网站首页/网络技术列表/内容

5.1 防火墙访问规则

网络技术2023-01-04阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
有些企业内部使用固定IP地址,例如ISP发放公网IP区域、DMZ的服务器、开放一对一NAT的服务器等,由于需要对互联网上用户开放服务,必须使用固定IP。公开虽然有好处,但相对的也容易成为恶意人士攻击的目标,因此若是企业网络有这样配置的服务器或是计算机,就必须先加以保护。
要保护公网IP服务器或是计算机,第一个要作的就是除了保留要提供服务的TCP/UDP端口,之外的网络端口全部封掉,以避免服务器受到攻击。例如提供网页服务器,只要保留80端口的服务让外界存取即可,其它的都加以封闭。另外,如果能限定开放服务只是特定的用户,例如其它分公司的用户,也可以只允许特定用户进入,再次降低受到攻击的可能性。
在Qno侠诺路由器上,这个功能可使用路由器中网络存取规则条例工具进行配置,存取规则可以依据不同的条件来过滤,例如可以设定封包要管制的进出方向是从内部到外部,还是从外部到内部,或是设定以使用者的IP位置、目地端IP位置、IP通讯协议型态等条件来做管制,管理者可以依照实际的需求调性设置。
侠诺路由器产品中有默认的网络存取规则条例,网管可以选择关闭(deny)或是允许(allow)来调整使用者对互联网的存取。管理者可以自定存取规则并且超越路由器的默认存取条件规则。在做规则确认时是依照由前到后 1-2-3…。依序做规则判断,所以前后顺序是让您在做访问规则的设定规划中必须要考虑的,以避免您想开启或关闭的功能失效。
图一:访问规则设置,是最基本阻挡不必要存取的基本工具。对于使用公网IP的服务器,更是必须设置的基本项目。减少存取不但可以降低路由器的工作负担,更可增加内网的安全性。
对于采用NAT产生私网IP,或称虚拟IP地址的计算机或内部服务器,则主要需进行内网用户的配置。主要的目的在于管控内网用户上网的行为,以避免员工上网降低生产力,或是带进不必要的病毒或攻击,这对很多网管来说是必要的。配置群组的功能,可以为不同部门的人员配置不同的存取权限。例如业务部允许上网及使用Skype、MSN及邮件与客户连络,而行政部门人员只能以邮件与外部连络等。这个管制动作,对于很多企业也是可以节省很多损失的一种配置。

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

相关阅读