學習中小企業安全路由器的基本配置方法

2021-04-12 18:50:01 字數 4169 閱讀 7066

網路安全,對於中小企業網管來說已是一門必修課。本文作者收集了qno俠諾在中國各地支援企業使用者的心得,供讀者參考。首先,我們從基本配置談起, 即路由器的廣域網及區域網如何進行配置,主要的目的,讓中小企業使用者在進行規劃時,就能善用路由器的各種功能,提供給內部使用者更好的網路服務,提公升企業的 經營效益。

綜合qno俠諾技術服務部的實際支援經驗,一般中小企業在進行安全路由器的基本配置時,需要特別注意的有廣域網端、區域網端及公共伺服器三個方面。以下分別就這三個方面加以介紹。

一、廣域網端

廣域網端就是路由器對外置到網路運營商的線路。廣域網線路也是寬頻接入的主要路徑,因此若是發生掉線或是擁塞,則企業的寬頻接入就會中斷!這個情況對於有些企業會發生很大的困擾。因此廣域網端在安全的首要思維,就是如何確保線路的穩定,維持企業在各種情況下的運作。

大部份中小企業,由於上網人數較小、或是經費有限,因此大多採用單線adsl即可。企業對頻寬的需要較大,或是對於網路要求較高的,例如服務業或是外貿行業,則可能採用相對費用較高的光纖。根據qno俠諾支援使用者的經驗,發現以下情況,較傾向採用多wan線路的配置:

有跨網問題時:山東濟南某農產品的商貿公司,常常需要和在北京的總部建立vpn聯機,但是不知道為什麼,聯機總 是很不穩定,常常資料還沒傳完,又得重新聯機。這種情況,很可能就是vpn建立跨過不同的運營商網路所產生的不穩定問題,例如總部採用網通的線路,而分支 採用電信的線路,跨網頻寬不足,而產生的現象。這種情況,也可採用多wan路由器解決,即總部同時接入網通及電信的線路,屬於網通線路的外點從網通的入口 建立vpn,電信的外點則從電信線路建vpn,這樣即可解決跨網頻寬小或不穩定的情況。

需要備援時:多wan線路的另乙個優點是提供備援功能。乙個常見的情況是有些地區運營商會增送光纖使用者adsl 線路,這時就可以光纖配合adsl作備援,在前者發生故障時,以adsl先頂著用。有的使用者則希望用不同運營商的線路,這樣在a運營商線路或機房發生問題 時,可以b運營商線路替代。對於某些行業,例如**行業,需要隨時可以上網,這個功能就顯得尢為重要。

ad頻寬不足時:一般企業用adsl來的多,根據統計顯示中小企業寬頻使用者增加最多的就是採用adsl上網。但 有些地區提供的adsl相對頻寬顯得較小,例如64k/64k的線路,對於企業應用顯然不足,不過申請光纖又比幾條adsl還來得貴,在這種情況下,利用 多wan路由器匯聚多條adsl線路,不失為一可行又省錢的方法。

由於廣域網端為企業上網唯一的路線,因此對於企業上網有決定性的重要。qno俠諾的市場調查顯示,現階段很多企業對於無線寬頻接入,例如3g或是wimax都表示了相當的興趣,希望能用無線接入作為有線接入的輔助,這或多或少也代表了企業對於廣域網端接入的重視及期望。

二、區域網端

區域網端則是對內接到企業使用者的線路,有些路由器本身有區域網埠,可下接交換機;有的網管則會將路由器先接到骨幹交換機,再向下接到一般的交換 機。以上這兩種作法均可,後者適合較大的吞吐量的應用情況,一般的企業應用,路由器的局域埠是可以隨著頻寬**的。因此在硬體配置,這是較為簡單的。

qno俠諾技術服務人員的經驗指出,要進行乙個好的安全網路的配置,ip的管理是頂重要的。ip就是計算機在網際網路的位址,因此要能有效管理位址, 才能預防攻擊或針對有問題的計算機加以管制。對於網管而言,在ip管理方面要注意的事項,主要為計算機採用固定ip位址、dhcp伺服器發放固定ip、防 止未允許的計算機上網及群組管理等四個重要專案,以下分別進行說明:

計算機採用固定ip位址:計算機採用固定ip位址,是最嚴密的配置方式。這個作法,必須要求使用者在計算機中手動 鍵入ip位址相關資料。這樣做的好處是每台機器的ip都必須是事先指定,沒有事先指定的ip,則無法上網,外來的使用者或是計算機不能輕易地通過企業網路上 網。不過對於使用者而言,必須要設定固定ip,到其它場合又要重新設定,對於部份常需要移動的使用者,例如業務人員或是高階主管,造成不小的困擾。

dhcp伺服器發放固定ip:dhcp伺服器的好處是使用者無需在計算機上作任何設定,對於使用者較方便。但是 dhcp的缺點是若不加以管制,隨便乙個使用者也能進入企業的網路,也容易發動對內部的攻擊,造成影響。因此對於企業而言,較好的方式是通過dhcp發放 ip位址,但同時限定計算機能取得的ip位址,以便進行管理。qno俠諾路由器的ip/mac繫結功能,即可以根據網管的配置,認明計算機的mac位址發 放特定的ip,這樣就可針對ip進行管理。同時ip/mac繫結功能也可防止使用者修改ip,以取得較高許可權問題,錯誤的mac/ip組合,將會被路由器 「封鎖錯誤mac位址」阻擋,這個功能也可防止arp攻擊。

防止未允許的計算機上網:對於網管而言,未被管制的計算機,經常引發安全問題。有些使用者會自行帶入中毒的計算 機,甚至其它樓層使用者通過無線網路進入公司網路。這樣的情況,可通過防止未允許的計算機上網來解決。qno俠諾的ip/mac繫結功能中,提供「封鎖不在 對應表列中mac位址」功能,達到網管未配置的mac位址完全無法上網的作用。

圖一 圖一:qno俠諾路由器的ip/mac繫結功能,網管可將使用者的ip及mac位址鍵入,這樣可以達到使用dhcp服務時,每次發放固定ip給使用者。另外「封鎖錯誤mac位址」及「封鎖不在對應表列中mac位址」則可提供更高階的功能,提供進一層的安全保障。

群組管理:除了ip/mac繫結,可有效管制使用者外,另外適當採用群組的功能,也能更方便的對使用者加以管理。例如qno俠諾提供的ip群組功能,就 能將不同的ip使用者設為不同群組,例如企業高階主管設為一組、業務部門設為一組、內部行政人員設為一組。不同群組的使用者,適用不同的管制許可權或是頻寬管理 原則,這個功能可以大幅簡化管理工作,也可避免管制時出現漏網之魚的現象。

圖二 圖二:ip群組功能,可將不同ip使用者分類為不同群組,並加以命名,通過群組的管理,一次達到全面性的管制功能。也可避免因為配置的漏失,而產生安全的漏洞。

三、內部建置公開伺服器

以前,或許只有較大的企業才會設定公開的伺服器,讓外部的使用者訪問。但是資訊化的普及讓中小企業也可能架設不同的公開伺服器給外部的使用者。例如**件交換、技術更新資訊、報告繳交等都可通過架設公開伺服器的方式達成。

企業要提供公開的服務,必須要有乙個固定的位址讓網際網路使用者建立在伺服器位址列。一般的方式是使用ip位址或是網域名稱來作為辨別,但是這兩種方法對於 中小企業都較為昂貴,每個月的費用較高。還好ddns的出現,可允許企業用動態ip,即使使用adsl取得動態ip,也可讓使用者以記憶網域名稱的方式來訪問服 務器。qno俠諾也提了動態網域名稱ddns的服務給企業使用者,現正進行最後階段的測試工作,將於近日內開放給qno俠諾的使用者,請讀者拭目以待。

以下針對不同的需要,說明內部建置公開伺服器的配置,主要分為有固定公網ip、提供乙個公開伺服器及提供多個公開伺服器等三種情況說明:

有乙個或多個固定公網ip,相對較高等級的安全性:若有多個固定ip,又想將伺服器隔離到外網,得到最高的安全性,則可透過qno俠諾路由器的硬體dmz埠,連線到乙個或多個伺服器,這樣完全隔離,外部使用者網路封包完全不會進入內網,可得到最高的安全性。這種應用最安全,但是筆者發現對於網管來說也是最不熟悉的。

有乙個或多個固定公網ip,允許以內部伺服器向外公開:有些應用希望伺服器能很方便地被內網及外網的使用者訪問, 而又有固定公網ip可用時,則可採用one to one nat的功能,將內網伺服器與公網ip產生對應關係,這樣這個伺服器對於外網使用者,就像公網伺服器,而對內網使用者,則像內網伺服器一般。這種配置相當方 便,故十分普及,但由於沒有適當的隔離,因此需要作一些頻寬或是限制的防火牆設定,以增加安全性。

使用ddns提供多個公開伺服器,需要較高安全性:企業若採用adsl上網,則往往沒有固定ip使用,必須申請 動態網域名稱服務。qno俠諾使用者可向俠諾進行申請相關服務。虛擬伺服器一次開放限定網路埠,因此對於不正常的埠要求,可以不予理會,相對安全性也較高。 這適合特定的伺服器端口使用。採用虛擬伺服器功能技術上,可以開放內部多個伺服器。

圖三 圖三:虛擬伺服器是以網路服務埠對應的方式,開放到內部的伺服器上,由於只開放有限的埠,因此可得到較高的安全性。

圖四 圖四:dmz伺服器適合網路攝像頭等,不確定埠的應用,但相對安全必須作對應的防火牆配置。

以上針對廣域網、區域網及開放伺服器三方面,對中小企業安全路由器的功能,常遇到的一些問題,作了初步的介紹。相信對於企業網管,有相當的幫助。後續,我們還會根據使用者需求,來談談中小企業安全路由器「配置及管理」相關的功能。

中小企業安全路由器防火牆

防火牆的概念對於大企業的網管並不陌生,但是對於中小企業還是較陌生的。不過隨著路由器效能持續公升級,很多路由器都可以扮演防火牆的功能,為企業網路安全多一層把關。對於中小企業而言,由於資訊的限制及資訊化的程度不同,因此運用防火牆的方式和大企業有所不同。相對而言,中小企業希望能利用防火牆達到最基本的安全防...

中小企業面臨的安全問題有哪些?

最近的研究表明,安全問題是中小型企業目前面臨的最大挑戰。來自企業內部和外部的動態變化的安全威脅隨時會給企業運營帶來巨大的災難,並最終影響企業的盈利能力和客戶滿意度。此外,中小型企業還要注意遵從為了保護消費者隱私和保障電子資訊保安而制定的各種法律法規。2 資訊竊取 資訊竊取是乙個大問題。網路黑客通過入...

多業務安全路由器閘道器走俏的原因

多業務安全路由器閘道器 成為近年來的大熱產品。深究其原因,主要包括兩方面 其一 易於部署。大多數多業務路由器具備3g功能,而3g功能在某些應用場景中能發揮意想不到的作用。以環保行業為例,某市環保局啟動汽車尾氣監控系統,為配合該專案,要在全市各主要道路旁新建多個檢測站。這就是問題所在 監測點與總部之間...