加以封闭。另外,如果能限定开放服务只是特定的用户,例如其它分公司的用户,也可以只允许特定用户进入,再次降低受到攻击的可能性。

Qno侠诺路由器上,这个功能可使用路由器中网络存取规则条例工具进行配置,存取规则可以依据不同的条件来过滤,例如可以设定封包要管制的进出方向是从内部到外部,还是从外部到内部,或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制,管理者可以依照实际的需求调性设置。

侠诺路由器产品中有默认的网络存取规则条例,网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3。依序做规则判断,所以前后顺序是让您在做访问规则的设定规划中必须要考虑的,以避免您想开启或关闭的功能失效。

侠诺科技:中小企业安全路由器手册(6)

图一:访问规则设置,是最基本阻不必要存取的基本工具。对于使用公网IP的服务器,更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担,更可增加内网的安全性。

对于采用NAT产生私网IP,或称虚拟IP地址的计算机或内部服务器,则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为,以避免员工上网降低生产力,或是带进不必要的病毒或攻击,这对很多网管来说是必要的。配置群组的功能,可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用SkypeMSN及邮件与客户连络,而行政部门人员只能以邮件与外部连络等。这个管制动作,对于很多企业也是可以节省很多损失的一种配置。

二、时间管制设定

对于内网的管制,可以加强企业网络的安全性,但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性,例如下班时间,允许较大的权限可以上网,例如全部员工,在下班时间都可以观看网页,这时即可使用时间管制设定功能。

侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的,网管必须在配置规则时就一并把作业时间设好。值得注意的是,这个规则是24小时制的,因此若需要跨过午夜零点,最好设定上半夜及下半夜两条规则,以免发生冲突或是不如预期的情况。

侠诺科技:中小企业安全路由器手册(6)

图二:时间管制设定是依附在每一条存取服务规则下的,针对每个规则都可以规定生效的时间。适当地组合时间管制,可为内部上网管理增加弹性。

三、阻挡特定服务

如果觉得一一设置阻挡很不方便,侠诺路由器提供一键特定的服务功能,可以通过设置将MSNSkypeQQBT下载这些服务挡住,以方便用户的管理设置,以最简单的方法起到管制的作用。阻挡特定服务是以勾选的方法,决定限制那些服务,另外还提供有排除功能,可以排除特定IP用户,例如公司老板或是高管等。

侠诺科技:中小企业安全路由器手册(6)

图三: 本图可以看出内部网络192.168.1.2~100 IP将不提供MSN及时信息服务功能,中小企业可以按照需要对内网IP的这几个特定服务做挡定设置。

四、洪水攻击阀值机制及语音告警

SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN FloodDoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一,其攻击方式是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽,CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性,攻击方向受攻击计算机不断发送欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在响应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。

Qno侠诺引入路由器产品的一些功能,能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。

·洪水攻击防御的加强:洪水攻击属于DOS攻击的一种,它利用网络协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,或最后产生TCP/IP堆栈溢出崩溃死机。

针对这种攻击,Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制,用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包,设定阀值,如果超过特定阀值,则阻挡该IP或是整个网络的上网需求。在这个设定中,具有关键地位的是针对单一IP设定的阀值,根据侠诺的技术支持经验发现,设定在每秒2000个包,应可有效抵抗攻击。值得注意的是,当设定阀值太低时,对于QQ视频或是相似的应用,会产生影响,因此也不能设定太低。

侠诺科技:中小企业安全路由器手册(6)

图四:要对抗洪水攻击,必须针对大量发出网络包的IP地址加以管制,除了TCP协议外,现在UDPICMP网络协议的攻击也很普遍。

另外,以往的攻击往往利用TCP协议进行,最近发现UDPICMP的攻击形式也渐渐增加,因此在产品中加进了这个功能。

·MAC/IP欺骗型ARP攻击防御的加强:ARP攻击利用广播封包,影响网络的运作。侠诺之前推广了双向绑定的因应之道,即在客户端及路由器端都必须进行ARP协议的绑定,可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IPMAC的方式,不断发出网络包给路由器,让路由器忙于处理无用的数据包,而影响正常的运作。

在侠诺新版的软件中,加入了自动判别的功能,可以不理会非正常MACIP所发出的数据包,也不加以转发,可减少攻击所产生的影响。用户可在配置路由器时,进行学习功能,并确认正当的IPMAC,之后路由器即可拒絶其它的网络包,以降低ARP攻击的影响。一旦本机制作用,受到影响的只会是发动攻击的计算机,因为忙于攻击而运作缓慢,但是其它用户不会受到影响。

·语音告警功能:新版Qno侠诺路由器内建发音功能,配合以上的功能,在第一时间可以针对新型态攻击阻挡,同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况,并可通过日志功能找出有问题的来源,加以隔离,并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好,才能真正协助用户改善网络安全问题。

五、基本设置

对于企业网管来说,必须要根据不同的需求进行路由器的配置,但事实上,路由器做的事越多,效能就受到越大的影响。例如广播应用的网络包,如果允许进入内容,则对路由器效能及内网安全都造成威胁,因此Qno侠诺路由器的基本配置功能可让网管选择是否开启一些常见的服务,取得路由器效能及安全之间的平衡。

在基本设定功能中,有以下设定:防火墙功能及SPI封包侦测是进行细部带宽管理及存取规则需要的,关闭这二个功能将使部份功能无法运作,但可得到最好的效能,适用于另外配接防火墙的企业;DoS侦测功能,会记录是否受到不正常网络包的攻击,特定情况下需用到;关闭对外的封包响应,可避免外部占用路由器资源的攻击,进一步增加效能及安全性;允许Multicast封包"功能"则是针对对应播应用;允许广播封包通透;最后防止ARP攻击必须配合客户端计算机绑定,有效对付ARP攻击。

侠诺科技:中小企业安全路由器手册(6)

图五:Qno侠诺路由器的基本配置功能可让网管选择是否开启一些常见的服务,取得路由器效能及安全之间的平衡。

六、防火墙相关整体配置

除了路由器的配置以外,侠诺技术服务部门也总结了全国许多资源网管的经验,另外提供二个值得参考的改善点:

·减少用户使用外挂软件机会:很多环境发生攻击的事件,往往是因为用户用了外挂软件,因此如能减少用户使用外挂软件,就能减少攻击。在国内一些较先进的网吧,已经提供完整的外挂软件,不让用户自己从网络下载软件,这样可以减少攻击情况的发生。这点对于一些网吧而言,可能不太习惯,但是不失为一个有效管制方法。

· 配合三层交换管制网络:国内许多中大型网吧采用三层交换机作为骨干交换机,由于三层交换机也具备许多管制功能,因此如能善用三层交换机之功能,也可较好的针对攻击加以抵抗。有些网管在使用时,只是把三层交换机当成一般的交换机使用,有些可惜!

小结

对于大企业而言,防火墙扮演了企业网络安全重要角色,而安全路由器对于中小企业而言,可以较经济的花费,达到需要的管制功能,不失为一个方便的解决方案。Qno侠诺不断地为中小企业引入原本贵不及的功能,也希望为中小企业网络安全,发挥进步改善的作用。

(责任编辑:陈毅东

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题