中小企業安全路由器防火牆

防火牆的概念對於大企業的網管並不陌生，但是對於中小企業還是較陌生的。不過隨著路由器效能持續公升級，很多路由器都可以扮演防火牆的功能，為企業網路安全多一層把關。對於中小企業而言，由於資訊的限制及資訊化的程度不同，因此運用防火牆的方式和大企業有所不同。相對而言，中小企業希望能利用防火牆達到最基本的安全防護，又希望適度的對內部使用者加以限制，也可達到廣義資訊保安的目的。

qno俠諾整合一般中小企業在防火牆方面常碰到的問題，及對應qno俠諾安全路由器的功能，介紹中小企業可在路由器防火牆方面進行的配置如下：

項次問題功能

1開放(公網)ip位址伺服器及主機，如何保護?訪問服務規則

2私有ip位址及伺服器，如何管制?對內的管制需要定時，如何配置?如何阻擋特定的應用服務?訪問服務規則、管制內容時間排程、阻擋特定服務

3最近有許多常見的攻擊，例如arp攻擊、dos攻擊，如何進行防禦的配置?洪水攻擊閥值機制、語音告警功能

4如何減少攻擊對路由器效能的影響?對於廣播應用，如何開放路由器防火牆?防火牆基本配置

5除了路由器外，如何進行整體的配置，減少企業網路受到外掛程式的破壞?防火牆基本配置

以下針對不同功能，予以介紹

5.1防火牆訪問規則

有些企業內部使用固定ip位址，例如isp發放公網ip區域、dmz的伺服器、開放一對一nat的伺服器等，由於需要對網際網路上使用者開放服務，必須使用固定ip。公開雖然有好處，但相對的也容易成為惡意人士攻擊的目標，因此若是企業網路有這樣配置的伺服器或是計算機，就必須先加以保護。

要保護公網ip伺服器或是計算機，第乙個要作的就是除了保留要提供服務的tcp/udp埠，之外的網路埠全部封掉，以避免伺服器受到攻擊。例如提供網頁伺服器，只要保留80埠的服務讓外界訪問即可，其它的都加以封閉。另外，如果能限定開放服務只是特定的使用者，例如其它分公司的使用者，也可以只允許特定使用者進入，再次降低受到攻擊的可能性。

俠諾路由器產品中有預設的網路訪問規則條例，網管可以選擇關閉(deny)或是允許(allow)來調整使用者對網際網路的訪問。管理者可以自定訪問規則並且超越路由器的預設訪問條件規則。在做規則確認時是依照由前到後 1-2-3…。依序做規則判斷，所以前後順序是讓您在做訪問規則的設定規劃中必須要考慮的，以避免您想開啟或關閉的功能失效。

圖一：訪問規則設定，是最基本阻擋不必要訪問的基本工具。對於使用公網ip的伺服器，更是必須設定的基本專案。減少訪問不但可以降低路由器的工作負擔，更可增加內網的安全性。

對於採用nat產生私網ip，或稱虛擬ip位址的計算機或內部伺服器，則主要需進行內網使用者的配置。主要的目的在於管控內網使用者上網的行為，以避免員工上網降低生產力，或是帶進不必要的病毒或攻擊，這對很多網管來說是必要的。配置群組的功能，可以為不同部門的人員配置不同的訪問許可權。例如業務部允許上網及使用skype、msn及郵件與客戶連絡，而行政部門人員只能以郵件與外部連絡等。這個管制動作，對於很多企業也是可以節省很多損失的一種配置。

5.2時間管制設定

對於內網的管制，可以加強企業網路的安全性，但是對員工而言就顯得較為不方便。因此有些網管需要對防火牆設定增加一些彈性，例如下班時間，允許較大的許可權可以上網，例如全部員工，在下班時間都可以**網頁，這時即可使用時間管制設定功能。

俠諾路由器產品支援的時間管制是隨著每條訪問服務規則一起的，網管必須在配置規則時就一併把作業時間設好。值得注意的是，這個規則是24小時制的，因此若需要跨過午夜零點，最好設定上半夜及下半夜兩條規則，以免發生衝突或是不如預期的情況。

圖二：時間管制設定是依附在每一條訪問服務規則下的，針對每個規則都可以規定生效的時間。適當地組合時間管制，可為內部上網管理增加彈性。

5.3阻擋特定服務

圖三: 本圖可以看出內部網路192.168.1.2~100的 ip將不提供msn及時資訊服務功能，中小企業可以按照需要對內網ip的這幾個特定服務做擋定設定。

5.4洪水攻擊閥值機制及語音告警

syn flood及新版的arp攻擊是近來企業最常面臨的洪水攻擊。syn flood是dos(拒絕服務攻擊)與ddos(分布式拒絕服務攻擊)方式之一，其攻擊方式是利用tcp協議缺陷，傳送大量偽造的tcp連線請求，從而使得被攻擊方資源耗盡，cpu滿負荷或記憶體不足。arp攻擊則是基於arp協議特性，攻擊方向受攻擊計算機不斷傳送欺詐性質的arp資料報，資料報內包含有與當前裝置重複的mac位址，使對方在響應報文時，由於簡單的位址重複錯誤而導致不能進行正常的網路通訊。

qno俠諾引入路由器產品的一些功能，能讓使用者有更多彈性因應這些新形態的攻擊作相對的配置。以下針對不同的攻擊說明這些新匯入的功能。

·洪水攻擊防禦的加強：洪水攻擊屬於dos攻擊的一種，它利用網路協議缺陷，通過傳送大量的半連線請求，耗費cpu和記憶體資源。受攻的擊路由器將忙於處理攻擊者偽造的tcp連線請求而無暇理睬客戶的正常請求，或最後產生tcp/ip堆疊溢位崩潰宕機。

另外，以往的攻擊往往利用tcp協議進行，最近發現udp及icmp的攻擊形式也漸漸增加，因此在產品中加進了這個功能。

·mac/ip欺騙型arp攻擊防禦的加強：arp攻擊利用廣播封包，影響網路的運作。俠諾之前推廣了雙向繫結的因應之道，即在客戶端及路由器端都必須進行arp協議的繫結，可預防受到干擾。但是新版arp變型攻擊軟體採取自動變換ip及mac的方式，不斷發出網路包給路由器，讓路由器忙於處理無用的資料報，而影響正常的運作。

在俠諾新版的軟體中，加入了自動判別的功能，可以不理會非正常mac或ip所發出的資料報，也不加以**，可減少攻擊所產生的影響。使用者可在配置路由器時，進行學習功能，並確認正當的ip及mac，之後路由器即可拒絕其它的網路包，以降低arp攻擊的影響。一旦本機制作用，受到影響的只會是發動攻擊的計算機，因為忙於攻擊而運作緩慢，但是其它使用者不會受到影響。

·語音告警功能：新版qno俠諾路由器內建發音功能，配合以上的功能，在第一時間可以針對新型態攻擊阻擋，同時會以語音發出遭受攻擊的訊息。此時網管可實時知道會受到攻擊的情況，並可通過日誌功能找出有問題的**，加以隔離，並有效控制受害。俠諾強調同時在抵擋攻擊及實時通知兩方面都要作好，才能真正協助使用者改善網路安全問題。

5.5基本設定

對於企業網管來說，必須要根據不同的需求進行路由器的配置，但事實上，路由器做的事越多，效能就受到越大的影響。例如廣播應用的網路包，如果允許進入內容，則對路由器效能及內網安全都造成威脅，因此qno俠諾路由器的基本配置功能可讓網管選擇是否開啟一些常見的服務，取得路由器效能及安全之間的平衡。

在基本設定功能中，有以下設定：防火牆功能及spi封包偵測是進行細部頻寬管理及訪問規則需要的，關閉這二個功能將使部份功能無法運作，但可得到最好的效能，適用於另外配接防火牆的企業;dos偵測功能，會記錄是否受到不正常網路包的攻擊，特定情況下需用到;關閉對外的封包響應，可避免外部占用路由器資源的攻擊，進一步增加效能及安全性;允許multicast封包"功能"則是針對對應播應用;允許廣播封包通透;最後防止arp攻擊必須配合客戶端計算機繫結，有效對付arp攻擊。

圖五：qno俠諾路由器的基本配置功能可讓網管選擇是否開啟一些常見的服務，取得路由器效能及安全之間的平衡。

5.6防火牆相關整體配置

· 配合三層交換管制網路：國內許多中大型網咖採用三層交換機作為骨幹交換機，由於三層交換機也具備許多管制功能，因此如能善用三層交換機之功能，也可較好的針對攻擊加以抵抗。有些網管在使用時，只是把三層交換機當成一般的交換機使用，有些可惜!

小結

對於大企業而言，防火牆扮演了企業網路安全重要角色，而安全路由器對於中小企業而言，可以較經濟的花費，達到需要的管制功能，不失為乙個方便的解決方案。qno俠諾不斷地為中小企業引入原本貴不及的功能，也希望為中小企業網路安全，發揮進步改善的作用。

中小企業安全路由器防火牆

學習中小企業安全路由器的基本配置方法

路由器的防火牆作用

Linux PIX防火牆，路由器等配置

中小企業安全路由器防火牆

學習中小企業安全路由器的基本配置方法

路由器的防火牆作用

Linux PIX防火牆，路由器等配置

相關推薦