网管必学 中小企业安全路由器配置
程序员文章站
2023-10-28 17:12:10
网管必学 中小企业安全路由器配置...
网络安全,对于中小企业网管来说已是一门必修课。本文作者收集了qno侠诺在中国各地支持企业用户的心得,供读者参考。首先,我们从基本配置谈起,即路由器的广域网及局域网如何进行配置,主要的目的,让中小企业用户在进行规划时,就能善用路由器的各种功能,提供给内部用户更好的网络服务,提升企业的经营效益。//本文引用自www.jb51.net
综合qno侠诺技术服务部的实际支持经验,一般中小企业在进行安全路由器的基本配置时,需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方面加以介绍。
一、广域网端
广域网端就是路由器对外接到网络运营商的线路。广域网线路也是宽带接入的主要路径,因此若是发生掉线或是拥塞,则企业的宽带接入就会中断!这个情况对于有些企业会发生很大的困扰。因此广域网端在安全的首要思维,就是如何确保线路的稳定,维持企业在各种情况下的运作。
大部份中小企业,由于上网人数较小、或是经费有限,因此大多采用单线adsl即可。企业对带宽的需要较大,或是对于网络要求较高的,例如服务业或是外贸行业,则可能采用相对费用较高的光纤。根据qno侠诺支持用户的经验,发现以下情况,较倾向采用多wan线路的配置:
偶而需要大量上/下载:由于信息化的结果,很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时,需要上传销售报告及存货数据,需要较多的时间。又例如位于宁波的某民营企业,经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时,网管一般都不希望受到一般用户上网或下载影响,因此可申请两条线路:一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时,则可加以管制,保留特定的线路给大量上下载的工作,以确保重要的数据能准时传送。采用多wan配置后,网管加班在办公室等待数据传送的情况,就可大大减少了!
有跨网问题时:山东济南某农产品的商贸公司,常常需要和在北京的总部建立vpn联机,但是不知道为什么,联机总是很不稳定,常常数据还没传完,又得重新联机。这种情况,很可能就是vpn建立跨过不同的运营商网络所产生的不稳定问题,例如总部采用网通的线路,而分支采用电信的线路,跨网带宽不足,而产生的现象。这种情况,也可采用多wan路由器解决,即总部同时接入网通及电信的线路,属于网通线路的外点从网通的入口建立vpn,电信的外点则从电信线路建vpn,这样即可解决跨网带宽小或不稳定的情况。
需要备援时:多wan线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户adsl线路,这时就可以光纤配合adsl作备援,在前者发生故障时,以adsl先顶着用。有的用户则希望用不同运营商的线路,这样在a运营商线路或机房发生问题时,可以b运营商线路替代。对于某些行业,例如媒体行业,需要随时可以上网,这个功能就显得尢为重要。
ad带宽不足时:一般企业用adsl来的多,根据统计显示中小企业宽带用户增加最多的就是采用adsl上网。但有些地区提供的adsl相对带宽显得较小,例如64k/64k的线路,对于企业应用显然不足,不过申请光纤又比几条adsl还来得贵,在这种情况下,利用多wan路由器汇聚多条adsl线路,不失为一可行又省钱的方法。
由于广域网端为企业上网唯一的路线,因此对于企业上网有决定性的重要。qno侠诺的市场调查显示,现阶段很多企业对于无线宽带接入,例如3g或是wimax都表示了相当的兴趣,希望能用无线接入作为有线接入的辅助,这或多或少也代表了企业对于广域网端接入的重视及期望。
二、局域网端
局域网端则是对内接到企业用户的线路,有些路由器本身有局域网端口,可下接交换机;有的网管则会将路由器先接到骨干交换机,再向下接到一般的交换机。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。
qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,ip的管理是顶重要的。ip就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在ip管理方面要注意的事项,主要为计算机采用固定ip地址、dhcp服务器发放固定ip、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
计算机采用固定ip地址:计算机采用固定ip地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入ip地址相关数据。这样做的好处是每台机器的ip都必须是事先指定,没有事先指定的ip,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定ip,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。
dhcp服务器发放固定ip:dhcp服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是dhcp的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过dhcp发放ip地址,但同时限定计算机能取得的ip地址,以便进行管理。qno侠诺路由器的ip/mac绑定功能,即可以根据网管的配置,认明计算机的mac地址发放特定的ip,这样就可针对ip进行管理。同时ip/mac绑定功能也可防止用户修改ip,以取得较高权限问题,错误的mac/ip组合,将会被路由器“*错误mac地址”阻挡,这个功能也可防止arp攻击。
防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。qno侠诺的ip/mac绑定功能中,提供“*不在对应表列中mac地址”功能,达到网管未配置的mac地址完全无法上网的作用。
qno侠诺路由器的ip/mac绑定功能
图一:qno侠诺路由器的ip/mac绑定功能,网管可将用户的ip及mac地址键入,这样可以达到使用dhcp服务时,每次发放固定ip给用户。另外“*错误mac地址”及“*不在对应表列中mac地址”则可提供更进阶的功能,提供进一层的安全保障。
群组管理:除了ip/mac绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以管理。例如qno侠诺提供的ip群组功能,就能将不同的ip用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户,适用不同的管制权限或是带宽管理原则,这个功能可以大幅简化管理工作,也可避免管制时出现漏网之鱼的现象。
ip群组功能
图二:ip群组功能,可将不同ip用户分类为不同群组,并加以命名,通过群组的管理,一次达到全面性的管制功能。也可避免因为配置的漏失,而产生安全的漏洞。
综合qno侠诺技术服务部的实际支持经验,一般中小企业在进行安全路由器的基本配置时,需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方面加以介绍。
一、广域网端
广域网端就是路由器对外接到网络运营商的线路。广域网线路也是宽带接入的主要路径,因此若是发生掉线或是拥塞,则企业的宽带接入就会中断!这个情况对于有些企业会发生很大的困扰。因此广域网端在安全的首要思维,就是如何确保线路的稳定,维持企业在各种情况下的运作。
大部份中小企业,由于上网人数较小、或是经费有限,因此大多采用单线adsl即可。企业对带宽的需要较大,或是对于网络要求较高的,例如服务业或是外贸行业,则可能采用相对费用较高的光纤。根据qno侠诺支持用户的经验,发现以下情况,较倾向采用多wan线路的配置:
偶而需要大量上/下载:由于信息化的结果,很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时,需要上传销售报告及存货数据,需要较多的时间。又例如位于宁波的某民营企业,经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时,网管一般都不希望受到一般用户上网或下载影响,因此可申请两条线路:一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时,则可加以管制,保留特定的线路给大量上下载的工作,以确保重要的数据能准时传送。采用多wan配置后,网管加班在办公室等待数据传送的情况,就可大大减少了!
有跨网问题时:山东济南某农产品的商贸公司,常常需要和在北京的总部建立vpn联机,但是不知道为什么,联机总是很不稳定,常常数据还没传完,又得重新联机。这种情况,很可能就是vpn建立跨过不同的运营商网络所产生的不稳定问题,例如总部采用网通的线路,而分支采用电信的线路,跨网带宽不足,而产生的现象。这种情况,也可采用多wan路由器解决,即总部同时接入网通及电信的线路,属于网通线路的外点从网通的入口建立vpn,电信的外点则从电信线路建vpn,这样即可解决跨网带宽小或不稳定的情况。
需要备援时:多wan线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户adsl线路,这时就可以光纤配合adsl作备援,在前者发生故障时,以adsl先顶着用。有的用户则希望用不同运营商的线路,这样在a运营商线路或机房发生问题时,可以b运营商线路替代。对于某些行业,例如媒体行业,需要随时可以上网,这个功能就显得尢为重要。
ad带宽不足时:一般企业用adsl来的多,根据统计显示中小企业宽带用户增加最多的就是采用adsl上网。但有些地区提供的adsl相对带宽显得较小,例如64k/64k的线路,对于企业应用显然不足,不过申请光纤又比几条adsl还来得贵,在这种情况下,利用多wan路由器汇聚多条adsl线路,不失为一可行又省钱的方法。
由于广域网端为企业上网唯一的路线,因此对于企业上网有决定性的重要。qno侠诺的市场调查显示,现阶段很多企业对于无线宽带接入,例如3g或是wimax都表示了相当的兴趣,希望能用无线接入作为有线接入的辅助,这或多或少也代表了企业对于广域网端接入的重视及期望。
二、局域网端
局域网端则是对内接到企业用户的线路,有些路由器本身有局域网端口,可下接交换机;有的网管则会将路由器先接到骨干交换机,再向下接到一般的交换机。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。
qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,ip的管理是顶重要的。ip就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在ip管理方面要注意的事项,主要为计算机采用固定ip地址、dhcp服务器发放固定ip、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
计算机采用固定ip地址:计算机采用固定ip地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入ip地址相关数据。这样做的好处是每台机器的ip都必须是事先指定,没有事先指定的ip,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定ip,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。
dhcp服务器发放固定ip:dhcp服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是dhcp的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过dhcp发放ip地址,但同时限定计算机能取得的ip地址,以便进行管理。qno侠诺路由器的ip/mac绑定功能,即可以根据网管的配置,认明计算机的mac地址发放特定的ip,这样就可针对ip进行管理。同时ip/mac绑定功能也可防止用户修改ip,以取得较高权限问题,错误的mac/ip组合,将会被路由器“*错误mac地址”阻挡,这个功能也可防止arp攻击。
防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。qno侠诺的ip/mac绑定功能中,提供“*不在对应表列中mac地址”功能,达到网管未配置的mac地址完全无法上网的作用。
qno侠诺路由器的ip/mac绑定功能
图一:qno侠诺路由器的ip/mac绑定功能,网管可将用户的ip及mac地址键入,这样可以达到使用dhcp服务时,每次发放固定ip给用户。另外“*错误mac地址”及“*不在对应表列中mac地址”则可提供更进阶的功能,提供进一层的安全保障。
群组管理:除了ip/mac绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以管理。例如qno侠诺提供的ip群组功能,就能将不同的ip用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户,适用不同的管制权限或是带宽管理原则,这个功能可以大幅简化管理工作,也可避免管制时出现漏网之鱼的现象。
ip群组功能
图二:ip群组功能,可将不同ip用户分类为不同群组,并加以命名,通过群组的管理,一次达到全面性的管制功能。也可避免因为配置的漏失,而产生安全的漏洞。