扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
防火墙的概念对于大企业的网管并不陌生,但是对于中小企业还是较陌生的。不过随着路由器性能持续升级,很多路由器都可以扮演防火墙的功能,为企业网络安全多一层把关。对于中小企业而言,由于信息的限制及信息化的程度不同,因此运用防火墙的方式和大企业有所不同。相对而言,中小企业希望能利用防火墙达到最基本的安全防护,又希望适度的对内部用户加以限制,也可达到广义信息安全的目的。
Qno侠诺整合一般中小企业在防火墙方面常碰到的问题,及对应Qno侠诺安全路由器的功能,介绍中小企业可在路由器防火墙方面进行的配置如下:
项次 |
问题 |
功能 |
1 |
开放(公网)IP地址服务器及主机,如何保护? |
存取服务规则 |
2 |
私有IP地址及服务器,如何管制?对内的管制需要定时,如何配置?如何阻挡特定的应用服务? |
存取服务规则、管制内容时间排程、阻挡特定服务 |
3 |
最近有许多常见的攻击,例如ARP攻击、DoS攻击,如何进行防御的配置? |
洪水攻击阀值机制、语音告警功能 |
4 |
如何减少攻击对路由器效能的影响?对于广播应用,如何开放路由器防火墙? |
防火墙基本配置 |
5 |
除了路由器外,如何进行整体的配置,减少企业网络受到外挂程序的破坏? |
防火墙基本配置 |
一、防火墙访问规则
有些企业内部使用固定IP地址,例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等,由于需要对互联网上用户开放服务,必须使用固定IP。公开虽然有好处,但相对的也容易成为恶意人士攻击的目标,因此若是企业网络有这样配置的服务器或是计算机,就必须先加以保护。
要保护公网IP服务器或是计算机,第一个要作的就是除了保留要提供服务的TCP/UDP端口,之外的网络端口全部封掉,以避免服务器受到攻击。例如提供网页服务器,只要保留80端口的服务让外界存取即可,其它的都加以封闭。另外,如果能限定开放服务只是特定的用户,例如其它分公司的用户,也可以只允许特定用户进入,再次降低受到攻击的可能性。
在Qno侠诺路由器上,这个功能可使用路由器中网络存取规则条例工具进行配置,存取规则可以依据不同的条件来过滤,例如可以设定封包要管制的进出方向是从内部到外部,还是从外部到内部,或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制,管理者可以依照实际的需求调性设置。
侠诺路由器产品中有默认的网络存取规则条例,网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后
图一:访问规则设置,是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器,更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担,更可增加内网的安全性。
对于采用NAT产生私网IP,或称虚拟IP地址的计算机或内部服务器,则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为,以避免员工上网降低生产力,或是带进不必要的病毒或攻击,这对很多网管来说是必要的。配置群组的功能,可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络,而行政部门人员只能以邮件与外部连络等。这个管制动作,对于很多企业也是可以节省很多损失的一种配置。
二、时间管制设定
对于内网的管制,可以加强企业网络的安全性,但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性,例如下班时间,允许较大的权限可以上网,例如全部员工,在下班时间都可以观看网页,这时即可使用时间管制设定功能。
侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的,网管必须在配置规则时就一并把作业时间设好。值得注意的是,这个规则是24小时制的,因此若需要跨过午夜零点,最好设定上半夜及下半夜两条规则,以免发生冲突或是不如预期的情况。
图二:时间管制设定是依附在每一条存取服务规则下的,针对每个规则都可以规定生效的时间。适当地组合时间管制,可为内部上网管理增加弹性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。