5．1 防火墙访问规则

作者: 佚名 出处:51CTO.com　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-05-08 17:14
关 键 词：路由器  配置  防火墙  安全  中小企业  Qno侠诺
阅读提示：针对内部上网用户IP地址上网权限配置，工作量很大，输入过程中也容易出现错误，甚至有时出现遗漏的事情，这种情况下侠诺路由器的IP群组管理功能，可将多个用户，例如一个部门所有IP地址，组成一个群组解决这个问题。

有些企业内部使用固定IP地址，例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等，由于需要对互联网上用户开放服务，必须使用固定IP。公开虽然有好处，但相对的也容易成为恶意人士攻击的目标，因此若是企业网络有这样配置的服务器或是计算机，就必须先加以保护。
要保护公网IP服务器或是计算机，第一个要作的就是除了保留要提供服务的TCP/UDP端口，之外的网络端口全部封掉，以避免服务器受到攻击。例如提供网页服务器，只要保留80端口的服务让外界存取即可，其它的都加以封闭。另外，如果能限定开放服务只是特定的用户，例如其它分公司的用户，也可以只允许特定用户进入，再次降低受到攻击的可能性。
在Qno侠诺路由器上，这个功能可使用路由器中网络存取规则条例工具进行配置，存取规则可以依据不同的条件来过滤，例如可以设定封包要管制的进出方向是从内部到外部，还是从外部到内部，或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制，管理者可以依照实际的需求调性设置。
侠诺路由器产品中有默认的网络存取规则条例，网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3…。依序做规则判断，所以前后顺序是让您在做访问规则的设定规划中必须要考虑的，以避免您想开启或关闭的功能失效。

图一

图一：访问规则设置，是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器，更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担，更可增加内网的安全性。
对于采用NAT产生私网IP，或称虚拟IP地址的计算机或内部服务器，则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为，以避免员工上网降低生产力，或是带进不必要的病毒或攻击，这对很多网管来说是必要的。配置群组的功能，可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络，而行政部门人员只能以邮件与外部连络等。这个管制动作，对于很多企业也是可以节省很多损失的一种配置。

滚动新闻　术语词典　问题悬赏

我也说两句