中小企业安全路由器基本配置 - 网络设备管理 - - 网络管理

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络管理 » 网络设备管理 » 中小企业安全路由器基本配置 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 09:44　　标题：中小企业安全路由器基本配置
＜上一帖 | 下一帖＞

一般中小企业在进行安全路由器的基本配置时，需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方面加以介绍……

　　网络安全对于中小企业网管来说，已是必修的一门课。本系列文章集结Qno侠诺在中国各地支持企业用户的心得，提供给读者参考。本篇文章先从基本配置谈起，也就是路由器的广域网及局域网如何进行配置，旨在让中小企业用户在进行规划时，就能善用路由器的各种功能，提供给内部用户更好的网络服务，提升企业的经营效益。
　　综合Qno侠诺技术服务部的实际支持经验，一般中小企业在进行安全路由器的基本配置时，需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方面加以介绍。
　　1.1广域网端
　　广域网端就是路由器对外接往网络运营商的线路。广域网线路也是宽带接入的主要路径，因此若是发生掉线或是拥塞，则企业的宽带接入就会中断!这个状况对于有些企业会产生很大的困扰。因此广域网端在安全上的首要思维，就是如何确保线路的稳定，维持企业在各种情况下的运作。
　　大部份的中小企业，由于上网人数较少、或是经费有限，因此大多采用单线ADSL即可。如服务业或是外贸行业等企业对带宽的需要较大，或是对于网络要求较高的，则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验，当发生以下情况时，较倾向采用多WAN线路的配置：
　　需要大量上/下载时：
　　由于信息化的结果，很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时，需要上传销售报告及存货数据，需要较多的时间。又例如位于宁波的某民营企业，时时需要从国外客户的服务器，下载设计图面作为生产之用。当要进行下载时，网管一般都不希望受到一般用户上网或下载影响，因此可申请二条线路：一般情况下二条线路都开放作为用户上网用;但是当需要进行特别工作时，则可加以管制，保留特定的线路给大量上下载的工作，以确保重要的数据能准时传送。采用多WAN配置后，网管加班在办公室等待数据传送的情况，就可大大减少了!
　　有跨网问题时：
　　笔者有次到山东济南时，有位用户说他们的企业是一个农产品的商贸公司，常常需要和在北京的总部建立VPN联机，但是不知道为什么，总是联机很不稳定，常常数据还没传完，又得重新联机。这种情况，很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题，例如总部采用网通的线路，而分支采用电信的线路，跨网带宽不足，而产生的现象。这种情况，也可采用多WAN路由器解决，即总部同时接入网通及电信的线路，属于网通线路的外点从网通的入口建立VPN，电信的外点则从电信线路建VPN，这样即可解决跨网带宽小或不稳定的情况。
　　需要备援时：
　　多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会给光纤用户增送ADSL线路，这时就可以ADSL配合光纤作备援，在前者发生故障时，以ADSL先顶着用。有的用户则希望用不同运营商的线路，这样在A运营商线路或机房发生问题时，可以B运营商线路替代。对于某些行业，例如媒体行业，需要随时可以上网，这个功能就十分地需要。
　　AD带宽不足时：
　　一般企业用ADSL来的多，根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小，例如64K/64K的线路，对于企业应用显然不足，不过申请光纤又比几条ADSL还来得贵，在这种情况下，利用多WAN路由器汇聚多条ADSL线路，不失为一可行又省钱的方法。
　　由于广域网端为企业上网唯一的路线，因此对于企业上网有决定性的重要性。Qno侠诺的市场调查显示，现阶段很多企业对于无线宽带接入，例如3G或是WiMax都表示了相当的兴趣，希望能用无线接入作为有线接入的辅助，这或多或少也代表了企业对于广域网端接入的重视及期望。
　　1.2局域网端
　　局域网端则是对内接到企业用户的线路，有些路由器本身有局域网端口，可下接交换机;有的网管则会将路由器先接到骨干交换机，再向下接到一般的交换机。以上这两种作法均可，后者适合较大吞吐量的应用情况，一般的企业应用，路由器的局域端口是可以因应带宽转发的。在硬件配置，这是较为简单的。
　　侠诺的技术服务人员的经验指出，要进行一个好的安全网络的配置，IP的管理是很重要的。IP就是计算机在互联网的地址，因此要能有效管理地址，才能预防攻击或针对有问题的计算器机加以管制。对于网管而言，在IP管理方面要注意的事项，主要为计算机采用固定IP地址、DHCP服务器发放固定IP地址、防止未允许的计算机上网及群组管理等四个重要项目，以下分别为之说明：
　　计算器采用固定IP地址：
　　计算器采用固定IP地址，是最严密的配置方式。这个作法，必须要求用户在计算机中，手动键入IP地址相关数据。这样作的好处是每台机器的IP都必须是事先指定，没有事先指定的IP，则无法上网，外来的用户或是计算器不能轻易地通过企业网络上网。不过对于用户而言，必须要设定固定IP，到其它场合，又必须重新设定，对于部份常需要移动的用户，例如业务人员或是高阶主管，造成不小的困扰。
　　DHCP服务器发放固定IP地址：
　　DHCP服务器的好处是用户无需在计算机上作任何设置，对于用户较方便。但是DHCP的缺点是若不加以管制，随便一个用户也能进入企业的网络，也容易发动对内部的攻击，造成影响。因此对于企业而言，较好的方式是通过DHCP发放IP地址，但同时限定计算器能取得的IP地址，以便进行管理。Qno侠诺路由器产品的IP/MAC绑定功能，即可以经由网管的配置，认明计算器的MAC地址发放特定的IP，这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP，以取得较高权限问题，错误的MAC/IP组合，将会被路由器"封锁错误MAC地址"阻挡，这个功能也可防止ARP攻击。
　　防止未允许的计算机上网：
　　对于网管而言，未被管制的计算机，往往会引发安全的问题。有些用户会自行带入中毒的计算机，甚至其它用户通过无线网络进入公司网络。这样的情况，可通过防止未允许的计算机上网来解决。Qno侠诺的IP/MAC绑定功能中，提供有"封锁不在对应列表中的MAC地址"的功能，达到网管未配置的MAC地址，完全无法上网的作用。

　　图一： Qno侠诺路由器的IP/MAC绑定功能，网管可将用户的IP及MAC地址键入，这样可以达到使用DHCP服务时，每次发放固定IP给用户。另外提供的"封锁错误MAC地址"及"封锁不在对应列表中MAC地址"则可提供更进阶的功能，提供进一层的安全保障。
　　群组管理：
　　除了IP/MAC绑定，可有效管制用户外，适当采用群组的功能，也能更方便的对用户加以管理。例如Qno侠诺提供的IP群组功能，就能将不同的IP用户设为不同群组，例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户，适用不同的管制权限或是带宽管理原则，这样可以大幅简化管理工作，也可避免管制时出现漏网之鱼的现象。

　　图二：IP群组功能，可将不同IP用户分类为不同群组，并加以命名，经由群组的管理，以达到全面性的管制功能。也可避免因为配置的漏失，而产生安全的漏洞。
　　1.3内部建置公开服务器
　　以往可能较大的企业才会设置公开的服务器，让外部的用户存取。但是信息化的普及让中小企业也可能要架设不同的公开服务器给外部的用户。例如像图文件交换、技术更新信息、报告缴交等都可经由架设公开服务器的方式达成。
　　企业要提供公开的服务，必须提供一个固定的IP地址让互联网用户键入在服务器地址栏。一般的方式是使用IP地址或是域名来作为辨别，但是这两种方法对于中小企业都较为昂贵，每个月的费用较高。还好DDNS的出现，可允许企业用动态IP，即使使用ADSL取得动态IP，也可让用户以记忆域名的方式来存取服务器。Qno侠诺也将提供动态域名DDNS的服务给企业用户，现正进行最后阶段的测试工作，将于近日内开放给侠诺的用户，请读者拭目以待。
　　以下针对不同的需要，说明内部建置公开服务器的配置，主要分为有固定公网IP、提供一个公开服务器、及提供多个公开服务器等情况说明：
　　有一个或多个固定公网IP，想要较高等级的安全性：
　　若有多个固定IP，又想将服务器隔离到外网，得到最高的安全性，则可通过Qno侠诺路由器的硬件DMZ端口，连接到一个或多个服务器，这样完全隔离，外部用户网络封包完全不会进入内网，可得到最高的安全性。这种应用是最安全的，但是笔者发现对于网管来说也最不熟悉的。
　　有一个或多个固定公网IP，允许以内部服务器向外公开：
　　有些应用希望服务器能很方便地被内网及外网的用户存取，而又有固定公网IP可用时，则可采用One to one NAT的功能，将内网服务器与公网IP产生对应关系，这样这个服务器对于外网用户，就像公网服务器，而对内网用户，则像内网服务器一般。这种配置相当方便，故十分普及，但由于没有适当的隔离，因此需要作一些带宽或是限制的防火墙设定，以增加安全性。
　　使用DDNS提供多个公开服务器，需要较高安全性：
　　企业若采用ADSL上网，则往往没有固定IP使用，必须申请动态域名服务。Qno侠诺用户可向侠诺进行申请相关服务。虚拟服务器一次开放限定网络端口，因此对于不正常的端口要求，可以不予理会，相对安全性也较高。这适合特定的服务器端口使用。采用虚拟服务器功能技术上，可以开放内部多个服务器。

　　图三：虚拟服务器是以网络服务端口对应的方式，开放到内部的服务器上，由于只开放有限的端口，因此可得到较高的安全性。
　　使用DDNS配合动态IP提供一个不特定端口公开服务器，安全性要求低：
　　有些应用并没有特定端口，服务器会依应用的需要自行和客户端软件决定沟通端口，这时就不能用虚拟服务器。典型的例子是视频监控，或远程数码摄像头，大多采用特殊的端口，这时只能把所有端口服务的要求，通过“内部DMZ服务器”功能，转到该服务器去。这个功能是软件DMZ，不用连接到实体的DMZ口，而是指向一部内部服务器。但由于所有端口开放，安全性也较低，建议要设置对应的防火墙管制规则才好。这个功能一个WAN口只能提供一个服务器使用。

　　图四：DMZ服务器适合网络摄像头等，不确定端口的应用，但相对安全必须作对应的防火墙配置。
　　以上针对广域网、局域网、及开放服务器三方面，就中小企业安全路由器的功能常遇到的一些问题，做了初步的介绍。相信对于企业网管，有相当的帮助。我们下一章节，来谈谈中小企业安全路由器“配置及管理”相关的功能。

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-8-16 09:44

1楼

[ 顶部 ]

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 09:45　

路由器的配置及管理，是网管进行路由器工作的第一步。这个简单的基本工作，在很多情况，都需要路由器的功能支持，才能达到安全方便的目的。因此对于一个网管而言，必须在购置路由器时，就选择具备足够功能的产品，才能在需要时进行配置。若是路由器的功能太简单，通常会造成网管工作上的困难，甚至是网络安全受到威胁的情况。
　　下表列出在配置及管理方面，常面临的一些问题及对应的解决功能：

项目
问题
　解决功能

1
使用窗口以外操作系统，是否可以操作?使用没有中文的操作系统是否可以操作?
中/英文Web页面管理

2
如何修改路由器密码?路由器密码遗忘如何处理?
登录密码的修改、恢复出厂值

3
如何在特殊情况知道路由器工作情况?重要情况如何通知网管?
系统日志

4
如何保存配置参数?如何告诉技术支持人员配置情形?
配置参数储存

5
如何在远程管控路由器?
远程管理配置、Qno动态域名服务
　　下面，我们以侠诺路由器为例，向大家一一介绍中小企业安全路由器配置及管理的详细说明与解答。
　　一、中/英文Web页面管理
　　侠诺路由器支持使用一般的IE及其它可观看互联网html格式的软件，因此可以支持不同的操作系统，例如Linux、Unix、AppleOS或是通过手机来进行操作。对于一些中小型企业来讲，提供中/英文Web页面的管理方便快捷的管理模式减少管理复杂烦琐的命令输入，即使非专业人员也可以通过简单的Web页面来管理我们的网络。对于有些企业而言，会把设备寄送到国外的子公司，这时提供英文配置界面，就允许国外的员工进行配置。

图一
　　中/英文Web管理页面首页，可以根据用户需要选择自己合适的语言界面管理内部网络。
　　Web管理页面的首页可以进行路由器工作情况的了解及相关功能的配置，用户只要使用鼠标及键盘输入，即可有效的掌握路由器工作情况。以路由器工作情况显示而言，包括“系统信息”、“端口即时状态显示”、“基本项目配置状态显示”、“进阶项目配置状态显示”、“防火墙项目配置状态显示”、“VPN配置状态显示”、“Log记录配置状态显示”都会显示，网管从这些信息可以了解到路由器的基本工作状态。
　　二、路由器登录密码的修改
　　对于网络安全来讲，路由器的登录密码很重要，长时间的使用一个用户名以及密码是很危险的事情，难免会出现泄露的事情，所以网络管理人员得经常修改登录路由器的密码以避免类似的事情发生。我们强烈建议用户在启用路由器后即进行密码的修改，并在日后不定期进行密码的修改。
　　网管可进入路由器的管理界面，点击Qno侠诺路由器的“基本配置项目”菜单，即可看到其中的“密码设置”页面，输入原始“密码”、“新使用者名称”、“新密码”和“再次输入新密码”，确认新密码输入无误，点击“确定”后修改密码成功。

图二
　　侠诺路由器登录密码修改页面，注意：路由器默认出厂值“使用者名称”和“密码”均为“admin”。
　　三、硬件回复 (Reset) 按键
　　日常工作忙碌的网管，由于处理的事太多了，所以有时会忘记路由器的密码，这时常会发生无法进行配置的情况。在这种情况下，就必须使用位于产品正面上的硬件恢复键了。这个键是用于热开机及恢复原出厂默认值之用。因此忘记密码的网管必须执行“恢复原出厂默认值”的命令，清除路由器中的密码，就可以使用出厂密码进入了。不过，同时所有的设定参数也都会被清掉，必须重新进行配置。
　　当按下Reset按钮5秒，就会进行热开机动作，这时路由器会重新启动，灯号会进行动作，以Qno 侠诺FVR420v为例，DIAG 灯号呈现橘色灯号，慢慢闪烁。当按下Reset按钮10秒以上，则会执行回复原出厂默认值(Factory Default)，DIAG 灯号呈现橘色，灯号快闪。
　　因此若是密码忘记，将无法再登入至路由器的设定画面，必须按下面板上的 Reset按键十秒以上，恢复到出厂值(Factory Default)。下面，我们介绍如何事先把配置参数储存起来，以节省重新配置的工作。并且，网管最好将路由器放置于上锁或较为安全的空间，以避免被恶意人士进行系统热开机或是偷取。
　　四、系统配置参数文件储存
　　系统配置参数文件储存(Export Configuration File)，可将Qno侠诺路由器的所有配置参数储存。此功能为储存网管人员将Qno侠诺路由器的设定参数备份到计算机中，通常做路由器版本升级前或是完成所有配置，运作稳定后，请务必将您现在的路由器设定参数用此功能储存在计算机中! 只要在Qno侠诺路由器的“配置参数备份/恢复”的“系统配置参数文件储存”功能按下存储按钮，选择备份参数档案“config.exp”存放数据夹位置，按下储存即可。这个功能对于需要配置多路由器的用户也很方便，只要将参数存下，用邮件方式寄给其它路由器管理者，再进行ISP端相关的参数修改即可，用户管理、带宽管理及安全相关的配置都可以套用，方便又可增加安全性。

图三
　　Qno侠诺路由器的“配置参数备份/恢复”内有“系统配置参数文件储存”及“配置文件设定文件汇入”功能，可用于备份所有配置参数，方便又可增加安全度。
　　配置文件设定文件汇入(Import Configuration File)，此功能则可将之前所储存在计算机的备份设定参数内容回存到侠诺路由器中!选择“浏览”至备份参数档案“config.exp”存放数据夹，选择该档案后，按下“汇入”按钮则可做设定档案汇入。
　　五、日志管理
　　Qno侠诺路由器提供系统日志功能，网管员可以通过日志系统的相关功能即时监控系统状态及内外流量，确保内网运作无误，这可以确保整体系统的运作持续被监控。
　　Qno侠诺路由器支持系统日志(Syslog)服务器功能，设置如果得到的话，可有效帮助网管了解路由器日常运作发生了什么事，尤其是在不时受到攻击而产生掉线的情况下。在互联网上用“syslog 服务器”的搜索字词，即可找到很多相关的信息，协助网管架设一个日志服务器。网管只要键入系统日志服务器的IP或是网域名称，Qno侠诺路由器即会定时把工作日志记录在安全的服务器上。
　　除此之用，还包括电子邮件告警功能及系统日志配置的选项。电子邮件告警功能在系统安全受到威胁时立即通报，让网管能够第一时间及时反应，做到提前预警的功能。系统日志配置则用于选择日志要记录那些重要的事项，过度的选择将会使得日志档过大，而且占用储存空间;选择不足则导致记录不全，无法进行除错的工作，网管必须视需要决定。

图四
　　日志管理页面，对于注意安全的网管，可支持系统日志服务器的配置，完整记录路由器工作状况，在面对掉线或是攻击事件时有助于除错的进行。
　　六、远程管理配置
　　Qno侠诺路由器具备“远程管理及动态域名”、“服务配置”两个服务，网管即使再远，都可从家中或网吧的台式机进到公司内的路由器，了解工作情况并进行配置。
　　远程管理的概念很简单，就是允许网管能通过互联网，使用IE进入路由器的管理界面，进行管理。由于Qno侠诺路由器具备防火墙的功能，因此对于一般从广域网来的服务要求，是会加以拒絶的，因此要能进行远程管理，必须要路由器开启该功能才可。
　　网管可进入路由器的管理界面，点击Qno侠诺路由器的“防火墙配置”菜单，即可看到其中的“基本设定”页面，其中有一个“远程配置管理功能”，将这个功能加以激活，并储存配置，即可进行远程管理工作了。网管可以在家中，直接在在网址栏中键入公司路由器的广域网IP，再键入用户名及密码，即可进行管理。
　　注意：在开通远程管理的时候，其路由器原始出厂默认的用户名“admin”和密码“admin”不能支持远程登录，管理人员可以修改原始出厂的用户名和密码支持远程管理。

图五
　　远程配置管理功能，必须加以激活才能起作用，一般出厂是关闭的。侠诺的技术支持在进行远程服务时，也是采用这个功能。
　　值得一提的是，由于一般常见的网页应用都是使用服务端口80，如果遇到有心人士，只很容易就能进入键入用户名及密码的页面，这样增加了被外人入侵的风险。为了让外部人土找不到远程配置的入口，可以任意设置从1-65535的端口，互联网上其它人就无法找到入口处了。以上图的案例中，是设置为7181的。相对要从外面进行远程配置时，要在IP地址后加上“：7181”，表示指定7181服务端口。也就是在网址栏必须键入http://109.131.36.158:7181。
　　七、动态域名
　　有了远程配置，中小企业的网管还面临另一个问题，就是一般企业用的ADSL线路使用的为动态IP地址。也就是IP地址是会变动的，今天和明天的IP不一定相同，这个小时和下个小时的IP也不一定相同。那网管要从家中，根本就找不到路由器了，要如何进行管理呢?还好，为了这个问题，市面上提供了动态域名的服务，用户的IP即使时时变动，也能透过固定的域名，对应到特定的路由器，可解决以上的问题。用户可以登记例如company.ddns.org.cn的域名，就再也不用记IP地址了。
　　Qno侠诺路由器支持动态域名服务，为了服务侠诺用户，也建置了动态域名系统，提供给最新产品的用户使用。用户可到http://www.qno.cn/ddns上进行登记，即可拥有company.ddns.org.cn，可作远程登入，也可作为架设公共服务器使用。该服务未来也将在侠诺现有产品新的软件版本上使用。

图六
　　Qno侠诺提供动态域名服务，部份产品型号用户只要键入电子邮件及产品序列号，即可申请免费的侠诺动态域名服务。
　　同时，现有Qno侠诺路由器也支持免费的3322.org动态域名服务，用户也可申请。为一个WAN连络设定双重动态域名，可以起到动态域名备援的作用，进一止增加安全性。在路由器中，也必须在“进阶功能配置”菜单中的“DDNS动态域名解析服务中”，进行相关的设定，依动态域名服务做对应的配置，才能开始运作。
　　八、小结
　　熟悉配置管理，就好比开车熟悉车室内的方向盘及仪表板操作一样，不管在平时操作或面临安全威胁时，都可简化处理的时间及程序。因此，对于注重网络安全的网管而言，最好适当地了解相关的功能。

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-8-16 09:45

2楼

[ 顶部 ]

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 09:46　

对于中小企业的网络管理，用户的管理是一个很常见的问题。例如有限的IP如何分配?如何管制不同员工上网权限?如何阻挡访客使用企业网络?如何分派较多带宽给高管或是老总?这些问题，都在影响企业网络的安全，因此网管要保证网络的安全，就必须从基本把用户管理的工作做好。这些问题都可经由路由器的用户管理功能来达成。以下Qno侠诺科技就中小企业常遇到的用户管理问题，作全面性的介绍。
　　内部局域网上网用户的管理，可分为企业局域网内地址合理分配、内部新增上网用户管制、及内部上网用户有效管制三个方面。如果没有一套合理有效的管理机制，会在后面的网络管理及安全方面带来很多负面影响及经济损失。
　　总括来说，常见的用户管理问题及对应路由器功能如下：
　　用户管理常见问题对应产品功能
　　地址合理分配如何分配IP地址给用户?公网IP及虚拟IP如何共存?动态/静态IP地址分配、One-to-one NAT
　　新增用户管制如何阻挡非公司计算机上网?IP/MAC绑定功能
　　上网用户管制如何管理不同用户?如何保留带宽给重要人员?IP群组管理、QoS带宽管理
　　以上这些内部网络的管理都可以通过Qno侠诺路由器的相关功能来实现，达到确保网络安全的目的。Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址分配的不同需要。路由器还提供了IP组管理功能，解决不同部门需要不同上网权限的群组设置，方便统一管理。配合IP/MAC绑定功能避免内部网络滥用IP地址造成网络管理的困难，同时可以通过QoS的设定给内网用户上网一定的带宽管理，保证企业领导希望联网速度能够保持畅通不塞车，确保公司重要业务信息不致延迟、确保公司重要应用服务联机顺畅等。
　　1 IP地址分配
　　企业首先考虑的就是IP地址的分配管理，动态IP地址分配使用DHCP服务器，优点是客户端不需进行配置，只需配置服务器，配置简单。静态IP则必须在客户端进行IP配置，相对较严谨，管制较完全。
　　Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址分配的不同需要。Qno路由器提供动态IP地址分配机制(DHCP功能)，支持C类IP地址，可设置其IP地址分配的范围以及地址租约时间。进入“DHCP功能”的“DHCP配置”。

图一：DHCP配置显示发放范围在192.168.1.100~192.168.1.49间共50台电脑，地址租约时间为1440分钟。
　　通过“DHCP服务器状态显示”了解到内部网络IP地址分配情况，我们可以了解到DHCP服务器的相关情况以及内部网络用户的“主机名称”、“IP地址”、网卡“MAC地址”、“目前租约时间”。

图二：DHCP服务器状态显示。同时路由器还支持静态的IP分配功能，只要保证其IP地址不和DHCP范围冲突就好。
　　静态的IP分配，只要不激活DHCP功能即可。但是客户端配置的IP地址和路由器配置的范围必须相符。也可将DHCP功能与静态IP配合使用，即在整个路由器配置的IP范围中，部份使用DHCP发放，部份使用静态IP。例如厂内使用的计算机不常移动，可使用静态IP;业务人员计算机时常移动，则采用动态IP。
　　适当的IP地址分配，是后续安全管理的基础，适当地在安全性及便利性间取得平衡，这是必须达成的。
　　2 One-to-one NAT
　　有些企业具备几个公网IP，用来作特别的用途，例如总部服务器只能和固定公网IP联系，以加强安全性。在这种情况，往往发生公网IP不够办公室所有的计算机使用，这时就可以进行一对一NAT的配置，把几个公网IP对应到内部计算机，这时就可以达到公网IP与虚拟IP共同在局域网共存的目的了。
[/url]

图三：一对一NAT功能可允许公网IP和虚拟IP共同存在局域网，可适用于注重信息安全的通讯应用。
　　适当地利用这个功能，分隔不同的IP，可避免内部网络的数据外流。
　　3 IP/MAC绑定功能
　　DHCP服务器自动分配内部网络用户的IP地址，用户可以不用手动设置IP地址。但是DHCP是不容易管理，内部网络随意加入一个用户通过自动获得IP地址都能在DHCP范围里获得一个合法的IP地址。有些攻击者，会通过无线网络进入企业局域网。或是在静态的IP分配情况下，有些员工会自行修改成高管或领导的IP地址，以逃避管制。这些都是可以通过Qno侠诺路由器产品提供的IP/MAC绑定功能来因应，并达到安全管理的功能。
　　企业网管进行IP/MAC绑定，必须把企业内网计算机的MAC地址都键入到路由器，并与IP地址建立对照表。如果路由器发现来向DHCP服务器索取IP的计算机的MAC不在表列中，那么就不会予以响应。因此网管可把企业内的计算机MAC都进行绑定，那么外部的计算机就无法进入企业网络，也可避免内部员工自行修改IP以逃避管制的措施。
　　IP绑定的功能很简单，侠诺路由器“DHCP功能”的“DHCP配置”页面的“IP 与 MAC 绑定”，点击“显示新加入的IP地址”将内部网络的IP地址/MAC对应加入到IP 与 MAC 绑定列表中，同时也可以通过手动的模式加入。

图四：IP 与 MAC 绑定画面。您可以勾选“封锁在对应列表中IP地址，错误的MAC地址”防止内部网络用户修改IP地址逃避网络管理，如勾选“封锁不在对应列表中的MAC地址”，可以阻止内部网络中并没经过网管人员同意而加入的上网用户。
　　IP/MAC绑定功能为我们解决了其内网用户逃避管理以及管理可能加入的新上网用户等问题，也是安全管理一个必要的手段。
　　4 IP群组管理
　　企业网管大多希望给不同部门的人不同的权限，例如业务单位的需要较多对外联络，相对的制造单位或事务单位对外联络的需要较少。但是针对内部上网用户IP地址上网权限配置，工作量很大，输入过程中也容易出现错误，甚至有时出现遗漏的事情，这种情况下侠诺路由器的IP群组管理功能，可将多个用户，例如一个部门所有IP地址，组成一个群组解决这个问题。
　　比如一个企业的A部门分得的IP地址是192.168.1.100~192.168.1.110，B部门分到的IP地址是192.168.1.111~192.168.1.120，我们可以将这些连续的IP地址群组到一起，方便做统一的设置。减少网管人员的工作量，同时也避免繁多的IP地址输入容易出错。同时内部网络需要同时大量的IP地址需要做同样管理的时候就将这些连续的IP群组到一个组做相同设置。
　　侠诺路由器内“DHCP功能”的“DHCP配置”页面的“IP GROUP”,如图对应输入相关信息确定后就可完成IP群组的设置。
[url=http://searchsecurity.techtarget.com.cn/TLimages/picview/?/imagelist/2007/116/4301x938mq4t.jpg]

图五：IP群组管理设置画面。
　　5 QoS带宽管理功能
　　有些企业希望针对特定用户进行配置，例如内部网络特殊用户(比如经理、董事长等)给予大的带宽、内部网络用户选择特定WAN访问外部网络、特定线路留给特定的用户等等。通过QoS带宽管理功能能达到以上的功能。
　　Qno侠诺路由器可以允许选择设置内部网络的某一单个IP地址、一连串IP地址、或者某一IP群组，通过有效的管理上传与下载的速度来达到对带宽的管理功能，保证内网上网用户能够合理利用带宽，同时还可以确保特殊用户上网不受限制，保证足够的带宽使用。如可以为重要的高管设定较大的最小带宽，或是保留特定的广域网口给特定IP群组。

图六：带宽管理功能设置页面
　　小结
　　以上针对中小企业内部局域网用户的管理，以Qno侠诺安全路由器的功能，针对常遇到的一些问题，作了初步的介绍。相信对于企业网管在进行日常管理，有相当的帮助。用户管理是网络安全的最基本的工作，网管如能在一开始就把这方面的工作作到位，相信可以减少后续很多的问题。

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-8-16 09:46

3楼

[ 顶部 ]

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 10:50　

近年来，带宽的价格已经不像以前那么昂贵了。一般的中小企业，也能很轻易地使用ADSL的宽带服务于企业运作及业务上，以往高不可及的光纤价格也持续在下降。但是由于企业对互联网的依赖性有所增加，不同的对外联络都需要用到宽带服务，再加上更多音频视频应用、大文件交换，如VoIP、视频会议、设计图传送等等，这些都大量占用带宽，影响日常的工作。
　　有效优化带宽的应用的工作，我们称为带宽管理。网管追求的是将有限的带宽，应用在对公司有益或重要的应用上，而将效益较小或对企业营运有害的应用，予以限制。好的带宽管理，将使企业中重要的工作可得到足够的带宽，加速完成工作;而恶意占用带宽或员工为个人利益使用带宽的情况降到最少。这样对于企业而言，也是某个层次的安全，因此营运得以持续，企业不会有损失，甚至还可创造利润。
　　我们把一般中小企业网管常碰到的带宽管理问题列在下面，同时也列出Qno侠诺路由器对应可以使用的功能：

项目

问题

侠诺产品功能

1
如何判断整体带宽是否足够?如何进行最简易的带宽管理工作?
系统状态实时监控、动态智能QoS

2
如何阻挡MSN, QQ及实时通等应用?部份重要人士不需要管制如何处理?
单指键阻挡特定服务、排除功能、联机数管控

3
带宽不足情况下，如何予以优化?如何以最简单的方式,完成带宽管理工作?
带宽管理配置、动态智能QoS

4
如何阻挡大量下载如BT、点点通?如何有效限制QQ视频?如何针对新的网络应用，进行管制配置?
限制特定应用软件、动态智能QoS
　　4.1系统状态即时监控
　　对于网管来说，带宽管理最重要的工作，就是了解整体带宽是否足够。因为如果对外使用带宽不足，即使做再多配置，可能都无法解决问题。在侠诺路由器的“日志”功能中，有一个系统状态即时监控的功能，可以提供整体路由器系统运作信息。
　　在该功能的画面中，有一个显示“上传带宽使用率”及“下载带宽使用率”的信息，即可作为网管判断是否有对外带宽不足现象的依据。若是在正常的状况下，内部没有大量占用带宽的用户或是攻击，所有广域网连接带宽使用率，如果出现上传或下载持续超过80%的情况，表示企业所使用的对外带宽不足，有升级的必要。如果是多WAN的情况，则可经由适当的带宽管理，加以改善。

图一：侠诺路由器的“日志”功能中“系统状态即时监控”功能，可显示“上传带宽使用率”及“下载带宽使用率”的信息，即可作为网管判断是否有对外带宽有不足的现象。
　　4.2动态智能QoS
　　动态智能QoS是侠诺为了协助网管解决带宽管理配置，所推出的强大功能。它强调用户可以不管内部各种应用，只要填入基本带宽数字及单一用户的带宽容许比例，路由器即可自行进行依内部带宽使用，进行带宽管理的工作。
　　动态智能带宽管理强调，自动压抑占用带宽用户，来解决内网QoS管理，简化网管的管理工作。当某些用户占用带宽超过网管配置的阀值时，路由器即会限制该用户所使用的带宽一段时间，例如五分钟，以免带宽被少数的用户占用，影响其它用户的使用。对于持续有意占用带宽的用户，当有持续占用带宽的现象时，路由器即会启动二次惩罚，持续压抑该用户能使用的带宽，这种功能对于中了会持续占用带宽病毒的用户，可起到缩小损害的作用。另外动态智能QoS也支持定时的设计，可配置特定时间才启动带宽管理。
[/url]

图二：无需网管进行配置的智能型带宽管理Smart QoS功能。
　　4.3阻挡特定服务
　　侠诺路由器提供一键挡特定的服务功能，可以通过设置将MSN、Skype、QQ、BT下载这些服务挡住，以方便用户的管理设置。阻挡特定服务是以勾选的方法,决定限制那些服务,另外还提供有排除功能,可以排除特定IP用户,例如公司老板或是高管等。

图三：本图可以看出内部网络192.168.1.2~100的 IP将不提供MSN及时信息服务功能，中小企业可以按照需要对内网IP的这几个特定服务做挡定设置。
　　4.4联机数管控
　　另一个阻挡有害服务的控制, 是经由联机数管控来进行。联机数管控可以控制内网的计算器最多能同时建立的联机数。这个功能对网管人员在控制内网使用P2P软件(如BT、BT、emule等会造成大量发出联机数session的软件)提供了非常有效的管理。设置恰当的容许联机数可以有效控制P2P软件时所能产生的联机数，相对也使带宽使用量达到一定的限制。另外，若计算机中了类似冲击波的病毒而产生大量对外发联机请求时，也可以达到抑制作用。
　　当有内部IP对外联机数超过设定的联机数限制值时，路由器即会阻挡该IP上网一段时间，以管制带宽不被占用。联机数管控也可设定有效时间,在非生效期间不进行管制。

　　图四：联机数管控是另一种有效限制大量占用带宽软件的一种方法,联机数管控可配置特定时间管控, 也可设定不受限制的服务(公司财务数据的传输，邮件的传输等)或者IP不受联机管制。
　　4.5带宽管理配置
　　带宽管理可从不同的角度来落实，例如以人为规范进行、以计算机是否可以上网进行，但最方便合理的，还是通过路由器的设定达成。因为路由器往往是局域网对外的网关，通过路由器管制，通常可集中管理效果，不易有遗漏。路由器可检查每个进出的封包，决定优先处理或者不予处理，以将带宽保留给较重要的应用。以下是从路由器的观点，较常见的带宽管理方式：
　　依使用者或主机加以管制：我们可针对特定局域网或外部的主机，加以进行管制。例如不允许内部某部计算机上网，或只允许某部计算机上网;或不允许网络用户联机外部某台主机等等。这样的作法，都是通过限制存取某个使用者或主机的方式，进行管制。例如在下图的防火墙配置中，我们看到存取服务规则设定中，可经由设定“来源IP地址”及“目的IP地址”的方式，限制或允许联机的进行。其中来源地址可能是局域网用户，也可能是外界需要服务的地址;目的IP地址也相同。网管可依需要进行配置。
[url=http://searchsecurity.techtarget.com.cn/TLimages/picview/?/imagelist/2007/120/31z1742b5545.png]

图五：依使用者或主机加以管制是可以采用的方法之一。
　　对局域网用户而言，以IP进行管制也不是完全没有缺点，有些聪明的用户会自行修改IP，以逃避路由器的管制。有些用户甚至会修改成领导的IP，以取得更高的权限，进行信息的存取及带宽的利用。对于网管人员，这个问题当然要加以解决。还好，每个网络卡都有一个独一无二的识别号码，一般用户很难更改。因此我们可通过“IP与MAC绑定”的功能，规范在分配IP时，某些MAC地址，即网络上的网络卡/主机取得特定的IP地址。若设为其它IP时，则无法上网。这个功能对于智能小区业者及高度敏感的单位网管都很重要。

图六：IP与MAC绑定可确保管控的有效性。
　　依应用加以管制：我们也可以利用网络应用的端口号，加以进行管制。这就好比军事上针对特定频道加以干扰，破坏通讯的例子一样。由于常见的应用，往往都有特定的端口号，因此我们只要找出对应的端口号，在存取规则设定中，进行允许或限制的执行即可。依应用的端口加以管制。以下的画面，就显示出常用的应用端口号，只要进行设定允许或禁止，即可管制不同应用封包的进出。
　　除了常见的应用端口号外，面对日新月异的应用，网管也可自行设定应用及对应端口号，以简化日后设定的过程。

图七：应用的管制是利用网络应用的端口数，加以进行管制。
　　依内容：最直接的作法，就是针对传送内容进行管制。也就是不想传送什么内容，就通过关键词或文件名管制。在以下的管制设定页面中，我们可以看到网页内容管制设定，是依网页内容所包含的字符串进行管制。而网页字符串，则是通过传送网页的名称或文件名，加以管制。通过这二者的设定，网管可阻绝特定内容的网页，或者是特定文件格式的网页、服务或文件。

图八：针对传送内容进行管制是通过关键词或文件名进行管制。
　　依WAN口：对于多WAN路由器而言，也可通过不同WAN口的分配模式，将带宽分配到不同的WAN口。Qno的产品可支持三种不同带宽分配模式。IP群组是将特定IP使用者，指定到某个WAN口，它的好处是可将不同群组使用带宽分隔来开，部份群组使用带宽的情况不会影响其它的使用者。IP负载均衡则是路由器会依局域网IP，依次分派到不同WAN口，以平衡带宽的使用，它的好处是同一个IP存取流向都经由同一个WAN口，能适应不同应用的通讯特性，不易出错。智能型负载均衡则是路由器会综合考虑应用、使用带宽、WAN流量、及IP分布，自动进行带宽的分布。通过WAN口的限制，也能有效进行带宽的管理。

图九：多WAN路由器而言，也可通过不同WAN口的分配模式，将带宽分配到不同的WAN口。
　　以下显示不同WAN口还可以设定各种管制方式，交叉应用进行管制。

图十：实际的应用往往需要组合不同的管制方法。
　　除了以上的管制方式外，还有其它的方式可以进行管理。例如在防火墙配置的访问存取规则设定中，每个规则都可设定作用的时间，可按星期或一天的时间进行设定。网管可设定上班时间启动管制，在下班及休息时间不作管制。
　　以上我们了解了带宽管理的一些技巧后，相信大家对如何作带宽管理有一个基本的了解。
　　4.6如何针对新应用进行带宽管理
　　在我们了解可使用的带宽管理工具后，网管必须针对面临的问题，进行分析诊断，再适当组合不同的工具，以达到限制或管理的目的。虽然不同网管面临的问题不同，寻求的解决程度也不相同，但是整体来说，要通过路由器进行带宽管理，是方式可以遵循的。以下我们简单介绍这个程序，并以几个例子说明如何实际针对问题，加以解决。
　　一般来说，在进行带宽管理或管制时，有以下的步骤可依循：
　　定义问题：首先网管必须先了解问题出在什么地方，才能针对问题谋求解决方式。有些问题是因为带宽不足造成，有些问题是因为ISP服务质量不足，而有些则是特定使用者大量下载文件造成。为了定义问题，网管必须从路由器或其它网络监看软件，了解带宽的使用，才能真正定义问题。定义问题对于寻求解决之道提供良好的参考。
　　决定解决策略：当了解问题所在后，接下来就是要决定解决策略了。其实要进行带宽管理不一定全通过路由器的配置进行。对于需要管理的应用或使用者，是限制还是禁止?进行限制的时间是何时?是否一体应用于所有的使用者，还是特别的使用者。网管必需考虑实际情况，决定整体解决策略。
　　了解关注应用的网络运作：接下来需针对需要进行管理的题目，了解其网络运作情况，例如应用程序名称、通讯端口、服务主机IP、传输文件扩展名等。常见的应用，很容易在网络上或论坛中找到详细的工作原理，及对应的管制之道。如果是不常见的应用，则必须使用路由器的监控功能或网络监控软件，了解相关的信息。
　　决定管制方式：当了解需要管制对象的运作原理后，即可很容易地决定管制的方式。常见的以IP、通讯端口、内容、文件名、时间、及WAN端指定的方式，都可应用，或者混合使用。网络论坛上也可找到相关的信息，有些管理方法比其它的方式更为简单有效，最好作些研究再进行处理。
　　寻找路由器上相关配置：最后就是落实在路由器的配置上。网管必须仔细阅读路由器的产品说明书，并找出需要的设定实际在配置画面上进行设定。
　　进行测试：做完配置后，记得要进行实际的测试，观察相关设定是否生效。许多情况下，往往因为忘记存储或是应用的IP或通讯端口可以改变，导致预期的管制或管理效果并没有作用。所以做完配置后，务必要进行测试，确定达到预期的效果。否则仍需要再找寻其它解决之道。
　　接着，我们下面以二个案例，说明几种常见的带宽管理及管制设定：
　　案例一限定时间上网
　　有一所学校，在上计算机课程时，不希望学生因上网分心，所以希望在上课时间禁止学生上网，而下课及其它时间则不加限制。因为主要的限制为时间，而希望阻绝所有的上网行为，因此我们可通过禁止所有通讯端口服务来达到这个目的。因此，设定重点为：
　　管制动作：禁止
　　服务端口：所有端口[TCP&UDP/1~65535]
　　来源接口：局域网
　　来源端口：任何的
　　目的IP地址：任何的
　　时间管制：从周一到周五的早上8点到下午6点。
　　作完设定后，按存储，就可达到上课时间管制学生上网的目的了。
　　案例二网页以外的服务都禁止
　　某间公司由于工作需要，上班时间只允许员工访问网页，其它的上网动作都不允许。由于网页的传送是通过TCP/80端口传送，因此我们可以通过只允许TCP/80端口传送来达到这个功能。设定的方式如下：
　　首先比照前例，新增加一条规则禁止所有的封包通过防火墙，也就是说禁止上网，就是管制动作：禁止
　　服务埠：所有端口[TCP&UDP/1~65535]
　　来源接口：局域网
　　来源埠：任何的
　　目的IP地址：任何的
　　时间管制：从周一到周五的早上9点到下午6点
　　然后再新增加一条：允许TCP/80埠的封包通过。也就是说：
　　管制动作：允许
　　服务埠：HTTP[TCP/80]
　　来源界面：任何的
　　来源IP地址：任何的
　　目的IP地址：任何的
　　管制时间：从早上9点到下午6点
　　最后点击确定完成此设置。
　　这样就可以实现只能访问网页的这个功能了。设定完后，在“规则”页面要注意的是：由于规则是从上向下执行的，所以要把禁止连接网络的规则放在上，再把打开TCP/80端口规则放到下面，才能达到预期的效果。当然我们也可以通过相同的设定，通过开放电子邮件发送及收信相关的端口，来允许电子邮件服务的通过。
　　小结
　　由于面临的情况不一,因此带宽管理的工作相对显得较为困难,需要网管对于网络技术有较深的了解及经验。有经验的网管可以简单地以一个配置,就达到一个没有经验的网管以多重配置的效果。侠诺路由器也一直朝着简化配置,又能达到强大的效果的方向,积累各式的带宽管理功能;侠诺的讨论区及技术支持也乐意提供针对不同问题的建议给用户。带宽管理是现代网管一门值得深入的课题!

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-8-16 10:50

4楼

[ 顶部 ]

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 10:50　

防火墙的概念对于大企业的网管并不陌生，但是对于中小企业还是较陌生的。不过随着路由器性能持续升级，很多路由器都可以扮演防火墙的功能，为企业网络安全多一层把关。对于中小企业而言，由于信息的限制及信息化的程度不同，因此运用防火墙的方式和大企业有所不同。相对而言，中小企业希望能利用防火墙达到最基本的安全防护，又希望适度的对内部用户加以限制，也可达到广义信息安全的目的。
　　Qno侠诺整合一般中小企业在防火墙方面常碰到的问题，及对应Qno侠诺安全路由器的功能，介绍中小企业可在路由器防火墙方面进行的配置如下：
　　项次问题功能
　　1开放(公网)IP地址服务器及主机，如何保护?存取服务规则
　　2私有IP地址及服务器，如何管制?对内的管制需要定时，如何配置?如何阻挡特定的应用服务?存取服务规则、管制内容时间排程、阻挡特定服务
　　3最近有许多常见的攻击，例如ARP攻击、DoS攻击，如何进行防御的配置?洪水攻击阀值机制、语音告警功能
　　4如何减少攻击对路由器效能的影响?对于广播应用，如何开放路由器防火墙?防火墙基本配置
　　5除了路由器外，如何进行整体的配置，减少企业网络受到外挂程序的破坏?防火墙基本配置
　　以下针对不同功能，予以介绍
　　5.1防火墙访问规则
　　有些企业内部使用固定IP地址，例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等，由于需要对互联网上用户开放服务，必须使用固定IP。公开虽然有好处，但相对的也容易成为恶意人士攻击的目标，因此若是企业网络有这样配置的服务器或是计算机，就必须先加以保护。
　　要保护公网IP服务器或是计算机，第一个要作的就是除了保留要提供服务的TCP/UDP端口，之外的网络端口全部封掉，以避免服务器受到攻击。例如提供网页服务器，只要保留80端口的服务让外界存取即可，其它的都加以封闭。另外，如果能限定开放服务只是特定的用户，例如其它分公司的用户，也可以只允许特定用户进入，再次降低受到攻击的可能性。
　　在Qno侠诺路由器上，这个功能可使用路由器中网络存取规则条例工具进行配置，存取规则可以依据不同的条件来过滤，例如可以设定封包要管制的进出方向是从内部到外部，还是从外部到内部，或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制，管理者可以依照实际的需求调性设置。
　　侠诺路由器产品中有默认的网络存取规则条例，网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3…。依序做规则判断，所以前后顺序是让您在做访问规则的设定规划中必须要考虑的，以避免您想开启或关闭的功能失效。

　　图一：访问规则设置，是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器，更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担，更可增加内网的安全性。
　　对于采用NAT产生私网IP，或称虚拟IP地址的计算机或内部服务器，则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为，以避免员工上网降低生产力，或是带进不必要的病毒或攻击，这对很多网管来说是必要的。配置群组的功能，可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络，而行政部门人员只能以邮件与外部连络等。这个管制动作，对于很多企业也是可以节省很多损失的一种配置。
　　5.2时间管制设定
　　对于内网的管制，可以加强企业网络的安全性，但是对员工而言就显得较为不方便。因此有些网管需要对防火墙设定增加一些弹性，例如下班时间，允许较大的权限可以上网，例如全部员工，在下班时间都可以观看网页，这时即可使用时间管制设定功能。
　　侠诺路由器产品支持的时间管制是随着每条存取服务规则一起的，网管必须在配置规则时就一并把作业时间设好。值得注意的是，这个规则是24小时制的，因此若需要跨过午夜零点，最好设定上半夜及下半夜两条规则，以免发生冲突或是不如预期的情况。

　　图二：时间管制设定是依附在每一条存取服务规则下的，针对每个规则都可以规定生效的时间。适当地组合时间管制，可为内部上网管理增加弹性。
　　5.3阻挡特定服务
　　如果觉得一一设置阻挡很不方便，侠诺路由器提供一键挡特定的服务功能，可以通过设置将MSN、Skype、QQ、BT下载这些服务挡住，以方便用户的管理设置，以最简单的方法起到管制的作用。阻挡特定服务是以勾选的方法,决定限制那些服务,另外还提供有排除功能,可以排除特定IP用户,例如公司老板或是高管等。

　　图三: 本图可以看出内部网络192.168.1.2~100的 IP将不提供MSN及时信息服务功能，中小企业可以按照需要对内网IP的这几个特定服务做挡定设置。
　　5.4洪水攻击阀值机制及语音告警
　　SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一，其攻击方式是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽，CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性，攻击方向受攻击计算机不断发送欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在响应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。
　　Qno侠诺引入路由器产品的一些功能，能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。
　　·洪水攻击防御的加强：洪水攻击属于DOS攻击的一种，它利用网络协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，或最后产生TCP/IP堆栈溢出崩溃死机。
　　针对这种攻击，Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制，用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包，设定阀值，如果超过特定阀值，则阻挡该IP或是整个网络的上网需求。在这个设定中，具有关键地位的是针对单一IP设定的阀值，根据侠诺的技术支持经验发现，设定在每秒2000个包，应可有效抵抗攻击。值得注意的是，当设定阀值太低时，对于QQ视频或是相似的应用，会产生影响，因此也不能设定太低。

　　图四：要对抗洪水攻击，必须针对大量发出网络包的IP地址加以管制，除了TCP协议外，现在UDP及ICMP网络协议的攻击也很普遍。
　　另外，以往的攻击往往利用TCP协议进行，最近发现UDP及ICMP的攻击形式也渐渐增加，因此在产品中加进了这个功能。
　　·MAC/IP欺骗型ARP攻击防御的加强：ARP攻击利用广播封包，影响网络的运作。侠诺之前推广了双向绑定的因应之道，即在客户端及路由器端都必须进行ARP协议的绑定，可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式，不断发出网络包给路由器，让路由器忙于处理无用的数据包，而影响正常的运作。
　　在侠诺新版的软件中，加入了自动判别的功能，可以不理会非正常MAC或IP所发出的数据包，也不加以转发，可减少攻击所产生的影响。用户可在配置路由器时，进行学习功能，并确认正当的IP及MAC，之后路由器即可拒絶其它的网络包，以降低ARP攻击的影响。一旦本机制作用，受到影响的只会是发动攻击的计算机，因为忙于攻击而运作缓慢，但是其它用户不会受到影响。
　　·语音告警功能：新版Qno侠诺路由器内建发音功能，配合以上的功能，在第一时间可以针对新型态攻击阻挡，同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况，并可通过日志功能找出有问题的来源，加以隔离，并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好，才能真正协助用户改善网络安全问题。
　　5.5基本设置
　　对于企业网管来说，必须要根据不同的需求进行路由器的配置，但事实上，路由器做的事越多，效能就受到越大的影响。例如广播应用的网络包，如果允许进入内容，则对路由器效能及内网安全都造成威胁，因此Qno侠诺路由器的基本配置功能可让网管选择是否开启一些常见的服务，取得路由器效能及安全之间的平衡。
　　在基本设定功能中，有以下设定：防火墙功能及SPI封包侦测是进行细部带宽管理及存取规则需要的，关闭这二个功能将使部份功能无法运作，但可得到最好的效能，适用于另外配接防火墙的企业;DoS侦测功能，会记录是否受到不正常网络包的攻击，特定情况下需用到;关闭对外的封包响应，可避免外部占用路由器资源的攻击，进一步增加效能及安全性;允许Multicast封包"功能"则是针对对应播应用;允许广播封包通透;最后防止ARP攻击必须配合客户端计算机绑定，有效对付ARP攻击。

　　图五：Qno侠诺路由器的基本配置功能可让网管选择是否开启一些常见的服务，取得路由器效能及安全之间的平衡。
　　5.6防火墙相关整体配置
　　除了路由器的配置以外，侠诺技术服务部门也总结了全国许多资源网管的经验，另外提供二个值得参考的改善点：
　　·减少用户使用外挂软件机会：很多环境发生攻击的事件，往往是因为用户用了外挂软件，因此如能减少用户使用外挂软件，就能减少攻击。在国内一些较先进的网吧，已经提供完整的外挂软件，不让用户自己从网络下载软件，这样可以减少攻击情况的发生。这点对于一些网吧而言，可能不太习惯，但是不失为一个有效管制方法。
　　· 配合三层交换管制网络：国内许多中大型网吧采用三层交换机作为骨干交换机，由于三层交换机也具备许多管制功能，因此如能善用三层交换机之功能，也可较好的针对攻击加以抵抗。有些网管在使用时，只是把三层交换机当成一般的交换机使用，有些可惜!
　　小结
　　对于大企业而言，防火墙扮演了企业网络安全重要角色，而安全路由器对于中小企业而言，可以较经济的花费，达到需要的管制功能，不失为一个方便的解决方案。Qno侠诺不断地为中小企业引入原本贵不及的功能，也希望为中小企业网络安全，发挥进步改善的作用。

微软最有价值专家（MVP）申请 <2008-2009年度>

2007-8-16 10:50

5楼

[ 顶部 ]

redking
副版主

帖子 2733
精华 0
无忧币 35203
积分 4393
阅读权限 140
来自 (保密)

注册日期 2006-7-11

最后登录 2008-10-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-16 10:51　

中小企业的网管，背负着整个企业网络的责任，网络若是发生问题时，往往大家第一个找的是网管。因此对于网管而言，如何能第一时间了解网络情况，或者于发生事件时第一时间了解发生什么情况。在老总询问时，网管若能很快地明白发生了什么事，或者是还没有接到询问，就先了解情况，事先因应了。
　　由于企业网络对外主要由路由器控制，因此可以给网管比较大的帮助。Qno侠诺路由器提供了多种功能，协助网管快速了解网络运作。以下针对中小企业常见的网络警示及监控相关问题，及对应的产品，具体说明如下：

项次
问题
功能

1
如何进行网络状态的了解?如何针对特定应用或用户了解带宽使用情况?
系统状态实时监控、流量统计

2
如何选择日志记录的内容?
系统日志配置

3
如何在特定时间通知网管?如何进行语音告警功能配置?如何保存完整日志?如何架设日志服务器?
语音告警功能、电子邮件告警功能

4
如何测试网络质量?
在线联机测试
　　6.1系统状态实时监控
　　侠诺路由器的管理功能可以快速于一个页面提供系统目前运作信息，这个功能可帮助网管快速了解不同广域网端口的运作情况，是网管必须用到的重要工具。这个页面在接受厂商进行技术支持时也是挺重要的，其中的广域网IP可帮助外部用户登入路由器，进行管理。
　　这个页面提供信息包括局域或广域端口名称，目前端口联机状态、IP地址、网络实体位置、子网掩码、默认网关、域名解析服务器、网络侦测、收到的封包数量、传送的封包数量、全部的进出封包数量统计、收到的封包Byte流量统计、传送的封包Byte流量统计、全部进出的封包Byte流量统计、收到的错误封包统计以及端口丢弃的封包统计、联机数、新联机数、上传带宽使用率、下载带宽使用率等信息。

　　图一：系统状态实时监控于一个页面提供整体广域端的运作情况，可协助网管于第一眼了解整体情况。
　　6.2流量统计
　　当网管发现网络中某些部份出现异状时，可能需要更详细地查看不同的信息，以找出具体的问题所在。Qno侠诺路由器中提供六种显示流量统计的信息，来提供管理者对于流量有更好的管理与控制。这六个信息分别为对外对内IP地址流量的置、对外对内不同服务端口的流量、对外对内不同IP地址的联机数。

　　图二：流量统计功能可显示较详细的不同IP地址或是服务端口的流量，协助作细部的除错工作。
　　另外特定IP及端口状态功能则能让网管人员可以针对某一IP或某一特定端口去查询此IP去访问的目的地址，或是有哪些人使用这个服务端口。其目的可以方便找出某些需要认证的网站无法走多WAN端口而必须走单一个WAN端口，网管人员可以查询出此目的地的IP做协议绑定来解决此登入问题。另外，若想查询何人在使用BT或P2P软件，也可选择端口做使用者查询。
　　6.3系统日志配置
　　网管可以选择不同的方法保存系统日志：较详细的日志于日后进行检查时，方便找出问题所在，但是记录内容会很多，保存不方便;简化的日志适用于有问题需要告警时，能通知网管特殊事件的发生。
　　Qno侠诺路由器提供三种日志相关设定：系统日志( Syslog)是把日志记录存放到日志服务器中、电子邮件通知则是把日志事件以电子邮件寄发给网管、日志类别则是需要记录的内容及格式。
　　系统日志( Syslog)服务器是专门用来保存不同设备日志的服务器，好处是可以完整地保持所有的日志，对于要求程度较高的企业，是必须配置的。常见的日志服务器软件为MRTG及Mt_Syslog，可以在Unix/Linux或是窗口操作系统平台上运作。
　　电子邮件通知则是将日志内容寄发到特定电邮中，在配置画面中可以设定一个信件最大的日志数量及发信时间，方便处理。电子邮件通知功能也可与短讯网关配合，变成发送短讯到网管的手机或是行动设备上。
　　系统日志配置则是日志的细节，包括内容及格式。内容的方面，包括不同的警告事件，是否要记录，应该视需要开启，因为持续的日志发送，也会影响路由器的效能，这对于高负载的应用情况，也是必须避免的。网管很直接的配置记录所有的事件，会造成系统工作的负担，这点是需要注意的。

　　图三：Qno侠诺路由器提供三种日志相关设定：系统日志( Syslog)是把日志记录存放到日志服务器中、电子邮件通知则是把日志事件以电子邮件寄发给网管、日志类别则是需要记录的内容及格式。
　　6.4语音告警功能
　　部份侠诺路由器提供了语音报警功能，方便管理人员通过语音提示来及时发现路由器的不正常工作状态，解决网络最常面临的网络掉线、拥塞、及攻击问题，快速调节路由器的相关设置来满足网络提供连续的上网服务。
　　语音告警提示功能，需要先连接小音箱与路由器指定的接口，然后在路由器Web管理页面语音告警栏目做点选激活，再点开高级设定对需要做报警提示的相关选项做勾选择，有参数要求的按照要求添入相关参数，当路由器工作过程中出现你所选择的内容的不正常工作情况的时候，连接路由器的小音箱就会发出报警语音提示来提醒管理人员及时解决问题。

　　图四：Qno侠诺路由器的语音告警功能，可配合路由器内部发音线路，发出声音通知。
　　下

用户名:	注册
密　码:
提　问:
回　答: