侠诺科技：中小企业安全路由器手册（6）

防火墙的概念对于大企业的网管并不陌生，但是对于中小企业还是较陌生的。不过随着路由器性能持续升级，很多路由器都可以扮演防火墙的功能，为企业网络安全多一层把关。对于中小企业而言，由于信息的限制及信息化的程度不同，因此运用防火墙的方式和大企业有所不同。相对而言，中小企业希望能利用防火墙达到最基本的安全防护，又希望适度的对内部用户加以限制，也可达到广义信息安全的目的。

Qno侠诺整合一般中小企业在防火墙方面常碰到的问题，及对应Qno侠诺安全路由器的功能，介绍中小企业可在路由器防火墙方面进行的配置如下：

以下针对不同功能，予以介绍

一、防火墙访问规则

有些企业内部使用固定IP地址，例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等，由于需要对互联网上用户开放服务，必须使用固定IP。公开虽然有好处，但相对的也容易成为恶意人士攻击的目标，因此若是企业网络有这样配置的服务器或是计算机，就必须先加以保护。

要保护公网IP服务器或是计算机，第一个要作的就是除了保留要提供服务的TCP/UDP端口，之外的网络端口全部封掉，以避免服务器受到攻击。例如提供网页服务器，只要保留80端口的服务让外界存取即可，其它的都加以封闭。另外，如果能限定开放服务只是特定的用户，例如其它分公司的用户，也可以只允许特定用户进入，再次降低受到攻击的可能性。

在Qno侠诺路由器上，这个功能可使用路由器中网络存取规则条例工具进行配置，存取规则可以依据不同的条件来过滤，例如可以设定封包要管制的进出方向是从内部到外部，还是从外部到内部，或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制，管理者可以依照实际的需求调性设置。

侠诺路由器产品中有默认的网络存取规则条例，网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3…。依序做规则判断，所以前后顺序是让您在做访问规则的设定规划中必须要考虑的，以避免您想开启或关闭的功能失效。

图一：访问规则设置，是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器，更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担，更可增加内网的安全性。

对于采用NAT产生私网IP，或称虚拟IP地址的计算机或内部服务器，则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为，以避免员工上网降低生产力，或是带进不必要的病毒或攻击，这对很多网管来说是必要的。配置群组的功能，可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络，而行政部门人员只能以邮件与外部连络等。这个管制动作，对于很多企业也是可以节省很多损失的一种配置。

二、时间管制设定

对于内网的管制，可以加强企业网络的安全性，但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性，例如下班时间，允许较大的权限可以上网，例如全部员工，在下班时间都可以观看网页，这时即可使用时间管制设定功能。

侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的，网管必须在配置规则时就一并把作业时间设好。值得注意的是，这个规则是24小时制的，因此若需要跨过午夜零点，最好设定上半夜及下半夜两条规则，以免发生冲突或是不如预期的情况。

图二：时间管制设定是依附在每一条存取服务规则下的，针对每个规则都可以规定生效的时间。适当地组合时间管制，可为内部上网管理增加弹性。