科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道侠诺科技:中小企业安全路由器手册(6)

侠诺科技:中小企业安全路由器手册(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙的概念对于大企业的网管并不陌生,但是对于中小企业还是较陌生的。不过随着路由器性能持续升级,很多路由器都可以扮演防火墙的功能,为企业网络安全多一层把关。

2007年5月11日

关键字: 侠诺科技 安全管理 路由器

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

防火墙的概念对于大企业的网管并不陌生,但是对于中小企业还是较陌生的。不过随着路由器性能持续升级,很多路由器都可以扮演防火墙的功能,为企业网络安全多一层把关。对于中小企业而言,由于信息的限制及信息化的程度不同,因此运用防火墙的方式和大企业有所不同。相对而言,中小企业希望能利用防火墙达到最基本的安全防护,又希望适度的对内部用户加以限制,也可达到广义信息安全的目的。

Qno侠诺整合一般中小企业在防火墙方面常碰到的问题,及对应Qno侠诺安全路由器的功能,介绍中小企业可在路由器防火墙方面进行的配置如下:

项次

问题

功能

开放(公网)IP地址服务器及主机,如何保护?

存取服务规则

私有IP地址及服务器,如何管制?对内的管制需要定时,如何配置?如何阻挡特定的应用服务?

存取服务规则、管制内容时间排程、阻挡特定服务

最近有许多常见的攻击,例如ARP攻击、DoS攻击,如何进行防御的配置?

洪水攻击阀值机制、语音告警功能

如何减少攻击对路由器效能的影响?对于广播应用,如何开放路由器防火墙?

防火墙基本配置

除了路由器外,如何进行整体的配置,减少企业网络受到外挂程序的破坏?

防火墙基本配置

以下针对不同功能,予以介绍

一、防火墙访问规则

有些企业内部使用固定IP地址,例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等,由于需要对互联网上用户开放服务,必须使用固定IP。公开虽然有好处,但相对的也容易成为恶意人士攻击的目标,因此若是企业网络有这样配置的服务器或是计算机,就必须先加以保护。

要保护公网IP服务器或是计算机,第一个要作的就是除了保留要提供服务的TCP/UDP端口,之外的网络端口全部封掉,以避免服务器受到攻击。例如提供网页服务器,只要保留80端口的服务让外界存取即可,其它的都加以封闭。另外,如果能限定开放服务只是特定的用户,例如其它分公司的用户,也可以只允许特定用户进入,再次降低受到攻击的可能性。

Qno侠诺路由器上,这个功能可使用路由器中网络存取规则条例工具进行配置,存取规则可以依据不同的条件来过滤,例如可以设定封包要管制的进出方向是从内部到外部,还是从外部到内部,或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制,管理者可以依照实际的需求调性设置。

侠诺路由器产品中有默认的网络存取规则条例,网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3。依序做规则判断,所以前后顺序是让您在做访问规则的设定规划中必须要考虑的,以避免您想开启或关闭的功能失效。

侠诺科技:中小企业安全路由器手册(6)

图一:访问规则设置,是最基本阻不必要存取的基本工具。对于使用公网IP的服务器,更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担,更可增加内网的安全性。

对于采用NAT产生私网IP,或称虚拟IP地址的计算机或内部服务器,则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为,以避免员工上网降低生产力,或是带进不必要的病毒或攻击,这对很多网管来说是必要的。配置群组的功能,可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用SkypeMSN及邮件与客户连络,而行政部门人员只能以邮件与外部连络等。这个管制动作,对于很多企业也是可以节省很多损失的一种配置。

二、时间管制设定

对于内网的管制,可以加强企业网络的安全性,但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性,例如下班时间,允许较大的权限可以上网,例如全部员工,在下班时间都可以观看网页,这时即可使用时间管制设定功能。

侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的,网管必须在配置规则时就一并把作业时间设好。值得注意的是,这个规则是24小时制的,因此若需要跨过午夜零点,最好设定上半夜及下半夜两条规则,以免发生冲突或是不如预期的情况。

侠诺科技:中小企业安全路由器手册(6)

图二:时间管制设定是依附在每一条存取服务规则下的,针对每个规则都可以规定生效的时间。适当地组合时间管制,可为内部上网管理增加弹性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章