網絡安全,對于中小企業網管來說已是一門必修課。本文作者收集了Qno俠諾在中國各地支持企業用戶的心得,供讀者參考。首先,我們從基本配置談起,即路由器的廣域網及局域網如何進行配置,主要的目的,讓中小企業用戶在進行規劃時,就能善用路由器的各種功能,提供給內部用戶更好的網絡服務,提升企業的經營效益。
綜合Qno俠諾技術服務部的實際支持經驗,一般中小企業在進行安全路由器的基本配置時,需要特別注意的有廣域網端、局域網端及公共服務器三個方面。以下分別就這三個方面加以介紹。
一、廣域網端
廣域網端就是路由器對外接到網絡運營商的線路。廣域網線路也是寬帶接入的主要路徑,因此若是發生掉線或是擁塞,則企業的寬帶接入就會中斷!這個情況對于有些企業會發生很大的困擾。因此廣域網端在安全的首要思維,就是如何確保線路的穩定,維持企業在各種情況下的運作。
大部份中小企業,由于上網人數較小、或是經費有限,因此大多采用單線ADSL即可。企業對帶寬的需要較大,或是對于網絡要求較高的,例如服務業或是外貿行業,則可能采用相對費用較高的光纖。根據Qno俠諾支持用戶的經驗,發現以下情況,較傾向采用多WAN線路的配置:
偶而需要大量上/下載:由于信息化的結果,很多企業需要不時進行大量的上下載的操作。例如成都的某礦產商貿公司每天下班時,需要上傳銷售報告及存貨數據,需要較多的時間。又例如位于寧波的某民營企業,經常需要從國外客戶的服務器下載設計圖作為生產之用。當要進行下載時,網管一般都不希望受到一般用戶上網或下載影響,因此可申請兩條線路:一般情況下兩條線路都開放作為用戶上網用;但是當需要進行特別工作時,則可加以管制,保留特定的線路給大量上下載的工作,以確保重要的數據能準時傳送。采用多WAN配置后,網管加班在辦公室等待數據傳送的情況,就可大大減少了!
有跨網問題時:山東濟南某農產品的商貿公司,常常需要和在北京的總部建立VPN聯機,但是不知道為什么,聯機總是很不穩定,常常數據還沒傳完,又得重新聯機。這種情況,很可能就是VPN建立跨過不同的運營商網絡所產生的不穩定問題,例如總部采用網通的線路,而分支采用電信的線路,跨網帶寬不足,而產生的現象。這種情況,也可采用多WAN路由器解決,即總部同時接入網通及電信的線路,屬于網通線路的外點從網通的入口建立VPN,電信的外點則從電信線路建VPN,這樣即可解決跨網帶寬小或不穩定的情況。
需要備援時:多WAN線路的另一個優點是提供備援功能。一個常見的情況是有些地區運營商會增送光纖用戶ADSL線路,這時就可以光纖配合ADSL作備援,在前者發生故障時,以ADSL先頂著用。有的用戶則希望用不同運營商的線路,這樣在A運營商線路或機房發生問題時,可以B運營商線路替代。對于某些行業,例如媒體行業,需要隨時可以上網,這個功能就顯得尢為重要。
AD帶寬不足時:一般企業用ADSL來的多,根據統計顯示中小企業寬帶用戶增加最多的就是采用ADSL上網。但有些地區提供的ADSL相對帶寬顯得較小,例如64K/64K的線路,對于企業應用顯然不足,不過申請光纖又比幾條ADSL還來得貴,在這種情況下,利用多WAN路由器匯聚多條ADSL線路,不失為一可行又省錢的方法。
由于廣域網端為企業上網唯一的路線,因此對于企業上網有決定性的重要。Qno俠諾的市場調查顯示,現階段很多企業對于無線寬帶接入,例如3G或是WiMax都表示了相當的興趣,希望能用無線接入作為有線接入的輔助,這或多或少也代表了企業對于廣域網端接入的重視及期望。
二、局域網端
局域網端則是對內接到企業用戶的線路,有些路由器本身有局域網端口,可下接交換機;有的網管則會將路由器先接到骨干交換機,再向下接到一般的交換機。以上這兩種作法均可,后者適合較大的吞吐量的應用情況,一般的企業應用,路由器的局域端口是可以隨著帶寬轉發的。因此在硬件配置,這是較為簡單的。
Qno俠諾技術服務人員的經驗指出,要進行一個好的安全網絡的配置,IP的管理是頂重要的。IP就是計算機在互聯網的地址,因此要能有效管理地址,才能預防攻擊或針對有問題的計算機加以管制。對于網管而言,在IP管理方面要注意的事項,主要為計算機采用固定IP地址、DHCP服務器發放固定IP、防止未允許的計算機上網及群組管理等四個重要項目,以下分別進行說明:
計算機采用固定IP地址:計算機采用固定IP地址,是最嚴密的配置方式。這個作法,必須要求用戶在計算機中手動鍵入IP地址相關數據。這樣做的好處是每臺機器的IP都必須是事先指定,沒有事先指定的IP,則無法上網,外來的用戶或是計算機不能輕易地通過企業網絡上網。不過對于用戶而言,必須要設定固定IP,到其它場合又要重新設定,對于部份常需要移動的用戶,例如業務人員或是高階主管,造成不小的困擾。
DHCP服務器發放固定IP:DHCP服務器的好處是用戶無需在計算機上作任何設置,對于用戶較方便。但是DHCP的缺點是若不加以管制,隨便一個用戶也能進入企業的網絡,也容易發動對內部的攻擊,造成影響。因此對于企業而言,較好的方式是通過DHCP發放IP地址,但同時限定計算機能取得的IP地址,以便進行管理。Qno俠諾路由器的IP/MAC綁定功能,即可以根據網管的配置,認明計算機的MAC地址發放特定的IP,這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP,以取得較高權限問題,錯誤的MAC/IP組合,將會被路由器“封鎖錯誤MAC地址”阻擋,這個功能也可防止ARP攻擊。
防止未允許的計算機上網:對于網管而言,未被管制的計算機,經常引發安全問題。有些用戶會自行帶入中毒的計算機,甚至其它樓層用戶通過無線網絡進入公司網絡。這樣的情況,可通過防止未允許的計算機上網來解決。Qno俠諾的IP/MAC綁定功能中,提供“封鎖不在對應表列中MAC地址”功能,達到網管未配置的MAC地址完全無法上網的作用。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938270.gif") 498)this.style.width=498;" border=0> |
| Qno俠諾路由器的IP/MAC綁定功能 |
圖一:Qno俠諾路由器的IP/MAC綁定功能,網管可將用戶的IP及MAC地址鍵入,這樣可以達到使用DHCP服務時,每次發放固定IP給用戶。另外“封鎖錯誤MAC地址”及“封鎖不在對應表列中MAC地址”則可提供更進階的功能,提供進一層的安全保障。
群組管理:除了IP/MAC綁定,可有效管制用戶外,另外適當采用群組的功能,也能更方便的對用戶加以管理。例如Qno俠諾提供的IP群組功能,就能將不同的IP用戶設為不同群組,例如企業高階主管設為一組、業務部門設為一組、內部行政人員設為一組。不同群組的用戶,適用不同的管制權限或是帶寬管理原則,這個功能可以大幅簡化管理工作,也可避免管制時出現漏網之魚的現象。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938271.gif") 498)this.style.width=498;" border=0> |
| IP群組功能 |
圖二:IP群組功能,可將不同IP用戶分類為不同群組,并加以命名,通過群組的管理,一次達到全面性的管制功能。也可避免因為配置的漏失,而產生安全的漏洞。
三、內部建置公開服務器
以前,或許只有較大的企業才會設置公開的服務器,讓外部的用戶存取。但是信息化的普及讓中小企業也可能架設不同的公開服務器給外部的用戶。例如圖文件交換、技術更新信息、報告繳交等都可通過架設公開服務器的方式達成。
企業要提供公開的服務,必須要有一個固定的地址讓互聯網用戶建立在服務器地址欄。一般的方式是使用IP地址或是域名來作為辨別,但是這兩種方法對于中小企業都較為昂貴,每個月的費用較高。還好DDNS的出現,可允許企業用動態IP,即使使用ADSL取得動態IP,也可讓用戶以記憶域名的方式來存取服務器。Qno俠諾也提了動態域名DDNS的服務給企業用戶,現正進行最后階段的測試工作,將于近日內開放給Qno俠諾的用戶,請讀者拭目以待。
以下針對不同的需要,說明內部建置公開服務器的配置,主要分為有固定公網IP、提供一個公開服務器及提供多個公開服務器等三種情況說明:
有一個或多個固定公網IP,相對較高等級的安全性:若有多個固定IP,又想將服務器隔離到外網,得到最高的安全性,則可透過Qno俠諾路由器的硬件DMZ端口,連接到一個或多個服務器,這樣完全隔離,外部用戶網絡封包完全不會進入內網,可得到最高的安全性。這種應用最安全,但是筆者發現對于網管來說也是最不熟悉的。
有一個或多個固定公網IP,允許以內部服務器向外公開:有些應用希望服務器能很方便地被內網及外網的用戶存取,而又有固定公網IP可用時,則可采用One to one NAT的功能,將內網服務器與公網IP產生對應關系,這樣這個服務器對于外網用戶,就像公網服務器,而對內網用戶,則像內網服務器一般。這種配置相當方便,故十分普及,但由于沒有適當的隔離,因此需要作一些帶寬或是限制的防火墻設定,以增加安全性。
使用DDNS提供多個公開服務器,需要較高安全性:企業若采用ADSL上網,則往往沒有固定IP使用,必須申請動態域名服務。Qno俠諾用戶可向俠諾進行申請相關服務。虛擬服務器一次開放限定網絡端口,因此對于不正常的端口要求,可以不予理會,相對安全性也較高。這適合特定的服務器端口使用。采用虛擬服務器功能技術上,可以開放內部多個服務器。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938272.gif") 498)this.style.width=498;" border=0> |
| 虛擬服務器是以網絡服務端口對應 |
圖三:虛擬服務器是以網絡服務端口對應的方式,開放到內部的服務器上,由于只開放有限的端口,因此可得到較高的安全性。
使用DDNS配合動態IP提供一個不特定端口公開服務器,安全性要求低:有些應用并沒有特定端口,服務器會依應用的需要自行和客戶端軟件決定溝通端口,這時就不能用虛擬服務器。典型的例子是視頻監控,或遠程數碼攝像頭,大多采用特殊的端口,這時只好把所有端口服務的要求,通過“內部DMZ服務器”功能,轉到該服務器去。這個功能是軟件DMZ,不用連接到實體的DMZ口,而是指向一部內部服務器。但由于所有端口開放,安全性也較低,建議要設置對應的防火墻管制規則才好。這個功能一個WAN口只能提供一個服務器使用。
![""]("http://network.51cto.com/files/uploadimg/20070207/0938273.gif") 498)this.style.width=498;" border=0> |
| DMZ服務器適合網絡攝像頭 |
圖四:DMZ服務器適合網絡攝像頭等,不確定端口的應用,但相對安全必須作對應的防火墻配置。
以上針對廣域網、局域網及開放服務器三方面,對中小企業安全路由器的功能,常遇到的一些問題,作了初步的介紹。相信對于企業網管,有相當的幫助。后續,我們還會根據用戶需求,來談談中小企業安全路由器“配置及管理”相關的功能。如果您是企業的網絡管理或者技術人員,在技術方面需要探討或者咨詢,可以登陸www.qno.cn網站,我們有在線技術論壇,直接到我們的技術支持進行在線交流。
