中小企业安全路由器防火墙

现在的位置: 首页 > 综合 > 正文

中小企业安全路由器防火墙

2013年10月15日 ⁄ 综合 ⁄ 共 4128字 ⁄ 字号小中大 ⁄ 评论关闭

　　防火墙的概念对于大企业的网管并不陌生，但是对于中小企业还是较陌生的。不过随着路由器性能持续升级，很多路由器都可以扮演防火墙的功能，为企业网络安全多一层把关。对于中小企业而言，由于信息的限制及信息化的程度不同，因此运用防火墙的方式和大企业有所不同。相对而言，中小企业希望能利用防火墙达到最基本的安全防护，又希望适度的对内部用户加以限制，也可达到广义信息安全的目的。

　　Qno侠诺整合一般中小企业在防火墙方面常碰到的问题，及对应Qno侠诺安全路由器的功能，介绍中小企业可在路由器防火墙方面进行的配置如下：

　　项次问题功能

　　1开放(公网)IP地址服务器及主机，如何保护?存取服务规则

　　2私有IP地址及服务器，如何管制?对内的管制需要定时，如何配置?如何阻挡特定的应用服务?存取服务规则、管制内容时间排程、阻挡特定服务

　　3最近有许多常见的攻击，例如ARP攻击、DoS攻击，如何进行防御的配置?洪水攻击阀值机制、语音告警功能

　　4如何减少攻击对路由器效能的影响?对于广播应用，如何开放路由器防火墙?防火墙基本配置

　　5除了路由器外，如何进行整体的配置，减少企业网络受到外挂程序的破坏?防火墙基本配置

　　以下针对不同功能，予以介绍

　　5.1防火墙访问规则

　　有些企业内部使用固定IP地址，例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等，由于需要对互联网上用户开放服务，必须使用固定IP。公开虽然有好处，但相对的也容易成为恶意人士攻击的目标，因此若是企业网络有这样配置的服务器或是计算机，就必须先加以保护。

　　要保护公网IP服务器或是计算机，第一个要作的就是除了保留要提供服务的TCP/UDP端口，之外的网络端口全部封掉，以避免服务器受到攻击。例如提供网页服务器，只要保留80端口的服务让外界存取即可，其它的都加以封闭。另外，如果能限定开放服务只是特定的用户，例如其它分公司的用户，也可以只允许特定用户进入，再次降低受到攻击的可能性。

　　在Qno侠诺路由器上，这个功能可使用路由器中网络存取规则条例工具进行配置，存取规则可以依据不同的条件来过滤，例如可以设定封包要管制的进出方向是从内部到外部，还是从外部到内部，或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制，管理者可以依照实际的需求调性设置。

　　侠诺路由器产品中有默认的网络存取规则条例，网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3…。依序做规则判断，所以前后顺序是让您在做访问规则的设定规划中必须要考虑的，以避免您想开启或关闭的功能失效。

点击放大此图片

　　图一：访问规则设置，是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器，更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担，更可增加内网的安全性。

　　对于采用NAT产生私网IP，或称虚拟IP地址的计算机或内部服务器，则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为，以避免员工上网降低生产力，或是带进不必要的病毒或攻击，这对很多网管来说是必要的。配置群组的功能，可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络，而行政部门人员只能以邮件与外部连络等。这个管制动作，对于很多企业也是可以节省很多损失的一种配置。

　　5.2时间管制设定

　　对于内网的管制，可以加强企业网络的安全性，但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性，例如下班时间，允许较大的权限可以上网，例如全部员工，在下班时间都可以观看网页，这时即可使用时间管制设定功能。

　　侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的，网管必须在配置规则时就一并把作业时间设好。值得注意的是，这个规则是24小时制的，因此若需要跨过午夜零点，最好设定上半夜及下半夜两条规则，以免发生冲突或是不如预期的情况。

点击放大此图片

　　图二：时间管制设定是依附在每一条存取服务规则下的，针对每个规则都可以规定生效的时间。适当地组合时间管制，可为内部上网管理增加弹性。

　　5.3阻挡特定服务

　　如果觉得一一设置阻挡很不方便，侠诺路由器提供一键挡特定的服务功能，可以通过设置将MSN、Skype、QQ、BT下载这些服务挡住，以方便用户的管理设置，以最简单的方法起到管制的作用。阻挡特定服务是以勾选的方法,决定限制那些服务,另外还提供有排除功能,可以排除特定IP用户,例如公司老板或是高管等。

点击放大此图片

　　图三: 本图可以看出内部网络192.168.1.2~100的 IP将不提供MSN及时信息服务功能，中小企业可以按照需要对内网IP的这几个特定服务做挡定设置。

　　5.4洪水攻击阀值机制及语音告警

　　SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一，其攻击方式是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽，CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性，攻击方向受攻击计算机不断发送欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在响应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

　　Qno侠诺引入路由器产品的一些功能，能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。

　　·洪水攻击防御的加强：洪水攻击属于DOS攻击的一种，它利用网络协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，或最后产生TCP/IP堆栈溢出崩溃死机。

　　针对这种攻击，Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制，用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包，设定阀值，如果超过特定阀值，则阻挡该IP或是整个网络的上网需求。在这个设定中，具有关键地位的是针对单一IP设定的阀值，根据侠诺的技术支持经验发现，设定在每秒2000个包，应可有效抵抗攻击。值得注意的是，当设定阀值太低时，对于QQ视频或是相似的应用，会产生影响，因此也不能设定太低。

点击放大此图片

　　图四：要对抗洪水攻击，必须针对大量发出网络包的IP地址加以管制，除了TCP协议外，现在UDP及ICMP网络协议的攻击也很普遍。

　　另外，以往的攻击往往利用TCP协议进行，最近发现UDP及ICMP的攻击形式也渐渐增加，因此在产品中加进了这个功能。

　　·MAC/IP欺骗型ARP攻击防御的加强：ARP攻击利用广播封包，影响网络的运作。侠诺之前推广了双向绑定的因应之道，即在客户端及路由器端都必须进行ARP协议的绑定，可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式，不断发出网络包给路由器，让路由器忙于处理无用的数据包，而影响正常的运作。

　　在侠诺新版的软件中，加入了自动判别的功能，可以不理会非正常MAC或IP所发出的数据包，也不加以转发，可减少攻击所产生的影响。用户可在配置路由器时，进行学习功能，并确认正当的IP及MAC，之后路由器即可拒絶其它的网络包，以降低ARP攻击的影响。一旦本机制作用，受到影响的只会是发动攻击的计算机，因为忙于攻击而运作缓慢，但是其它用户不会受到影响。

　　·语音告警功能：新版Qno侠诺路由器内建发音功能，配合以上的功能，在第一时间可以针对新型态攻击阻挡，同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况，并可通过日志功能找出有问题的来源，加以隔离，并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好，才能真正协助用户改善网络安全问题。

　　5.5基本设置

　　对于企业网管来说，必须要根据不同的需求进行路由器的配置，但事实上，路由器做的事越多，效能就受到越大的影响。例如广播应用的网络包，如果允许进入内容，则对路由器效能及内网安全都造成威胁，因此Qno侠诺路由器的基本配置功能可让网管选择是否开启一些常见的服务，取得路由器效能及安全之间的平衡。

　　在基本设定功能中，有以下设定：防火墙功能及SPI封包侦测是进行细部带宽管理及存取规则需要的，关闭这二个功能将使部份功能无法运作，但可得到最好的效能，适用于另外配接防火墙的企业;DoS侦测功能，会记录是否受到不正常网络包的攻击，特定情况下需用到;关闭对外的封包响应，可避免外部占用路由器资源的攻击，进一步增加效能及安全性;允许Multicast封包"功能"则是针对对应播应用;允许广播封包通透;最后防止ARP攻击必须配合客户端计算机绑定，有效对付ARP攻击。

点击放大此图片