網(wǎng)絡(luò)安全,對于中小企業(yè)網(wǎng)管來說已是一門必修課。本文作者收集了Qno俠諾在中國各地支持企業(yè)用戶的心得,供讀者參考。首先,我們從基本配置談起,即路由器的廣域網(wǎng)及局域網(wǎng)如何進行配置,主要的目的,讓中小企業(yè)用戶在進行規(guī)劃時,就能善用路由器的各種功能,提供給內(nèi)部用戶更好的網(wǎng)絡(luò)服務(wù),提升企業(yè)的經(jīng)營效益。
綜合Qno俠諾技術(shù)服務(wù)部的實際支持經(jīng)驗,一般中小企業(yè)在進行安全路由器的基本配置時,需要特別注意的有廣域網(wǎng)端、局域網(wǎng)端及公共服務(wù)器三個方面。以下分別就這三個方面加以介紹。
一、廣域網(wǎng)端
廣域網(wǎng)端就是路由器對外接到網(wǎng)絡(luò)運營商的線路。廣域網(wǎng)線路也是寬帶接入的主要路徑,因此若是發(fā)生掉線或是擁塞,則企業(yè)的寬帶接入就會中斷!這個情況對于有些企業(yè)會發(fā)生很大的困擾。因此廣域網(wǎng)端在安全的首要思維,就是如何確保線路的穩(wěn)定,維持企業(yè)在各種情況下的運作。
大部份中小企業(yè),由于上網(wǎng)人數(shù)較小、或是經(jīng)費有限,因此大多采用單線ADSL即可。企業(yè)對帶寬的需要較大,或是對于網(wǎng)絡(luò)要求較高的,例如服務(wù)業(yè)或是外貿(mào)行業(yè),則可能采用相對費用較高的光纖。根據(jù)Qno俠諾支持用戶的經(jīng)驗,發(fā)現(xiàn)以下情況,較傾向采用多WAN線路的配置:
偶而需要大量上/下載:由于信息化的結(jié)果,很多企業(yè)需要不時進行大量的上下載的操作。例如成都的某礦產(chǎn)商貿(mào)公司每天下班時,需要上傳銷售報告及存貨數(shù)據(jù),需要較多的時間。又例如位于寧波的某民營企業(yè),經(jīng)常需要從國外客戶的服務(wù)器下載設(shè)計圖作為生產(chǎn)之用。當要進行下載時,網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響,因此可申請兩條線路:一般情況下兩條線路都開放作為用戶上網(wǎng)用;但是當需要進行特別工作時,則可加以管制,保留特定的線路給大量上下載的工作,以確保重要的數(shù)據(jù)能準時傳送。采用多WAN配置后,網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況,就可大大減少了!
有跨網(wǎng)問題時:山東濟南某農(nóng)產(chǎn)品的商貿(mào)公司,常常需要和在北京的總部建立VPN聯(lián)機,但是不知道為什么,聯(lián)機總是很不穩(wěn)定,常常數(shù)據(jù)還沒傳完,又得重新聯(lián)機。這種情況,很可能就是VPN建立跨過不同的運營商網(wǎng)絡(luò)所產(chǎn)生的不穩(wěn)定問題,例如總部采用網(wǎng)通的線路,而分支采用電信的線路,跨網(wǎng)帶寬不足,而產(chǎn)生的現(xiàn)象。這種情況,也可采用多WAN路由器解決,即總部同時接入網(wǎng)通及電信的線路,屬于網(wǎng)通線路的外點從網(wǎng)通的入口建立VPN,電信的外點則從電信線路建VPN,這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。
需要備援時:多WAN線路的另一個優(yōu)點是提供備援功能。一個常見的情況是有些地區(qū)運營商會增送光纖用戶ADSL線路,這時就可以光纖配合ADSL作備援,在前者發(fā)生故障時,以ADSL先頂著用。有的用戶則希望用不同運營商的線路,這樣在A運營商線路或機房發(fā)生問題時,可以B運營商線路替代。對于某些行業(yè),例如媒體行業(yè),需要隨時可以上網(wǎng),這個功能就顯得尢為重要。
AD帶寬不足時:一般企業(yè)用ADSL來的多,根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小,例如64K/64K的線路,對于企業(yè)應(yīng)用顯然不足,不過申請光纖又比幾條ADSL還來得貴,在這種情況下,利用多WAN路由器匯聚多條ADSL線路,不失為一可行又省錢的方法。
由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線,因此對于企業(yè)上網(wǎng)有決定性的重要。Qno俠諾的市場調(diào)查顯示,現(xiàn)階段很多企業(yè)對于無線寬帶接入,例如3G或是WiMax都表示了相當?shù)呐d趣,希望能用無線接入作為有線接入的輔助,這或多或少也代表了企業(yè)對于廣域網(wǎng)端接入的重視及期望。
二、局域網(wǎng)端
局域網(wǎng)端則是對內(nèi)接到企業(yè)用戶的線路,有些路由器本身有局域網(wǎng)端口,可下接交換機;有的網(wǎng)管則會將路由器先接到骨干交換機,再向下接到一般的交換機。以上這兩種作法均可,后者適合較大的吞吐量的應(yīng)用情況,一般的企業(yè)應(yīng)用,路由器的局域端口是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置,這是較為簡單的。
Qno俠諾技術(shù)服務(wù)人員的經(jīng)驗指出,要進行一個好的安全網(wǎng)絡(luò)的配置,IP的管理是頂重要的。IP就是計算機在互聯(lián)網(wǎng)的地址,因此要能有效管理地址,才能預(yù)防攻擊或針對有問題的計算機加以管制。對于網(wǎng)管而言,在IP管理方面要注意的事項,主要為計算機采用固定IP地址、DHCP服務(wù)器發(fā)放固定IP、防止未允許的計算機上網(wǎng)及群組管理等四個重要項目,以下分別進行說明:
計算機采用固定IP地址:計算機采用固定IP地址,是最嚴密的配置方式。這個作法,必須要求用戶在計算機中手動鍵入IP地址相關(guān)數(shù)據(jù)。這樣做的好處是每臺機器的IP都必須是事先指定,沒有事先指定的IP,則無法上網(wǎng),外來的用戶或是計算機不能輕易地通過企業(yè)網(wǎng)絡(luò)上網(wǎng)。不過對于用戶而言,必須要設(shè)定固定IP,到其它場合又要重新設(shè)定,對于部份常需要移動的用戶,例如業(yè)務(wù)人員或是高階主管,造成不小的困擾。
DHCP服務(wù)器發(fā)放固定IP:DHCP服務(wù)器的好處是用戶無需在計算機上作任何設(shè)置,對于用戶較方便。但是DHCP的缺點是若不加以管制,隨便一個用戶也能進入企業(yè)的網(wǎng)絡(luò),也容易發(fā)動對內(nèi)部的攻擊,造成影響。因此對于企業(yè)而言,較好的方式是通過DHCP發(fā)放IP地址,但同時限定計算機能取得的IP地址,以便進行管理。Qno俠諾路由器的IP/MAC綁定功能,即可以根據(jù)網(wǎng)管的配置,認明計算機的MAC地址發(fā)放特定的IP,這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP,以取得較高權(quán)限問題,錯誤的MAC/IP組合,將會被路由器“封鎖錯誤MAC地址”阻擋,這個功能也可防止ARP攻擊。
防止未允許的計算機上網(wǎng):對于網(wǎng)管而言,未被管制的計算機,經(jīng)常引發(fā)安全問題。有些用戶會自行帶入中毒的計算機,甚至其它樓層用戶通過無線網(wǎng)絡(luò)進入公司網(wǎng)絡(luò)。這樣的情況,可通過防止未允許的計算機上網(wǎng)來解決。Qno俠諾的IP/MAC綁定功能中,提供“封鎖不在對應(yīng)表列中MAC地址”功能,達到網(wǎng)管未配置的MAC地址完全無法上網(wǎng)的作用。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938270.gif") 498)this.style.width=498;" border=0> |
| Qno俠諾路由器的IP/MAC綁定功能 |
圖一:Qno俠諾路由器的IP/MAC綁定功能,網(wǎng)管可將用戶的IP及MAC地址鍵入,這樣可以達到使用DHCP服務(wù)時,每次發(fā)放固定IP給用戶。另外“封鎖錯誤MAC地址”及“封鎖不在對應(yīng)表列中MAC地址”則可提供更進階的功能,提供進一層的安全保障。
群組管理:除了IP/MAC綁定,可有效管制用戶外,另外適當采用群組的功能,也能更方便的對用戶加以管理。例如Qno俠諾提供的IP群組功能,就能將不同的IP用戶設(shè)為不同群組,例如企業(yè)高階主管設(shè)為一組、業(yè)務(wù)部門設(shè)為一組、內(nèi)部行政人員設(shè)為一組。不同群組的用戶,適用不同的管制權(quán)限或是帶寬管理原則,這個功能可以大幅簡化管理工作,也可避免管制時出現(xiàn)漏網(wǎng)之魚的現(xiàn)象。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938271.gif") 498)this.style.width=498;" border=0> |
| IP群組功能 |
圖二:IP群組功能,可將不同IP用戶分類為不同群組,并加以命名,通過群組的管理,一次達到全面性的管制功能。也可避免因為配置的漏失,而產(chǎn)生安全的漏洞。
三、內(nèi)部建置公開服務(wù)器
以前,或許只有較大的企業(yè)才會設(shè)置公開的服務(wù)器,讓外部的用戶存取。但是信息化的普及讓中小企業(yè)也可能架設(shè)不同的公開服務(wù)器給外部的用戶。例如圖文件交換、技術(shù)更新信息、報告繳交等都可通過架設(shè)公開服務(wù)器的方式達成。
企業(yè)要提供公開的服務(wù),必須要有一個固定的地址讓互聯(lián)網(wǎng)用戶建立在服務(wù)器地址欄。一般的方式是使用IP地址或是域名來作為辨別,但是這兩種方法對于中小企業(yè)都較為昂貴,每個月的費用較高。還好DDNS的出現(xiàn),可允許企業(yè)用動態(tài)IP,即使使用ADSL取得動態(tài)IP,也可讓用戶以記憶域名的方式來存取服務(wù)器。Qno俠諾也提了動態(tài)域名DDNS的服務(wù)給企業(yè)用戶,現(xiàn)正進行最后階段的測試工作,將于近日內(nèi)開放給Qno俠諾的用戶,請讀者拭目以待。
以下針對不同的需要,說明內(nèi)部建置公開服務(wù)器的配置,主要分為有固定公網(wǎng)IP、提供一個公開服務(wù)器及提供多個公開服務(wù)器等三種情況說明:
有一個或多個固定公網(wǎng)IP,相對較高等級的安全性:若有多個固定IP,又想將服務(wù)器隔離到外網(wǎng),得到最高的安全性,則可透過Qno俠諾路由器的硬件DMZ端口,連接到一個或多個服務(wù)器,這樣完全隔離,外部用戶網(wǎng)絡(luò)封包完全不會進入內(nèi)網(wǎng),可得到最高的安全性。這種應(yīng)用最安全,但是筆者發(fā)現(xiàn)對于網(wǎng)管來說也是最不熟悉的。
有一個或多個固定公網(wǎng)IP,允許以內(nèi)部服務(wù)器向外公開:有些應(yīng)用希望服務(wù)器能很方便地被內(nèi)網(wǎng)及外網(wǎng)的用戶存取,而又有固定公網(wǎng)IP可用時,則可采用One to one NAT的功能,將內(nèi)網(wǎng)服務(wù)器與公網(wǎng)IP產(chǎn)生對應(yīng)關(guān)系,這樣這個服務(wù)器對于外網(wǎng)用戶,就像公網(wǎng)服務(wù)器,而對內(nèi)網(wǎng)用戶,則像內(nèi)網(wǎng)服務(wù)器一般。這種配置相當方便,故十分普及,但由于沒有適當?shù)母綦x,因此需要作一些帶寬或是限制的防火墻設(shè)定,以增加安全性。
使用DDNS提供多個公開服務(wù)器,需要較高安全性:企業(yè)若采用ADSL上網(wǎng),則往往沒有固定IP使用,必須申請動態(tài)域名服務(wù)。Qno俠諾用戶可向俠諾進行申請相關(guān)服務(wù)。虛擬服務(wù)器一次開放限定網(wǎng)絡(luò)端口,因此對于不正常的端口要求,可以不予理會,相對安全性也較高。這適合特定的服務(wù)器端口使用。采用虛擬服務(wù)器功能技術(shù)上,可以開放內(nèi)部多個服務(wù)器。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938272.gif") 498)this.style.width=498;" border=0> |
| 虛擬服務(wù)器是以網(wǎng)絡(luò)服務(wù)端口對應(yīng) |
圖三:虛擬服務(wù)器是以網(wǎng)絡(luò)服務(wù)端口對應(yīng)的方式,開放到內(nèi)部的服務(wù)器上,由于只開放有限的端口,因此可得到較高的安全性。
使用DDNS配合動態(tài)IP提供一個不特定端口公開服務(wù)器,安全性要求低:有些應(yīng)用并沒有特定端口,服務(wù)器會依應(yīng)用的需要自行和客戶端軟件決定溝通端口,這時就不能用虛擬服務(wù)器。典型的例子是視頻監(jiān)控,或遠程數(shù)碼攝像頭,大多采用特殊的端口,這時只好把所有端口服務(wù)的要求,通過“內(nèi)部DMZ服務(wù)器”功能,轉(zhuǎn)到該服務(wù)器去。這個功能是軟件DMZ,不用連接到實體的DMZ口,而是指向一部內(nèi)部服務(wù)器。但由于所有端口開放,安全性也較低,建議要設(shè)置對應(yīng)的防火墻管制規(guī)則才好。這個功能一個WAN口只能提供一個服務(wù)器使用。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938273.gif") 498)this.style.width=498;" border=0> |
| DMZ服務(wù)器適合網(wǎng)絡(luò)攝像頭 |
圖四:DMZ服務(wù)器適合網(wǎng)絡(luò)攝像頭等,不確定端口的應(yīng)用,但相對安全必須作對應(yīng)的防火墻配置。
以上針對廣域網(wǎng)、局域網(wǎng)及開放服務(wù)器三方面,對中小企業(yè)安全路由器的功能,常遇到的一些問題,作了初步的介紹。相信對于企業(yè)網(wǎng)管,有相當?shù)膸椭:罄m(xù),我們還會根據(jù)用戶需求,來談?wù)勚行∑髽I(yè)安全路由器“配置及管理”相關(guān)的功能。如果您是企業(yè)的網(wǎng)絡(luò)管理或者技術(shù)人員,在技術(shù)方面需要探討或者咨詢,可以登陸www.qno.cn網(wǎng)站,我們有在線技術(shù)論壇,直接到我們的技術(shù)支持進行在線交流。
