中小企業安全路由器防火牆

2021-04-12 23:58:15 字數 3705 閱讀 4226

防火牆的概念對於大企業的網管並不陌生,但是對於中小企業還是較陌生的。不過隨著路由器效能持續公升級,很多路由器都可以扮演防火牆的功能,為企業網路安全多一層把關。對於中小企業而言,由於資訊的限制及資訊化的程度不同,因此運用防火牆的方式和大企業有所不同。相對而言,中小企業希望能利用防火牆達到最基本的安全防護,又希望適度的對內部使用者加以限制,也可達到廣義資訊保安的目的。

qno俠諾整合一般中小企業在防火牆方面常碰到的問題,及對應qno俠諾安全路由器的功能,介紹中小企業可在路由器防火牆方面進行的配置如下:

項次問題功能

1開放(公網)ip位址伺服器及主機,如何保護?訪問服務規則

2私有ip位址及伺服器,如何管制?對內的管制需要定時,如何配置?如何阻擋特定的應用服務?訪問服務規則、管制內容時間排程、阻擋特定服務

3最近有許多常見的攻擊,例如arp攻擊、dos攻擊,如何進行防禦的配置?洪水攻擊閥值機制、語音告警功能

4如何減少攻擊對路由器效能的影響?對於廣播應用,如何開放路由器防火牆?防火牆基本配置

5除了路由器外,如何進行整體的配置,減少企業網路受到外掛程式的破壞?防火牆基本配置

以下針對不同功能,予以介紹

5.1防火牆訪問規則

有些企業內部使用固定ip位址,例如isp發放公網ip區域、dmz的伺服器、開放一對一nat的伺服器等,由於需要對網際網路上使用者開放服務,必須使用固定ip。公開雖然有好處,但相對的也容易成為惡意人士攻擊的目標,因此若是企業網路有這樣配置的伺服器或是計算機,就必須先加以保護。

要保護公網ip伺服器或是計算機,第乙個要作的就是除了保留要提供服務的tcp/udp埠,之外的網路埠全部封掉,以避免伺服器受到攻擊。例如提供網頁伺服器,只要保留80埠的服務讓外界訪問即可,其它的都加以封閉。另外,如果能限定開放服務只是特定的使用者,例如其它分公司的使用者,也可以只允許特定使用者進入,再次降低受到攻擊的可能性。

俠諾路由器產品中有預設的網路訪問規則條例,網管可以選擇關閉(deny)或是允許(allow)來調整使用者對網際網路的訪問。管理者可以自定訪問規則並且超越路由器的預設訪問條件規則。在做規則確認時是依照由前到後 1-2-3…。依序做規則判斷,所以前後順序是讓您在做訪問規則的設定規劃中必須要考慮的,以避免您想開啟或關閉的功能失效。

圖一:訪問規則設定,是最基本阻擋不必要訪問的基本工具。對於使用公網ip的伺服器,更是必須設定的基本專案。減少訪問不但可以降低路由器的工作負擔,更可增加內網的安全性。

對於採用nat產生私網ip,或稱虛擬ip位址的計算機或內部伺服器,則主要需進行內網使用者的配置。主要的目的在於管控內網使用者上網的行為,以避免員工上網降低生產力,或是帶進不必要的病毒或攻擊,這對很多網管來說是必要的。配置群組的功能,可以為不同部門的人員配置不同的訪問許可權。例如業務部允許上網及使用skype、msn及郵件與客戶連絡,而行政部門人員只能以郵件與外部連絡等。這個管制動作,對於很多企業也是可以節省很多損失的一種配置。

5.2時間管制設定

對於內網的管制,可以加強企業網路的安全性,但是對員工而言就顯得較為不方便。因此有些網管需要對防火牆設定增加一些彈性,例如下班時間,允許較大的許可權可以上網,例如全部員工,在下班時間都可以**網頁,這時即可使用時間管制設定功能。

俠諾路由器產品支援的時間管制是隨著每條訪問服務規則一起的,網管必須在配置規則時就一併把作業時間設好。值得注意的是,這個規則是24小時制的,因此若需要跨過午夜零點,最好設定上半夜及下半夜兩條規則,以免發生衝突或是不如預期的情況。

圖二:時間管制設定是依附在每一條訪問服務規則下的,針對每個規則都可以規定生效的時間。適當地組合時間管制,可為內部上網管理增加彈性。

5.3阻擋特定服務

圖三: 本圖可以看出內部網路192.168.1.2~100的 ip將不提供msn及時資訊服務功能,中小企業可以按照需要對內網ip的這幾個特定服務做擋定設定。

5.4洪水攻擊閥值機制及語音告警

syn flood及新版的arp攻擊是近來企業最常面臨的洪水攻擊。syn flood是dos(拒絕服務攻擊)與ddos(分布式拒絕服務攻擊)方式之一,其攻擊方式是利用tcp協議缺陷,傳送大量偽造的tcp連線請求,從而使得被攻擊方資源耗盡,cpu滿負荷或記憶體不足。arp攻擊則是基於arp協議特性,攻擊方向受攻擊計算機不斷傳送欺詐性質的arp資料報,資料報內包含有與當前裝置重複的mac位址,使對方在響應報文時,由於簡單的位址重複錯誤而導致不能進行正常的網路通訊。

qno俠諾引入路由器產品的一些功能,能讓使用者有更多彈性因應這些新形態的攻擊作相對的配置。以下針對不同的攻擊說明這些新匯入的功能。

·洪水攻擊防禦的加強:洪水攻擊屬於dos攻擊的一種,它利用網路協議缺陷,通過傳送大量的半連線請求,耗費cpu和記憶體資源。受攻的擊路由器將忙於處理攻擊者偽造的tcp連線請求而無暇理睬客戶的正常請求,或最後產生tcp/ip堆疊溢位崩潰宕機。

另外,以往的攻擊往往利用tcp協議進行,最近發現udp及icmp的攻擊形式也漸漸增加,因此在產品中加進了這個功能。

·mac/ip欺騙型arp攻擊防禦的加強:arp攻擊利用廣播封包,影響網路的運作。俠諾之前推廣了雙向繫結的因應之道,即在客戶端及路由器端都必須進行arp協議的繫結,可預防受到干擾。但是新版arp變型攻擊軟體採取自動變換ip及mac的方式,不斷發出網路包給路由器,讓路由器忙於處理無用的資料報,而影響正常的運作。

在俠諾新版的軟體中,加入了自動判別的功能,可以不理會非正常mac或ip所發出的資料報,也不加以**,可減少攻擊所產生的影響。使用者可在配置路由器時,進行學習功能,並確認正當的ip及mac,之後路由器即可拒絕其它的網路包,以降低arp攻擊的影響。一旦本機制作用,受到影響的只會是發動攻擊的計算機,因為忙於攻擊而運作緩慢,但是其它使用者不會受到影響。

·語音告警功能:新版qno俠諾路由器內建發音功能,配合以上的功能,在第一時間可以針對新型態攻擊阻擋,同時會以語音發出遭受攻擊的訊息。此時網管可實時知道會受到攻擊的情況,並可通過日誌功能找出有問題的**,加以隔離,並有效控制受害。俠諾強調同時在抵擋攻擊及實時通知兩方面都要作好,才能真正協助使用者改善網路安全問題。

5.5基本設定

對於企業網管來說,必須要根據不同的需求進行路由器的配置,但事實上,路由器做的事越多,效能就受到越大的影響。例如廣播應用的網路包,如果允許進入內容,則對路由器效能及內網安全都造成威脅,因此qno俠諾路由器的基本配置功能可讓網管選擇是否開啟一些常見的服務,取得路由器效能及安全之間的平衡。

在基本設定功能中,有以下設定:防火牆功能及spi封包偵測是進行細部頻寬管理及訪問規則需要的,關閉這二個功能將使部份功能無法運作,但可得到最好的效能,適用於另外配接防火牆的企業;dos偵測功能,會記錄是否受到不正常網路包的攻擊,特定情況下需用到;關閉對外的封包響應,可避免外部占用路由器資源的攻擊,進一步增加效能及安全性;允許multicast封包"功能"則是針對對應播應用;允許廣播封包通透;最後防止arp攻擊必須配合客戶端計算機繫結,有效對付arp攻擊。

圖五:qno俠諾路由器的基本配置功能可讓網管選擇是否開啟一些常見的服務,取得路由器效能及安全之間的平衡。

5.6防火牆相關整體配置

· 配合三層交換管制網路:國內許多中大型網咖採用三層交換機作為骨幹交換機,由於三層交換機也具備許多管制功能,因此如能善用三層交換機之功能,也可較好的針對攻擊加以抵抗。有些網管在使用時,只是把三層交換機當成一般的交換機使用,有些可惜!

小結

對於大企業而言,防火牆扮演了企業網路安全重要角色,而安全路由器對於中小企業而言,可以較經濟的花費,達到需要的管制功能,不失為乙個方便的解決方案。qno俠諾不斷地為中小企業引入原本貴不及的功能,也希望為中小企業網路安全,發揮進步改善的作用。 

學習中小企業安全路由器的基本配置方法

網路安全,對於中小企業網管來說已是一門必修課。本文作者收集了qno俠諾在中國各地支援企業使用者的心得,供讀者參考。首先,我們從基本配置談起,即路由器的廣域網及區域網如何進行配置,主要的目的,讓中小企業使用者在進行規劃時,就能善用路由器的各種功能,提供給內部使用者更好的網路服務,提公升企業的 經營效益...

路由器的防火牆作用

路由器通常支援乙個或者多個防火牆功能 它們可被劃分為用於 internet 連線的低端裝置和傳統的 高階路由器。低端路由器提供了用於阻止和允許特定 ip 位址和 埠號的基本防火牆功能,並使用 nat 來隱藏內部 ip 位址。它們通常將防火牆功能提供為標準的 為阻止來自 internet 的入侵進行了...

Linux PIX防火牆,路由器等配置

pix防火牆 配置 1 配置靜態ip位址翻譯命令 pix525 config static inside,outside inside ip address out ip address pix525 config static inside,outside 61.144.51.62 192.168...